🏎️ 🚎 👞 安全周10：RSA会议和网络安全意识 ➗ 💭 ❇️

上周在旧金山举行了下一次网络安全会议，即RSA Conference 2020，该会议中的业务仅次于技术。该行业的业务特征同技术一样重要，尽管这种交互作用具有某种对立的迹象：业务开发经理说的很漂亮，而技术人员却无聊。言语：这是RSA大会在过去五年中主要主题（单个会议的基本词）演变的方式。在2016年，主要议题是物联网的安全性，在2017年 -人工智能，在2018 -缺乏银弹和网络防御简单的解决方案的，在2019 -信誉的问题。

2020年，RSA总裁提出了分为技术人员和商人的话题，意想不到的是将盛大的开幕式变成了对真正问题的讨论，尽管总的来说是这样：“我们的事务将由讲述他们的故事来判断。我们希望这是一个有关成功抵御网络威胁的故事，而不是有关网络乒乓球的技术故事。”也就是说：IT安全社区是封闭的，一个人难以理解，我们需要对此进行更改。不仅分享问题，而且分享成功的解决方案：“将文化从精英转变为开放的文化。”

漂亮的话，但我们应该期待技术专家的开放性吗？这与特定人员的天性无关，而与工作的特征有关，这需要最大程度地专注于相同的乒乓球上的小细节。要广播IT安全方面的胜利，您必须能够用公众可以理解的词语来解释它们。至少要制定出什么才算胜利。这并非总是可以实现的，对于许多行业参与者而言，这项任务远非优先。谁赋予文化一种新的格式也是一个很好的问题：通常，由代表Rohit Gai的非技术管理人员参与其中。事实证明，当他要求从RSA会议的讲台上进行更改时，要求是针对自己的吗？这是一项光荣的任务。使网络安全更加清晰更准确地说，有必要帮助人们切实了解这一知识领域。否则，我们会经常观察到某些情况：当在政治层面上讨论网络攻击和网络防御时，是与实际情况完全隔离的。

我们将在2020年RSA大会上简短地讲一些有趣的演讲。密码学家Bruce Schneier继续讨论开放性这一话题，但从另一个角度来看：他建议在IT之外引入一种“黑客文化”（在这种情况下，就是使用非标准方法解决问题的能力）。例如，在立法或税收政策中。否则，将成功发现并消除软件中的漏洞，并且税法中的空白将在那里存在多年。

研究员Patrick Wardle 从网络犯罪分子的角度谈论了反向工程恶意软件的案例。在研究苹果计算机上的网络攻击时，他发现了攻击者利用他人分发的恶意代码并使之适应自己的需要的示例。 Checkmarx的代表向（新闻，研究）讲述了智能机器人吸尘器中的漏洞。真空吸尘器配有摄像机，因此，成功的黑客攻击不仅可以观察设备的所有者，还可以在必要时更改观察点。另一项物联网研究侧重于监控器中的漏洞，以监控孩子。

ESET发现Kr00k漏洞（新闻，信息公司的网站）中的Wi-Fi模块，该模块可部分解密设备之间传输的流量。使用了Broadcom和Cypress生产的模块，这些模块既用于手机，笔记本电脑，也用于路由器。最终，密码学家小组（在RSA大会以前是加密专家之间的利基市场，这是过去的雏形）再次经过了区块链。密码学家不喜欢分配前缀“ crypto”的加密货币行业，但是在这种情况下，这是使用区块链进行选举的问题。麻省理工学院的罗纳德·里维斯特（Ronald Rivest）的代表介绍了对机会的某种分析结果，结论是纸票更为可靠。即使使用区块链，也很难创建用于注册可以信任的选票的软件系统。

还发生了什么：

Zyxel NAS和防火墙中的关键零日漏洞。该漏洞利用是在黑市上的公开销售中发现的。该错误使您可以在设备上执行任意代码，根据定义，可以从网络上访问这些代码，从而完全控制它。该补丁已针对大量Zyxel设备发布，但并非针对所有设备-不再支持某些易受攻击的NAS。

ThreatFabric 发现了 Cerberus Android Trojan 的新版本，该版本能够从Google Authenticator应用程序中提取两因素身份验证代码。

错误通过将Paypal钱包与Google Pay付款服务集成在一起，可以在很短的时间内窃取资金，而所有人都不知道。没有详细信息，但是据推测，攻击者找到了一种方法来提取服务链接到Google Pay时创建的虚拟支付卡数据。

一位德国研究人员透露了一个 “恶意” iOS应用程序，该应用程序不断监视手机上所有程序可用的剪贴板。研究人员逻辑：如果将信用卡号复制到缓冲区中，则攻击者可以窃取它。苹果的反应：是的，但这是一个剪贴板。它应该对所有应用程序可用，否则就没有意义。

安全周10：RSA会议和网络安全意识

More articles: