本文轉(zhuǎn)載來自FreeBuf黑客與極客（FreeBuf.COM）

一年一度黑客大會BlackHat正在賭城拉斯維加斯如期舉行，全世界頂級黑客再度聚首，集思廣益，技術與觀點的交匯相觸。下面是BlackHat 2015首日的精華內(nèi)容。

Blackhat創(chuàng)始人：軟件商，請不要再逃避責任了

漏洞、缺陷、安全隱患作為軟件內(nèi)部問題而時刻存在，當用戶安裝了一個應用時，他就被迫接受用戶許可協(xié)議，即賣方不承擔由此造成的傷害。BlackHat創(chuàng)始人Jeff Moss說：“是時候，軟件應該承擔不可逃避的責任了?！?/p>

周三，Moss在大會開幕致辭中說：“我討厭承認這點，但我確實沒有看到軟件承擔更多責任?；蛟S這會耗費一美元，甚至是1000萬美元，但軟件未來肯定要對此負責?！?/p>

立法者多年來一直在討論軟件供應商承擔責任的可能性。這個想法已經(jīng)被多次重構，但卻從來沒有實施過。其中一個主要原因是軟件制造商們的努力贏得了戰(zhàn)斗的勝利。行業(yè)組織與獨立軟件供應商一直拒絕為自身設備的缺陷或安全漏洞承擔責任。

但情況正在發(fā)生急轉(zhuǎn)。軟件現(xiàn)在并不僅僅存在于筆記本、臺式機和服務器中，同時存在于飛機、汽車、家電等許多設備中。如果一臺筆記本中的軟件有漏洞，這可能只是個獨立事件。而一旦飛機上航空電子設備軟件出現(xiàn)問題，這個影響則是不可同日而語的。

Moss提醒大家，想想波音公司，現(xiàn)在那些飛機臨駕于數(shù)據(jù)中心之上。

近期有兩位研究人員開發(fā)的針對智能汽車軟件的遠程攻擊表明，傳統(tǒng)軟件存在的問題許多也同樣存在于運行車輛的應用程序中。而想要從攻擊或者軟件漏洞中恢復，對于汽車而言則不是一件輕松的事情。

Moss并不是唯一一個有這樣想法的人。長期為黑客及安全研究者擔任辯護律師、斯坦福大學網(wǎng)絡與安全中心主任Jennifer Granick，繼Moss之后發(fā)言：軟件必須去承擔責任。

“我認為軟件對于責任而言是不可逃避的，同時這非常有必要。但這會讓代碼變得更加昂貴，或許目前我們的推動工作沒有價值，但是這總能發(fā)生的?！?/p>

垂死的互聯(lián)網(wǎng)自由之夢

互聯(lián)網(wǎng)正飛馳在一條監(jiān)管與審查的，因此所有大眾傳播手段變成了無價值訊息的集合。開始有點像電視了。

Jennifer Granick給我們帶來了一絲絲恐懼，因為當下社會存在監(jiān)視、審查、內(nèi)容管制以及我們竟然自信地允許這一切發(fā)生。

“20年前，因為我相信一個自由和開放的互聯(lián)網(wǎng)之夢，我第一次去DEF CON。我相信在這個世界上，那些想要對軟件以及設備深入學習、實踐、改變、逆向工程的人有自由，而正是他們定義了我們周遭的世界。20年前帶我去DEF CON的那個互聯(lián)網(wǎng)自由之夢，現(xiàn)在正慢慢死去。”

Granick表示在一味指責政府，不如一起行動起來推動有意義的趨勢。

現(xiàn)在人們所做的不僅僅是經(jīng)營個人博客，他們還會在例如Facebook的平臺上面發(fā)布個人消息。許多黑客可能在自己的郵件服務器上運行東西，但對于我們普通的大多數(shù)人，可能是Gmail優(yōu)先。大多數(shù)人使用的手機設備沒有越獄，他們下載應用程序并批準過度權限的要求。他們在所謂的云端共享數(shù)據(jù)，但實際上互聯(lián)網(wǎng)是由數(shù)量有限的幾家公司所控制。

Granick認為，首先美國國會應該停止嘩眾取寵地制訂更為嚴苛的網(wǎng)絡犯罪法律。她指出，沒有起訴中國、朝鮮以及俄羅斯這些該為美國大型數(shù)據(jù)泄露負責的APT組織，反而讓計算機欺詐和濫用法令（CFAA）更加嚴格，這么做只會讓“好人心寒”。

Granick呼吁，大家應該支持軟件使用者有權研究軟件并對其進行修改，同時CFAA不應該對此加以阻攔。而隨著更多來自汽車、家庭自動系統(tǒng)等網(wǎng)絡設備的實現(xiàn)，這一需求變得更加重要。

谷歌承諾將每月推送Nexus設備安全更新

拉斯維加斯的BlackHat黑帽大會對谷歌產(chǎn)生了觸動，在近期的Stagefright漏洞之后，Google（谷歌）今天宣布，從現(xiàn)在開始，將會每月為Nexus設備推送一次Android系統(tǒng)安全更新。

獲得安全更新的設備包括Nexus 4、Nexus 5、Nexus 6、Nexus 7、Nexus 9、Nexus 10和Nexus Player。而首次更新推送從今天開始，更新內(nèi)容包括修復上述Stagefright漏洞。

根據(jù)谷歌方面的承諾，安全更新補丁將面向三年內(nèi)Nexus設備，以及在谷歌商店銷售的18個月內(nèi)的其他Android原生系統(tǒng)設備。

而三星今天也表示，將為旗下的Android智能手機和平板電腦每月推出一次安全更新。預計將會有越來越多Android設備廠商重視安全問題，并且做出改進。

美國政府尋求黑客幫忙撰寫技術法律條文

美國的政治家和決策者們通常都不太懂技術，經(jīng)常會聽聞某些政客不會使用電子郵件，到目前為止還在使用翻蓋手機的事跡。所以美國政府在寫技術性法律時要向技術人員尋求幫助。

近幾年，技術人員已經(jīng)慢慢的滲透進了聯(lián)邦政府，如Ed Felten、Ashkan Soltani、Chris Soghoian和其他的一些技術人員。Soltani是聯(lián)邦貿(mào)易委員會的主管，他強調(diào)政府在制定技術性文件時需要網(wǎng)絡安全社區(qū)的幫助，如瓦瑟訥爾出口控制中的技術問題。

Soltani在黑帽大會上講到：這些都是很重要的辯論，你的參與也至關重要。辯論過程可能不會很有趣，但如果律師和政客們出了錯，可能就會鬧笑話了。

法律中的技術問題日益嚴峻，而政府機構職員的技術水平又完全跟不上步伐，沒有安全社區(qū)人員的技術精湛。為了制定出沒有問題的法律，政府強烈呼吁安全研究員和技術人員參與，給予出更多的建設性意見。

“我們在此尋求大家的幫助，只要是好的策略，我們就會采納。趕快加入吧！”

汽車入侵揭秘

來自美國的安全工程師Charlie Miller和 Chris Valasek，給大家?guī)砣f眾期待的遠程操控汽車研究（之前FreeBuf也有過報道）。

會前兩位演講者還實地演示，黑入了著名記者Andy Greenberg駕駛的汽車，操控了方向盤、剎車、發(fā)動機、汽車信號、車門鎖，以及重置時速表、轉(zhuǎn)速表和控制變速器。這也成為菲亞特克萊斯勒召回140萬輛汽車的緣由。們證明了可以從任何接入互聯(lián)網(wǎng)的地方，“遠程獲取汽車的關鍵功能操作權限，比如踩下剎車、讓引擎熄火、把車開下公路，并令所有電子設備宕機”

克萊斯勒提供了以下受到影響的車輛列表：

2013-2015 MY Dodge Viper specialty vehicles

2013-2015 Ram 1500, 2500 and 3500 pickups

2013-2015 Ram 3500, 4500, 5500 Chassis Cabs

2014-2015 Jeep Grand Cherokee and Cherokee SUVs

2014-2015 Dodge Durango SUVs

2015 MY Chrysler 200, Chrysler 300 and Dodge Charger sedans

2015 Dodge Challenger sports coupes

會議演講者認為汽車智能化的速度太快，以至于安全領域的研究并沒有跟上發(fā)展，演講者認為目前并沒有完善的方法來解決這一安全問題，需要進一步加強產(chǎn)業(yè)研究，學術支持，政策規(guī)劃。

政府監(jiān)聽可能無法實現(xiàn)了

近段時間，政府官員萌生了一種想法，他們想要獲得某些數(shù)據(jù)庫的特殊訪問權限。但是托管密鑰的第三方平臺則強烈反對，稱強制后門訪問不僅會在系統(tǒng)中引入漏洞，而且還會破壞系統(tǒng)現(xiàn)有的安全防護。

為此，技術人員正在努力的找出一種解決方法，以解決政府機構和法律機構的“Going dark”加密問題。

譯解密碼者Matthew Green和律師James Denaro在黑帽大會上做了一個演講，雖然沒有找到解決方法，但已經(jīng)從歷史、法律技術的角度來看已經(jīng)打破了這一有爭議的話題。

Green和Denaro從技術方面指出，特殊訪問是一個很糟糕的主意，更為嚴重的是，這一問題是沒有地理邊界的。難道說要蘋果公司可以在美國的執(zhí)法機構安裝一個后門嗎？

大家可以想象一下，一旦你有了竊聽別人信息的能力，你能保證你不會去竊聽，那些黑客組織能保證嗎？即使建立了一個合法的安全屏障來保障這種技術不會被濫用，但誰能打保票呢。如果ISIS需要加密，他們同樣也可以使用這種方法。

諸如蘋果的iMessage和Facebook的WhatsApp，像這類的移動應用程序擁有大量的用戶，而且他們大部分選擇使用端對端加密的方式，這對于執(zhí)法機構來說是一個很大的障礙。

活動現(xiàn)場圖片資料：

BlackHat參會套裝

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。