10 najstrašnijih hakerskih napada iz crnog šešira 2014

Black Hat ove je godine bio dva intenzivna dana brifinga, dok su sigurnosni istraživači pokazali koliko je lako upadati u automobile, termostate, satelitsku komunikaciju i hotele. U isto vrijeme, bilo je puno razgovora o poboljšanju sigurnosti. Deset prijedloga politike iz govora Dan Geera usmjereno je na to da svijet postane bolje mjesto poboljšavajući naš pristup informacijskoj sigurnosti. Među problemima kojima se pozabavio bili su trenutna utrka ranjivosti oružja, zastarjeli softver i potreba da se informacijska sigurnost tretira kao profesija. Svi smo se udaljili, plivajući glave s novim činjenicama, idejama i - prije svega - brigama. Toliko briga.

Jedna od stvari na koje uvijek možete računati u Black Hat-u je slušanje ranjivosti u stvarima za koje niste ni pomislili da bi mogli biti napadnuti. Uvjerljivo je znati da su ove demonstracije prije svega akademske i da se ta pitanja trenutno ne iskorištavaju u divljini. Ali, istim slučajem, zastrašujuće je shvatiti da ako su prisutni nedostaci Black Hat-a otkrili nedostatke, tko će reći da netko drugi s daleko zloćudnijim namjerama (i možda boljim financiranjem) nije - ili neće?

Razmislite o ovom: čuli smo o hakiranju bankomata u Black Hatu prije tri godine, a kriminalci su napokon počeli pljačkati bankomate u Europi tek ove godine. Ove su godine održane najmanje tri sesije o tome kako se mogu hakirati terminali na prodajnim mjestima za chip-i-PIN kartice. Ako ne poslušamo i ne osiguramo svoju platnu infrastrukturu, za tri godine ćemo li vidjeti još jedno kršenje proporcija poput cilja putem čip i PIN kartica? To je zaista zastrašujuća misao.

Black Hat 2014 možda je gotov, ali govorit ćemo o šokantnim stvarima koje smo tamo vidjeli prilično dugo. Nadamo se da će to biti naučene lekcije koje su dovele do implementiranih rješenja, a ne kao propuštene mogućnosti koje su dovele do strašnih zločina.

Slijedi sigurnosni nadzor onoga što smo vidjeli u Black Hat-u, a koje će nas buditi noću.

1 1. Internet neuspjeha

Obraniti računalo ili telefon prilično je jednostavno; samo slijedite savjete zdravog razuma i instalirajte sigurnosni softver i eto vam dobro. Ali što je s Internetom stvari? U sesiji za sjednicom, istraživači su pokazali da su kritični uređaji koji su povezani s Internetom lako dostupni. Tim koji hakira Nest pametni termostat napustio je napad do 15 sekundi, a oni sada naporno rade na napadu iz zraka. Billy Rios je pronašao zadane lozinke tvrdo kodirane u uređajima za skeniranje koji su dobili mandat za uporabu na TSA kontrolnim točkama širom zemlje. Još uvijek smo zadivljeni hakiranjem od 15 sekundi.

• 2 2. Hakiranje aviona, brodova i još mnogo toga!

  Što se tiče zaleđa, uređaji na koje se brodovi, avioni, novinari i (možda) vojska oslanjaju komunicirati nisu ni sigurni koliko smo mislili. Ruben Santamarta iz IOActive-a pokazao je da se mnogi od ovih sustava nalaze na otvorenom, navodno za održavanje ili oporavak lozinke. Iako su neki od stražnjih vrata navodno bili osigurani, uspio je zaobići zaštitne mjere. Napad koji je pogodio najbliže kući bila je, ne iznenađujuće, Santamarta-ova tvrdnja da je mogao hakirati avione koristeći bežični Wi-Fi. Bio je jasan da mu to neće dopustiti da "ruši avione", ali je također istaknuo da kritične komunikacije prolaze kroz isti taj sustav. U svom je razgovoru hakirao nautičku svetionik za prikaz video automata umjesto SOS-a. Razmislite o istoj vrsti hakera na svom jumbo-mlazu i dobijete ideju koliko bi to moglo biti zabrinjavajuće.



3 3. Krađa lozinki pomoću Google Stakla, pametnih satova, pametnih telefona i kamkordera

Postoji mnogo načina za krađu lozinke, ali jedan nov pristup omogućuje lošim momcima (ili vladinoj agenciji) da razabiraju vaše pritiske tipki bez da vide vaš zaslon ili instaliraju zlonamjerni softver. Jedan voditelj tvrtke Black Hat pokazao je svoj novi sustav koji automatski čita lozinke s 90 postotnom točnošću. Čak djeluje i kada je meta na razini ulice, a napadač četiri priče gore i preko ulice. Metoda najbolje funkcionira s digitalnim videokamerama, no tim je utvrdio da se pametni telefoni, pametni satovi, pa čak i Google Glass mogu koristiti za snimanje korisnih videozapisa u kratkom dometu. Staklarice, doista!

Slika putem korisnika Flickr Ted Eytana



4 4. Zaboravite MasterKey, upoznajte lažni ID

Jeff Forristal okrenuo se glave prošle godine kada je otkrio takozvanu ranjivost MasterKey-a koja bi mogla dopustiti da zlonamjerne aplikacije postanu same od sebe kao legitimne. Ove se godine vratio s lažnim ID-om koji koristi temeljne nedostatke u sigurnosnoj arhitekturi Androida. Konkretno, kako aplikacije potpisuju certifikate i kako Android obrađuje te certifikate. Praktični rezultat je da je jednom zlobnom aplikacijom koja ne zahtijeva posebna dopuštenja Forristal mogao ubrizgati zlonamjerni kod u pet zakonitih aplikacija na telefonu. Odatle je imao dubok pristup i uvid u ono što je zarazio telefon.

Slika putem korisnika Flickr JD Hancock



5 5. Zlo USB može preuzeti vaš PC

Čuli ste da USB diskovi mogu biti opasni ako ne onemogućite automatsku reprodukciju. Najnovija prijetnja koja se temelji na USB-u znatno je gora. Protiv hakiranja upravljačkog softvera USB pogona, par istraživača uspio je na razne načine hakiranja na Windows i Linux strojevima, uključujući ekvivalent virusa sektora za pokretanje sustava. Njihov vrtoglavi USB pogon oponašao je USB tipkovnicu i naredio jednom testnom sustavu za preuzimanje zlonamjernog softvera. Nudio je lažni Ethernet hub u drugom testu, tako da je kad je žrtva posjetila PayPal u pregledniku, zapravo prešla na web mjesto PayPal koja oponaša lozinku. Ovo nije bila puka teorijska vježba; demonstrirali su ove i druge hakove na pozornici. Nikada više nećemo gledati USB uređaj na isti način!

Slika putem korisnika Flickr Windell Oskay



6 6. Ima li radio? Hajmo hakirati!

Radio može izgledati kao zastarjela tehnologija u doba interneta, ali još uvijek je najbolji način da uređaji poput monitora za bebe, kućnih sigurnosnih sustava i udaljenih pokretača automobila bežično prenose informacije. A to ga čini glavnom metom hakera. U jednom je razgovoru Silvio Cesare pokazao kako je pobijedio svaki od njih zauzvrat koristeći softverski definiran radio i pomalo hobističku revnost. Njegov razgovor nije bio jedini softverski definiran radio. Balint Seeber ispričao je okupljenima kako je mogao slušati radarske uređaje za zračni promet i pratiti predmete blizu razine tla. Nije baš zastrašujuće, ali vrlo, vrlo cool.

Slika putem Flickr korisnika Martin Fisch



7 7. Ne možemo zaustaviti zlonamjerni softver vlade

Čuli ste za vladinog crva Stuxnet koji je sabotirao iranski nuklearni program, kineske generale koje je naša vlada tužila zbog hakiranja i još mnogo toga. Voditelj istraživanja F-Secure-a Mikko Hypponen upozorio je da je zlonamjerni softver sponzoriran od vlade duže nego što znate i da će se vremenom samo povećavati. Imajući resurse nacionalne države koja stoji iza njih, ove napade je gotovo nemoguće blokirati. Da ne mislite da se naša vlast ne bi zaustavila tako nisko, on je progledao kroz zbirku radnih mjesta vojnih izvođača, koji posebno traže zlonamjerni softver i iskorištavaju pisce.

Slika putem korisnika Flcikr Kevina Burketta



8 8. Jedan pomak hakira čitače kreditnih kartica

Nakon kršenja maloprodaje iz 2013. i 2014., svi pričaju o trenutnom predstavljanju chip-i-PIN kartica. Ispada da, ukoliko ne promijenimo kako funkcionira obrada plaćanja, samo trgujemo jednim nizom problema. Vidjeli smo i kako se uređaji koji prodaju mobilne uređaje koji upravljaju čip i PIN karticama mogu ugroziti korištenjem zlonamjerno izrađenih kartica. Napadači mogu jednostavno gurnuti karticu u čitač i učitati trojanac koji skuplja PIN-ove na sam čitač. Druga skitnica nakon toga kopira datoteku koja sadrži prikupljene podatke. Druga kartica mogla bi čak izbrisati Trojance, a prodavač možda nikada nije svjestan kršenja! To je dovoljno da nas gotovo natera da se vratimo u novčano društvo.

Slika putem korisnika Flickr Sean MacEntee



9 9. Vaš mrežni pogon špijunira vas

Nedavno smo se usredotočili na kućne usmjerivače i kako ih napadači kompromitiraju. Ispada da su uređaji za pohranu priključeni na mrežu jednako problematični, ako ne i više, rekao je Jacob Holcomb iz neovisnih procjena sigurnosti. Pregledao je NAS uređaje 10 proizvođača - Asustor, TRENDnet, QNAP, Seagate, Netgear, D-Link, Lenovo, Buffalo, Western Digital i ZyXEL - i pronašao ranjivosti u svim njima. Problemi su uobičajene mane, poput ubrizgavanja naredbi, krivotvorenja zahtjeva na više mjesta, prepunjenosti međuspremnika, zaobilaznih propusta i kvarova, otkrivanja informacija, backdoor računa, lošeg upravljanja sesijama i presjeka direktorija. Kombinacijom nekih od ovih problema napadači mogu dobiti potpunu kontrolu nad uređajima. Što ima vaš NAS?

Slika putem korisnika Flickr



10 10. Napadi na medicinske uređaje: stvar života i smrti

Nitko se u industriji informacijske sigurnosti nije smijao vijesti da su se doktori bivšeg potpredsjednika Dicka Cheneyja brinuli zbog toga što će se njegov pejsmejker probiti. Okrugli stol medicinskih uređaja u Black Hatu pogledao je kako uravnotežiti zdravlje pacijenata i sigurnosti. Posljednje što želimo je sigurnost koja usporava zdravstvo, gdje sekunde mogu značiti razliku između života i smrti, napomenuo je moderator Jay Radcliffe. Trijezna spoznaja da ne možemo koristiti samo uobičajene najbolje sigurnosne prakse za medicinske uređaje pratila nas je do DEF CON-a, gdje su istraživači iz SecMedic-a razgovarali o projektu koji je ispitivao ranjivosti na svim vrstama uređaja, uključujući defibrilatore . Najstrašniji dio? Mnoge od ovih nedostataka pronađene su u roku od sat vremena, koristeći alate otvorenog koda. Sada stvarno ne želite ići u bolnicu, zar ne?

Preko Flickr korisnika Phalinn Ooi