Cuprins:
- 1 mai mare și mai mare
- 2 Victima succesului
- 3 Provocarea comunității de securitate
- 4 Pistoale cu ultrasunete Atacă Dronuri, Hoverboard
- 5 Sunt Bubbles Viitorul Hacking-ului?
- 6 Bounties Bug și Bere
- 7 Atacarea fermelor eoliene
- 8 Pwnie Express On Guard
- 9 Nu aveți încredere în imprimanta dvs.
- 10 Super colidator
- 11 Hacking a Tesla (din nou)
- 12 Hacking Apple Pay pe Web
- 13 Controlul roboților industriali din Afar
- 14 Ce urmează?
Video: "White hat" hackers vs "black hat" hackers (Noiembrie 2024)
Conferința Black Hat este o șansă pentru cercetători, hackeri și oricine este aproape de lumea securității să se adune și să învețe unul de la altul. Este o săptămână de ședințe, antrenamente și, inevitabil, unele decizii slabe în zona mai mare din Las Vegas.
În al 20-lea an, Black Hat 2017 a început pe o notă reflectorizantă. Alex Stamos, CSO de Facebook, s-a uitat în urmă în primele sale zile la conferință. Pentru el, a fost un loc pentru a fi acceptat și pentru a învăța din comunitate. El a provocat aceeași comunitate să fie mai empatică și să se pregătească pentru următoarea generație de hackeri, primind mai multă diversitate.
Ședințele de Black Hat au fost întotdeauna locul pentru a vedea exemple surprinzătoare și uneori îngrozitoare, de cercetare în domeniul securității. În acest an, am văzut cum să păcălim interfața web a Apple Pay, cum să răsturnăm un hoverboard folosind ulstrasound și am aflat cât de pot fi fermele eoliene vulnerabile la un atac cibernetic.
Într-o sesiune s-a înregistrat întoarcerea unui trio de hackeri Tesla Model S, care au arătat noi atacuri. Cercetările lor vor continua cu siguranță, deoarece vehiculele vor deveni mai conectate. De asemenea, o mare țintă a hackerilor? Imprimante.
O altă discuție remarcabilă a vizat atacarea infrastructurii industriale. Cu două atacuri de succes împotriva rețelei electrice ucrainene anul trecut, securizarea infrastructurii critice precum uzine și fabrici este o problemă majoră. De data aceasta, am văzut cum bule - da, bule obișnuite - pot fi utilizate ca o sarcină utilă rău intenționată pentru a distruge pompele scumpe și critice.
Poate că cea mai remarcabilă realizare a emisiunii din acest an a fost în domeniul criptoanalizei. Folosind tehnici sofisticate, o echipă a fost capabilă să creeze prima coliziune de hașă SHA-1. Dacă nu sunteți sigur ce înseamnă asta, citiți mai departe pentru că este foarte fain.
După 20 de ani, Black Hat este încă etapa principală pentru hackeri. Dar viitorul este incert. Atacurile cibernetice ale statului național au trecut de la o raritate la o apariție regulată, iar miza este mai mare ca niciodată. Cum ne vom descurca încă nu este clar; poate Black Hat 2018 va avea răspunsurile. Până atunci, consultați mai jos câteva dintre momentele mai atrăgătoare din pălăria neagră din acest an.
1 mai mare și mai mare
Pentru aniversarea a 20 de ani a spectacolului, nota principală a avut loc pe un stadion masiv, în locul unei săli mari de conferințe. Spectacolul a crescut la pas și în ultimii ani.
2 Victima succesului
Congestionarea pe holuri a fost o problemă la spectacolul din acest an, iar situațiile precum cea de mai sus nu au fost mai puțin frecvente.
3 Provocarea comunității de securitate
CSO de Facebook Alex Stamos a oferit nota principală 2017 a pălăriei negre într-un discurs care a fost la fel de laudat pentru atmosfera de altădată a familiei de securitate și o provocare de a merge mai bine. El a cerut publicului să fie mai puțin elitist și să recunoască faptul că mizele securității digitale au crescut, citând rolul atacurilor de hacking și informații în alegerile americane din 2016.
4 Pistoale cu ultrasunete Atacă Dronuri, Hoverboard
Dispozitivele folosesc senzori pentru a înțelege lumea din jurul lor, dar unii dintre acești senzori sunt supuși modificării. O echipă de cercetare a demonstrat modul în care pot utiliza ultrasunetele pentru a determina drona să se încurce, hoverboard-urile să se răstoarne și sistemele VR să se rotească incontrolabil. Atacul este limitat deocamdată, aplicațiile ar putea fi de anvergură.
5 Sunt Bubbles Viitorul Hacking-ului?
Probabil că nu, dar Marina Krotofil a demonstrat modul în care atacul sistemului de supapă dintr-o pompă de apă poate fi utilizat pentru a crea bule care să reducă eficiența pompei de apă și, cu timpul, să provoace daune fizice care să conducă la defectarea pompei. Odată cu prezentarea sa, Krotofil a căutat să demonstreze că dispozitivele nesigure, precum valvele, pot ataca dispozitivele sigure, precum pompele, prin mijloace noi. La urma urmei, nu există antivirus pentru bule.
6 Bounties Bug și Bere
În ultimii ani, s-a observat extinderea programelor de recompense a erorilor, în care companiile plătesc cercetătorilor, testerilor de penetrare și hackerilor o sumă de numerar pentru raportarea erorilor. Cercetătorul James Kettle a spus mulțimii la ședința sa cum a asamblat o metodă de testare a 50.000 de site-uri simultan. A avut parte de niște aventuri pe parcurs, dar a câștigat peste 30.000 de dolari în acest proces. El a spus că șeful său a insistat inițial să cheltuiască orice bani câștigați în efortul automat pe bere, dar, având în vedere succesul lui Kettle, au optat să doneze majoritatea pentru caritate și să cheltuiască doar puțin pentru bere.
7 Atacarea fermelor eoliene
Cercetătorul Jason Staggs a condus o evaluare cuprinzătoare a securității fermelor eoliene, ceea ce a condus echipa sa la mai multe centrale electrice de filare de 300 de metri. Nu numai că securitatea fizică era slabă (uneori, doar un lacăt), dar securitatea digitală era și mai slabă. Echipa sa a dezvoltat mai multe atacuri care ar putea reține răscumpărarea fermelor eoliene și chiar pot provoca pagube fizice. Gândiți-vă la Stuxnet, dar pentru lame masive, vârtejitoare, ale morții.
8 Pwnie Express On Guard
Anul trecut, Pwnie Express și-a adus echipamentul de monitorizare a rețelei și a descoperit un atac masiv de punct de acces malefic, care a fost configurat pentru a imita o rețea prietenoasă cu dispozitivele care trec și le invită să se conecteze. În acest an, Pwnie a lucrat cu echipa de securitate a rețelei Black Hat, dar nu a detectat nimic la fel de mare ca atacul de anul trecut - cel puțin, nimic care nu făcea parte dintr-un exercițiu de antrenament într-o sesiune de Black Hat. Acest senzor Pwn Pro a fost unul dintre mai multe plasate pe parcursul conferinței pentru a monitoriza activitatea rețelei.
la
9 Nu aveți încredere în imprimanta dvs.
Imprimantele de rețea au fost privite de mult timp de către cercetători drept ținte principale. Sunt omniprezente, conectate la internet și adesea nu au securitate de bază. Dar Jens Müller a arătat că este ceea ce contează în interior. Folosind protocoalele folosite de aproape fiecare imprimantă pentru a converti fișierele în material tipărit, el a putut efectua o serie de atacuri. El ar putea extrage lucrări de imprimare anterioare și chiar suprapune text sau imagini din documente. Atacurile pe care le-a subliniat vor exista până când cineva va scăpa în sfârșit de aceste protocoale vechi de zeci de ani.
10 Super colidator
Funcțiile Hash sunt peste tot, dar aproape invizibile. Sunt obișnuiți să verifice contractele, să semneze digital și chiar să securizeze parole. O funcție hash, precum SHA-1, convertește fișierele într-un șir de numere și litere și nu se presupune că două sunt aceleași. Dar cercetătorul Elie Bursztein și echipa sa au conceput o modalitate prin care două fișiere diferite să termine cu același hash. Aceasta se numește coliziune și înseamnă că SHA-1 este la fel de mort ca un cui de ușă.
11 Hacking a Tesla (din nou)
În 2016, un trio de cercetători au arătat cum au reușit să preia controlul asupra unui model Tesla S. În acest an, cercetătorii din Tencent KeenLab s-au întors să meargă pas cu pas cu atacul lor. Dar nu a fost totul recapitulativ: au examinat și atenuarea lui Tesla cu privire la atacul inițial și au prezentat atacurile lor noi; echipa a arătat o pereche de mașini care își aprind luminile și își deschideau ușile la timp pentru muzică.
12 Hacking Apple Pay pe Web
Când a fost lansată pentru prima dată, am scris pe larg despre Apple Pay, lăudând simbolizarea datelor despre cardurile de credit și modul în care Apple nu a putut să-ți urmărească achizițiile. Dar Timur Yunusov nu a fost convins. El a descoperit că este posibil să înfundați acreditările și să efectuați un atac de redare utilizând Apple Pay pe web. Mai bine să fiți cu ochii pe facturile cu cardul de credit.
13 Controlul roboților industriali din Afar
Un trio de cercetători, reprezentând o echipă din Politecnico di Milano și Trend Micro, și-au prezentat concluziile cu privire la securitatea roboților. Nu Roombas-ul tău prietenos, ci roboții puternici și puternici industriali găsiți în fabrici. Au descoperit mai multe puncte slabe critice care ar putea permite unui atacator să preia controlul unui robot, să introducă defecte în procesele de fabricație și chiar să dăuneze operatorilor umani. Mai tulburătoare este descoperirea că există multe mii de roboți industriali conectați la internet.
14 Ce urmează?
Black Hat este realizat pentru încă un an, dar cu o securitate digitală mai vizibilă și mai valoroasă ca oricând, anul viitor va fi sigur că va avea câteva surprize interesante.
