激光作為20世紀(jì)以來��,繼原子能�����、計算機(jī)���、半導(dǎo)體之后����,人類的又一重大發(fā)明��,被稱為“最快的刀”�。但把激光作為攻擊手段,一直都存在于科幻電影和小說中��。而近日,由騰訊安全聯(lián)合實驗室和騰訊視頻聯(lián)合出品的安全系列推理劇第6集《燒腦24小時之激光里的孫悟空》���,就向公眾展示了安全研究人員利用條碼閱讀器漏洞�,以激光為“武器”�����,從而控制某科技公司電腦�,并成功入侵核心數(shù)據(jù)庫的真實場景�。視頻上線數(shù)日,點擊量迅速接近200萬��,引發(fā)了網(wǎng)友和行業(yè)對這種新型入侵方式的討論。不少行業(yè)專家表示�,“智能設(shè)備的漏洞一旦被不法分子利用��,后果不僅僅是其本身被攻擊�,與其相關(guān)聯(lián)的終端也不能幸免”。
激光攻破企業(yè)數(shù)據(jù)庫 迂回攻擊已成網(wǎng)絡(luò)安全新威脅
劇中����,由騰訊安全聯(lián)合實驗室旗下的玄武實驗室扮演的“藍(lán)軍”與某科技公司組成的“紅軍”,展開了一場網(wǎng)絡(luò)安全的攻防演習(xí)�����。最終,騰訊安全玄武實驗室研究員趁人事部員工離開辦公室吃午飯的間隙�����,從對面的辦公樓發(fā)射出一束編碼了特殊攻擊數(shù)據(jù)的激光�����,通過辦公桌上的條碼閱讀器向“紅軍”人事部電腦植入木馬����,成功獲取人事數(shù)據(jù)庫的訪問權(quán)并取得演習(xí)的勝利。
“原來這些安全部門平日里在做這樣的事�,幕后英雄值得尊敬。”視頻的評論區(qū)有網(wǎng)友給實驗室的研究員點贊��。同時也有不少網(wǎng)友感嘆這種技術(shù)的可怕 �,“天啦,這就是黑科技的神秘之處��,一束激光便可以入侵電腦�����,這樣的系統(tǒng)漏洞真讓人害怕”。事實上�����,此次騰訊安全玄武實驗室所運(yùn)用的技術(shù)正是他們之前發(fā)現(xiàn)的條碼閱讀器“BadBarcode”漏洞���。利用該漏洞��,只要將編碼了特殊信息的激光束照射在條碼閱讀器附近,就能入侵連接該條碼閱讀器的電腦�����。據(jù)悉��,該項研究揭示了影響整個條碼閱讀器行業(yè)存在了近二十年的重大安全隱患�,騰訊安全玄武實驗室也因此榮獲 WitAwards“年度最佳研究成果”獎。
正如視頻中展現(xiàn)的那樣���,隨著萬物互聯(lián)時代的到來���,黑客的攻擊手段已不再是單純地只針對目標(biāo)進(jìn)行“兩點一線”的直線型攻擊,通過物聯(lián)網(wǎng)設(shè)備的迂回式攻擊���,正成為一種新的作案手段��。去年年底����,美國DNS服務(wù)商Dyn遭遇了大規(guī)模DDoS攻擊,致使大半個國家網(wǎng)絡(luò)癱瘓���。此次事件是因為黑客操控數(shù)百萬網(wǎng)絡(luò)攝像頭及相關(guān)DVR錄像機(jī)作為“肉雞”���,進(jìn)而利用 Mirai僵尸網(wǎng)絡(luò)以DDoS劫持攻擊方式致使大半個美國網(wǎng)絡(luò)癱瘓。如何防御這種新形式的攻擊����,將成為企業(yè)和安全廠商的新挑戰(zhàn)。
產(chǎn)業(yè)聯(lián)動 持續(xù)完善智能設(shè)備安全
2016世界物聯(lián)網(wǎng)博覽會信息安全高峰論壇上���,中國工程院院士倪光南指出����,如今物聯(lián)網(wǎng)已經(jīng)成為網(wǎng)絡(luò)攻擊的新領(lǐng)地���,也成了信息竊取的新戰(zhàn)場�,大數(shù)據(jù)、云計算���、移動互聯(lián)等新技術(shù)新應(yīng)用不斷融合�,海量設(shè)備不斷接入互聯(lián)網(wǎng)��,這些可能成為黑客攻擊的目標(biāo)�,預(yù)計物聯(lián)網(wǎng)將是風(fēng)險隱患的高發(fā)地、網(wǎng)絡(luò)安全治理的重點區(qū)����。
騰訊安全玄武實驗室負(fù)責(zé)人于旸也曾在2016年CSS安全領(lǐng)袖峰會中指出,我們今天面對的信息安全��,已經(jīng)不再是某一行代碼的問題�����,或者說某幾處代碼之間的問題��,而是一個協(xié)議和一個協(xié)議之間的問題�����,或者是某些協(xié)議共同作用發(fā)生的問題���,甚至是一個設(shè)備和一堆設(shè)備之間的問題�、一個系統(tǒng)和一個系統(tǒng)之間的問題����。這種形態(tài)的安全問題用傳統(tǒng)的方法是難以進(jìn)行發(fā)現(xiàn)、分析和防御的����。
而最大限度的控制安全隱患的關(guān)鍵是智能產(chǎn)品廠家一定要建立一套完善的加密保護(hù)體系和漏洞修復(fù)機(jī)制,從源頭上堵住安全威脅����。但僅僅依靠智能產(chǎn)品廠家自身的漏洞修復(fù)很難做到盡善盡美,據(jù)安全數(shù)據(jù)庫網(wǎng)站CVE Details的報告顯示�����,在2016年的漏洞排行榜上�,Adobe旗下軟件的漏洞最多,高達(dá)1383個;微軟以1325個緊隨其后;谷歌以695個漏洞位居第三��。像微軟����、谷歌����、Adobe這樣擁有專業(yè)安全團(tuán)隊的國際知名廠商����,每年有大量的漏洞被安全廠商揭漏,中小企業(yè)在缺乏專業(yè)安全團(tuán)隊支撐的情況下�����,其智能產(chǎn)品的安全性更加難以保障���。
一直以來�,以騰訊安全為代表的國內(nèi)安全廠商積極致力于助力廠商修復(fù)其產(chǎn)品的安全性����。視頻中的騰訊安全玄武實驗室���,專注于針對各類型漏洞的挖掘�����、利用�、檢測、防御��,以及涉及硬件���、無線等方面的復(fù)合安全風(fēng)險����。與科恩實驗室��、湛瀘實驗室�、云鼎實驗室、反病毒實驗室�����、反詐騙實驗室�、移動安全實驗室六大實驗室協(xié)同合作組建而成的騰訊安全聯(lián)合實驗室,在成為騰訊安全技術(shù)保障和升級利器的同時����,也不遺余力向產(chǎn)業(yè)鏈能力輸出安全技術(shù)能力。
據(jù)了解��,騰訊安全玄武實驗室在發(fā)現(xiàn)條碼閱讀器存在這個漏洞之后,已經(jīng)及時反饋并幫助一些廠商修復(fù)了這個問題�����。目前�����,騰訊安全玄武實驗室已先后幫助 Google����、Microsoft、Apple �、HP、Lenovo等企業(yè)修復(fù)了 223個嚴(yán)重安全問題�����。騰訊安全負(fù)責(zé)人指出��,通過主動��、及時地漏洞挖掘�����,并將漏洞報告給廠商��,有助于這些企業(yè)改進(jìn)其產(chǎn)品的安全��,保障廣大用戶的網(wǎng)絡(luò)安全�����。而針對安全力量薄弱的中小型企業(yè)�,騰訊安全聯(lián)合實驗室也主動開放技術(shù)、數(shù)據(jù)和能力����,聯(lián)動產(chǎn)業(yè)鏈各方共筑網(wǎng)絡(luò)安全生態(tài)。
然而網(wǎng)絡(luò)安全環(huán)境的建立僅僅依靠產(chǎn)業(yè)鏈的維護(hù)很難做到面面俱到�,加強(qiáng)用戶和企業(yè)的安全意識,提升其安全防范能力���,也是其中不可或缺的一環(huán)�。事實上�����,《燒腦24小時》正是承擔(dān)著普及安全知識的重要職責(zé)�����。圍繞網(wǎng)絡(luò)安全團(tuán)隊與詐騙、黑客等犯罪分子之間的科技戰(zhàn)�����、技術(shù)戰(zhàn)的劇情����,以電影藝術(shù)的形式巧妙地展現(xiàn)常見的作案手段和高端的反黑技術(shù),對用戶和企業(yè)來說無疑是一種更易理解和接受的方式�����。
文章內(nèi)容僅供閱讀����,不構(gòu)成投資建議,請謹(jǐn)慎對待�����。投資者據(jù)此操作�����,風(fēng)險自擔(dān)。
京公網(wǎng)安備 11010502041587號