想象一下,信息技术的光明前景已经到来。 用于开发安全代码的已开发和普遍实施的技术。 最常用的软件极难破解,并且没有意义:最有趣的数据通常存储在单独的,完全隔离的软件和硬件“安全”中。 通过对路由器进行严格的管理员访问,通过选择简单的密码来破解某人的邮件是不可行的:开发实践和高质量的审核将这种“简单”漏洞的可能性降低到几乎零。
这种(不太可能)的情况会结束网络攻击吗? 它们不太可能会变得更昂贵。 当前急需一种非平凡的黑客方法(有多种方法可以更轻松地获取所需的信息)。 同一“幽灵”是一组漏洞,对于真正
有用的危害非常难以使用。 但是,如果别无选择,那么这样的方法将行得通。 今天,有两个最近的非平凡攻击示例:硬盘的DoS攻击和通过CSS从Facebook盗窃图片。
声音和超声波攻击可以禁用硬盘驱动器和“挂起”软件
新闻 。
研究 。
来自中国浙江大学和密歇根大学的研究人员展示了如何使用声音和超声信号禁用计算机。 造成这种情况的原因是普通硬盘驱动器不仅耐受冲击,而且耐受各种振动(包括声音信号)的能力也很差。 研究的图片清楚地说明了所有内容:
上面是硬盘驱动器的正常运行情况,在中间,我们开始以中等音量的声音“照射”,数据传输速度下降。 下图:硬盘严重故障。 一切都会好起来的,但是“可靠”的DoS攻击(在下面的图上)以117 dB SPL的音量实现,同时传输了5千赫兹的正弦波。 这是
非常响亮的攻击。 但这是可以解决的:我们设法达到了类似的结果,但是已经在2.5英寸笔记本电脑硬盘上,以31.5千赫兹的频率发送超声波信号。
该研究的作者在第39届IEEE安全和隐私研讨会上的演讲该研究提供了一个攻击笔记本电脑的示例,被攻击设备的动态成为攻击的源头:
对特殊形式的声音信号发出
啸叫声的 45秒,并获得了蓝屏。 我不确定这是否是现实的情况:您走的越远,找到具有传统HDD而不是固态硬盘的设备就越困难。 但是,对视频监控系统进行攻击的场景是非常现实的:很长时间将使用大容量硬盘。 在对真正的监视系统进行12秒的攻击后,研究人员在记录上取得了短暂的突破。 持续105秒的攻击会完全禁用系统,直到下次重新启动为止。 一般而言,我想象未来会有一群精通网络的抢劫犯:吸盘沿着昂贵的办公大楼的墙壁移动,一些炸药和一根柱子向摄像机大吼,直到它们完全无法使用。
通过CSS实施中的错误盗窃用户的个人数据
新闻 。
研究 。
Google的安全专家研究员Ruslan Khabalov与独立专家Dario Weisser一起,发现了在Chrome浏览器(自版本63开始修复)和Firefox(自版本60开始修复)中实施CSS的有趣错误。 研究人员的注意力被吸引到混合混合模式方法,该方法允许一个人更自然地将一个元素“适配”到另一个元素上,例如,将一个Facebook小部件放置在网站背景上。 漏洞在于,渲染新元素所需的时间取决于源的颜色。 换句话说,潜在的攻击者有机会获取数据,从理论上讲,应禁止访问这些数据。 概念验证显示了如何根据此类间接数据来“窃取”同时登录Facebook并访问“准备页面”的用户的姓名和照片:
如此有效,让我们这样说,很好,非常慢(我们必须考虑到这是PoC,并且作者对优化算法没有兴趣)。 在20秒内从FB小部件中窃取用户名。 渲染相当肥皂的用户花了整整5分钟的时间。 好吧,好吧,这里使用的是通过信息泄漏的非平凡数据通道这一事实很有趣。 对于此漏洞,一切似乎都很好:找到并迅速关闭,并且几乎没有人会考虑在实践中使用它。 问题是,有多少“漏洞”可以泄漏重要信息,而我们仍然不知道这些漏洞? 甚至与将来的某天都不会涉及到这样的复杂攻击的实际应用-来自绝望的事实无关。 关键是,现在可以以完全避开所有保护方法的方式来实施它们-因为没有人期望从后方来袭。 这就是为什么在硬件和软件上
通过这样一个简单的攻击方法引起
人们特别关注的原因。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。