Видео: BLACKHAT - Cyber Hacking Featurette [HD] (Ноември 2024)
Black Hat е сбор от изследователи по сигурността, хакери и индустрия, които се срещат в Лас Вегас, за да направят три неща: да очертаят най-новите заплахи, да покажат как добрите и лошите могат да бъдат победени и да стартират атаки срещу присъстващите. Тази година имаше много страшни атаки, включително една срещу участниците в шоуто, заедно с хакове на автомобили, нови начини за кражба на пари от банкомати и защо умните електрически крушки може да не са толкова безопасни, колкото си мислехме. Но също така видяхме много причини да се надяваме, като преподавателски машини да откриват опасни сървъри, използвайки Dungeons и Dragons за обучение на служители за обработка на заплахи за сигурността и как Apple се справя със сигурността на вашия iPhone. Всичко беше казано, че беше много извиваща ума година.
Доброто
Да, Apple обяви програма за бонуси в Black Hat. Но това бяха само последните 10 минути на презентация на Иван Кръстич, ръководител на Apple в областта на сигурността на инженерството и архитектурата. По време на предходните 40 минути той предложи безпрецедентно дълбоко гмуркане в начините, по които Apple защитава устройствата и данните на потребителите, както от злоупотреби, така и от себе си. И да, това включва използването на честен на Бога блендер.
Тъй като устройствата на Интернет на нещата стават все по-популярни, специалистите по сигурността стават все по-загрижени. В крайна сметка това са устройства с микрокомпютри, свързани към мрежи и напълно способни да работят с код. Това е мечтата на нападателя. Добрата новина е, поне в случай на системата на Филипския оттенък, създаването на червей, който да скочи от електрическа крушка към електрическа крушка, е много трудно. Лошата новина? Явно е много просто да подмамете системите на Hue да се присъединят към мрежата на нападателя.
Всяко обучение за сигурност във всеки бизнес включва предупреждението, че служителите никога не трябва да щракват върху връзки в имейли от неизвестни източници. И служителите продължават да бъдат принудени да ги щракват, независимо от това. Д-р Зинаида Бенесън от университета в Ерланген-Нюрнберг заключи, че просто не е разумно да се очаква служителите да се противопоставят на любопитството и други мотиви. Ако искате те да са Джеймс Бонд, трябва да го поставите в описанието на длъжността и да ги платите съответно.
Много изследвания и изпълнение на сигурността могат да бъдат умопомрачителни, но новите техники в машинното обучение скоро могат да доведат до по-безопасен Интернет. Изследователите подробно описват усилията си за преподаване на машини за идентифициране на сървъри за управление и управление на ботнет, които позволяват на лошите да контролират стотици хиляди (ако не и милиони) заразени компютри. Инструментът може да помогне за поддържане на капак при такава злобна дейност, но не всички тежки изследвания. В заключение на своята сесия изследователите демонстрираха как системите за машинно обучение могат да се използват за генериране на проходима песен на Тейлър Суифт.
Непознатата хотелска мрежа може да се оправи за конференция за доставка на домашни любимци, но не и за Black Hat. Конференцията има собствена изцяло отделна мрежа и впечатляващ Център за мрежови операции, за да я управлява. Посетителите могат да надникнат през стъклената стена на множеството светещи екрани, хакерски филми и дългосрочни експерти по сигурността в NOC, който се събира в своята цялост и се премества по света на следващата конференция на Black Hat.
ИТ сигурността намига и хакерите с бели шапки просто не могат да получат достатъчно обучения за сигурност, но не са тези, които наистина се нуждаят от тях. Търговският персонал, HR екипът и екипът на кол центъра не непременно разбират или оценяват обученията по сигурността и въпреки това наистина имате нужда от тях, за да засилят играта си за сигурност. Изследователят Тихайн Романд Латапи предложи да се преработи обучението по сигурност като ролева игра. Тя установи, че тя напълно работи и създаде значителна нова ангажираност между екипа по сигурността и останалия персонал. Подземия и дракони, някой?
Измамният телефонен разговор е огромен проблем. Измами от IRS убеждават неподозиращите американци да разделят пари. Нулиране на парола измами трик кол центрове за раздаване на клиентски данни. Професор Джудит Таброн, съдебно-лингвист анализира реални обаждания за измама и създаде тест в две части, за да ви помогне да ги забележите. Прочетете това и научете, добре? Това е проста и стойностна техника.
Страшното
Pwnie Express създава устройства, които наблюдават мрежовото въздушно пространство, за да постигнат всичко, което е неприятно, и това е добре, тъй като тази година компанията откри мащабна атака на човек в средата на Black Hat. В този случай злонамерена точка за достъп промени своя SSID, за да заблуди телефоните и устройствата да се присъединят към мрежата, мислейки, че това е безопасна и приятелска мрежа, която устройството е виждало преди. По този начин нападателите измамили около 35 000 души. Въпреки че е чудесно, че компанията успя да забележи атаката, фактът, че тя беше толкова масивна, напомня колко успешни могат да бъдат тези атаки.
Миналата година Чарли Милър и Крис Валашек представиха това, което мнозина предположиха, че е върхът на хакерската им кариера. Те се завърнаха тази година с още по-дръзки атаки, такива, които са в състояние да приложат спирачките или наглато управление на волана, когато колата се движи с всякаква скорост. Предишни атаки можеха да се извършват само когато колата пътува със скорост 5Mph или по-ниска. Тези нови атаки могат да представляват голям риск за шофьорите и се надяваме бързо да бъдат закърпени от производителите на автомобили. От своя страна Валасек и Милър казаха, че са направили хакерски коли, но насърчиха другите да последват по стъпките им.
Ако гледате господин Робот, знаете, че е възможно да заразите компютъра на жертвата, като насочите USB дискове около паркинга. Но наистина ли работи? Elie Bursztein, водеща в Google за борба с измамите и злоупотребите, представи двустранна беседа по темата. Първата част описва подробно проучване, което ясно показва, че работи (а паркингите са по-добри от коридорите). Втората част обясни много подробно как точно да се изгради USB устройство, което напълно да поеме всеки компютър. Прави ли си бележки?
Дроновете бяха гореща тема за миналия празничен сезон за пазаруване, а може би не само за отрепки. Презентация показа как DJI Phantom 4 може да се използва за заглушаване на индустриални безжични мрежи, шпиониране на служителите и по-лошо. Номерът е, че много критични, индустриални сайтове използват това, което се нарича "въздушна пропаст" за защита на чувствителни компютри. По принцип това са мрежи и устройства, които са изолирани от външния Интернет. Но малките маневрени дронове могат да доведат Интернет вместо тях.
Машинното обучение е в крак на революцията на многобройните технологични индустрии и това включва измамници. Изследователи от Black Hat демонстрираха как машините също могат да бъдат научени да произвеждат високоефективни копия с фишинг съобщения. Инструментът им определя целите с висока стойност и след това разтърква туитовете на жертвата, за да изработи съобщение, което е както уместно, така и неудържимо за кликване. Екипът не разпространи нищо злонамерено със своя спам бот, но не е трудно да си представим измамници, които приемат тези техники.
Очаквате безплатен Wi-Fi в хотел и може да сте достатъчно нахални, за да разберете, че не е непременно защитено. Но Airbnb или друг краткосрочен наем, сигурността може да има най-лошата сигурност някога. Защо? Тъй като гостите преди вас са имали физически достъп до рутера, което означава, че те могат напълно да го притежават. Разговорът на Джеръми Галоуей подробно какво може да направи хакер (лошо е!), Какво можете да направите, за да сте в безопасност и какво може да направи собственикът на имота, за да възпира подобни атаки. Това е проблем, който не отминава.
В един от най-обширните разговори в Black Hat, старшият пентестър на Widon Hecker на Rapid7 демонстрира какъв може да е нов модел за измама. Визията му включва масивна мрежа от компрометирани банкомати, машини за продажба (като в магазина за хранителни стоки) и газови помпи. Те могат да откраднат информацията за плащанията на жертвата в реално време и след това бързо да ги въведат с помощта на моторизирано ПИН-устройство. Беседата завърши с парични средства за банкомат и визия за бъдещето, където измамниците купуват не информация за кредитната карта на хората, а достъп до масивна мрежа за измами с плащания в реално време.
Това не беше единствената презентация на Black Hat, която подробно описва атаките срещу платежните системи. Друга група изследователи показаха как с Raspberry Pi и с малко усилия успяха да прихванат oodles на лична информация от транзакции с чип карти. Това е особено забележително не само защото чип картите (AKA EMV карти) се считат за по-сигурни от magswipe карти, но и защото САЩ току-що започнаха да разгръщат чип карти в страната.
Следващата година ще донесе нови изследвания, нови хакове и нови атаки. Но Black Hat 2016 е задал тон за годината, показвайки, че работата на хакера (независимо дали е бяла или черно-омразна) никога всъщност не е свършена. Сега, ако ни извините, ще разбием кредитните си карти и ще отидем да живеем в клетка Faraday в гората.