的RSA会议它通常是一个庞大的体验,充斥着多个会议中心建筑,并蔓延到邻近的酒店和会议空间。然而,今年的与会者更有可能面临的是加载屏幕和连接中断的问题,而不是排队等候自动扶梯的长队。由于2019冠状病毒病(COVID-19)大流行,RSAC今年只上线。
与旧金山的莫斯康中心不同,RSAC依靠的是一个“虚拟环境”,与会者可以在其中观看演讲和主题演讲,通常是以预先录制的视频的形式,通过文字聊天实时回答问题。
经历类似于黑帽的2020年的会议也因为冠状病毒的爆发而在线举行,在我们看来,会议进行得相当顺利。然而,RSAC的主要内容一直是其巨大的展示楼层和与安全供应商的一对一互动。虽然这次会议为面对面活动提供的社交体验提供了数字替代方案,但很难想象这种新形式会取代旧的形式。
以下是我们在一些更有趣的会议上听到的内容。
加密货币能取代万能的美元吗?
2010年,一位早期的比特币矿工用1万个比特币换了几个披萨。按照现在的汇率,这些披萨在今天要花费数亿美元。世界似乎越来越接受加密货币。它能取代美元作为世界货币储备的标准?
Very Good Security的外部通信分析师Kenneth Geers博士在会议上追溯了美元和加密货币的历史,以回答这个问题。
自二战后的布雷顿森林协议以来,美元一直是世界本位货币,即使在不再用黄金支持每一美元之后,美元仍保持着这一地位。本国货币不稳定的国家依赖美元,国际金融安排也使用美元。美元是一个已知的数量。
另一方面,加密货币只存在了不到十年。你不能把比特币折叠起来放进钱包,但记录比特币交易的区块链账本比只存在于复式记账账本中的美元更安全。
转向一个以加密货币为储备货币的世界,将大大提高商业和政府的透明度。“但政府真的想减少腐败吗?”吉尔斯问道。“毫无疑问,加密货币是游戏规则的改变者,”他继续说道。“但在短期内,人民币不会取代美元。从长远来看,一切皆有可能,但要期待政府的抵制。”
入侵遥控器
我们大多数人对“物联网”设备都有一个特定的印象,但这可能不包括有线电视盒附带的遥控器。Guardicore研究副总裁Ofri Ziv和高级研究员JJ Lehmann分别阐述了为什么应该这样做。经过一番努力,他们把一个标准的遥控器变成了一个监听设备。
他们的工作,最初2020年10月出版(在新窗口打开)该公司主要介绍了XR11遥控器,该遥控器与一些Xfinity线盒捆绑在一起。关于XR11,有两件事引起了研究人员的兴趣。首先,它有一个内置麦克风,所以用户可以通过语音控制他们的家庭娱乐系统。其次,它大量使用无线电频率传输,而不是遥控器通常依赖的红外信号。射频传输不需要视距连接,这为研究人员提供了他们所需的访问。
研究小组发现,他们可以通过自己的指令劫持遥控器到有线电视盒的定期更新请求。安装后,它会让遥控器误以为声音控制按钮正在被按下,从而捕捉到距离遥控器15英尺内的所有音频,清晰度极高。真正令人印象深刻的是,该团队展示了他们可以在房子外面实施攻击,而目标则在65英尺外。它也不需要昂贵的设备,只需要30美元的无线电收发器。
幸运的是,研究人员发现的缺陷已经被修补。然而,研究人员指出,这种依赖于通常在家庭中发现的设备的攻击也可能影响到企业。毕竟,在新冠肺炎疫情之后,数百万人离开办公室回到了家里。
入侵物联网:不再容易,但不安全
Stage 2 security的威胁研究员韦伦·格兰奇(Waylon Grange)说:“嵌入式安全肯定会越来越好。”“很多轻松的胜利已经不复存在了。”
在他的演讲中,Grange解释了他是如何逆向工程并成功攻击Enphase家庭太阳能系统的——Grange之所以选择这个目标,没有别的原因,因为他经常在家,因为COVID-19的限制,他注意到他的邻居安装了这样一个系统。
他发现,虽然攻击者容易使用的明显路径是封闭的,但它们并不是完全安全的。例如:加密固件和不硬编码加密密钥是好事。但Grange发现Enphase用一个硬编码的密钥交换了一个可预测计算的密钥。
“结果是一样的,”格兰奇说。“我知道(加密)密钥。”
同样,Enphase避免了所有设备都使用同一个密码的陷阱。然而,Grange发现,密码是用设备的唯一序列号计算出来的,序列号印在设备上,在包装上,并在网上被发现。
格兰奇推测这些粗略的安全选择是因为有人被指示做了什么不去做,而不是去遵循最佳实践。他的建议是,致力于解决这些问题的开发人员应该四处看看是否存在其他解决方案,而不是试图自己解决问题。
学会使用密码管理器!
一个现代的网民不可能在没有安全软件的帮助下,为每个安全网站设置一个强大而独特的密码密码管理器.但即使你安装了密码管理器,你仍然必须正确使用它。
Stuart Schechter是加州大学伯克利分校可用隐私和安全课程的讲师和课程负责人,他指出,虽然我们可以收集密码管理器销售的统计数据,但我们不知道人们是如何使用它们的。他的研究生们(在RSAC的演讲中由吴恩达(David Ng)担任代表)承担起了寻找答案的任务。
使用密码管理器的所有好处都取决于三个假设:我们假设用户愿意记住一个强密码;他们会依赖密码管理器的能力生成随机密码;他们还会更改任何薄弱、重复使用或泄露的密码。研究生团队进行了一项研究,旨在确定这些假设的有效性。
你不知道吗,事实证明人们就是不做他们应该做的事。很少有人真正记住一个强大的主密码,太多的人重复使用一个现有的密码作为密钥来保护他们所有的其他秘密。所有参与研究的人都可以访问密码管理器仪表板,报告弱密码、重复使用密码和泄露密码。大多数人都认为他们的一些密码确实需要修改。大多数人都为自己没有处理好这件事找了这样或那样的借口。
吴恩达总结道:“不要以为人们会选择强大的主密码。“不要以为他们会使用密码管理器创建的密码。即使被提醒,也不要认为它们会取代弱密码、重复使用密码或泄露密码。”
你呢?你是否正确使用密码管理器?
变焦加密的未来
变焦在突然转向的过程中成为大赢家之一在家工作我们很多人都经历了去年。而视频会议服务从毕业典礼到婚礼,再到公平的工会合同谈判,它被用于所有事情,但并不总是安全的。Zoom一度因为抵制端到端加密(E2EE)而陷入困境,这种加密本可以为用户提供最大程度的监控保护。这一点尤其紧迫,因为抗议活动席卷全球,其中许多抗议活动是通过Zoom组织的。
最终,Zoom妥协了,建立了E2EE。但现在发生了什么?Zoom的安全工程主管Max Krohn在RSAC上解释说,该公司正在研究E2EE方案的新实现,该方案将很快推出。
最大和最引人注目的变化之一将是使用第三方服务来使用Zoom进行身份验证。在企业上下文中,这些可能是单点登录提供者。Krohn解释说,这将把信任从Zoom服务器转移到已经受信任的服务上。
克罗恩说,Zoom还在努力让用户在不触发安全警报的情况下,更容易、更少地安全地从账户中添加和删除设备。除了改变参与者交换会议密钥的方式外,这是使Zoom更安全、更防篡改,但也更易于使用的更大努力的一部分。有趣的是,克罗恩暗示,Zoom所做的一些工作可以应用于异步通信,比如短信。
忘记人类黑客——人工智能黑客即将到来
电视和电影让我们认为黑客处于社交的边缘。地下室里邋遢的家伙。哥特女孩惊人的技能。但所有这些刻板印象都是人类的。密码学大师布鲁斯·施奈尔(Bruce Schneier)认为,我们需要把目光投向别处。人工智能的黑客非常有效,很大程度上是因为他们不是人类。
施奈尔说:“任何优秀的人工智能系统都自然会发现黑客。“他们找到了新颖的解决方案,因为他们缺乏人类的背景,结果是其中一些解决方案会打破人类的期望——因此,这就是黑客。”他指出,黑客可以是系统允许的任何事情,但这是设计师没有预料到的。然而,与计算机相关的黑客行为尤其容易受到攻击人工智能黑客的攻击。
施奈尔的担忧可能听起来有些牵强,但是机器学习人工智能的恶意应用程序在RSAC 2021大会上多次出现。这一科幻概念似乎远非虚构。
太阳风的袭击比我们想象的更严重
SolarWinds主导了2020年底的新闻周期。通过这家供应链公司进行的网络攻击影响了数不清的企业和政府实体。正如SolarWinds总裁兼首席执行官Sudhakar Ramakrishna在RSAC透露的那样,这些攻击开始的时间比我们最初想象的要早得多。
罗摩克里希纳解释说,切入点是SolarWinds Orion软件。攻击者侵入SolarWinds系统,用于分发软件更新,并利用它进行传播恶意软件对它的顾客。这早在2019年1月就发生了。
在接受Forrester公司副总裁Laura Koetzle的采访时,Ramakrishnan讲述了发生了什么,太阳风公司正在做什么,以及他希望公司能做些什么不同的事情。他最后强调了这次攻击的严重性,说:“我不希望这样的事情发生在这个行业的任何人身上。”
拜登行政长官对安全公司说:好好表现
我们很多人都听到拜登总统在最近的一次演讲中提到网络安全,他指出这个行业需要做得更好联邦机构将帮助确保他们做到这一点。在总统副助理、国家安全委员会负责网络和新兴技术的副国家安全顾问安妮·纽伯格的演讲下,RSAC的与会者有机会了解有关政府计划的更多细节。
Neuberger指出了发布带有“缺陷和漏洞的软件的常见做法,这些缺陷和漏洞是开发人员接受的标准,并期望他们可以稍后进行修补。”她认为这种做法不可接受。
她继续建议“要求政府供应商在安全的开发环境中构建软件”,并重申政府机构将与该行业合作。纽伯格指出,拜登总统下令建立一种“能源之星”标签,以帮助政府选择安全开发的软件。他强调,奥巴马政府认真对待安全问题,特别是针对黑客的安全问题ransomware.
Neuberger提到过量子计算可能会推动安全技术向前发展,但这项技术的进步可能会严重破坏加密和其他现有技术。包括著名的RSA算法在内的现代加密算法之所以能够工作,是因为分解所涉及的巨大数字可能需要数千年的时间。理论上,量子计算机可以在短得多的时间内做到这一点,使加密变得毫无意义。
专家说话
在会议开始时,组织者召集了一个安全专家小组。被称为密码学家小组,这个小组包括Ron Rivest和Adi Shamir,著名的RSA (Rivest-Shamir- adleman)算法的R和S。公钥密码学的共同发明人Whitfield Diffie单独发言。
小组讨论涵盖了广泛的话题,包括最近的兴趣nft(不可替代代币).里维斯特对这个想法嗤之以鼻,他指出,郁金香图片的NFT与你可以拿在手里的郁金香球茎的现实相差两步。然而,沙米尔宣布将原始RSA文件作为NFT出售;收益将用于慈善事业。
至于量子计算是下一个大事件,小组成员并不同意。里维斯特指出,量子计算研究是物理系获得其他类型量子研究资金的好方法。沙米尔指出,在这一领域的承诺还没有实现,罗斯·安德森教授对这项技术的基础提出了质疑。
留着胡子、头脑敏锐的惠特菲尔德·迪菲(Whitfield Diffie)单独结束了这个小组。迪菲在吐槽中指出,安全面临的最大挑战是“公司”。当被问到汽车保险杠上的安全标语时,他回答说:“拔掉插头,宝贝!”迪菲给与会者留下了发人深思的话题,他说,随着交流的便利和持续增加,人类的自由不可能继续存在下去。
