10 cơn ác mộng bảo mật được tiết lộ tại hội nghị Black Hat và Def Con

USB
10 cơn ác mộng bảo mật được tiết lộ tại hội nghị Black Hat và Def Con

Hãy bắt đầu với tiết lộ đầu tiên gây sửng sốt. Các nhà nghiên cứu từ Phòng nghiên cứu Bảo mật cho hay có một cuộc tấn công vào firmware của ổ đĩa thay vì các tập tin trên ổ đĩa. Theo đó, ổ đĩa bị nhiễm virus khi được chèn vào máy tính sẽ giả mạo là một bàn phím để tải phần mềm độc hại. Do phần lớn các nhà làm ổ đĩa không bảo vệ firmware của họ và phần mềm diệt malware không thể quét firmware nên cuộc tấn công này khó được tìm thấy và ngăn chặn malware tấn công vào PC và bất kì ổ đĩa nào mà bạn kết nối với PC đó. Nhưng may mắn, cuộc tấn công loại này chưa được phát hiện trên thế giới.

Máy bay

Còn có một cuộc tấn công loại khác có thể gây hậu quả nhiều hơn. Ruben Santamarta, một nhà nghiên cứu tại IO interactive tuyên bố rằng ông đã phát hiện ra một lỗ hổng cho phép ông hack hoạt động liên lạc vệ tinh của các máy bay thông qua hệ thống Wi-fi và giải trí, mở cửa cho các tin tặc can thiệp vào hệ thống an toàn và định vị của một máy bay.
Dropcam

Patrick Wardle và Colby Moore của Synack đã tháo các bộ phận trong một chiếc camera an ninh trị giá 200 USD để tìm hiểu cách thức mà nó hoạt động. Họ đã phát hiện ra vô số lỗ hổng cho phép tin tặc xem video được lưu trữ trong một chiếc Dropcam bị hack hay tải lên các video bên thứ ba. Phát biểu với PCWorld, Wardle nói rằng “Điều này cho phép tin tặc chiếm đường truyền video.” Tuy nhiên, trở ngại của cuộc tấn công này là tin tặc cần phải tiếp cận trực tiếp Dropcam của bạn.

Mạng lưới Tor

Từ các xác nhận của Edward Snowden, mạng lưới Tor dường như đã sáng tỏ trong năm qua. Tor cho phép bạn giấu tên khi bạn duyệt web bằng cách thay đổi truy cập của bạn từ nút điều khiển này sang nút điều khiển khác trước khi bạn đến địch. Tuy nhiên nhà nghiên cứu Alexander Volynkin của Carnegie Mellon nói rằng có thể phá vỡ tính năng ẩn danh của mạng lưới Tor.

Symantec Endpoint không được bảo vệ

Mati Aharoni, nhà phát triển của Offensive Security đã tìm thấy bộ ba lỗ hổng Endpoint Protection của Symantec có thể cho phép tin tặc lấy quyền truy cập cấp cao với máy tính của người bị hại. Nói khác khác, các tin tặc có thể xâm nhập máy tính thông qua chính phần mềm bảo mật của chính bạn.

Router

Thực tế, thiết bị mạng ở nhà của bạn có thể là nguồn gốc cho sự sụp đổ an ninh. Trong suốt hội nghị Black Hat, nhân viên anh ninh thông tin chính của In-Q-Tel Dan Geer nói rằng router là một trong những mục tiêu dễ dàng nhất cho các tin tặc. Chúng dễ dàng tìm thấy các bản quét trực tuyến, chúng thường xuyên lấy thông tin đăng nhập mặc định trong khi phần lớn chúng ta chưa từng nghĩ đến việc cập nhật router lên firmware mới nhất.

Thiết bị lưu trữ mạng

Thiết bị lưu trữ mạng thậm chí còn có nhiều lỗ hổng hơn router. Theo Jacob Holcomb, một chuyên gia phân tích an ninh của Independent Security Evaluators đã dẫn đầu một nghiên cứu lỗ hổng router năm 2013 và ông tập trung vào hộp thiết bị lưu trữ mạng trong bài phát biểu tại hội nghị Black Hat năm nay.

Theo ông, ít nhất 50% thiết bị lưu trữ mạng có thể bị khai thác mà không cần xác thực. Bằng cách xâm nhập một thiết bị lưu trữ mạng, kẻ tấn công có thể chiếm quyền kiểm soát các thiết bị khác trong cùng một mạng sử dụng các kĩ thuật như giả mạo ARP.

Internet of Things (IoT)

Các lỗ hổng của Internet of Things (IoT) chắc chắn là chủ đề nóng giữa các hacker tuần này. Tuy nhiên sự an toàn của các vật dụng hằng ngày với kết nối không dây được tích hợp mở rộng ra ngoài các gián điệp Dropcam. Theo nhà phân tích Silvio Cesare, chúng ta có thể tạo ra một công cụ được làm từ các bộ phận giá rẻ có khả năng đánh bại hệ thống không cần khóa của xe ô tô.

Phát biểu với Wired, Cesare nói rằng 'Tôi có thể sử dụng cái này để khóa, mở khóa, mở cốp xe.” Ông đã thử kỹ thuật này với chiếc xe 10 tuổi tuy nhiên nó đòi hỏi kẻ tấn công đến hai giờ đồng hồ.

Khách sạn

Một lỗ hổng Internet of Things (IoT) khác cũng được nhà tư vấn an ninh Jesus Molina tại Black Hat phát hiện ra. Cụ thể, trong khi ở khách sạn 5 sao St. Regis Shenzhen tại Trung Quốc, Molina đã phát hiện ra cách đảo ngược lại ứng dụng iPad “Digital Butler” được cung cấp cho khách nhờ một lỗ hổng của ứng dụng. Vì tò mò, ông đã kích hoạt chế độ đèn ở hàng lang. Tuy nhiên, lỗ hổng này có thể được sử dụng để điều khiển đèn, TV, nhiệt độ, hay âm nhạc.

Cuộc tấn công của tin tặc Nga


Tin tức bảo mật nóng nhất trong tuần này không đến từ Las Vegas mà đến từ châu Á, nơi mà các tin tặc Nga đã tích lữu được một cơ sở dữ liệu khổng lồ đến 1,2 tỷ tên người dùng/mật khẩu cùng với 500 triệu địa chỉ email.

TIN LIÊN QUAN

Hệ thống bảo mật Mac OS chậm Microsoft 10 năm

Malware Flashback/ Flashfake bùng nổ trên máy Mac của Apple gần đây dường như chỉ là khởi đầu cho một làn sóng tấn công mới nhắm đến hệ thống, theo nhà sáng lập và CEO của hãng bảo mật Kaspersky, Eugene Kaspersky.

20.000 website nhiễm malware

Google cảnh báo tin tặc đã cài malware vào khoảng 20.000 website, và tấn công, xâm nhập nhiều máy chủ.

97% mã độc nhắm vào điện thoại Android trong năm ngoái

Android đã trở thành mục tiêu lớn nhất của các cuộc tấn công phần mềm độc hại di động.

Windows 8 đã bị hacker hạ gục

Tuần trước, Windows 8 ra mắt không chỉ là một sự kiện lớn của Microsoft mà còn là ngày đầy thử thách đối với các hacker do chính phủ tài trợ.

Cần hay không việc sử dụng phần mềm diệt Virus?

Ngày nay, mạng Internet đã trở thành một phần không thể thiếu trong cuộc sống của con người và một máy tính có kết nối mạng toàn cầu đều có nguy cơ rất cao nhiễm các loại virus và mã độc. Đã có nhiều tranh cãi về việc...

Apple phát hành công cụ gỡ bỏ Flashback

Apple vừa phát hành công cụ mới để loại bỏ Flashback, phần mềm giả mạo dùng để ăn cắp thông tin người dùng.

Microsoft vá lỗi 'zero-day' nghiêm trọng trên Windows

Microsoft đã tung ra 6 bản cập nhật bảo mật để vá 11 lỗ hổng trong Windows, Internet Explorer (IE), Office và một vài sản phẩm khác trong đó có một lỗi đã bị hacker khai thác

50 nghìn trang web bị hack qua lỗ hổng trong plugin MailPoet

Một lỗ hổng nghiêm trọng được phát hiện gần đây trong plugin MailPoet của Wordpress đã khiến 50 nghìn website bị tin tặc tấn công và chiếm quyền điều khiển.

THỦ THUẬT HAY

Trọn bộ Full key active office 2016 bản quyền mới nhất 2023 [ hoạt động 24/7]

Bạn đang muốn tìm kiếm bộ key active office 2016 nhưng không tìm kiếm được nguồn đáng tin cậy. Mua bản chính thức từ Microsoft hoặc các đại lý phối thì giá rất cao. Nếu không chia sẻ với nhiều người thì rất lãng phí.

Hỏi và đáp 360 độ tổng hợp về 4G Viettel

Thời gian gần đây, 4G Viettel trở thành một từ khóa nóng nhất với người dùng yêu thích công nghệ trên toàn quốc. Khắp các tỉnh thành, khách hàng của Viettel nô nức đi đổi sang sim 4G. Vậy đâu là lý do khiến khách hàng

+ 99 ý tưởng trang trí nhà ngày Tết sang trọng, độc đáo nhất năm 2023

Bên cạnh việc chuẩn bị đồ ăn thức uống ngày Tết thì trang trí nhà ngày Tết cũng là một phần không thể thiếu. Chỉ cần một vài thao tác trang trí nhà đơn giản sẽ giúp không gian nhà bạn ngập tràn không khí Tết, đón một

Cách đóng bảo hiểm y tế online nhanh chóng, tiện lợi

Hiện tại, đã có khá nhiều cách cách đóng bảo hiểm y tế online tại nhà vừa tiết kiệm thời gian, vừa tránh tiếp xúc với nhiều người.

[Mac] Dùng Vox để nghe Youtube

Vox là phần mềm miễn phí trên App Store. Mình vẫn dùng nó để nghe FLAC và các chuẩn âm thanh mà iTune không hỗ trợ. Mình cũng thường xuyên nghe nhạc trên Youtube. Hồi xưa chưa biết...

ĐÁNH GIÁ NHANH

Trên tay máy bơm lốp "dạo" tích hợp nguồn dự phòng Campbell Hausfeld CC2300

Điểm đặc biệt về chiếc máy bơm lốp di động Campbell Hausfeld CC2300 này là nó có tích hợp một bộ pin 12V, 7Ah để giúp nó có thể hoạt động một cách độc lập, thay vì phải đi dây loằn ngoằn để lấy nguồn từ lỗ mồi thuốc

Đánh giá chi tiết Xiaomi Mi 5s: máy đẹp, hiệu năng mạnh, pin tốt

Xiaomi Mi 5s có vẻ như đang bị rơi vào lãng quên, nhưng thực sự thì đây vẫn là chiếc điện thoại được đánh giá rất nên mua vào thời điểm này

Đánh giá chi tiết Volkswagen Tiguan Allspace: Xứng với giá 1,729 tỉ đồng

Volkswagen Việt Nam chọn phân phối duy nhất bản 7 chỗ VW Tiguan Allspace giá 1,729 tỉ đồng nhằm phát huy những lợi thế 'độc tôn' mà các đối thủ khác không có được.