Pălăria neagră 2018: la ce să te aștepți

Pe măsură ce vara se încălzește, cercetătorii în domeniul securității, guvernul și elitele industriei se îndreaptă spre Las Vegas pentru conferința Black Hat, urmată imediat de progenitorul său mai depozitat, DefCon.

Este o sărbătoare de o săptămână cu toate infosecurile, în care cercetătorii încearcă să se unească unul cu celălalt, prezentând cele mai recente vulnerabilități, cele mai înfricoșătoare. După întuneric, sunt petreceri sclipitoare, cu oameni care aruncă întâmplător în jurul unor fraze de genul „am măturat camera pentru dispozitivele de ascultare și am găsit trei!” În pofida acestui raport, vor fi umilii tăi reporteri PCMag, Max Eddy și Neil Rubenking, lipiți strâns de băuturile cu umbrele de hârtie, în timp ce secretele de securitate le sunt șoptite în urechi.

Pălăria Neagră este cunoscută atât pentru performanța sa, cât și pentru cercetarea sa. Anii precedenți au văzut puști Linux hacked, bancomate cu facturi de 100 de dolari, telefoane prin satelit nesigure și mașini „inteligente” de înaltă tehnologie conduse în afara drumului de către cercetători.

Iată ce așteptăm cu nerăbdare în cel de-al 21-lea an al lui Black Hat și urmăriți cu siguranță SecurityWatch pentru cel mai recent articol din Black Hat 2018.

Google în lumina reflectoarelor

Nota principală a acestui an va fi livrată de Parisa Tabriz, director de inginerie la Google. Discuția lui Tabriz se va concentra pe îmbrățișarea de noi idei pentru securitate, chiar și atunci când lucrați la o scară enormă, și va atinge cu siguranță munca ei cu browserul Chrome.



Hacking-ul auto este înapoi (fel de)

După atacul lor, care a alungat literalmente un Jeep în afara drumului, Charlie Miller și Chris Valasek au spus că s-au transformat în cheile de piratare a mașinii. Adică până când s-au implicat în autovehicule. O discuție despre pericolele mașinilor autonome conduse de regii atacurilor auto este sigur că va atrage atenția.



Hacking Humans

Există o glumă comună (dacă este respingătoare) în rândul profesioniștilor din domeniul securității care spune că „cea mai mare vulnerabilitate din orice sistem este între scaun și computer”. Oamenii sunt la fel de ușor păcăliți ca și computerele (poate mai ușor), iar ingineria socială este sigur că este un subiect major. Acest lucru este valabil mai ales că din ce în ce mai multe organizații se confruntă cu stânjeneala de a ceda atacurilor de phishing. Nimeni nu dorește să fie Comitetul Național Democrat în jurul anului 2016 și să-și pulverizeze rețetele înfricoșătoare și de risotto pe web.



Criptare și VPN-uri

Vorbind din experiență, VPN-urile sunt o marfă fierbinte în industria de securitate. Tulburarea globală și dorința de a accesa online streaming video gratuit au determinat popularitatea acestui instrument de securitate odată somnolent și trecut cu vederea. Având în vedere popularitatea lor recentă și opacitatea companiilor implicate, așteptați-vă ca hackerii să se concentreze pe serviciile VPN.

De asemenea, criptarea este tehnologia care face ca totul să funcționeze online, de la păstrarea secretelor în secret până la verificarea identității indivizilor. Este un instrument puternic și, de asemenea, o țintă interesantă. Cercetătorii din convenție sunt siguri că vor prezenta lucrări cu privire la modul de distrugere, slăbire sau eludare a criptării. Nu ne așteptăm la nimic la fel de inovator precum coliziunea cu hash SHA-1, dar o discuție despre un atac cu canal lateral pentru a fura cheile de criptare de la routere pare sunet interesant.



Spargerea (sau utilizarea) Blockchain

Cryptocurrencies sunt îndrăgostiții din lumea interlopă online, precum și investitori în tehnologie. Valoarea lor monetară și existența lor digitală le fac ținte ușoare pentru hackeri, care este subiectul câtorva sesiuni din acest an. Dar este utilizarea tehnologiei de bază blockchain ca mijloc de a stoca informații și de a stabili încredere online, care ar putea genera cele mai interesante cercetări. Unele sesiuni se vor concentra asupra modului de a ataca fundațiile cripto-ului, pentru scopuri nefaste.



Piratează votul

Încercările ruse de a influența alegerile americane din 2016 sunt o chestiune de fapt, potrivit agențiilor americane de informații și de aplicare a legii. Este singura cea mai mare poveste de securitate a informațiilor, de când Snowden se scurge și încă mai continuă. Deși nu am văzut prea multe despre acest subiect anul trecut, hack-urile electorale și mașinile de vot vulnerabile sunt subiecte perene la Black Hat, așa că așteptați-le și în acest an. O sesiune notabilă privește modul de utilizare a graficului social existent pentru a demasca robotii de ruse Twitter.



Autentificarea cu doi factori: Godsend sau blestem?

Google a stricat recent phishing-ul cu utilizarea dispozitivelor fizice cu doi factori și a introdus propria sa linie de chei de securitate la următoarea conferință. Dar fiecare soluție la o problemă de securitate este o nouă oportunitate pentru un cercetător de a se arăta. Suntem siguri că vom vedea unele atacuri asupra sistemelor 2FA.



Hacking in the 21st Century

Black Hat și DefCon sunt cele mai mari evenimente ale anului pentru profesioniștii din domeniul securității și hackerii hobby, așa că este și un moment să privim comunitatea în ansamblu. Deși s-au depus eforturi pentru ca securitatea informațiilor și conferințele să fie mai prietenoase cu femeile, persoanele de culoare, persoanele cu dizabilități și alte grupuri deseori marginalizate în domeniul tehnologic, aceste evenimente sunt locurile în care cauciucul întâlnește drumul. Vor fi mai mult de câteva întâlniri ale diferitelor grupuri și sesiuni care abordează modul de a face infosecul mai primitor. Mai multe sesiuni abordează probleme legate de depresie și PTSD în comunitatea hacking, un subiect care nu este adesea discutat.



Cum să pirati o centrală electrică (sau o uzină de tratare a apei, sau fabrică sau rețea electrică)

Cei mai mulți hackeri sunt doar pentru a face o bătaie rapidă, dar unii atacatori (și actori ai statului național) au ochii asupra premiilor mai mari: infrastructura. Anii precedenți au văzut sesiuni despre cum să distrugă o fabrică cu bule și tactici cu privire la modul de eliminare a sistemelor confuze și personalizate care alcătuiesc majoritatea complexelor industriale.