Acasă opinii 10 atacuri de hackeri mai scumpe din pălărie neagră 2014

10 atacuri de hackeri mai scumpe din pălărie neagră 2014

Cuprins:

Video: Blackhat (2014) - It's Not About Zeroes or Ones Scene (10/10) | Movieclips (Noiembrie 2024)

Video: Blackhat (2014) - It's Not About Zeroes or Ones Scene (10/10) | Movieclips (Noiembrie 2024)
Anonim

Black Hat în acest an a fost două zile intense de informări, în timp ce cercetătorii de securitate au demonstrat cât de ușor a fost să te bagi în mașini, termostate, comunicații prin satelit și hoteluri. În același timp, au existat o mulțime de conversații despre cum să îmbunătățim siguranța. Cele zece propuneri de politici din discursul principal al lui Dan Geer s-au concentrat pe crearea lumii într-un loc mai bun, prin îmbunătățirea abordării noastre de securitate a informațiilor. Printre problemele pe care le-a abordat se număra cursa actuală a armelor cu vulnerabilitate, software-ul învechit și nevoia de a trata securitatea informațiilor ca o profesie. Cu toții ne-am îndepărtat cu capul înotând cu fapte, idei și - mai ales - preocupări. Deci foarte multe preocupări.

Unul din lucrurile pe care te poți baza întotdeauna la Black Hat este să auzi despre vulnerabilități în lucruri pe care nici măcar nu credeai că ar putea fi atacate. Este liniștitor să știi că aceste demonstrații sunt în primul rând academice și că în prezent aceste probleme nu sunt exploatate în sălbăticie. Dar, în același timp, este înfricoșător să realizezi că, dacă prezentatorii de Black Hat au descoperit defectele, cine va spune că altcineva cu intenții mult mai rău intenționate (și posibil o finanțare mai bună) nu are, sau nu?

Luați în considerare acest lucru: am auzit despre hacking bancomatele de la Black Hat acum trei ani, iar infractorii au început să jefuiască bancomatele în Europa tocmai în acest an. În acest an au fost cel puțin trei ședințe despre modul în care terminalele de vânzare pentru carduri cip și PIN pot fi hackate. Dacă nu ne ascultăm și nu asigurăm infrastructura de plată, în trei ani, vom vedea o altă încălcare a proporțiilor de tip Target prin carduri cip și PIN? Acesta este un gând cu adevărat înfricoșător.

Este posibil ca Black Hat 2014 să se termine, dar vom vorbi despre lucrurile șocante pe care le-am văzut acolo de destul de mult timp. Sperăm că vor fi lecții învățate care au dus la soluții implementate și nu la fel de multe oportunități ratate care au condus la crime teribile.

Iată că Security Watch ia în considerare lucrurile pe care le-am văzut la Black Hat, care ne vor ține noaptea.

    1 1. Internet de eșec

    Apararea computerului sau a telefonului este destul de ușoară; urmează doar câteva sfaturi de bun-simț și instalează software de securitate și ești bine să mergi. Dar ce zici de Internet of Things? În sesiune după sesiune, cercetătorii au arătat că dispozitivele critice conectate la Internet erau ușor accesibile. Echipa care hacking termostatul inteligent Nest și-a atras atacul până la 15 secunde și acum lucrează greu la un atac peste aer. Billy Rios a găsit parolele implicite codate în mașinile de scanare mandatate pentru a fi utilizate la punctele de control TSA din toată țara. Încă suntem uimiți de hack-ul de 15 secunde.
  • 2 2. Hacking Linii aeriene, navele și multe altele!

    În ceea ce privește spațiile în aer liber, dispozitivele pe care navele, avioanele, jurnaliștii și (poate) militarii se bazează pentru a comunica nu sunt la fel de sigure cum am crezut noi. Ruben Santamarta de la IOActive a demonstrat că multe dintre aceste sisteme au spate în aer, în mod evident pentru întreținere sau recuperare de parolă. Chiar dacă unele dintre părțile din spate erau presupuse securizate, el a fost capabil să eludeze garanțiile. Atacul care s-a lovit cel mai aproape de casă a fost, în mod surprinzător, afirmația lui Santamarta potrivit căreia el ar putea să pirateze avioane folosind Wi-Fi inflight. El a fost clar că acest lucru nu-l va lăsa să „prăbușească avioane”, dar a mai arătat că comunicațiile critice circulă prin același sistem. În discuția sa, el a piratat un far de distres nautic pentru a afișa un slot de video în loc de un SOS. Luați în considerare același tip de hack pe jetul dvs. jumbo și vă faceți ideea cât de îngrijorător ar putea fi acest lucru.
  • 3 3. Furarea parolelor cu Google Glass, smartwatches, smartphone-uri și camere video

    Există mai multe modalități de a fura o parolă, dar o abordare inedită îi permite pe băieții răi (sau o agenție guvernamentală) să vă discerne frapele de taste, fără să vă vedeți ecranul sau să instalați malware. Un prezentator la Black Hat și-a arătat noul său sistem care citește automat parolele cu o precizie de 90%. Funcționează chiar și atunci când ținta este la nivelul străzii, iar atacatorul are patru povești în sus și peste drum. Metoda funcționează cel mai bine cu camere video digitale, dar echipa a descoperit că smartphone-urile, ceasurile inteligente și chiar Google Glass ar putea fi folosite pentru a capta video utilizabil la distanță scurtă. Oglinzi de sticlă, într-adevăr!

    Imagine prin intermediul utilizatorului Flickr Ted Eytan

    4 4. Uitați de MasterKey, Meet Fake ID

    Jeff Forristal a transformat capul anul trecut, când a dezvăluit așa-numita vulnerabilitate MasterKey care ar putea lăsa aplicațiile rău intenționate să treacă singure ca fiind legitime. Anul acesta, a revenit cu Fake ID, care profită de defectele fundamentale în arhitectura de securitate a Android. Mai exact, cum aplicațiile semnează certificatele și modul în care Android procesează aceste certificate. Rezultatul practic este că, cu o aplicație rău intenționată, care nu necesită permisiuni speciale, Forristal a fost capabil să injecteze cod rău intenționat în cinci aplicații legitime de pe un telefon. De acolo, el a avut acces profund și cunoștințe despre ce a fost telefonul infectat.

    Imagine prin intermediul utilizatorului Flickr JD Hancock

    5 5. Un USB malefic ar putea prelua computerul

    Ați auzit că unitățile USB pot fi periculoase dacă nu dezactivați redarea automată. Cea mai recentă amenințare bazată pe USB este mult mai gravă. Prin hacking-ul firmware-ului USB, o pereche de cercetători au gestionat o mare varietate de hack-uri pe mașinile Windows și Linux, inclusiv echivalentul unui virus din sectorul de pornire. Unitatea lor USB imitați a emulat o tastatură USB și a comandat unui sistem de testare să descarce malware. Acesta a oferit un hub Ethernet fals într-un alt test, așa că atunci când victima a vizitat PayPal în browser, a mers efectiv la un site de imitare PayPal care fura parolă. Acesta nu a fost doar un exercițiu teoretic; au demonstrat acestea și alte hasturi la scară. Nu vom mai privi niciodată un dispozitiv USB la fel!

    Imagine prin intermediul utilizatorului Flickr Windell Oskay

    6 6. Are radio? Hai să-l piratăm!

    Radio poate părea o tehnologie învechită în epoca Internetului, dar este în continuare cea mai bună modalitate pentru dispozitive precum monitoare pentru copii, sisteme de securitate pentru locuințe și startere pentru mașini la distanță pentru a transmite informații fără fir. Și asta îl face o țintă principală pentru hackeri. Într-o discuție, Silvio Cesare a arătat cum a învins pe fiecare dintre acestea, la rândul său, folosind un radio definit de software și un pic de zel hobbyist. Nu a fost singura lui discuție pe radio definită de software. Balint Seeber a povestit o mulțime cum a putut să asculte mâncărurile cu radar de trafic aerian și să urmărească obiecte aproape de nivelul solului. Nu este la fel de înfricoșător, dar foarte fain.

    Imagine prin intermediul utilizatorului Flickr, Martin Fisch

    7 7. Nu putem opri malware-ul guvernamental

    Ați auzit despre viermii Stuxnet, sponsorizați de guvern, care au sabotat programul nuclear al Iranului, generalii chinezi dați în judecată de guvernul nostru pentru hacking și multe altele. Directorul de cercetare al F-Secure, Mikko Hypponen, a avertizat că programele malware sponsorizate de guvern sunt de mai mult decât îți dai seama și vor crește doar cu timpul. Cu resursele unui stat nație în spatele lor, aceste atacuri pot fi aproape imposibil de blocat. Dacă nu credeți că propriul nostru guvern nu se va opri atât de jos, a trecut printr-o colecție de oferte de posturi de către contractori militari în căutarea specifică a malware și a exploatatilor scriitori.

    Imagine prin intermediul utilizatorului Flcikr, Kevin Burkett

    8 8. Un Swipe Hacks are cititoare de carduri de credit

    După încălcările de vânzare cu amănuntul din 2013 și 2014, toată lumea vorbește despre lansarea actuală a cardurilor cip-și-PIN. Se dovedește că, dacă nu schimbăm modul în care funcționează procesarea plăților, tranzacționăm doar un set de probleme pentru altul. Am văzut, de asemenea, cum dispozitivele mobile de punct de vânzare care se ocupă de cipuri și cărți PIN pot fi compromise folosind carduri realizate cu răutate. Atacatorii pot doar glisa o carte în cititor și încărcați un troian care recoltează codurile PIN pe cititor. O a doua carte necinstită copiază apoi fișierul care conține informațiile recoltate. Al doilea card ar putea chiar șterge troianul, iar retailerul ar putea să nu fie niciodată la curent cu încălcarea! Acest lucru este suficient pentru a ne face aproape să ne dorim să ne întoarcem la o societate bazată pe numerar.

    Imagine prin intermediul utilizatorului Flickr, Sean MacEntee

    9 9. Unitatea de rețea vă spionează

    Am concentrat foarte mult atenția recent pe routerele de acasă și modul în care atacatorii le compromit. Se pare că dispozitivele de stocare atașate la rețea sunt la fel de problematice, dacă nu chiar mai mult, în conformitate cu Jacob Holcomb, de la Independent Security Evaluators. El a examinat dispozitivele NAS de la 10 producători - Asustor, TRENDnet, QNAP, Seagate, Netgear, D-Link, Lenovo, Buffalo, Western Digital și ZyXEL - și a găsit vulnerabilități la toate. Problemele sunt defecte comune, cum ar fi injecția de comandă, falsificarea cererilor de site-uri, revarsările de buffer, bypass-urile de autentificare și eșecurile, dezvăluirea informațiilor, conturile backdoor, gestionarea deficitară a sesiunii și traversarea directorilor. Combinând unele dintre aceste probleme, atacatorii pot obține controlul deplin asupra dispozitivelor. Ce este pe NAS-ul tău?

    Imagine via Wondferret pentru utilizator Flickr

    10 10. Atacuri asupra dispozitivelor medicale: o problemă a vieții și a morții

    Nimeni din industria securității informației nu a râs de vestea că medicii fostului vicepreședinte Dick Cheney erau îngrijorați de faptul că stimulatorul său de stimulare cardiacă. Dispozitivele medicale rotunde de la Black Hat au privit cum să echilibreze sănătatea pacientului cu securitatea. Ultimul lucru pe care ni-l dorim este securitatea care încetinește asistența medicală, unde secunde pot însemna diferența dintre viață și moarte, a menționat moderatorul Jay Radcliffe. Realizarea sobră că nu putem folosi doar cele mai bune practici normale de securitate pentru dispozitivele medicale ne-a urmat până la DEF CON, unde cercetătorii de la SecMedic au discutat un proiect care examinează vulnerabilitățile în tot felul de dispozitive, inclusiv defibrilatoare . Partea cea mai înfricoșătoare? Multe dintre aceste defecte au fost găsite în decurs de o oră, folosind instrumente open source. Acum chiar nu vrei să mergi la un spital, nu?

    Prin intermediul utilizatorului Flickr, Phalinn Ooi

10 atacuri de hackeri mai scumpe din pălărie neagră 2014