Black Hat USA 2021是該知名網(wǎng)絡(luò)安全盛會(huì)的第24年，會(huì)議以獨(dú)特的線上和線下結(jié)合的體驗(yàn)方式開(kāi)展。為期四天的在線實(shí)時(shí)虛擬培訓(xùn)（7月31日至8月3 日），所有講師都可以在每個(gè)課程中進(jìn)行連線。兩天的主題會(huì)議（8月4日至5日）以簡(jiǎn)報(bào)會(huì)、兵工廠（Arsenal）、業(yè)務(wù)廳等為特色，在拉斯維加斯提供虛擬（在線）活動(dòng)和現(xiàn)場(chǎng)面對(duì)面活動(dòng)。本年度的美國(guó)黑帽網(wǎng)絡(luò)安全大會(huì)上，從現(xiàn)場(chǎng)與會(huì)者的發(fā)言和來(lái)自全球安全研究人員的線上交流內(nèi)容來(lái)看，移動(dòng)平臺(tái)和開(kāi)源軟件成為了最受關(guān)注的關(guān)鍵網(wǎng)絡(luò)安全問(wèn)題。其次，DNS即服務(wù)正在為企業(yè)網(wǎng)絡(luò)開(kāi)辟一條開(kāi)放的高速路，GPT-3的高級(jí)文本功將受到虛假消息攻擊的青睞，最后是攻擊者也有勒索軟件的困擾。

　　黑帽（Black Hat）創(chuàng)始人杰夫·莫斯（Jeff Moss）在開(kāi)幕式的主旨演講中總結(jié)了網(wǎng)絡(luò)安全界的普遍感受。網(wǎng)絡(luò)安全界經(jīng)受住了勒索軟件攻擊的爆炸、重大供應(yīng)鏈攻擊，以及俄羅斯、中國(guó)、朝鮮和伊朗發(fā)展成為嚴(yán)重的民族國(guó)家黑客行動(dòng)的考驗(yàn)。

　　莫斯說(shuō)：“我們只是意識(shí)到自己臉上挨了一拳，我們正在想辦法解決這個(gè)問(wèn)題。”“這幾年壓力真的很大。”

　　以下是本屆黑帽大會(huì)議題的五大關(guān)注要點(diǎn)：

　　1. 移動(dòng)平臺(tái)成為惡意行為者的下一個(gè)攻擊重點(diǎn)

　　越來(lái)越多的證據(jù)表明，威脅行為者正將大量資源用于利用移動(dòng)平臺(tái)的漏洞。全球約有60億智能手機(jī)用戶，這是一個(gè)非常有吸引力的機(jī)會(huì)，不容錯(cuò)過(guò)。

　　針對(duì)移動(dòng)設(shè)備的攻擊與“零日漏洞”（zero-day exploit）的增加同時(shí)發(fā)生，這些漏洞在安全領(lǐng)域是未知的，因此沒(méi)有得到修補(bǔ)。

　　“零日”漏洞利用是由市場(chǎng)驅(qū)動(dòng)的，基于供給和需求。去年，“零日”經(jīng)紀(jì)公司Zerodium宣布暫停收購(gòu)蘋果iOS漏洞，因?yàn)樘峤坏穆┒磾?shù)量過(guò)多。去年夏天，一個(gè)iPhone零日漏洞讓網(wǎng)絡(luò)犯罪分子得以侵入36名國(guó)際記者的移動(dòng)設(shè)備。

　　Corellium LLC首席運(yùn)營(yíng)長(zhǎng)、英國(guó)國(guó)家安全局（National Security Administration，簡(jiǎn)稱GCHQ）前分析師馬特？泰特（Matt Tait）做的研究表明，這個(gè)問(wèn)題正變得越來(lái)越嚴(yán)重。

　　泰特告訴與會(huì)者：“針對(duì)移動(dòng)電話設(shè)備的”零日“漏洞正在被急劇利用。”“我們只能看到世界上可能發(fā)生的事情的一小部分。”

　　部分問(wèn)題在于，一些移動(dòng)平臺(tái)的架構(gòu)產(chǎn)生了自己的一系列問(wèn)題。谷歌Zero項(xiàng)目的安全研究員娜塔莉·西爾瓦諾維奇（Natalie Silvanovich）對(duì)手機(jī)短信漏洞進(jìn)行了分析，發(fā)現(xiàn)一個(gè)用戶可以在未經(jīng)對(duì)方同意的情況下打開(kāi)另一個(gè)用戶的攝像頭或音頻。

　　她在FaceTime、Signal、Facebook Messenger、JioChat和Mocha中發(fā)現(xiàn)了各種漏洞，這些漏洞都已被報(bào)告并修復(fù)。

　　西爾瓦諾維奇說(shuō)：“在未經(jīng)用戶同意的情況下打開(kāi)別人的相機(jī)，拍一些照片，這是相當(dāng)令人擔(dān)憂的。”

　　2. 開(kāi)源社區(qū)需要更加關(guān)注安全

　　就其本質(zhì)而言，開(kāi)源模型并不是用來(lái)生成完全安全的代碼的。當(dāng)您擁有來(lái)自世界各地的數(shù)百萬(wàn)貢獻(xiàn)者、重要軟件工具的免費(fèi)可用資源以及不斷變化的維護(hù)人員時(shí)，安全性很容易被忽略。

　　問(wèn)題是，威脅行為者也知道這一點(diǎn)，他們正在趁機(jī)牟利。2017年的Equifax黑客事件暴露了1.47億人的個(gè)人信息，原因是該事件利用了Apache Struts的一個(gè)未修補(bǔ)的開(kāi)源版本的漏洞。

　　威脅涉及到開(kāi)發(fā)人員使用的工具以及它們的存儲(chǔ)位置。去年12月有報(bào)道稱，兩個(gè)惡意軟件包被發(fā)布到NPM （JavaScript開(kāi)發(fā)者用來(lái)共享代碼塊的代碼庫(kù)）。此外，GitGuardian的一項(xiàng)分析發(fā)現(xiàn)，僅在2020年，就有200萬(wàn)個(gè)“秘密”口令和身份憑證存儲(chǔ)在公共Git存儲(chǔ)庫(kù)中。

　　NCC Group高級(jí)副總裁兼全球研究主管Jennifer Fernick表示：“情況并沒(méi)有好轉(zhuǎn)，此外，應(yīng)用程序的復(fù)雜性也在增加。”“開(kāi)源軟件中報(bào)告的漏洞數(shù)量每年都在增長(zhǎng)。如果沒(méi)有認(rèn)真和協(xié)調(diào)的干預(yù)，我認(rèn)為情況會(huì)變得更糟。”

　　3.DNS即服務(wù)正在為企業(yè)網(wǎng)絡(luò)開(kāi)辟一條開(kāi)放的高速路

　　域名系統(tǒng)（DNS）的漏洞早已為人所知，但一組安全研究人員最近進(jìn)行了一項(xiàng)簡(jiǎn)單的實(shí)驗(yàn)，發(fā)現(xiàn)了更加令人不安的結(jié)果。

　　DNS是開(kāi)放互聯(lián)網(wǎng)背后的一項(xiàng)基礎(chǔ)技術(shù)，它有助于IP網(wǎng)絡(luò)上計(jì)算機(jī)之間的通信。DNS服務(wù)已經(jīng)在各種云提供商中擴(kuò)展，它們提供DNSaaS（ DNS-as-a-Service）作為托管企業(yè)網(wǎng)絡(luò)解決方案。

　　Wiz安全研究人員Shir Tamari和Ami Luttwak發(fā)現(xiàn)了這個(gè)問(wèn)題。注冊(cè)一個(gè)域名，然后使用它劫持一個(gè)DNSaaS提供商的域名服務(wù)器，允許用戶竊聽(tīng)動(dòng)態(tài)DNS流量。研究人員利用一臺(tái)被劫持的服務(wù)器，竊聽(tīng)了15000個(gè)組織的DNS流量。

　　Tamari和Luttwak表示，六家主要DNSaaS提供商中的兩家已經(jīng)修復(fù)了這些缺陷。

　　“DNS是互聯(lián)網(wǎng)的命脈，也是最重要的服務(wù)之一，”Luttwak說(shuō)。“一個(gè)簡(jiǎn)單的域名注冊(cè)讓我們?cè)L問(wèn)了數(shù)千家公司和數(shù)百萬(wàn)臺(tái)設(shè)備。當(dāng)我們深入挖掘時(shí)，我們發(fā)現(xiàn)這些受影響機(jī)構(gòu)來(lái)自財(cái)富500強(qiáng)公司和100多家政府機(jī)構(gòu)。”

　　4. GPT-3的高級(jí)文本功能讓虛假消息攻擊者垂涎三尺

　　作為OpenAI內(nèi)部的一個(gè)高級(jí)項(xiàng)目，GPT-3生成類人文本的能力是強(qiáng)大的，令人信服的，據(jù)喬治城大學(xué)的兩名安全研究人員稱，它可能非常危險(xiǎn)。

　　備注：生成式預(yù)訓(xùn)練變換3（GPT-3，Generative Pre-trained Transformer 3）是一種自回歸語(yǔ)言模型，使用深度學(xué)習(xí)來(lái)生成類人文本。這是位于美國(guó)舊金山的人工智能研究實(shí)驗(yàn)室OpenAI開(kāi)發(fā)的GPT-n系列中的第三代語(yǔ)言預(yù)測(cè)模型。

　　人工智能文本生成器是迄今為止最大的神經(jīng)網(wǎng)絡(luò)，它可以在給定文本提示或句子的情況下返回完全可以理解的寫作段落。GPT-3還可以生成可用的計(jì)算機(jī)代碼，甚至還寫了一篇關(guān)于它自己的內(nèi)容豐富的博客文章。會(huì)出什么問(wèn)題呢？

　　OpenAI為喬治城大學(xué)安全與新興技術(shù)中心的研究分析師德魯·羅恩（Drew Lohn）和邁卡·馬瑟（Micah Musser）提供了自動(dòng)化語(yǔ)言工具。他們有六個(gè)月的時(shí)間來(lái)研究它會(huì)造成什么樣的損害。

　　利用不同的對(duì)照組，研究人員測(cè)試了多個(gè)關(guān)于政治或社會(huì)問(wèn)題的樣本，看看讀者是否能區(qū)分出人類和機(jī)器寫的東西的區(qū)別。當(dāng)GPT-3被要求將美聯(lián)社（Associated Press）的兩篇合法新聞報(bào)道改寫成支持唐納德·特朗普（donald Trump）或反對(duì)前總統(tǒng)的文章時(shí)，一個(gè)專家小組無(wú)法分辨出其中的區(qū)別。

　　研究人員指出，GPT-3尤其擅長(zhǎng)在極少的指令下生成推文，它的速度和準(zhǔn)確性使得從一個(gè)社交媒體賬戶傳播大量信息成為可能。

　　“我不確定這些后果是否得到了應(yīng)有的充分考慮，”羅恩說(shuō)。“這些技術(shù)有很多潛在的好處。我們需要討論這類決定。”

　　5. 黑客也有勒索軟件攻擊的問(wèn)題

　　隨著時(shí)間的推移，網(wǎng)絡(luò)安全界開(kāi)始更清楚地了解國(guó)家黑客使用的方法和操作方法，以及他們的問(wèn)題。

　　IBM公司（IBM Corp.）X-Force的安全研究人員一直在分析“IBM威脅18組織” （Threat Group 18）的漏洞利用，該集團(tuán)在網(wǎng)絡(luò)安全領(lǐng)域與伊朗的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)組織Charming Kitten存在重疊。與其他國(guó)家的黑客行動(dòng)不同，ITG18在讓自己的工作遠(yuǎn)離公眾視線方面非常松懈，而且似乎并不特別擔(dān)心這一點(diǎn)。

　　該組織一直在對(duì)制藥公司、記者和伊朗持不同政見(jiàn)者進(jìn)行網(wǎng)絡(luò)釣魚攻擊。去年5月，IBM研究人員發(fā)現(xiàn)了該組織發(fā)布的一系列培訓(xùn)視頻。除了提供如何測(cè)試訪問(wèn)權(quán)限和從被入侵賬戶中竊取數(shù)據(jù)的指南，這些視頻還暴露了與組織成員伊朗電話號(hào)碼有關(guān)的網(wǎng)站信息。這些材料顯示，黑客在解決驗(yàn)證碼時(shí)遇到了問(wèn)題，就像我們中的許多人一樣，并提供了證據(jù)，表明由于安全性差，他們自己也是勒索軟件攻擊的受害者。

　　“在過(guò)去的18個(gè)月里，我們繼續(xù)看到這個(gè)群體的錯(cuò)誤，”IBM Security X-Force分析師艾莉森·威科夫（Allison Wickoff）說(shuō)。“我們認(rèn)為，如果能改變規(guī)則的話，讓我們正在對(duì)付的對(duì)手變得更人性化，會(huì)很棒。”