E安全7月30日讯 根据本届黑帽大会上的演讲者与与会者们所指出，自1997年首届黑帽大会召开以来，这二十年间安全漏洞的发现成本开始不断下降，但缓解相关风险的成本却在不断上涨且极为复杂，这一切都给现实世界带来了极为深远的影响。

在拉斯维加斯曼德勒湾进行的大会首日议程不仅涉及一系列新兴技术，同时亦探讨了人类安全因素。Facebook公司首席安全官亚历克斯·斯达莫斯（Alex Stamos）在星期三上午的主题演讲中将视角转移至黑客身上，敦促他们反思自身行为并呼吁对用户抱有同情心理。

以下为黑帽大会首日内各主题演讲及其亮点解读。

Facebook公司首席安全官亚历克斯·斯达莫斯在本周三的黑帽大会上呼吁与会者们，包括安全从业人员、供应商、学者等，不要再单纯着眼于发现错误及零日漏洞，而应关注那些不太有趣但却会造成潜在人身伤害的安全问题，例如网络钓鱼与垃圾邮件等。

斯达莫斯曾表示目前的安全社区“还没有真正发挥自身潜力。我们一直在不断完善发现问题的能力，但却忽视了这一切的本质与根源。我们需要认真思考在发现问题之后的具体作法。”他指出，安全界往往倾向于回避真正具有 严重危害的领域，例如滥用行为等。安全业界更乐于惩罚那些在不完美的世界当中实施不完美解决方案的人。 42 22292 42 9344 0 0 6171 0 0:00:03 0:00:01 0:00:02 6167们缺乏同情心，而且没有能力真正保护那些我们需要保护的人。”

【演讲视频】

https://v.qq.com/txp/iframe/player.html?vid=m0530z4azda&width=500&height=375&auto=0

（斯达莫斯的演讲）

斯达莫斯在他的主题演讲以及其它线下讨论当中对这一问题提出了解决办法，并认为最重要的是找到促进网络安全多元化的实现途径。

多数与会者认为，多元化对于确保多种不同思想共同参与并尝试解决未来复杂的安全问题而言至关重要。但在过去几年当中，黑帽大会一直专注于将大量会议与专题小组集中起来，这意味着多元化效果并没有得到显著改善。根据Dark Reading网站执行编辑凯利·杰克逊·希金斯在本周三题为《让多元化成为安全领域中的优先事务》的对话中谈到，此前的多元化工作一直未能得到重视。

此番对话将重点放在各类组织机构应如何招聘多元化人才的实际案例身上，并认为人才多元化应该从招聘信息抓起。杰克逊·希金斯对多项安全职位描述进行了分析，借以说明其为何并不适合寻求多元化的潜在人才。安全业界相关企业与倡导者们正在努力通过实习计划改变这一点，旨在帮助整个行业摆脱此类困境。

安全层面中的人为因素确实有趣且具备话题性，不过作为一场技术性大会，黑帽大会自然也带来大量关于技术的重要议题。

对于安全从业者来说，这样的结论并不陌生，但令外行者们感到惊讶的是，目前实施黑客入侵的成本确实相当低廉。只要拥有相关知识基础，攻击者基本上只需要一枚U盘，或者如之前的一场主题演讲中所提到的“一个价值仅为10美元的SD读卡器”。

“利用非eMMC闪存存储设备从硬件当中进行固件转储无疑是一项艰巨的任务，需要由高水平程序员通过超过15条焊接线（或者昂贵的插槽）实现，且亦需要纳入额外数据以实现转储纠错。然而随着eMMC闪存存储设备的日益普及，如今我们可以将该过程通过5条接线以及低成本SD卡读取/写入器轻松实现。通过这种方式，我们将能够经由SD卡接口直接访问闪存当中的文件系统。”

研究人员们还在本周三的演讲中讨论了3G与4G网络内加密协议中存在的一些新漏洞，黑客能够以低成本方式对其加以利用。

在其它方面，安全专家们亦向与会者们介绍了如何利用家用超声/声音发射系统针对智能手机及无人机等VR产品发动攻击。

DIY项目与无人机看似无足轻重，但其面临的各类攻击活动亦可能造成极为严重的安全后果，特别是在关键信息基础设施层面。

IOActive公司首席安全顾问鲁本·圣塔玛塔在本周三的演讲中讨论了如何入侵核电厂及其它广泛存在的关键信息基础设施内的常见辐射监测设备。塔尔萨大学安全研究员杰森·斯塔格斯则解释了风力发电场控制网络作为可再生能源的主要来源，正面临着怎样的潜在安全威胁。