于旸:还有一个问题,我们知道,在最近美国和法国的大选中,据报道说出现了一些黑客入侵,并且据说这种黑客入侵甚至是影响了大选的结果。
但是我们知道,从国家层面一定是花了很多的资源去保护这些重要的系统,但是仍然会遭到这些成功的网络攻击。您能分享一下对于国家层面,或者更小一些,我们工作场所的网络安全防范相关的观点吗?
凯文·米特尼克:国家一些工作场所的网络安全实际上是一样的。刚才提到了防火墙,比如社会工程的攻击非常有效,特别是有一些公司他们可能并没有很好的网络退出路径。因此,公司内网与互联网外网可能连接起来,导致一些攻击。比如说与服务器连接到一起,这种情况下,可能防火墙就不会有作用了。
对于政府来说,他们可能有一些预算来保护基础设施,我们也和美国的政府机构讨论过,实际上他们也总是会受到攻击。因为在很多情况下,安全行业的人会看到一些恶意代码的问题,还有一些防病毒的软件,但是实际上是很容易绕过的,这是一个真正挑战的问题。
此外,不光是软件,更复杂的网络攻击往往还会来自于硬件。因此也要对设备上的硬件进行测试,这也是一个方向。
随后,凯文·米特尼克现场演示了三段黑客攻击行为。
演示一:攻入银行门禁控制系统
在第一段演示中,重现了攻入银行门禁控制系统的过程,银行大楼使用这种门禁控制系统,进入银行需要使用一张卡,卡内有每位租户的各种ID信息,包括密码等。在大楼内部一个房间到另一个房间也需要用到这种卡,但卫生间一般不用。
进攻的第一步是获取卡内的信息,这需要用到一种设备,他可以复制智能门禁卡的信息,然后将信息拷贝到另一张空卡中。不过这种设备需要距离被拷贝者比较近,因此可以选择咖啡厅、吸烟室、卫生间等场所进行拷贝,并将上述设备用皮包等物体掩饰,找机会靠近目标人物,瞬间便可以复制对方门禁卡信息。
现场,凯文·米特尼克又展示了一台更夸张的设备,可以在三英尺之外就读取卡中的信息。当成功复制到门禁卡里的信息后,将信息克隆到另一张空卡,便完全复制了一张门禁卡,这样就可以自由出入企业了。
演示二:破解MacBook Air笔记本密码
第二段演示紧接着第一段,主要介绍了进入企业之后会怎么攻击,因为一般的电脑都会有密码保护。在这段演示中,他以自己的MacBook Air为例,还原了破解电脑密码的方法。这同样需要用到一款特殊的设备,他可以读取用户目标电脑内存中的信息,从而获取目标电脑的开机密码。
凯文·米特尼克表示,使用这款设备并不能保证每次都能成功,不是十全十美的,有趣的是,在下午的演示中,凯文·米特尼克第一次尝试在锁屏状态下获取自己电脑的开机密码就失败了。他解释称,这可能和自己在演示之前多次排练有关,有时候在演示前没有做重启等。而第二次再次尝试时,则成功了,经过一些简单的操作之后,在大屏幕上显示出了MacBook Air的开机密码:httpseverywhere!!!
演示三:WannaCry勒索病毒!!!
第三段演示是关于此前沸沸扬扬的WannaCry勒索病毒。凯文·米特尼克的演示还原了用户是如何一步步中招的。首先,以中国互联网安全领袖峰会为例,收到了一封邀请邮件,需要用户确认参加。而用户则会理所当然地打开,而确认参加的过程引导用户打开另一个网页的链接,这个名为Go to meeting的网页链接中需要用户确认参加会议。
这个网页看起来没有任何问题,版面、颜色也和真正的Go to meeting网站一样,也需要用户复制粘贴与会ID进行验证,但实际上是个虚假网站,验证后网页会诱导用户运行一个程序,该程序的号称是用来确认参加会议的,但其实是一个WannaCry的病毒程序。凯文·米特尼克点击确认运行后,电脑便中招了,随后打开任何文件,便会发现我们熟悉的WannaCry勒索界面。
在听了这么多,看了这么多之后,你们觉得这个世界还安全吗?![]()
凯文·米特尼克说:网络安全会成为一件主流的事情!
更多精彩内容,请加入「AI早餐汇」微信社群
相关阅读
数据分析:《权力的游戏》里谁的戏份最多?谁会先挂?
全球AI挑战赛启动 李开复、王小川、张宏江对话谈了哪些内容?
Hulu周涵宁:人工智能在视频网站推荐系统中的应用
搜狗陈伟:从语音识别到交互 驱动力和挑战
王劲创业后首度公开演讲:无人驾驶2020年到来的五个原因
观察 | 一文了解联想的AI战略布局与现状
漆远:AI在蚂蚁金服业务的应用(最新演讲实录+核心PPT)
清华大学教授朱小燕:人机协同最重要 避免冬天就要快速落地
AI+金融的浮云与真相!史上登台嘉宾最多的圆桌都谈了什么?
斯坦福大学教授张首晟:人工智能呼唤创新算法(附全套PPT)
张钹院士:深度学习优势与短板 中国AI机遇和挑战
图灵奖获得者霍普克洛夫特:未来只有25%的人需工作
阿里巴巴王坚眼中的互联网、数据和AI
获取转载授权、爆料、供稿、采访、约稿、合作等事宜请联系:
微信:Jack_JiangNB
凯文·米特尼克说:网络安全会成为一件主流的事情!
