【《2019中国工业互联网安全态势报告》解读】“2019年工业互联网安全问题主要是四个方面:第一,由于工业主机系统陈旧,工业主机的安全性依然需要重视;第二,工业设备安全性需要提升,包括工业控制系统、物联网系统、数控机床等,要防范利用工业漏洞的针对性攻击;第三,工业互联网平台安全能力参差不齐,虽说已经发布了相关的平台安全标准,但大部分工业互联网平台企业安全建设尚处于初期,没有形成完整的纵深的安全防护;第四,由于新技术的应用,比如标识解析系统、5G技术的大量应用,未来可能会有大规模的安全风险,要提前做好安全防范。”参考来源:https://t.cn/A6bRaMXV
【2020年长三角生态绿色一体化发展示范区国家网络安全宣传周在青浦闭幕】
今天(9月24日)上午,2020年长三角生态绿色一体化发展示范区网络安全攻防大赛决赛在青浦区市西软件信息园举办,大赛主要考察选手对网站和操作系统漏洞的渗透能力以及网络取证分析、社会工程学、密码学、逆向工程、物联网安全等技能,积极培养网络安全人才,助力一体化示范区网络安全整体防护能力不断提升。https://t.cn/A64DpAkJ
今天(9月24日)上午,2020年长三角生态绿色一体化发展示范区网络安全攻防大赛决赛在青浦区市西软件信息园举办,大赛主要考察选手对网站和操作系统漏洞的渗透能力以及网络取证分析、社会工程学、密码学、逆向工程、物联网安全等技能,积极培养网络安全人才,助力一体化示范区网络安全整体防护能力不断提升。https://t.cn/A64DpAkJ
[奥特曼]研究人员刚刚曝光了低功耗蓝牙协议存在的一个严重安全漏洞,其全名为低功耗蓝牙欺骗攻击(简称 BLESA),预计有数十亿计的智能手机、平板 / 笔记本电脑、物联网设备首次影响。与此前普遍涉及配对操作的常见漏洞不同,新型 BLESA 攻击是在易被忽略的蓝牙重新连接过程之后发生的。作为经典蓝牙标准的瘦版本,其旨在节省电能和保障续航。
得益于省电节能的特性,低功耗蓝牙(BLE)已在过去十年里被广泛采用,但相关安全漏洞也不断被研究人员曝光。近日,普渡大学的 7 名学者,就在一项新研究中曝光了 BLE 的重连欺骗漏洞。
配对操作期间,两台 BLE 设备(客户 / 服务端)已经过相互认证,并沟通好了彼此的加密密钥。在将蓝牙设备移出范围,下次又返回时,即可对其进行自动重连。然而研究团队指出,BLE 的官方规范,并未使用足够强的语言来描述重连过程。结果导致在软件供应链的下游,两套系统之间被引入了一个现实的安全隐患。
因为设备重连期间的身份验证是“可选”项,而不是强制性的。若用户设备无法强制 IoT 设备对通信的数据进行身份验证,便很有可能被其绕过。若被附近攻击者绕过了重连验证,便为 BLESA 攻击敞开了大门。具体说来是,攻击者可将带有错误信息的欺骗数据发送到 BLE 设备,并诱使用户或自动化流程作出错误的决定。
目前已知的是,基于 Linux 的 BlueZ IoT 设备、基于 Android 的 Fluoride、以及 iOS 的 BLE 堆栈都易受到 BLESA 攻击,而 Windows 平台上的 BLE 堆栈则相对安全。
得益于省电节能的特性,低功耗蓝牙(BLE)已在过去十年里被广泛采用,但相关安全漏洞也不断被研究人员曝光。近日,普渡大学的 7 名学者,就在一项新研究中曝光了 BLE 的重连欺骗漏洞。
配对操作期间,两台 BLE 设备(客户 / 服务端)已经过相互认证,并沟通好了彼此的加密密钥。在将蓝牙设备移出范围,下次又返回时,即可对其进行自动重连。然而研究团队指出,BLE 的官方规范,并未使用足够强的语言来描述重连过程。结果导致在软件供应链的下游,两套系统之间被引入了一个现实的安全隐患。
因为设备重连期间的身份验证是“可选”项,而不是强制性的。若用户设备无法强制 IoT 设备对通信的数据进行身份验证,便很有可能被其绕过。若被附近攻击者绕过了重连验证,便为 BLESA 攻击敞开了大门。具体说来是,攻击者可将带有错误信息的欺骗数据发送到 BLE 设备,并诱使用户或自动化流程作出错误的决定。
目前已知的是,基于 Linux 的 BlueZ IoT 设备、基于 Android 的 Fluoride、以及 iOS 的 BLE 堆栈都易受到 BLESA 攻击,而 Windows 平台上的 BLE 堆栈则相对安全。
✋热门推荐