搜尋此網誌

2010年11月24日 星期三

[新聞時事] 汽車性能大進化,安全能否跟的上?

gal-pic-02汽車對很多人 (尤其是男生) 來說,往往不只是一項代步工具,更是一種身分跟品味的象徵。但是在眾多感性的訴求當中,卻還是有一些比較理性的訴求,其中之一就是安全性。過去汽車的安全性,對車子本身而言,包含了車身結構、安全氣囊、ABS 以及其他的安全設計。對駕駛而言,則包含了行前的檢查 (油、水、胎壓、煞車、電池及其他) 與安全地駕駛 (開車不喝酒、不打行動電話) 等等。但是在未來,所謂的汽車安全性,或許會另外多了一個項目,那就是軟體的更新 (事實上,部分汽車廠商現在就已經具有這樣的服務)。隨著汽車工業的高度發展,現代汽車的設計已經內建越來越多的軟體 (Mercedes-Benz S-Class 擁有超過兩千萬行的程式碼) ,用以強化駕駛與乘客的乘坐經驗。但是這些軟體,卻也代表著可能存在的安全漏洞。尤其是當這些軟體可以從遠端 (利用網路) 加以控制時,其所產生的影響將可能是前所未見的。

之前我分享過幾則相關的新聞,但是其影響大多還只是侷限在造成不便,對安全尚未造成真正的危害。但是,隨著市場規模的擴大,惡意的攻擊,乃至於有利益目的的攻擊,只是早晚的問題。例如,如果駭客可以透過車載定位系統明確地掌握某大企業 CEO 的行程,或許就可以猜到這家企業暗地裡可能在進行什麼業務。又例如當駭客可以透過同樣的系統掌握到政要的出現地點,那麼想要對其不利也就容易多了。至於市井小民嘛,也許哪一天車子無緣無故自己開到荒山野地躲起來也不會是什麼令人驚訝的消息。想要找回愛車,請記得先付款給駭客。除此之外,針對那些喜歡在車上做些非正常活動的男女,或許更該多加小心,免得成了現場直播成人秀的最佳男、女主角了。

 

相關連結:

2010年11月20日 星期六

[新聞時事] Amazon 正式提供 GPU 運算能力

tesla_logo之前我分享過幾篇有關 WiFi 協定加密安全性的文章,對於使用者而言, WEP 與 WPA 應該是早就揚棄不用。但是在現實的環境中,使用 WEP 與 WPA 的設備依舊不在少數。一般而言,破解加密/密碼需要大量的運算能力,而且是不同於一般電腦設備所依賴的 CPU (中央處理器) 運算能力。提到大量運算能力,大家現在最容易聯想到的就是利用雲端架構的充沛資源,所以因而有了利用雲端平台來破解 WPA 的服務。但是雲端再強大,依舊是使用所謂的 CPU 當做主要運算能力的來源。相較於 CPU,GPU (圖型處理器) 的運算能力其實更適用於破解加密/密碼。因此雲端平台如果能夠再加上 GPU 的組合,那可真的是如虎添翼了,而這樣的夢想已經可以在 Amazon 的 EC2 平台上加以實現。Amazon EC2 於日前宣布提供 GPU (Nvidia Telsa) 運算能力的服務,讓破解加密/密碼的工作進行地更加快速。事實上,已經有人提供如何利用此一架構來執行破解密碼的程式。對我們的影響?那就是趕快換掉老舊的設備,還有就是選擇一個好的密碼

 

相關連結:

2010年11月10日 星期三

[資安觀念] 駭客利用 Honeypot 反將一軍

Bear-in-a-Honey-Pot-Puppet-1之前我在 [從電影看資安] 誰才是大將軍 - 大兵小將 這篇文章中提到資安專家利用假冒的觀念來減少危險,後來甚至演變出所謂的 Honeypot/Honeynet,這類機制不但可以用來減少駭客攻擊的有效性,甚至可以用來學習駭客的行為以利資安專家對抗駭客所發動的攻擊。我在文章最後提到假冒的觀念對於攻擊與防守的雙方都同樣重要,甚至攻擊方對於假冒更是駕輕就熟,畢竟攻擊要成功,完美的假冒往往是一個基本條件。但是像是 Honeypot 這種用來誘敵的機制,對於攻擊一方的用途卻是到了近期才被加以利用。這倒也不是說明資安專家就比駭客更加聰明,而是資安專家往往比較被動,所以對他們採用 Honeypot 的效用不大。不過一旦駭客發現這是一個好方法,他們絕對不會放棄,而且我相信駭客可以發揮出更好的效果。因為駭客只要放出足夠的煙霧彈就夠資安專家們忙上好一陣子了,而在現今的攻擊情境中,好一陣子已經可以產生決定性的效果。事情會怎麼演變,就讓我們繼續觀察吧。

 

相關連結:

2010年11月4日 星期四

[新奇玩意] 路由器 XSS 讓你無處可躲

where-are-you隨著行動設備的大量普以及隨時隨地上網的人數越來越多,地理位置資訊的應用也越來越熱門。雖然這類資訊可能讓個人的行蹤被其他人一覽無遺,但是因為這些資訊的開放大多是屬於使用者自行所決定,所以反對份子所能夠持有的立場往往顯得較為薄弱,對於一般人而言也還不致於造成過多的擔憂。但是,如果這類資訊的開放並不是使用者自願的,甚至是在使用者不知情的情況下所發生,結果或許就會有很大的轉變。

Samy Kamkar 在他自己的網站上發表了一個概念驗證的手法,他利用路由器的漏洞取得用戶端電腦的網卡卡號,然後再使用 Firefox Location-Aware Browsing 的功能,就可以在不知不覺的情況下取得使用者所在的位置。不過他的範例只針對特定的路由器才有作用,所以對於一般人倒是還沒有立即的危害。只是取得網卡卡號並不是只有一種方法,所以其所可能衍生的問題依舊不可小覷。

 

相關連結:

About