15-те най-страшни неща в черна шапка 2015

4 Кражба на файлове извън облака

Услугите за съхранение в облак като Dropbox и Google Drive бързо се превърнаха в основни инструменти за работа. Ето защо нова атака от изследователи на Imperva, която може да открадне всичките ви файлове от облака, е толкова смразяваща. По-лошото е, че Imperva казва, че атаката е неоткриваема от защитните периметри и традиционните инструменти за сигурност.

Умната част от тази атака е, че тя избягва проблемите с необходимостта да открадне идентификационните данни на потенциална жертва или да компрометира самата облачна платформа. Вместо това нападателят подмамва жертвата да инсталира злонамерен софтуер, който пренасочва локално съхраненото копие на облачните файлове към друг сървър, на който вашият компютър с радост доставя всички ваши важни файлове.

5 Изземване на контрола на вашия Android телефон

Трояни или RATs за отдалечен достъп дават възможност на нападател да осъществява дистанционен достъп до телефона или компютъра ви, сякаш седи пред него. Те могат да видят това, което виждате, и дори да заснемат снимки, да слушат с микрофона или да снимат видео, без да знаете. Той е сред най-страшните видове злонамерен софтуер и изследователите казват, че са намерили начин да получат такъв тип достъп на милиони устройства с Android.

Проблемът е, че някои производители на Android включват специални приставки, които обикновено стоят в режим на сън, докато отдалечена поддръжка като LogMeIn или TeamViewer не се свърже. Тогава плъгинът се включва и позволява на компанията да получи достъп до устройството с Android, сякаш агентът за поддръжка, където използва телефона. Изследователите от Check Point Охад Бобров и Ави Башан откриха как да използват тези приставки за зло, като им позволяват да контролират телефоните с Android. Най-лошата част? Тъй като тези приставки са инсталирани от производителите, няма какво да направите, за да се защитите.

6 Stagefright открадва шоуто

Разкрит преди Black Hat от изследователя на Zimperium Джош Дрейк, Stagefright е новата, голяма, страшна уязвимост в Android. Колко голям? Смята се, че засяга 95 процента от всички Android устройства. Колко страшно? Дрейк показа, че е в състояние да накара телефони с Android да изпълняват код само чрез изпращане на текстово съобщение. В съчетание с правилния вид атака, това може да бъде пагубно.

Дрейк беше на ръка в Блек Хет, за да говори за Стейджфрайт, откъде идва и какво открива, докато го изследва. Голямо поведение бе, че кодовата база на Android е огромна и изисква повече внимание. "Това вероятно не е единственият код, който беше написан набързо", каза Дрейк.

Освен това присъстваше на Black Hat беше ръководителят на Google по сигурността на Android Адриан Лудвиг (на снимката по-горе). Той призна обхвата на Stagefright, но обяви, че Google и неговите партньори полагат също толкова големи усилия за защита на Android срещу експлоатация на Stagefright. Лудвиг изтъкна и работата, която Google вече е направил, за да запази Android. Пред множество атаки той каза, че Android все още е силен.

7 Хакване на пушка с Linux

Доста скоро Интернет на нещата ще бъде навсякъде около нас. Всъщност това вече е (гледайки вашите умни телевизори и рутери!). Но има някои места, където технологията, свързана с интернет, едва сега е започнала да навлиза, като огнестрелно оръжие. Руна Сандвик и нейният съ-изследовател Майкъл Ожер купиха, разкъсаха и успешно хакнаха интелигентна пушка Tracking Point. При нормални обстоятелства тази пушка ви помага да уцелите марката си всеки път. Под хакерски контрол той може да бъде заключен, направен да пропуска целите и да бъде накаран да удря други цели.

Едно нещо, което беше ясно от работата на Сандвик и Оже, беше, че хакването на пушка не е лесно. Отнеха време да посочат много неща, които Tracking Point направи правилно, и да направят предложения за индустрията за това как могат да подобрят IOT устройствата. Може би хакването на тази пушка един ден ще доведе до свят с по-сигурни тостери.

8 хакери могат да разрушат вашия свързан дом широко отворен

Системата за домашна автоматизация ZigBee ви позволява лесно да контролирате ключалките на вратите, осветлението и термостата, но може да разшири този контрол и върху хакерите. В драматична презентация изследователите Тобиас Зилнер и Себастиан Стробл демонстрираха как могат да поемат контрола над системите, базирани на ZigBee.

Вината, изглежда, не е в ZigBee, а в доставчиците, които използват комуникационната му система. ZigBee предлага множество инструменти за сигурност, за да гарантира, че само правилните хора разговарят с устройства. Но продавачите просто не използват тези инструменти, а разчитат на по-малко сигурна система за архивиране. За щастие, това е трудна атака да се оттегли, но производителите на устройства трябва да засилят колективната си игра.

9 Колко безопасен е вашият пръстов отпечатък?

Все повече и повече мобилни устройства включват сензори за пръстови отпечатъци и в бъдеще можем да очакваме и по-екзотични видове биометрично удостоверяване. Данните за пръстовите ви отпечатъци може да не се съхраняват безопасно на вашия телефон, а самият четец може да бъде атакуван от хакер. Изследователите на FireEye Тао Вей и Юлонг Джанг представиха четири атаки, които могат да откраднат вашите данни за пръстови отпечатъци. Това не е много голяма сделка, при условие че не ви останат без пръсти.

От четирите атаки, които Джан представи, две бяха особено интересни. Първият показа как с подходящите инструменти един нападател може просто да измами екрана за отключване, за да накара жертвата да прекара пръста си върху скенера. Simple! Друга, далеч по-сложна атака би могла да получи достъп до данните от скенера за пръстови отпечатъци, без да се налага да пробивате в сигурния сегмент TrustZone на устройството с Android. Въпреки че уязвимостите, които са открили Джан и Вей, са били коригирани, вероятно има още много неща, които предстои да бъдат открити. (Изображение )

10 Хакването на химически завод е наистина трудно

В една от най-сложните презентации в Black Hat, Марина Кротофил описа как нападателите могат да вкарат химически завод на колене за забавление и печалба. Е, най-вече печалба. Процесът е пълен с уникални предизвикателства, най-голямото от които е да разберем как да разберем сложната вътрешна работа на дадено предприятие, където газовете и течностите се движат по странни начини, които не могат лесно да се проследят чрез електронни устройства, достъпни за хакери. И тогава трябва да се справим с досадната физика на една фабрика. Намалете налягането на водата твърде много и киселината може да достигне критична температура и обърнете внимание на атаката си.

Най-страшната част от представянето на Krotofil определено беше фактът, че в миналото хакерите вече успешно са извличали пари от комунални услуги и централи, но тази информация не е била достъпна за изследователите. (Изображение )

11 Бъдещото сигурно общество

По време на основната си реч прочутата адвокат Дженифър Граник описа как хакерският етос на социалния напредък чрез технологиите е загубен за самодоволство, държавен контрол и корпоративни интереси. Тя мечтае за свободен и отворен Интернет, който прави знанието и комуникацията безпроблемни и ерозира расизма, класицизма и дискриминацията между половете, никога не е напълно реализиран и избледнява бързо.

Тя описа страха си, че информационните технологии ще създадат свят, в който анализът на данни се използва за всичко. Това би засилило съществуващите енергийни структури, каза тя, и най-много ще навреди на краищата. Тя също предупреди правителствата, които използват сигурността като начин да проектират властта, създавайки защитни защити и защитни позиции. Страшни неща.

12 Как да не бъдете арестувани

Една от най-разговорените сесии сред присъстващите на Black Hat беше тази, домакин на Министерството на правосъдието. За обикновения човек вероятно това звучеше скучно, но тази оживена сесия имаше за цел да възпита публиката и да обясни как хакерите да продължат работата си, без да спазват закона.

Леонард Бейли, специалният съветник на DOJ за национална сигурност в отдела за компютърна престъпност и интелектуална собственост, обясни на присъстващите как те могат да извършват сканиране на уязвимост и тестове за проникване безопасно. Но най-важното е усилията на DOJ да гарантират, че правоприлагането няма да има смразяващ ефект върху изследванията в областта на сигурността.

13 нападатели в мрежата

Не се доверявайте на мрежата на Black Hat. В мрежата има много хора и много от присъстващите използват възможността да изпробват нови трикове и техники, които са научили през седмицата. Тази година Fortinet управлява центъра за операции по сигурността на Black Hat и следи цялата активност както на кабелната, така и на безжичната мрежа на място. Въпреки че имаше много екрани, показващи какви приложения изпълняват, основната част от анализите бяха извършени от екип от професионалисти по сигурността. Един клас, изучавайки усъвършенствани техники за атака на проникване в Интернет, малко се увлече, което накара интернет доставчика да се обади на оперативния екип и да им каже да спрат.

14 Изключване на Robo-обаждания

Това не беше в Black Hat, но DEF CON. Humanity Strikes Back е конкурс за FTC в DEF CON, където хакерите създадоха софтуер против роботи. Идеята беше да се създаде инструмент, който да анализира звука на повикванията и ако повикването бъде определено като робот, да го блокира от крайния потребител и да препрати повикването към меден сандък. Двама финалисти демонстрираха своя софтуер на бюрото за контекст по време на DEF CON, докато този робот весело предложи безплатни круизни ваканции, ако натиснете 1.

15 Как да станем хакер

Сега, когато знаете как да не бъдете арестувани за проучване на сигурността, може би ви е интересно да си поиграете с някои свои хакерски инструменти? Въведете Kali Linux, персонализираща се платформа, която ви позволява да се забавлявате.

Kali Linux трябва да бъде лесен, но по-важното е да бъде гъвкав. Можете да добавяте или премахвате инструменти за тестване на злонамерен софтуер, тестване на мрежата, тестване на проникване - давате име. Можете дори да инсталирате инструментите на Raspberry Pi за тестване на сигурността в движение.