في كل عام ينحدر عالم Hacker/Information-Security World على لاس فيجاس لمدة أسبوع من المؤتمرات حيث يقدم الكثيرون اكتشافاتهم الأخيرة وكل عام أحاول تفصيل أكثر ما يثير الاهتمام ( وفقا لي) القبعة السوداء يتحدث عن TechCrunch. لا تفترض أنني حضرت كل أو حتى معظم هذه. هناك الكثير مما يحضر أي شخص. لكن نأمل أن يعطيك إحساسًا بحالة الفن. نعم هناك الكثير من البرامج القذرة هناك ونعم يستمر الكثير من الأشخاص الأذكياء في العثور على الثقوب والأخطاء والمآثر وتصميم العيوب حتى في البرامج الجيدة لكننا لسنا جميعًا محكوم عليهم والاعتقاد بأننا نحن وأن أي شيء مرتبط بالإنترنت يمكن أن يكون وربما تم اختراقه - وهو الموقف الذي أحب أن أسميه العدمية الأمنية - هو نتائج عكسية بشكل مذهل.
في الحقيقة هناك الكثير من الأمان الجيد للغاية هناك وخاصة وسط شركات التكنولوجيا الكبرى وتستمر في التحسن كما يشير السوق لمدة 0 أيام (مآثر غير مكتشفة سابقًا). تم بالفعل الإبلاغ عن معظم مآثرها (على الرغم من أنها ليست كلها بالتأكيد). ومع ذلك فإن الكثير من العالم لديه الكثير من العمل الذي يتعين القيام به للحاق بفرق الأمان من Apple و Google على سبيل المثال. بدون مزيد من اللغط تناقش المحادثات الأفضل في عام 2019:
لاكتشاف الاكتشاف من مختبر أمن Xuanwu التابع لـ Tencent كيفية خداع كاشفات الوجه أو معرف الوجه أو الصوتي (أو ربما عملة Cryptocurrency KYC) من خلال حقن تدفقات الفيديو أو الصوت المزيفة أو الأفضل من ذلك حتى الآن نظارات عادية مع شريط عادي متصل والتي أفضل ما في الأمر قاموا بتسمية Glasses.
يمكن اختراق جميع وحدات 4G من مختبر الأمن في Baidu يروي التحقيق في الباحثين في وحدات 4G لأجهزة إنترنت الأشياء - المكونات التي تربط الآلات بالإنترنت عبر شبكات الخلايا بشكل أساسي. على حد تعبير ملخصهم قمنا بتنفيذ هذه المبادرة واختبرنا جميع وحدات 4G الرئيسية في السوق (أكثر من 15 نوعًا مختلفًا). تبين النتائج أن جميعهم لديهم نقاط ضعف مماثلة ونهايات مع ما لا ينسى على قدم المساواة كيفية استخدام هذه الثغرات الأمنية لمهاجمة أنظمة الترفيه للسيارات من مختلف العلامات التجارية والتحكم عن بعد للسيارات. نقاط إضافية للشريحة مع 'بناء سيارات Zombie (تمامًا مثل Furious 8)' أيضًا.
Arm Ida و Cross Check: عكس الشبكة الأساسية لـ Boeing 787 بواسطة Ruben Santamarta من محادثات Ioactive حول كيفية بعد اكتشاف دليل عام عن طريق الخطأ لمعلومات Boeing الحساسة عبر الإنترنت (!) طورت Santamarta سلسلة من المآثر التي يمكن أن تؤدي من الإنترنت إلى شبكة البيانات المشتركة من 787. Boeing تعارض بشدة هذا.
لدي احترام كبير لسانتامرتا الذي كتبت عنه من قبل وكما قاله: تواصل بوينغ إلى ioactive أن هناك بعض التخفيفات المدمجة على مستوى المترجم [ملاحظة المؤلف: !!] في وجهة نظرهم منع هذه الثغرات الأمنية من استغلالها بنجاح. لم يتمكن IoActive من تحديد موقع أو التحقق من صحة تلك التخفيفات في إصدار البرامج الثابتة CIS/MS التي قمنا بتحليلها. عندما سئل رفضت شركة بوينغ الإجابة على ما إذا كانت هذه التخفيفات قد تكون قد تمت إضافتها في إصدار لاحق ... نأمل أن يكون طرف ثالث محدد وقادر للغاية على الأمان أن هذه الطرف الضعف غير قابلة للاستغلال ... نحن على ثقة من المالكين ومشغلي هذه الطائرات مثل هذا التحقق المستقل والتحقق. في الواقع. ولكن مهلا إذا كنت لا تستطيع الوثوق بوينج فمن يمكنك الوثوق به أليس كذلك؟ ضع الكلمات في أفواه الآخرين وإن كان ذلك فقط في نصوص اقتباس وأرسل رسائل خاصة تشبه رسائل مجموعة المجموعة. (لاحظ أن هذا هو ما بعد التخلص لذلك يجب أن تكون بالفعل عضوًا شرعيًا في الدردشة.)
اخلاء مسؤولية! هذا المقال لا يعبر بالضرورة عن رأي جامعة الرازي