可进行渗透测试的无人机将亮相 Black Hat
作者: 日期:2016年08月02日 阅:3,169

安全公司 Bishop Fox 将在今年美国黑帽大会上展示其新的无人机,该无人机可在空中实施渗透测试。

Bishop Fox 执行合伙人弗朗西斯·布朗表示,这能实施空中渗透测试任务的无人机被称为“危险无人机”,并定于当地时间8月3号在拉斯维加斯举行的黑帽大会上进行展示。

640-12

黑帽大会前的访谈上,布朗及其在 Bishop Fox 的研究团队提供了一些“危险无人机”是怎么被打造出来的内部消息,揭示了该无人机的能力,以及为什么这不是一款玩具而是严肃的安全研究工具的原因。

我们之前已经见过一些作为渗透测试概念验证的无人机。但现在,我们想将无人机带上一个新的台阶,向人们展示他们的安全在真正的基于无人机的渗透测试面前是多么有效还是多么无能。

布朗及其团队并非无人机狂热爱好者,他们是职业渗透测试员,他们的正职就是帮助公司企业发现潜在的漏洞。“危险无人机”不是一次性设备,Bishop Fox 将制定打造计划和所属软件公开计划。这些计划包括了想自己打印出零部件所需的3D打印机文件。“危险无人机”采用树莓派超小计算机作为其主要控制器,运行其上的操作系统和应用软件也将会被公布。

“采用树莓派,是因为已形成了以它为中心的成熟的无人机开发生态环境,当然,还有黑客工具。

“危险无人机”上搭载的黑客渗透工具包括多种无线网络黑客应用,可以让研究人员攻击WiFi、蓝牙、ZigBee无线传感和射频识别等协议。“危险无人机”还可扩展出LTE连接,帮助流化机器和摄像头的控制。采用LTE连接控制“危险无人机”而不是用传统的无线电,可使得无人机信号的干扰更加困难。

利用“危险无人机”,安全研究员能有效驱使一台浮在空中的电脑执行本地载荷,进行安全渗透测试。为使飞行时间更长久,Bishop Fox 团队努力减轻了无人机的重量。

整机大约有只800克,因此飞行时间比通常最多撑20分钟的普通商用无人机要久得多,能达到45分钟。

所有部件约合400~500美元,可在1天之内就组装成功。

虽然“危险无人机”预定用于真实的渗透测试,它同样可以用来恶搞有漏洞的谷歌Chromecast电视棒,骚扰受害者。2014黑帽大会上,Bishop Fox 研究员丹·佩特罗展示了基于树莓派的Rickmote工具,在被称为“瑞克摇摆(rickrolling)”的攻击中,佩特罗的装置流出了瑞克·阿斯特利的《永不放弃你》音乐视频。当然,任何内容都可以发送。

“危险无人机”也开启了Rickmote功能,佩特罗指出,Chromecast设备直到2016年都没把那个漏洞补上,很多公司董事会都在用Chromecast设备。

“可以想象一下,CEO走进会议室却突然看到屏幕上冒出瑞克·阿斯特利,会是什么表情?”

“瑞克摇摆”不过是恶作剧,但随着物联网时代不断演进,无论有没有无人机加持,渗透测试员可大展身手的目标都更多了。由于不成熟的物联网产品的存在,如今,无线攻击方式非常受黑客欢迎。

Bishop Fox 不会出售“危险无人机”,但会用其无人机为客户进行渗透测试。

“我们当然会在工作中使用‘危险无人机’,事实上,已经有些测试排号了。”

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章