九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

轉(zhuǎn)自infosecurity，作者M(jìn)arty Puranik，藍(lán)色摩卡譯

合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為超級盾！

雖然藍(lán)牙技術(shù)和其他射頻設(shè)備在我們的日常生活中很常見，尤其是在現(xiàn)代辦公環(huán)境中，但很少有用戶真正了解這項(xiàng)技術(shù)是如何工作的。

此外，更少的人了解與藍(lán)牙設(shè)備相關(guān)的安全風(fēng)險。

我們喜歡將設(shè)備與無線打印機(jī)、揚(yáng)聲器和耳機(jī)連接在一起所帶來的便利，那么對辦公室安全的擔(dān)憂是否被過分夸大了呢?

01

不那么久遠(yuǎn)的BlueBorne威脅

安全行業(yè)一旦發(fā)現(xiàn)漏洞，就會迅速采取行動來消除漏洞，但這并不意味著在發(fā)現(xiàn)漏洞后，所有設(shè)備都不會受到威脅。

該漏洞于2017年底在集體雷達(dá)上登記，但許多設(shè)備從未收到必要的補(bǔ)丁和更新，以消除九個可能的威脅向量。

研究表明，由于忽略了更新或者從一開始就沒有收到補(bǔ)丁，20億臺設(shè)備仍然容易受到BlueBorne的攻擊。

BlueBorne的工作方式與藍(lán)牙設(shè)備面臨的其他威脅不同，比如藍(lán)牙竊聽或藍(lán)牙劫持。這種攻擊針對藍(lán)牙堆棧的不同部分。

BlueBorne會試圖偽裝成一個希望連接的設(shè)備，但在連接嘗試需要用戶執(zhí)行操作之前，漏洞就會被執(zhí)行。

BlueBorne如此有效的部分原因是，攻擊并不依賴于設(shè)備的互聯(lián)網(wǎng)連接，而這在當(dāng)時是網(wǎng)絡(luò)安全研究領(lǐng)域的一個很少探索的領(lǐng)域。

攻擊者將操作發(fā)現(xiàn)查詢的時間戳和大小，并將第二個發(fā)現(xiàn)查詢作為單獨(dú)的服務(wù)發(fā)送到原始目標(biāo)。這有效地激活了設(shè)備的故障安全連接，并允許自由訪問。

BlueBorne在ios 10之前的Android、windows和Linux平臺上的設(shè)備都受到了影響。

雖然已經(jīng)從BlueBorne事件中吸取了重要的教訓(xùn)，但是許多設(shè)備仍然容易受到新出現(xiàn)的攻擊載體的攻擊。

02

安全的脆弱性

2019年8月，在藍(lán)牙技術(shù)中發(fā)現(xiàn)了另一個值得注意的安全漏洞。使用規(guī)范版本1.0到5.1的藍(lán)牙BR/EDR設(shè)備容易受到藍(lán)牙(KNOB)密鑰協(xié)商攻擊。

這個bug有效地允許攻擊者破解設(shè)備在配對過程中使用的加密密鑰。

IT安全、隱私和責(zé)任中心(CISPA)披露的信息顯示，在某些情況下，攻擊者能夠?qū)⒓用苊荑€減少到一個八位元。

理論上，如果兩個設(shè)備的密鑰被攻擊暴露，壞人就可以操縱設(shè)備之間交換的數(shù)據(jù)。這將使用戶接觸到第三方，第三方能夠注入命令并監(jiān)視受損設(shè)備。

伊卡西提到，他們還沒有看到這種攻擊載體被惡意部署。

藍(lán)牙官方聲明:“一個攻擊要成功，一個攻擊設(shè)備需要在兩個脆弱的藍(lán)牙設(shè)備的無線范圍內(nèi)，這兩個藍(lán)牙設(shè)備正在建立一個BR/EDR連接。

如果其中一個設(shè)備沒有漏洞，那么攻擊就不會成功。

“攻擊設(shè)備需要在兩個設(shè)備之間攔截、操作和重新傳輸密鑰長度協(xié)商消息，同時還需要阻止來自雙方的傳輸，所有這些都需要在很短的時間內(nèi)完成?！?/p>

03

我們?yōu)槭裁匆P(guān)心

根據(jù)運(yùn)輸數(shù)據(jù)，全世界大約有82億臺使用藍(lán)牙的設(shè)備。

知道這些設(shè)備中有很大一部分沒有使用當(dāng)前版本的固件，或者當(dāng)發(fā)現(xiàn)新漏洞時不會更新，這對罪犯來說是一個非常誘人的機(jī)會。

壞行為者知道很多有價值的數(shù)據(jù)可以通過藍(lán)牙設(shè)備獲得，并且由于安全協(xié)議相對薄弱，進(jìn)入的壁壘可能比傳統(tǒng)的黑客方法要低。

對于為某些行業(yè)的客戶提供咨詢的IT經(jīng)理和安全專家來說，這是一個關(guān)鍵問題。

對任何小企業(yè)來說，數(shù)據(jù)泄露的后果都可能是災(zāi)難性的，但金融和醫(yī)療等受到嚴(yán)格監(jiān)管的行業(yè)面臨著更高的監(jiān)管處罰，而且一旦數(shù)據(jù)泄露，它們的聲譽(yù)會受到更大的損害。

當(dāng)然，我們不能指望這些行業(yè)的現(xiàn)代辦公環(huán)境會退回到點(diǎn)陣式打印機(jī)的時代并拿著30英尺和弦的電話工作。

對于安全社區(qū)來說，在保護(hù)支持藍(lán)牙的設(shè)備方面保持領(lǐng)先需要在研究威脅方面投入更多的資金。

從商業(yè)角度看，投資與全面了解威脅(包括可穿戴、無線設(shè)備威脅)的供應(yīng)商和顧問的合作關(guān)系，是朝著更強(qiáng)有力的網(wǎng)絡(luò)安全戰(zhàn)略邁出的有意義的一步。

冬保暖

精彩在后面

截至到目前，超級盾成功抵御史上最大2.47T黑客DDoS攻擊，超級盾具有無限防御DDoS、100%防CC的優(yōu)勢，且公司透露，超級盾產(chǎn)品即將又迎來新的一輪爆發(fā)式增長，將更好的為業(yè)務(wù)的安全、穩(wěn)定、健康運(yùn)營保駕護(hù)航，大家敬請期待吧~

——超級科技

CJD

· 技術(shù)大牛都在這里 ·

Hi，我是超級盾

從現(xiàn)在開始

我的每一句話都是認(rèn)真的

如果，你被攻擊了

別打110、119、120

來這里看著就行