Black Hat USA 2021是该知名网络安全盛会的第24年，会议以独特的线上和线下结合的体验方式开展。为期四天的在线实时虚拟培训（7月31日至8月3 日），所有讲师都可以在每个课程中进行连线。两天的主题会议（8月4日至5日）以简报会、兵工厂（Arsenal）、业务厅等为特色，在拉斯维加斯提供虚拟（在线）活动和现场面对面活动。本年度的美国黑帽网络安全大会上，从现场与会者的发言和来自全球安全研究人员的线上交流内容来看，移动平台和开源软件成为了最受关注的关键网络安全问题。其次，DNS即服务正在为企业网络开辟一条开放的高速路，GPT-3的高级文本功将受到虚假消息攻击的青睐，最后是攻击者也有勒索软件的困扰。

　　黑帽（Black Hat）创始人杰夫·莫斯（Jeff Moss）在开幕式的主旨演讲中总结了网络安全界的普遍感受。网络安全界经受住了勒索软件攻击的爆炸、重大供应链攻击，以及俄罗斯、中国、朝鲜和伊朗发展成为严重的民族国家黑客行动的考验。

　　莫斯说：“我们只是意识到自己脸上挨了一拳，我们正在想办法解决这个问题。”“这几年压力真的很大。”

　　以下是本届黑帽大会议题的五大关注要点：

　　1. 移动平台成为恶意行为者的下一个攻击重点

　　越来越多的证据表明，威胁行为者正将大量资源用于利用移动平台的漏洞。全球约有60亿智能手机用户，这是一个非常有吸引力的机会，不容错过。

　　针对移动设备的攻击与“零日漏洞”（zero-day exploit）的增加同时发生，这些漏洞在安全领域是未知的，因此没有得到修补。

　　“零日”漏洞利用是由市场驱动的，基于供给和需求。去年，“零日”经纪公司Zerodium宣布暂停收购苹果iOS漏洞，因为提交的漏洞数量过多。去年夏天，一个iPhone零日漏洞让网络犯罪分子得以侵入36名国际记者的移动设备。

　　Corellium LLC首席运营长、英国国家安全局（National Security Administration，简称GCHQ）前分析师马特？泰特（Matt Tait）做的研究表明，这个问题正变得越来越严重。

　　泰特告诉与会者：“针对移动电话设备的”零日“漏洞正在被急剧利用。”“我们只能看到世界上可能发生的事情的一小部分。”

　　部分问题在于，一些移动平台的架构产生了自己的一系列问题。谷歌Zero项目的安全研究员娜塔莉·西尔瓦诺维奇（Natalie Silvanovich）对手机短信漏洞进行了分析，发现一个用户可以在未经对方同意的情况下打开另一个用户的摄像头或音频。

　　她在FaceTime、Signal、Facebook Messenger、JioChat和Mocha中发现了各种漏洞，这些漏洞都已被报告并修复。

　　西尔瓦诺维奇说：“在未经用户同意的情况下打开别人的相机，拍一些照片，这是相当令人担忧的。”

　　2. 开源社区需要更加关注安全

　　就其本质而言，开源模型并不是用来生成完全安全的代码的。当您拥有来自世界各地的数百万贡献者、重要软件工具的免费可用资源以及不断变化的维护人员时，安全性很容易被忽略。

　　问题是，威胁行为者也知道这一点，他们正在趁机牟利。2017年的Equifax黑客事件暴露了1.47亿人的个人信息，原因是该事件利用了Apache Struts的一个未修补的开源版本的漏洞。

　　威胁涉及到开发人员使用的工具以及它们的存储位置。去年12月有报道称，两个恶意软件包被发布到NPM （JavaScript开发者用来共享代码块的代码库）。此外，GitGuardian的一项分析发现，仅在2020年，就有200万个“秘密”口令和身份凭证存储在公共Git存储库中。

　　NCC Group高级副总裁兼全球研究主管Jennifer Fernick表示：“情况并没有好转，此外，应用程序的复杂性也在增加。”“开源软件中报告的漏洞数量每年都在增长。如果没有认真和协调的干预，我认为情况会变得更糟。”

　　3.DNS即服务正在为企业网络开辟一条开放的高速路

　　域名系统（DNS）的漏洞早已为人所知，但一组安全研究人员最近进行了一项简单的实验，发现了更加令人不安的结果。

　　DNS是开放互联网背后的一项基础技术，它有助于IP网络上计算机之间的通信。DNS服务已经在各种云提供商中扩展，它们提供DNSaaS（ DNS-as-a-Service）作为托管企业网络解决方案。

　　Wiz安全研究人员Shir Tamari和Ami Luttwak发现了这个问题。注册一个域名，然后使用它劫持一个DNSaaS提供商的域名服务器，允许用户窃听动态DNS流量。研究人员利用一台被劫持的服务器，窃听了15000个组织的DNS流量。

　　Tamari和Luttwak表示，六家主要DNSaaS提供商中的两家已经修复了这些缺陷。

　　“DNS是互联网的命脉，也是最重要的服务之一，”Luttwak说。“一个简单的域名注册让我们访问了数千家公司和数百万台设备。当我们深入挖掘时，我们发现这些受影响机构来自财富500强公司和100多家政府机构。”

　　4. GPT-3的高级文本功能让虚假消息攻击者垂涎三尺

　　作为OpenAI内部的一个高级项目，GPT-3生成类人文本的能力是强大的，令人信服的，据乔治城大学的两名安全研究人员称，它可能非常危险。

　　备注：生成式预训练变换3（GPT-3，Generative Pre-trained Transformer 3）是一种自回归语言模型，使用深度学习来生成类人文本。这是位于美国旧金山的人工智能研究实验室OpenAI开发的GPT-n系列中的第三代语言预测模型。

　　人工智能文本生成器是迄今为止最大的神经网络，它可以在给定文本提示或句子的情况下返回完全可以理解的写作段落。GPT-3还可以生成可用的计算机代码，甚至还写了一篇关于它自己的内容丰富的博客文章。会出什么问题呢？

　　OpenAI为乔治城大学安全与新兴技术中心的研究分析师德鲁·罗恩（Drew Lohn）和迈卡·马瑟（Micah Musser）提供了自动化语言工具。他们有六个月的时间来研究它会造成什么样的损害。

　　利用不同的对照组，研究人员测试了多个关于政治或社会问题的样本，看看读者是否能区分出人类和机器写的东西的区别。当GPT-3被要求将美联社（Associated Press）的两篇合法新闻报道改写成支持唐纳德·特朗普（donald Trump）或反对前总统的文章时，一个专家小组无法分辨出其中的区别。

　　研究人员指出，GPT-3尤其擅长在极少的指令下生成推文，它的速度和准确性使得从一个社交媒体账户传播大量信息成为可能。

　　“我不确定这些后果是否得到了应有的充分考虑，”罗恩说。“这些技术有很多潜在的好处。我们需要讨论这类决定。”

　　5. 黑客也有勒索软件攻击的问题

　　随着时间的推移，网络安全界开始更清楚地了解国家黑客使用的方法和操作方法，以及他们的问题。

　　IBM公司（IBM Corp.）X-Force的安全研究人员一直在分析“IBM威胁18组织” （Threat Group 18）的漏洞利用，该集团在网络安全领域与伊朗的网络战争组织Charming Kitten存在重叠。与其他国家的黑客行动不同，ITG18在让自己的工作远离公众视线方面非常松懈，而且似乎并不特别担心这一点。

　　该组织一直在对制药公司、记者和伊朗持不同政见者进行网络钓鱼攻击。去年5月，IBM研究人员发现了该组织发布的一系列培训视频。除了提供如何测试访问权限和从被入侵账户中窃取数据的指南，这些视频还暴露了与组织成员伊朗电话号码有关的网站信息。这些材料显示，黑客在解决验证码时遇到了问题，就像我们中的许多人一样，并提供了证据，表明由于安全性差，他们自己也是勒索软件攻击的受害者。

　　“在过去的18个月里，我们继续看到这个群体的错误，”IBM Security X-Force分析师艾莉森·威科夫（Allison Wickoff）说。“我们认为，如果能改变规则的话，让我们正在对付的对手变得更人性化，会很棒。”