Video: Black Hat 2016 wrap-up: Same stuff, different year? (Octombrie 2024)
Black Hat este o adunare de cercetători în domeniul securității, hackeri și industrie care se întâlnește la Las Vegas pentru a face trei lucruri: conturează cele mai recente amenințări, arată cum pot fi înfrânți băieții buni și cei răi și lansează atacuri asupra participanților. Anul acesta a înregistrat o mulțime de atacuri înfricoșătoare, inclusiv unul împotriva participanților la spectacole, alături de hacks-uri auto, noi modalități de a fura numerar de la bancomate și de ce este posibil ca becurile inteligente să nu fie atât de sigure cum am crezut. Dar, de asemenea, am văzut o mulțime de motive pentru a spera, cum ar fi învățarea mașinilor să localizeze servere periculoase, folosind Dungeons and Dragons pentru a instrui angajații în gestionarea amenințărilor de securitate și modul în care Apple gestionează securitatea iPhone-ului. A fost, totul spus, un an destul de plin de minte.
Binele
Da, Apple a anunțat un program de recompense pentru buguri la Black Hat. Dar aceasta a fost doar ultimele 10 minute de o prezentare de Ivan Krstic, șeful Apple de inginerie și arhitectură de securitate. Pe parcursul celor 40 de minute precedente, el a oferit o scufundare profundă fără precedent în modul în care Apple protejează dispozitivele și datele utilizatorilor, atât de la maleficii cât și de la sine. Și da, implică utilizarea unui blender cinstit către Dumnezeu.
Pe măsură ce dispozitivele Internet of Things devin din ce în ce mai populare, profesioniștii din securitate sunt din ce în ce mai preocupați. Acestea sunt, până la urmă, dispozitive cu microcomputere conectate la rețele și capabile să ruleze cod. Acesta este visul unui atacator. Vestea bună este, cel puțin în cazul sistemului Philip Hue, crearea unui vierme care să sară de la bec la bec este foarte dificil. Veștile proaste? Aparent este foarte simplu să păcălești sistemele Hue să intre în rețeaua unui atacator.
Fiecare pregătire în domeniul securității în fiecare afacere include avertizarea că angajații nu ar trebui să facă clic pe linkurile din e-mailurile din surse necunoscute. Și angajații continuă să fie duși să facă clic pe ei, indiferent. Dr. Zinaida Benenson, de la Universitatea Erlangen-Nuremberg, a concluzionat că pur și simplu nu este rezonabil să se aștepte ca angajații să reziste curiozității și altor motivații. Dacă doriți ca aceștia să fie James Bond, ar trebui să introduceți asta în fișa postului și să le plătiți în consecință.
O mulțime de cercetări și execuții în materie de securitate pot fi obositoare, dar noile tehnici în învățarea mașinii pot duce curând la un internet mai sigur. Cercetătorii și-au detaliat eforturile pentru a preda mașinile de a identifica serverele de comandă și control botnet, care le permit celor răi să controleze sute de mii (dacă nu milioane) de computere infectate. Instrumentul ar putea ajuta la păstrarea unui capacitate asupra unei astfel de activități nefaste, dar nu a fost o cercetare grea. Pentru a încheia sesiunea lor, cercetătorii au demonstrat modul în care sistemele de învățare automată ar putea fi utilizate pentru a genera o melodie Taylor Swift pasabilă.
Rețeaua hotelieră care cunoaște poate fi în regulă pentru o conferință de aprovizionare cu animale de companie, dar nu și pentru Black Hat. Conferința are propria sa rețea complet separată și un impresionant centru de operații al rețelei pentru a-l gestiona. Vizitatorii se pot uita prin peretele de sticlă la numeroasele ecrane strălucitoare, filme de hackeri și experți de securitate pe termen lung în NOC, care se ambalează în întregime și se mută în întreaga lume la următoarea conferință Black Hat.
Tricile de securitate IT și hackerii cu pălării albe pur și simplu nu pot obține suficient de multe instruiri de securitate, dar nu sunt cele care au nevoie cu adevărat de ele. Personalul de vânzări, echipa de resurse umane și echipajul centrului de apeluri nu înțeleg sau apreciază neapărat instruirile de securitate și, cu toate acestea, ai nevoie cu adevărat de ele pentru a-și intensifica jocul de securitate. Cercetătorul Tiphaine Romand Latapie a sugerat refacerea pregătirii pentru securitate ca joc de rol. Ea a descoperit că a funcționat total și a produs o nouă implicare semnificativă între echipa de securitate și restul personalului. Temnițe și dragoni, cineva?
Apelurile telefonice înșelătorie sunt o problemă uriașă. Scam-urile IRS îi conving pe americani neprosperați să-și procure banii. Resetarea parolelor înșelăciile înșelează centrele de apeluri pentru a oferi date despre clienți. Profesoara Judith Tabron, lingvistă criminalistică a analizat apelurile adevărate înșelătorie și a conceput un test în două părți pentru a vă ajuta să le localizați. Citiți acest lucru și aflați, OK? Este o tehnică simplă și demnă.
Înfricoșarea
Pwnie Express construiește dispozitive care monitorizează spațiul aerian al rețelei pentru orice neadevăr și este un lucru bun, de asemenea, deoarece compania a descoperit un atac masiv Man-in-the-Middle la Black Hat în acest an. În acest caz, un punct de acces rău intenționat și-a schimbat SSID-ul pentru a păcăli telefoanele și dispozitivele să se alăture rețelei, crezând că este o rețea sigură și prietenoasă pe care dispozitivul o văzuse înainte. În acest sens, atacatorii au păcălit vreo 35.000 de oameni. Deși este minunat că compania a reușit să detecteze atacul, faptul că a fost atât de masiv este o amintire a succesului acestor atacuri.
Anul trecut, Charlie Miller și Chris Valasek au prezentat ceea ce mulți au presupus că a fost culmea carierei lor de hacking auto. S-au întors anul acesta cu atacuri și mai îndrăznețe, cele care sunt capabile să aplice frânele sau controlul butonului volanului când mașina se deplasează cu orice viteză. Atacurile anterioare nu puteau fi efectuate decât atunci când mașina circulă la 5 Mph sau mai puțin. Aceste noi atacuri ar putea reprezenta un risc mare pentru șoferi și vor spera cu rapiditate de producătorii auto. La rândul lor, Valasek și Miller au spus că au terminat mașini de hacking, dar i-au încurajat pe alții să urmeze pe urmele lor.
Dacă îl urmăriți pe domnul Robot, știți că este posibil să infectați computerul unei victime, strecurând unități USB în jurul parcării. Dar funcționează cu adevărat? Elie Bursztein, lider de cercetare antifraudă și abuz la Google, a prezentat o discuție în două părți pe această temă. Prima parte a detaliat un studiu care a arătat clar că funcționează (iar parcările sunt mai bune decât holurile). A doua parte a explicat, în mare detaliu, exact cum se construiește o unitate USB care ar prelua în totalitate orice computer. Ai luat note?
Dronele au fost un element fierbinte în ultimul sezon de cumpărături de vacanță, și poate nu doar pentru geeki. O prezentare a arătat cum DJI Phantom 4 poate fi folosit pentru a bloca rețele wireless industriale, a spiona angajații și mai rău. Trucul este că multe site-uri critice, industriale, folosesc ceea ce se numește „decalaj aer” pentru a proteja calculatoarele sensibile. Practic, acestea sunt rețele și dispozitive izolate de Internetul exterior. Dar drone mici, manevrabile, pot aduce internetul în schimb.
Învățarea mașină este un factor care a revoluționat numeroase industrii tehnologice și include escroci. Cercetătorii de la Black Hat au demonstrat modul în care mașinile ar putea fi, de asemenea, învățate să producă mesaje de phishing spear extrem de eficiente. Instrumentul lor determină ținte cu valoare ridicată și apoi parcurge tweet-urile victimei pentru a crea un mesaj care este atât relevant, cât și iremediabil clic. Echipa nu a răspândit nimic rău cu botul lor de spam, dar nu este greu de imaginat că escrocii adoptând aceste tehnici.
Vă așteptați la Wi-Fi gratuit într-un hotel și este posibil să fiți suficient de priceput pentru a realiza că nu este neapărat sigur. Dar, un Airbnb sau o altă închiriere pe termen scurt, securitatea poate avea cea mai proastă securitate de până acum. De ce? Deoarece oaspeții înainte de a avea acces fizic la router, ceea ce înseamnă că îl pot deține în totalitate. Discuția lui Jeremy Galloway a detaliat ce poate face un hacker (e rău!), Ce poți face pentru a rămâne în siguranță și ce poate face proprietarul imobilului pentru a descuraja astfel de atacuri. Este o problemă care nu va dispărea.
Într-una dintre cele mai cuprinzătoare discuții de la Black Hat, Pentesterul senior Rapid7, Weton Hecker, a demonstrat care ar putea fi un nou model de fraudă. Viziunea sa include o rețea masivă de bancomate compromise, mașini de vânzare (cum ar fi în magazinul alimentar) și pompe de gaz. Acestea ar putea să fure informațiile de plată ale victimei în timp real și apoi să le introduci rapid cu ajutorul unui dispozitiv motorizat care împinge PIN-ul. Discuția s-a încheiat cu o bancă de bani bancomat și o viziune a viitorului, în cazul în care escrocii nu cumpără informații despre cardurile de credit ale persoanelor fizice, ci acces la o rețea masivă în timp real de escrocherii de plată.
Aceasta nu a fost singura prezentare la Black Hat pentru a detalia atacurile asupra sistemelor de plată. Un alt grup de cercetători au arătat cum, cu un zmeură Pi și puțin efort, au reușit să intercepteze oodle de informații personale din tranzacțiile cu carduri cip. Acest lucru este deosebit de notabil nu doar pentru că cardurile cu cip (AKA EMV card) sunt considerate mai sigure decât cardurile magswipe, ci și pentru că SUA tocmai au început să scoată carduri cu cip pe piața internă.
Anul viitor va aduce noi cercetări, noi hacks și noi atacuri. Dar Black Hat 2016 a stabilit tonul pentru anul, arătând că munca unui hacker (fie că este alb sau negru) nu se face niciodată. Acum, dacă ne veți scuza, o să ne mărunțim cărțile de credit și vom pleca să trăim într-o cușcă Faraday din pădure.
