У дома Характеристика Черна шапка 2017: най-добрите (и най-страшните) хакове

Черна шапка 2017: най-добрите (и най-страшните) хакове

Съдържание:

Видео: Щенячий патруль НОВЫЕ СЕРИИ игра мультик для детей про щенков Paw Patrol Детский летсплей #ММ (Ноември 2024)

Видео: Щенячий патруль НОВЫЕ СЕРИИ игра мультик для детей про щенков Paw Patrol Детский летсплей #ММ (Ноември 2024)
Anonim

Конференцията на Черната шапка е шанс за изследователи, хакери и всеки близък до света на сигурността да се съберат и да се учат един от друг. Това е седмица на сесии, тренировки и - неизбежно - лошо вземане на решения в по-големия район на Лас Вегас.

В своята 20-та година Black Hat 2017 започна на светлоотразителна нотка. Алекс Стамос, CSO на Facebook, погледна назад към ранните си дни на конференцията. За него това беше място за приемане и за учене от общността. Той предизвика същата общност да бъде по-съпричастен и да се подготви за следващото поколение хакери, като приветства повече разнообразие.

Сесиите за Черната шапка винаги са били мястото, където да видите изненадващи, а понякога и ужасяващи примери за изследвания в областта на сигурността. Тази година видяхме как да заблудим уеб интерфейса на Apple Pay, как да свалят ховърборд с ултразвук и научихме колко уязвими вятърни централи могат да бъдат кибератаки.

Една сесия завърна трио от хакери на Tesla Model S, които показаха нови атаки. Изследванията им със сигурност ще продължат, тъй като превозните средства стават по-свързани. Също така голяма хакерска мишена? Принтери.

Друга забележителна беседа се спря на атаката срещу индустриалната инфраструктура. С две успешни атаки срещу украинската електропреносна мрежа миналата година, осигуряването на критична инфраструктура като електроцентрали и фабрики е основен проблем. Този път видяхме как балончетата - да, обикновените мехурчета - могат да се използват като злонамерен полезен товар за унищожаване на скъпи, критични помпи.

Може би най-забележителното постижение на тазгодишното шоу беше в областта на криптоанализата. Използвайки сложни техники, екип успя да създаде първия хеш сблъсък SHA-1. Ако не сте сигурни какво означава това, прочетете, защото е много готино.

След 20 години, Черната шапка все още е водещата сцена за хакерите. Но бъдещето е несигурно. Кибер атаките в национална държава преминаха от рядкост до редовна поява и залозите са по-големи от всякога. Как все ще се справим с това все още не е ясно; може би Black Hat 2018 ще има отговорите. Дотогава вижте по-долу някои от по-привлекателните моменти от тазгодишната Черна шапка.

    1 По-големи и по-големи

    За 20-годишнината на шоуто основната тема се проведе на масивен стадион, а не просто в голяма конферентна зала. Шоуто е нараснало с високости само през последните няколко години.

    2 Жертва на успеха

    Задръстванията в коридорите бяха проблем при тазгодишното изложение и ситуации като тази по-горе не бяха рядкост.

    3 Предизвикателство на общността за сигурност

    CSO на Facebook Алекс Стамос изнесе основната бележка за „Черната шапка“ през 2017 г. в реч, която беше еднакво похвала за семейната атмосфера на общността на сигурността и предизвикателство да се направи по-добре. Той призова публиката да бъде по-малко елитарна и да признае, че залозите на дигиталната сигурност са се увеличили, позовавайки се на ролята на хакерски и информационни атаки в изборите през 2016 г. в САЩ.

    4 ултразвукови пистолета атакува дронове, ховърбордове

    Устройствата използват сензори, за да разберат света около тях, но някои от тези сензори са подложени на подправяне. Един изследователски екип демонстрира как могат да използват ултразвук, за да накарат дронове да се колебаят, ховърбордове да се сриват и VR системи да се въртят неконтролируемо. Атаката засега е ограничена, приложенията може да са далеч.

    5 Бъбовете ли са бъдещето на хакерството?

    Вероятно не, но Марина Кротофил демонстрира как атакуването на клапанната система във водна помпа може да се използва за създаване на мехурчета, които намаляват ефективността на водната помпа и с времето причиняват физически щети, което води до отказ на помпата. С представянето си Кротофил се стреми да демонстрира, че несигурните устройства, като клапани, могат да атакуват сигурни устройства, като помпи, чрез нови средства. В крайна сметка няма антивирус за балони.

    6 бъгове и бира

    През последните години се наблюдава разширяване на програмите за багните, където компаниите плащат на изследователи, проникващи тестери и хакери парични награди за отчитане на грешки. Изследователят Джеймс Кетъл разказа на тълпата по време на сесията си как е събрал метод за тестване на 50 000 уебсайта едновременно. Имаше някои злополуки по пътя, но спечели над 30 000 долара в процеса. Той каза, че шефът му първоначално настоявал да харчи всякакви пари, спечелени от автоматизираното начинание за бира, но в светлината на успеха на Кетъл, те избрали да дарят мнозинството за благотворителност и да отделят само малко за бира.

    7 Атакуващи вятърни ферми

    Изследователят Джейсън Стагс ръководи цялостна оценка на сигурността на вятърните електроцентрали, което доведе екипа му до няколко преобразуващи електроцентрали на 300 фута. Не само физическата сигурност беше слаба (понякога просто катинар), но и цифровата сигурност беше още по-слаба. Екипът му разработва няколко атаки, които могат да задържат откуп от вятърни електроцентрали и дори да причинят физически щети. Помислете Stuxnet, но за масивни въртеливи остриета на смъртта.

    8 Pwnie Express On Guard

    Миналата година Pwnie Express донесе оборудването си за мониторинг на мрежата и откри масирана атака на зли точки на достъп, която беше конфигурирана да имитира мрежа, приятелска за преминаващи устройства и да ги покани да се свържат. Тази година Pwnie работи с екипа за сигурност на мрежата на Black Hat, но не откри нищо толкова голямо, колкото миналогодишната атака - поне нищо, което не беше част от тренировъчна тренировка в сесията на Black Hat. Този Pwn Pro сензор беше един от няколкото разположени по време на конференцията за наблюдение на мрежовата активност.

    при

    9 Не се доверявайте на вашия принтер

    Мрежовите принтери отдавна се разглеждат от изследователите като основни цели. Те са повсеместни, свързани са с интернет и често нямат основна сигурност. Но Йенс Мюлер показа, че това е важното вътре. Използвайки протоколите, използвани от почти всеки принтер за преобразуване на файлове в печатни материали, той успя да извърши редица атаки. Той можеше да извлича предишни задания за печат и дори да наслагва текст или изображения върху документи. Атаките, които той очерта, ще съществуват, докато накрая някой не се отърве от тези десетилетия стари протоколи.

    10 Super Collider

    Функциите на хеш са навсякъде, но почти невидими. Те се използват за проверка на договори, цифрово подписване на софтуер и дори защитени пароли. Хеш функция, като SHA-1, преобразува файловете в низ от цифри и букви, като не се предполага, че две са еднакви. Но изследователят Ели Бурщайн и неговият екип са измислили начин, при който два различни файла завършват с един и същ хеш. Това се нарича сблъсък и това означава, че SHA-1 е мъртъв като пирон на вратата.

    11 Хакване на Tesla (Отново)

    През 2016 г. трио изследователи показаха как са успели да поемат контрола над Tesla Model S. Тази година изследователите от Tencent KeenLab се върнаха да преминат през атаката си стъпка по стъпка. Но не всичко беше обобщено: те също разгледаха смекчаването на Тесла от първоначалната си атака и представиха новите си атаки; екипът показа чифт автомобили, които мигат фаровете си и отварят вратите си навреме за музика.

    12 Хакване на Apple Pay в интернет

    Когато за пръв път стартира, писах подробно за Apple Pay, като похвалих нейната токенизация на данни за кредитни карти и как Apple не успя да проследи вашите покупки. Тимур Юнусов обаче не беше убеден. Той откри, че е възможно да се задържат идентификационни данни и да се извърши атака при повторно изпълнение с помощта на Apple Pay в интернет. По-добре следете тези сметки за кредитни карти.

    13 Контрол на промишлени роботи от далеч

    Трио изследователи, представляващи екип от Politecnico di Milano и Trend Micro, представиха своите открития за сигурността на роботите. Не твоята приятелска Roombas, а трудолюбивите и мощни индустриални роботи, намиращи се във фабрики. Те откриха няколко критични слабости, които биха могли да позволят на нападателя да овладее контрола върху робота, да въведе дефекти в производствените процеси и дори потенциално да навреди на човешките оператори. По-тревожно е откритието, че има много хиляди индустриални роботи, свързани с интернет.

    14 Какво следва?

    Black Hat се прави за поредна година, но с цифровата сигурност по-видима и ценна от всякога, настъпващата година със сигурност ще има някои интересни изненади.

Черна шапка 2017: най-добрите (и най-страшните) хакове