一年一度的美國黑帽網絡安全會議于本周舉行，基于現場與會者的發(fā)言和全球各地安全研究人員的虛擬流媒體簡報，移動平臺和開源軟件正在成為網絡安全的關鍵問題。

　　黑帽大會創(chuàng)始人Jeff Moss在開幕式主題演講中總結了網絡安全界的普遍感受，網絡安全領域近來歷經了勒索軟件攻擊爆炸性增長、重大供應鏈漏洞，俄羅斯、朝鮮和伊朗等國家發(fā)展成了嚴重的民族國家黑客行動參與者。

　　Moss表示，“我們剛認識到被打臉了，我們正努力想辦法拆招。這兩年真的有壓力。”

　　越來越多的證據表明，威脅者正在將手里的大量資源轉向移動平臺漏洞的利用。據估計，全球智能手機用戶達60億，是個不能錯過的、非常有吸引力的機會。

　　在移動設備受到攻擊的同時，零日漏洞亦在增加，零日漏洞指安全社區(qū)不知道的因此沒被修補的漏洞。

　　零日漏洞由市場驅動，基于供應和需求。零日中介Zerodium去年曾因為提交數量過多而宣布暫停購買蘋果iOS漏洞。去年夏天，網絡犯罪分子利用一個iPhone零日漏洞入侵6名國際記者的移動設備。

　　Corellium LLC的首席運營官、英國國家安全局（GCHQ）前分析師Matt Tait所做的研究表明，這個問題正在變得非常地嚴重。

　　Tait向與會者表示，“針對手機設備的零日滲透正在急劇增加。我們看到的只是世界上實際可能發(fā)生的事情的一小部分。”

　　問題的一部分原因在于，一些移動平臺的架構構成了一系列獨有的問題。谷歌Project Zero的安全研究員Natalie Silvanovich描述了對移動信息出錯時所做的一些分析，她發(fā)現一個用戶能夠在未經同意的情況下打開另一個用戶的攝像頭或音頻。

　　Silvanovich找到Group FaceTime、Signal、Facebook Messenger、JioChat和Mocha的各種漏洞，所有這些漏洞都曾被報告過和被修復過。

　　Silvanovich表示，“在未經用戶同意的情況下就可以打開別人的攝像頭并拍幾張照片，能夠這樣做相當令人擔憂。”

　　開源模式就本質而言其設置并非是為了生成完全安全的代碼。開源模式下某個項目可能數以百萬計的貢獻者來自世界各地，用到的重要軟件工具資源可自由使用，而且項目維護者名冊不斷變化，這時，安全問題很容易被忽視。

　　問題是，威脅者也知道這一點，他們正在利用這一點進行獲利。2017年的Equifax漏洞泄露了1.47億人的個人信息，原因是Apache Struts一個未打補丁的開源版本漏洞被利用。

　　威脅面涉及到開發(fā)人員使用的工具以及他們存儲這些工具的地方。去年12月曾報道過兩個惡意軟件包被發(fā)布到NPM網站，NPM網站是JavaScript開發(fā)人員用來分享代碼塊的代碼庫。此外，GitGuardian的一項分析僅在2020年就找到200萬個“未公開”密碼以及存儲在公共Git存儲庫的識別憑證。

　　NCC集團高級副總裁兼全球研究主管Jennifer Fernick表示，“事情并沒有變得好一些，再加上應用程序的復雜性也在增加。上報的開源軟件漏洞數量每年都在增長。如果不認真地進行協(xié)調干預，我認為情況會越來越糟。”

　　業(yè)界了解到域名系統(tǒng)（英文縮寫為DNS）中的漏洞有一段時間，但一個安全研究小組最近進行的簡單實驗卻發(fā)現了令人不安的結果。

　　DNS使得IP網絡（互聯(lián)網屬IP網絡的一種）上計算機之間可以更簡便地進行通信，這是DNS開放互聯(lián)網背后的一項基礎技術。DNS服務現在被各種云供應商大量使用，有些云供應商提供DNSaaS（DNS即服務）的管理企業(yè)網絡解決方案。

　　Wiz.io的安全研究人員Shir Tamari和Ami Luttwak發(fā)現了存在的問題，有心者可以注冊一個域名，然后用它來劫持DNSaaS供應商的域名服務器，如此一個用戶就可以竊聽動態(tài)DNS流量。二位研究人員成功使用一個被劫持的服務器竊聽了15,000個組織的DNS流量。

　　據Tamari和Luttwak表示，六個主要DNSaaS供應商其中的兩個已經修復了這些漏洞。

　　Luttwak表示，“DNS是互聯(lián)網的命脈，是最重要的服務之一。而我們只是簡單地注冊一個域名就可以訪問成千上萬的公司和數百萬計設備的DNS流量。我們深入調查后發(fā)現，DNS流量來自財富500強公司和100多個政府機構。”

　　GPT-3是OpenAI開發(fā)的一個高級項目，GPT-3可生成類似人類寫作的內容，GPT-3這個功能非常強大、令人真假難辨，而且據喬治敦大學的兩位安全研究人員的說法，可能非常危險。

　　GPT-3人工智能文本生成器是有史以來最大的神經網絡，只要提供一個文本提示或一個句子，GPT-3就可以返回完全通順的文本段落。GPT-3還可以生成有效的計算機代碼，GPT-3甚至還寫了一篇關于自己的、包含了高度信息的博文。哪里可能出岔子呢？

　　喬治敦大學安全和新興技術中心的研究分析員Drew Lohn和 Micah Musser成功從OpenAI申請到這個自動語言工具的使用。他們要在六個月的時間內了解GPT-3能夠造成什么樣的危害。

　　二位研究人員利用不同的對照組測試了關于政治或社會問題的多個樣本，目的是看讀者是否能區(qū)分人類和機器所寫的內容的區(qū)別。GPT-3將美聯(lián)社的兩篇正當的新聞報道改寫成支持唐納德-特朗普或反對前總統(tǒng)的文章，一個專家小組無法哪是原稿哪是GTP-3改寫過的文章。

　　二位研究人員指出，GPT-3特別擅長讀取少少的幾條指令生成推文，GPT-3的速度和準確性令其有可能利用一個社交媒體賬戶傳播出大量的信息。

　　Lohn表示，“我不確定其影響是否得到足夠的重視以及被深究過。這些技術可以帶來很多潛在的好處。我們需要對這類決定進行討論。”

　　隨著時間的推移，網絡安全界現在開始對民族國家的黑客使用的方法和操作方式有了更清晰的認識，也對他們的問題有了更清晰的認識。

　　IBM公司X-Force的安全研究人員一直在分析IBM威脅集團18（ITG18）的漏洞，ITG18在網絡安全領域與名為Charming Kitten的伊朗網絡戰(zhàn)組織有重疊。ITG18與其他民族國家的黑客行動不同的是，其他民族國家的黑客都盡量保持在公眾視線之外，ITG18在方面一直非常寬松，而且似乎并不特別擔心這個問題。

　　ITG18組織一直對制藥公司、記者以及伊朗持不同政見者的網絡進行釣魚攻擊，ITG18發(fā)布過一套培訓視頻，IBM研究人員在去年五月發(fā)現了該視頻。該視頻提供了如何測試訪問以及如何從被攻擊賬戶收集數據的教程，視頻暴露了與該組織成員伊朗電話號碼相關的網站信息。這批資料顯示，這些黑客在解決驗證碼方面遇到了問題，另外，視頻提供的一些證據表明，他們也和我們中的許多人一樣曾因安全性差而成為勒索軟件攻擊的受害者。

　　IBM Security X-Force的分析師Allison Wickoff表示，“在過去的18個月里，我們不斷見到這個團體的錯誤。我們覺得，調轉一下劇本看到對手人性化的一面也是很好的事情。”