E安全8月8日文 每一年，全球顶级安全从业者及观察人士们皆会聚集在拉斯维加斯的黑帽与DEF CON大会上，共同分享最新信息安全研究、漏洞发现以及黑客技术成果。由于研究人员们的发现往往远超网络犯罪分子，因此相关简报能够对下一代威胁趋势及攻击手段作出预测。了解这些趋势将有助于安全人员制定并调整自身防御思路及策略，从而提前防范未来可能出现的各类恶意攻击的侵扰。

遗憾的是，信息安全行业之外的人士鲜有机会参加黑帽、DEF CON这类会议，会上这些重要资讯往往只能在有限的范围内传播。E安全在本文中只对会议内容做简要阐述，通过总结两轮大会中出现的三项综合性主题，望能够给读者带来一些有用的经验。

黑帽与DEF CON大会皆由杰夫·莫斯（Jeff Moss）所创立。DEF CON大会创立于1993年，1997年黑帽大会诞生，二者皆属于美国历史最为悠久的信息安全会议。莫斯建立的DEF CON大会主要面向黑客人士与安全研究领域。

相较于黑帽大会，DEF CON可能更符合大家对于“黑客活动”的基本定义。尽管与会者并非全部属于“黑帽”黑客，但他们仍然通过研究工作打破或者入侵各类技术系统，因此DEF CON主要着眼点于进攻而非防御。

以此为基础，安全社区可以更为放松地参与其中，享受过程并与志同道合的其他从业者建立联系。与传统的商务会议不同，DEF CON在气氛上更类似于狂欢派对，其有解锁竞赛与加密挑战赛等。这个会议有趣的地方就在于，DEF CON并不反对与会者之间进行相互入侵或者其它技术性恶作剧，因此参加会议的各方首先应该做好自我保护工作。

与名称不相符的是，黑帽大会反而更多面向业务层面。莫斯希望借此为来自大型企业的普通员工及信息安全团队提供教育资源。

尽管不少演讲者会同时参加这两大会议，但黑帽大会中的简报往往更加侧重于防御策略，或者至少以此为出发点。如果您参加过其它行业专项会议，一定会对黑帽大会的议程感到非常熟悉。

黑帽与DEF CON这两项会议活动于同一周内进行，因此很多人会全部参加并选择了解其中更具针对性价值的内容。

黑帽与DEF CON 2017大会上的三大安全主题

物联网技术的安全风险已经成为本届DEF CON与黑帽大会的核心议题。研究人员们就物联网安全问题或者相关硬件及软件黑客技术展开热烈讨论。

黑帽大会：

包会上两位中国研究人员讨论了EvilSploit（一款通用型硬件黑客工具包）。在物联网研究人员进行硬件分析时，其初步任务之一无疑是导出闪存或者固件中的信息。物联网设备通常可能在其PCB上提供用于调试或者初始刷机的UART七JTAG接口。硬件黑客一般情况下会投入大量时间手动找出未经标记的接口，旨在了解其引脚设计方式以及通信协议。

EvioSploit研究人员展示出一种能够自动枚举联网设备引脚的装置与软件，这意味着对物联网目标的初始硬件检查工作将变得更加轻松。

在黑帽大会的另一项主题演讲《楼宇自动化安全》当中，主讲人阐述了智能建筑同所使用的架构以及行业特定协议，同时探讨攻击者如何入侵这些系统。总而言之，一旦您掌握了这些协议并得以接入网络，那么攻击楼宇自动化系统将会相当轻松。演讲者指出，使用像Shodan这类公开扫描工具就会发现不少暴露在互联网上的楼宇自动化系统。

DEF CON大会：

DEF CON大会同样带来不少物联网相关讨论内容，其中包括部分研究人员在多种物联网设备中发现的数十项安全漏洞的相关细节。

在题为《你的就是我们的》的对话环节中，来自Exploitee.rs网站的黑客们在超过20种不同物联网设备当中利用零日漏洞实施入侵，涉及网络摄像头乃至网络连接存储（简称NAS）设备等等。他们在研究当中发现，单是西部数据的MyCloud NAS设备当中就存在80多项漏洞。在披露这些安全漏洞之后，主讲人们还现场分发了大量免费定制PCB以帮助与会者们了解如何通过eMMC芯片接管物联网固件。

来自Bastille Networks公司的研究人员们则将着眼点放在互联网服务供应商提供的路由器及电视盒身上。在题为《线缆入侵：以无线方式突破家庭网络》的演讲中，三位黑客阐述了Comcast Xfinity家庭网络设备当中存在的数十项安全漏洞。这些漏洞在组合之后可能允许远程攻击者完全接管家庭网络中的各类关键设备。

然而这还只是黑帽与DEF CON大会上物联网相关演讲中的很小一部分。由此，我们也可以看到物联网技术已经明确步入主流视野。首先，大多数物联网设备在配置与设置方面仍存在不少安全隐患；其次，研究人员与犯罪分子都已经瞄准物联网，因此大家需要想办法保护好自己的这些小装置。

物联网安全保障相关的两项小提示：

划分物联网网络：

将其与互联网以及关键性服务器隔离开来。您需要为各物联网设备的管理界面提供防火墙保护。目前，相当一部分物联网装置可在公开互联网上直接找到，这也是Mirai等攻击活动造成巨大危害的前提条件之一。这里建议大家利用防火墙将物联网设备从关键性内部服务体系当中划分出来。通过这种方式，即使您的物联网设备遭到劫持，服务器仍然不会受到风险影响。

定期更新固件：

虽然物联网设备本身属于硬件，但其中仍然运行有软件。在研究人员们通过安全大会披露相关漏洞信息时，制造商通过会发布固件更新以进行修复（Comcast公司就在DEF CON大会披露相关缺陷后发布了一系列修复补丁）。总之，请尽可能确保及时更新您的物联网固件。

身为技术行业的一分子，大家应该听说过机器学习、深度学习以及人工智能等概念。除了图像内容分类以及自动车辆驾驶等领域，这些技术成果亦开始被安全行业用于改善恶意软件与攻击检测效果。

着眼于2017年，相信会有越来越多的攻击者利用机器学习技术改进自身攻击手段。虽然我们目前还没有发现任何实证，但在上周的大会上，已经有多位演讲者谈到如何利用机器学习技术加持攻击与防御活动。

举例来说，在题为《机器人对机器人：利用机器学习逃避恶意软件检测》的黑帽演讲当中，主讲者讨论了攻击者如何利用机器学习技术确定其它机器学习类恶意软件检测机制所采用的判断标准。在此基础上黑客即可开发出能够规避此类检测的恶意软件。

在《机器学习发来邮件》演讲中 ，主讲者则讨论了垃圾邮件发送者可以如何通过机器学习改进其网络钓鱼邮件质量，从而提高钓鱼活动的成功机率。

DEF CON大会上，研究人员们分享了机器学习武器化趋势中的种种可能（无论如何，我们都没办法太相信人性）。他们介绍了一款名为DeepHack的工具，这套开源AI方案能够攻击Web应用程序。除此之外，机器学习在很多其它演讲当中也被作为一大根本性影响因素。很明显，研究人员与攻击者双方都在利用机器学习/人工智能方案加速并改进自己的项目开发工作。

虽然还没有找到相关证据，但机器学习技术的普及无疑将成为一大安全难题，且很难相信攻击一方会对此坐视不理。而且除非同样运用机器学习技术，否则我们几乎没有其它有效方法可以防御这些利用机器学习机制实现攻击手段与恶意软件的改进。

最后，黑帽与DEF CON大会上皆出现了不少探讨当前国家或者地缘政治类黑客活动的主题演讲，其中具体包括相关国家政府囤积零日漏洞、民族国家攻击工业控制系统（简称ICS）的相关研究以及竞争对手如何利用伪造消息进行误导性宣传。

DEF CON大会甚至组织起投票村竞赛活动，参赛者们可以在这里尝试入侵美国总统大选中真实使用过的投票设备。在90分钟之内，与会者们在这些安全水平低下的设备中成功发现了多项安全缺陷。其中部分缺陷允许攻击者替换设备固件甚至以无线方式进行入侵。
也就是说，政府在网络战与间谍活动当中的作用已经成为黑帽及DEF CON大会上的重要议题之一。而考虑到目前的各类地缘政治事件，这样的判断也明显有其理由。更可怕的是，这是个几乎无法解决的难题。

国家政府在网络战与间谍活动当中的作用已经成为黑帽及DEF CON大会上的重要议题之一。而考虑到目前的各类地缘政治事件，这样的判断也明显有其理由。

国家黑客活动：接受与容忍的度

那么在国家支持型黑客活动当中，是否有一些可以接受、而有一些绝不能容忍？

一个政府到底是应该主动发现并隐藏软件漏洞，还是帮助相关开发商将其解决？对于选民的操纵或者窥探是否应被视为战争宣言？目前，政府或者社会还没有为这些问题找到共识性的答案，今后无疑有必要对此认真思考。也许公众的声音与态度会给最终结论带来重要的启示与影响。

本文中提到的无疑只是黑帽与DEF CON大会中的很小一部分内容。亲身参加这些会议，将能更有效了解当前及未来可能出现的攻击趋势，并提早为此作好准备。