Черна шапка 2018: какво да очаквам

Докато лятото се загрява, изследователи по сигурността, правителствени мошеници и индустриални елити се отправят към Лас Вегас за конференцията на Черната шапка, последвана веднага от по-етажния си потомък DefCon.

Това е едноседмично празнуване на всичко, което е инфосек, при което изследователите се опитват да се оправят взаимно с презентации за най-новите, най-страшни уязвимости. След тъмно е бляскави партита с хора, небрежно хвърлящи се около фрази от типа „ние пометехме стаята за слушане на устройства и намерихме три!“ На фона на всичко това ще бъдат вашите скромни репортери на PCMag Макс Еди и Нийл Рубенкинг, прилепнали плътно към хартиените напитки с чадър, докато тайните за сигурност им се шушукат в ушите.

Black Hat е известна със своята изложбеност толкова, колкото и с изследванията си. Предишни години видяхме хакнати пушки на Linux, банкомати, които разпиляваха сметки за 100 долара, несигурни сателитни телефони и високотехнологични „умни“ коли, изгонени от пътя от изследователи.

Ето какво очакваме с нетърпение в 21-ата година на Black Hat и следете SecurityWatch за най-новото от Black Hat 2018.

Google в светлината на прожекторите

Тази година основната бележка ще бъде предоставена от Parisa Tabriz, директор по инженерство в Google. Разговорът на Табриз ще се съсредоточи върху възприемането на нови идеи за сигурност, дори когато работи в огромен мащаб и със сигурност ще се докосне до нейната работа с браузъра Chrome.



Хакерство на автомобили се завръща (вид)

След атаката им за хващане на заглавието, която буквално изгони джип от пътя, Чарли Милър и Крис Валасек заявиха, че са се обърнали в ключовете си за хакване на автомобили завинаги. Тоест, докато не се включат в самостоятелно шофиране на превозни средства. Една беседа за опасностите от автономните автомобили начело с кралете на автомобилните атаки със сигурност ще привлече вниманието.



Хакерски хора

Има често срещана (ако е отхвърляща) шега сред специалистите по сигурността, която казва, че „най-голямата уязвимост във всяка система е между стола и компютъра“. Хората са също толкова лесно подмамени, колкото компютрите (може би по-лесно), а социалният инженеринг със сигурност е основна тема. Това е особено вярно, тъй като все повече организации се сблъскват с неудобството да се поддадат на фишинг атаки. Никой не иска да бъде Демократичният национален комитет около 2016 г. и да им се пръскат рецептите за борба и ризото в мрежата.



Шифроване и VPN

Говорейки от опит, VPN мрежите са гореща стока в индустрията за сигурност. Глобалните размирици и желанието за достъп до безплатни поточни видео онлайн доведе до популярността на този някога сънен и пренебрегван инструмент за сигурност. Предвид скорошната им популярност и непрозрачността на участващите компании, очаквайте хакерите да се съсредоточат върху VPN услугите.

По същия начин, криптирането е технологията, която кара всичко да работи онлайн, от пазенето на тайни до проверката на самоличността на хората. Това е мощен инструмент, а също и вълнуваща цел. Изследователите от конгреса със сигурност ще представят работа за това как да отделят, отслабват или по друг начин да заобикалят криптирането. Ние не очакваме нещо толкова революционно, колкото хеш сблъсъка SHA-1, но приказката за атака на страничен канал за кражба на кодове за криптиране от рутери звучи вълнуващо.



Прекъсване (или използване) на блокчейн

Криптовалутите са любимите на онлайн подземния свят, както и технологичните инвеститори. Паричната им стойност и цифровото съществуване ги правят лесни мишени за хакери, което е обект на няколко сесии тази година. Но използването на основната блокчейн технология като средство за съхраняване на информация и установяване на доверие онлайн може да доведе до най-интересните изследвания. Някои сесии ще се съсредоточат върху това как да атакуваме основите на криптовалутата, за нечестиви цели.



Хакнете гласа

Руските опити да повлияят на изборите в САЩ през 2016 г. са факт, според американските разузнавателни и правоохранителни агенции. Това е най-голямата история на информационната сигурност откакто изтича Snowden и продължава. Въпреки че не видяхме прекалено много по темата миналата година, хакерските избори и уязвимите машини за гласуване са многогодишни теми в Black Hat, така че очаквайте и тях тази година. Една забележителна сесия разглежда как да използваме съществуващата социална графика за маскиране на руските Twitter ботове.



Двуфакторно удостоверяване: Godsend или Curse?

Наскоро Google наряза фишинг с използването на физически двуфакторни устройства и представи своя собствена линия ключове за сигурност по време на NEXT конференцията си. Но всяко решение на проблем със сигурността е нова възможност за изследовател да се покаже. Сигурни сме да видим някои атаки срещу 2FA системи.



Хакерство в 21 век

Black Hat и DefCon са най-големите събития през годината за професионалисти по сигурността и хакери за хоби, така че също е време да разгледаме общността като цяло. Въпреки че са положени усилия да се направи информационната сигурност и конференциите по-приятелски настроени към жените, цветните хора, хората с увреждания и други групи, често маргинализирани в технологичния бизнес, тези събития са мястото, където гумата среща пътя. Ще има повече от няколко срещи на различни групи и сесии, посветени на това как да направите инфосека по-приветлив. Няколко сесии разглеждат проблеми с депресията и ПТСР в хакерската общност, тема, която не се обсъжда често.



Как да хакнете електроцентрала (или пречиствателна станция, или фабрика, или захранваща мрежа)

Повечето хакери са просто да спечелят бързо, но някои нападатели (и национални участници) имат поглед върху по-големи награди: инфраструктура. Предишни години сме виждали сесии как да унищожим фабрика с мехурчета и тактики как да свалим объркващите, поръчани системи, които съставляват повечето индустриални комплекси.