本文轉(zhuǎn)載來(lái)自FreeBuf黑客與極客（FreeBuf.COM）

一年一度黑客大會(huì)BlackHat正在賭城拉斯維加斯如期舉行，全世界頂級(jí)黑客再度聚首，集思廣益，技術(shù)與觀點(diǎn)的交匯相觸。下面是BlackHat 2015首日的精華內(nèi)容。

Blackhat創(chuàng)始人：軟件商，請(qǐng)不要再逃避責(zé)任了

漏洞、缺陷、安全隱患作為軟件內(nèi)部問(wèn)題而時(shí)刻存在，當(dāng)用戶(hù)安裝了一個(gè)應(yīng)用時(shí)，他就被迫接受用戶(hù)許可協(xié)議，即賣(mài)方不承擔(dān)由此造成的傷害。BlackHat創(chuàng)始人Jeff Moss說(shuō)：“是時(shí)候，軟件應(yīng)該承擔(dān)不可逃避的責(zé)任了?！?/p>

周三，Moss在大會(huì)開(kāi)幕致辭中說(shuō)：“我討厭承認(rèn)這點(diǎn)，但我確實(shí)沒(méi)有看到軟件承擔(dān)更多責(zé)任。或許這會(huì)耗費(fèi)一美元，甚至是1000萬(wàn)美元，但軟件未來(lái)肯定要對(duì)此負(fù)責(zé)?！?/p>

立法者多年來(lái)一直在討論軟件供應(yīng)商承擔(dān)責(zé)任的可能性。這個(gè)想法已經(jīng)被多次重構(gòu)，但卻從來(lái)沒(méi)有實(shí)施過(guò)。其中一個(gè)主要原因是軟件制造商們的努力贏得了戰(zhàn)斗的勝利。行業(yè)組織與獨(dú)立軟件供應(yīng)商一直拒絕為自身設(shè)備的缺陷或安全漏洞承擔(dān)責(zé)任。

但情況正在發(fā)生急轉(zhuǎn)。軟件現(xiàn)在并不僅僅存在于筆記本、臺(tái)式機(jī)和服務(wù)器中，同時(shí)存在于飛機(jī)、汽車(chē)、家電等許多設(shè)備中。如果一臺(tái)筆記本中的軟件有漏洞，這可能只是個(gè)獨(dú)立事件。而一旦飛機(jī)上航空電子設(shè)備軟件出現(xiàn)問(wèn)題，這個(gè)影響則是不可同日而語(yǔ)的。

Moss提醒大家，想想波音公司，現(xiàn)在那些飛機(jī)臨駕于數(shù)據(jù)中心之上。

近期有兩位研究人員開(kāi)發(fā)的針對(duì)智能汽車(chē)軟件的遠(yuǎn)程攻擊表明，傳統(tǒng)軟件存在的問(wèn)題許多也同樣存在于運(yùn)行車(chē)輛的應(yīng)用程序中。而想要從攻擊或者軟件漏洞中恢復(fù)，對(duì)于汽車(chē)而言則不是一件輕松的事情。

Moss并不是唯一一個(gè)有這樣想法的人。長(zhǎng)期為黑客及安全研究者擔(dān)任辯護(hù)律師、斯坦福大學(xué)網(wǎng)絡(luò)與安全中心主任Jennifer Granick，繼Moss之后發(fā)言：軟件必須去承擔(dān)責(zé)任。

“我認(rèn)為軟件對(duì)于責(zé)任而言是不可逃避的，同時(shí)這非常有必要。但這會(huì)讓代碼變得更加昂貴，或許目前我們的推動(dòng)工作沒(méi)有價(jià)值，但是這總能發(fā)生的。”

垂死的互聯(lián)網(wǎng)自由之夢(mèng)

互聯(lián)網(wǎng)正飛馳在一條監(jiān)管與審查的，因此所有大眾傳播手段變成了無(wú)價(jià)值訊息的集合。開(kāi)始有點(diǎn)像電視了。

Jennifer Granick給我們帶來(lái)了一絲絲恐懼，因?yàn)楫?dāng)下社會(huì)存在監(jiān)視、審查、內(nèi)容管制以及我們竟然自信地允許這一切發(fā)生。

“20年前，因?yàn)槲蚁嘈乓粋€(gè)自由和開(kāi)放的互聯(lián)網(wǎng)之夢(mèng)，我第一次去DEF CON。我相信在這個(gè)世界上，那些想要對(duì)軟件以及設(shè)備深入學(xué)習(xí)、實(shí)踐、改變、逆向工程的人有自由，而正是他們定義了我們周遭的世界。20年前帶我去DEF CON的那個(gè)互聯(lián)網(wǎng)自由之夢(mèng)，現(xiàn)在正慢慢死去?！?/p>

Granick表示在一味指責(zé)政府，不如一起行動(dòng)起來(lái)推動(dòng)有意義的趨勢(shì)。

現(xiàn)在人們所做的不僅僅是經(jīng)營(yíng)個(gè)人博客，他們還會(huì)在例如Facebook的平臺(tái)上面發(fā)布個(gè)人消息。許多黑客可能在自己的郵件服務(wù)器上運(yùn)行東西，但對(duì)于我們普通的大多數(shù)人，可能是Gmail優(yōu)先。大多數(shù)人使用的手機(jī)設(shè)備沒(méi)有越獄，他們下載應(yīng)用程序并批準(zhǔn)過(guò)度權(quán)限的要求。他們?cè)谒^的云端共享數(shù)據(jù)，但實(shí)際上互聯(lián)網(wǎng)是由數(shù)量有限的幾家公司所控制。

Granick認(rèn)為，首先美國(guó)國(guó)會(huì)應(yīng)該停止嘩眾取寵地制訂更為嚴(yán)苛的網(wǎng)絡(luò)犯罪法律。她指出，沒(méi)有起訴中國(guó)、朝鮮以及俄羅斯這些該為美國(guó)大型數(shù)據(jù)泄露負(fù)責(zé)的APT組織，反而讓計(jì)算機(jī)欺詐和濫用法令（CFAA）更加嚴(yán)格，這么做只會(huì)讓“好人心寒”。

Granick呼吁，大家應(yīng)該支持軟件使用者有權(quán)研究軟件并對(duì)其進(jìn)行修改，同時(shí)CFAA不應(yīng)該對(duì)此加以阻攔。而隨著更多來(lái)自汽車(chē)、家庭自動(dòng)系統(tǒng)等網(wǎng)絡(luò)設(shè)備的實(shí)現(xiàn)，這一需求變得更加重要。

谷歌承諾將每月推送Nexus設(shè)備安全更新

拉斯維加斯的BlackHat黑帽大會(huì)對(duì)谷歌產(chǎn)生了觸動(dòng)，在近期的Stagefright漏洞之后，Google（谷歌）今天宣布，從現(xiàn)在開(kāi)始，將會(huì)每月為Nexus設(shè)備推送一次Android系統(tǒng)安全更新。

獲得安全更新的設(shè)備包括Nexus 4、Nexus 5、Nexus 6、Nexus 7、Nexus 9、Nexus 10和Nexus Player。而首次更新推送從今天開(kāi)始，更新內(nèi)容包括修復(fù)上述Stagefright漏洞。

根據(jù)谷歌方面的承諾，安全更新補(bǔ)丁將面向三年內(nèi)Nexus設(shè)備，以及在谷歌商店銷(xiāo)售的18個(gè)月內(nèi)的其他Android原生系統(tǒng)設(shè)備。

而三星今天也表示，將為旗下的Android智能手機(jī)和平板電腦每月推出一次安全更新。預(yù)計(jì)將會(huì)有越來(lái)越多Android設(shè)備廠商重視安全問(wèn)題，并且做出改進(jìn)。

美國(guó)政府尋求黑客幫忙撰寫(xiě)技術(shù)法律條文

美國(guó)的政治家和決策者們通常都不太懂技術(shù)，經(jīng)常會(huì)聽(tīng)聞某些政客不會(huì)使用電子郵件，到目前為止還在使用翻蓋手機(jī)的事跡。所以美國(guó)政府在寫(xiě)技術(shù)性法律時(shí)要向技術(shù)人員尋求幫助。

近幾年，技術(shù)人員已經(jīng)慢慢的滲透進(jìn)了聯(lián)邦政府，如Ed Felten、Ashkan Soltani、Chris Soghoian和其他的一些技術(shù)人員。Soltani是聯(lián)邦貿(mào)易委員會(huì)的主管，他強(qiáng)調(diào)政府在制定技術(shù)性文件時(shí)需要網(wǎng)絡(luò)安全社區(qū)的幫助，如瓦瑟訥爾出口控制中的技術(shù)問(wèn)題。

Soltani在黑帽大會(huì)上講到：這些都是很重要的辯論，你的參與也至關(guān)重要。辯論過(guò)程可能不會(huì)很有趣，但如果律師和政客們出了錯(cuò)，可能就會(huì)鬧笑話(huà)了。

法律中的技術(shù)問(wèn)題日益嚴(yán)峻，而政府機(jī)構(gòu)職員的技術(shù)水平又完全跟不上步伐，沒(méi)有安全社區(qū)人員的技術(shù)精湛。為了制定出沒(méi)有問(wèn)題的法律，政府強(qiáng)烈呼吁安全研究員和技術(shù)人員參與，給予出更多的建設(shè)性意見(jiàn)。

“我們?cè)诖藢で蟠蠹业膸椭?，只要是好的策略，我們就?huì)采納。趕快加入吧！”

汽車(chē)入侵揭秘

來(lái)自美國(guó)的安全工程師Charlie Miller和 Chris Valasek，給大家?guī)?lái)萬(wàn)眾期待的遠(yuǎn)程操控汽車(chē)研究（之前FreeBuf也有過(guò)報(bào)道）。

會(huì)前兩位演講者還實(shí)地演示，黑入了著名記者Andy Greenberg駕駛的汽車(chē)，操控了方向盤(pán)、剎車(chē)、發(fā)動(dòng)機(jī)、汽車(chē)信號(hào)、車(chē)門(mén)鎖，以及重置時(shí)速表、轉(zhuǎn)速表和控制變速器。這也成為菲亞特克萊斯勒召回140萬(wàn)輛汽車(chē)的緣由。們證明了可以從任何接入互聯(lián)網(wǎng)的地方，“遠(yuǎn)程獲取汽車(chē)的關(guān)鍵功能操作權(quán)限，比如踩下剎車(chē)、讓引擎熄火、把車(chē)開(kāi)下公路，并令所有電子設(shè)備宕機(jī)”

克萊斯勒提供了以下受到影響的車(chē)輛列表：

2013-2015 MY Dodge Viper specialty vehicles

2013-2015 Ram 1500, 2500 and 3500 pickups

2013-2015 Ram 3500, 4500, 5500 Chassis Cabs

2014-2015 Jeep Grand Cherokee and Cherokee SUVs

2014-2015 Dodge Durango SUVs

2015 MY Chrysler 200, Chrysler 300 and Dodge Charger sedans

2015 Dodge Challenger sports coupes

會(huì)議演講者認(rèn)為汽車(chē)智能化的速度太快，以至于安全領(lǐng)域的研究并沒(méi)有跟上發(fā)展，演講者認(rèn)為目前并沒(méi)有完善的方法來(lái)解決這一安全問(wèn)題，需要進(jìn)一步加強(qiáng)產(chǎn)業(yè)研究，學(xué)術(shù)支持，政策規(guī)劃。

政府監(jiān)聽(tīng)可能無(wú)法實(shí)現(xiàn)了

近段時(shí)間，政府官員萌生了一種想法，他們想要獲得某些數(shù)據(jù)庫(kù)的特殊訪問(wèn)權(quán)限。但是托管密鑰的第三方平臺(tái)則強(qiáng)烈反對(duì)，稱(chēng)強(qiáng)制后門(mén)訪問(wèn)不僅會(huì)在系統(tǒng)中引入漏洞，而且還會(huì)破壞系統(tǒng)現(xiàn)有的安全防護(hù)。

為此，技術(shù)人員正在努力的找出一種解決方法，以解決政府機(jī)構(gòu)和法律機(jī)構(gòu)的“Going dark”加密問(wèn)題。

譯解密碼者M(jìn)atthew Green和律師James Denaro在黑帽大會(huì)上做了一個(gè)演講，雖然沒(méi)有找到解決方法，但已經(jīng)從歷史、法律技術(shù)的角度來(lái)看已經(jīng)打破了這一有爭(zhēng)議的話(huà)題。

Green和Denaro從技術(shù)方面指出，特殊訪問(wèn)是一個(gè)很糟糕的主意，更為嚴(yán)重的是，這一問(wèn)題是沒(méi)有地理邊界的。難道說(shuō)要蘋(píng)果公司可以在美國(guó)的執(zhí)法機(jī)構(gòu)安裝一個(gè)后門(mén)嗎？

大家可以想象一下，一旦你有了竊聽(tīng)別人信息的能力，你能保證你不會(huì)去竊聽(tīng)，那些黑客組織能保證嗎？即使建立了一個(gè)合法的安全屏障來(lái)保障這種技術(shù)不會(huì)被濫用，但誰(shuí)能打保票呢。如果ISIS需要加密，他們同樣也可以使用這種方法。

諸如蘋(píng)果的iMessage和Facebook的WhatsApp，像這類(lèi)的移動(dòng)應(yīng)用程序擁有大量的用戶(hù)，而且他們大部分選擇使用端對(duì)端加密的方式，這對(duì)于執(zhí)法機(jī)構(gòu)來(lái)說(shuō)是一個(gè)很大的障礙。

活動(dòng)現(xiàn)場(chǎng)圖片資料：

BlackHat參會(huì)套裝

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。