Black Hat USA 2021是該知名網(wǎng)絡安全盛會的第24年，會議以獨特的線上和線下結合的體驗方式開展。為期四天的在線實時虛擬培訓（7月31日至8月3 日），所有講師都可以在每個課程中進行連線。兩天的主題會議（8月4日至5日）以簡報會、兵工廠（Arsenal）、業(yè)務廳等為特色，在拉斯維加斯提供虛擬（在線）活動和現(xiàn)場面對面活動。本年度的美國黑帽網(wǎng)絡安全大會上，從現(xiàn)場與會者的發(fā)言和來自全球安全研究人員的線上交流內(nèi)容來看，移動平臺和開源軟件成為了最受關注的關鍵網(wǎng)絡安全問題。其次，DNS即服務正在為企業(yè)網(wǎng)絡開辟一條開放的高速路，GPT-3的高級文本功將受到虛假消息攻擊的青睞，最后是攻擊者也有勒索軟件的困擾。

　　黑帽（Black Hat）創(chuàng)始人杰夫·莫斯（Jeff Moss）在開幕式的主旨演講中總結了網(wǎng)絡安全界的普遍感受。網(wǎng)絡安全界經(jīng)受住了勒索軟件攻擊的爆炸、重大供應鏈攻擊，以及俄羅斯、中國、朝鮮和伊朗發(fā)展成為嚴重的民族國家黑客行動的考驗。

　　莫斯說：“我們只是意識到自己臉上挨了一拳，我們正在想辦法解決這個問題?！薄斑@幾年壓力真的很大?！?/p>

　　以下是本屆黑帽大會議題的五大關注要點：

　　1. 移動平臺成為惡意行為者的下一個攻擊重點

　　越來越多的證據(jù)表明，威脅行為者正將大量資源用于利用移動平臺的漏洞。全球約有60億智能手機用戶，這是一個非常有吸引力的機會，不容錯過。

　　針對移動設備的攻擊與“零日漏洞”（zero-day exploit）的增加同時發(fā)生，這些漏洞在安全領域是未知的，因此沒有得到修補。

　　“零日”漏洞利用是由市場驅(qū)動的，基于供給和需求。去年，“零日”經(jīng)紀公司Zerodium宣布暫停收購蘋果iOS漏洞，因為提交的漏洞數(shù)量過多。去年夏天，一個iPhone零日漏洞讓網(wǎng)絡犯罪分子得以侵入36名國際記者的移動設備。

　　Corellium LLC首席運營長、英國國家安全局（National Security Administration，簡稱GCHQ）前分析師馬特？泰特（Matt Tait）做的研究表明，這個問題正變得越來越嚴重。

　　泰特告訴與會者：“針對移動電話設備的”零日“漏洞正在被急劇利用。”“我們只能看到世界上可能發(fā)生的事情的一小部分?！?/p>

　　部分問題在于，一些移動平臺的架構產(chǎn)生了自己的一系列問題。谷歌Zero項目的安全研究員娜塔莉·西爾瓦諾維奇（Natalie Silvanovich）對手機短信漏洞進行了分析，發(fā)現(xiàn)一個用戶可以在未經(jīng)對方同意的情況下打開另一個用戶的攝像頭或音頻。

　　她在FaceTime、Signal、Facebook Messenger、JioChat和Mocha中發(fā)現(xiàn)了各種漏洞，這些漏洞都已被報告并修復。

　　西爾瓦諾維奇說：“在未經(jīng)用戶同意的情況下打開別人的相機，拍一些照片，這是相當令人擔憂的?！?/p>

　　2. 開源社區(qū)需要更加關注安全

　　就其本質(zhì)而言，開源模型并不是用來生成完全安全的代碼的。當您擁有來自世界各地的數(shù)百萬貢獻者、重要軟件工具的免費可用資源以及不斷變化的維護人員時，安全性很容易被忽略。

　　問題是，威脅行為者也知道這一點，他們正在趁機牟利。2017年的Equifax黑客事件暴露了1.47億人的個人信息，原因是該事件利用了Apache Struts的一個未修補的開源版本的漏洞。

　　威脅涉及到開發(fā)人員使用的工具以及它們的存儲位置。去年12月有報道稱，兩個惡意軟件包被發(fā)布到NPM （JavaScript開發(fā)者用來共享代碼塊的代碼庫）。此外，GitGuardian的一項分析發(fā)現(xiàn)，僅在2020年，就有200萬個“秘密”口令和身份憑證存儲在公共Git存儲庫中。

　　NCC Group高級副總裁兼全球研究主管Jennifer Fernick表示：“情況并沒有好轉，此外，應用程序的復雜性也在增加?！薄伴_源軟件中報告的漏洞數(shù)量每年都在增長。如果沒有認真和協(xié)調(diào)的干預，我認為情況會變得更糟?！?/p>

　　3.DNS即服務正在為企業(yè)網(wǎng)絡開辟一條開放的高速路

　　域名系統(tǒng)（DNS）的漏洞早已為人所知，但一組安全研究人員最近進行了一項簡單的實驗，發(fā)現(xiàn)了更加令人不安的結果。

　　DNS是開放互聯(lián)網(wǎng)背后的一項基礎技術，它有助于IP網(wǎng)絡上計算機之間的通信。DNS服務已經(jīng)在各種云提供商中擴展，它們提供DNSaaS（ DNS-as-a-Service）作為托管企業(yè)網(wǎng)絡解決方案。

　　Wiz安全研究人員Shir Tamari和Ami Luttwak發(fā)現(xiàn)了這個問題。注冊一個域名，然后使用它劫持一個DNSaaS提供商的域名服務器，允許用戶竊聽動態(tài)DNS流量。研究人員利用一臺被劫持的服務器，竊聽了15000個組織的DNS流量。

　　Tamari和Luttwak表示，六家主要DNSaaS提供商中的兩家已經(jīng)修復了這些缺陷。

　　“DNS是互聯(lián)網(wǎng)的命脈，也是最重要的服務之一，”Luttwak說?！耙粋€簡單的域名注冊讓我們訪問了數(shù)千家公司和數(shù)百萬臺設備。當我們深入挖掘時，我們發(fā)現(xiàn)這些受影響機構來自財富500強公司和100多家政府機構?！?/p>

　　4. GPT-3的高級文本功能讓虛假消息攻擊者垂涎三尺

　　作為OpenAI內(nèi)部的一個高級項目，GPT-3生成類人文本的能力是強大的，令人信服的，據(jù)喬治城大學的兩名安全研究人員稱，它可能非常危險。

　　備注：生成式預訓練變換3（GPT-3，Generative Pre-trained Transformer 3）是一種自回歸語言模型，使用深度學習來生成類人文本。這是位于美國舊金山的人工智能研究實驗室OpenAI開發(fā)的GPT-n系列中的第三代語言預測模型。

　　人工智能文本生成器是迄今為止最大的神經(jīng)網(wǎng)絡，它可以在給定文本提示或句子的情況下返回完全可以理解的寫作段落。GPT-3還可以生成可用的計算機代碼，甚至還寫了一篇關于它自己的內(nèi)容豐富的博客文章。會出什么問題呢？

　　OpenAI為喬治城大學安全與新興技術中心的研究分析師德魯·羅恩（Drew Lohn）和邁卡·馬瑟（Micah Musser）提供了自動化語言工具。他們有六個月的時間來研究它會造成什么樣的損害。

　　利用不同的對照組，研究人員測試了多個關于政治或社會問題的樣本，看看讀者是否能區(qū)分出人類和機器寫的東西的區(qū)別。當GPT-3被要求將美聯(lián)社（Associated Press）的兩篇合法新聞報道改寫成支持唐納德·特朗普（donald Trump）或反對前總統(tǒng)的文章時，一個專家小組無法分辨出其中的區(qū)別。

　　研究人員指出，GPT-3尤其擅長在極少的指令下生成推文，它的速度和準確性使得從一個社交媒體賬戶傳播大量信息成為可能。

　　“我不確定這些后果是否得到了應有的充分考慮，”羅恩說?！斑@些技術有很多潛在的好處。我們需要討論這類決定。”

　　5. 黑客也有勒索軟件攻擊的問題

　　隨著時間的推移，網(wǎng)絡安全界開始更清楚地了解國家黑客使用的方法和操作方法，以及他們的問題。

　　IBM公司（IBM Corp.）X-Force的安全研究人員一直在分析“IBM威脅18組織” （Threat Group 18）的漏洞利用，該集團在網(wǎng)絡安全領域與伊朗的網(wǎng)絡戰(zhàn)爭組織Charming Kitten存在重疊。與其他國家的黑客行動不同，ITG18在讓自己的工作遠離公眾視線方面非常松懈，而且似乎并不特別擔心這一點。

　　該組織一直在對制藥公司、記者和伊朗持不同政見者進行網(wǎng)絡釣魚攻擊。去年5月，IBM研究人員發(fā)現(xiàn)了該組織發(fā)布的一系列培訓視頻。除了提供如何測試訪問權限和從被入侵賬戶中竊取數(shù)據(jù)的指南，這些視頻還暴露了與組織成員伊朗電話號碼有關的網(wǎng)站信息。這些材料顯示，黑客在解決驗證碼時遇到了問題，就像我們中的許多人一樣，并提供了證據(jù)，表明由于安全性差，他們自己也是勒索軟件攻擊的受害者。

　　“在過去的18個月里，我們繼續(xù)看到這個群體的錯誤，”IBM Security X-Force分析師艾莉森·威科夫（Allison Wickoff）說?！拔覀冋J為，如果能改變規(guī)則的話，讓我們正在對付的對手變得更人性化，會很棒?！?/p>