Crni šešir 2017: najbolji (i najstrašniji) hakeri

Konferencija Black Hat prilika je za istraživače, hakere i sve one koji su bliski svijetu sigurnosti da se okupe i nauče jedni od drugih. To je tjedan sesija, treninga i - neizbježno - loše odluke u većem području Las Vegasa.

U svojoj 20. godini, Black Hat 2017 počeo je na reflektirajućoj noti. Alex Stamos, OCD iz Facebooka, osvrnuo se na svoje rane dane na konferenciji. Za njega je to bilo mjesto koje treba prihvaćati i učiti od zajednice. Izazvao je tu istu zajednicu da budu više suosjećajni i da se pripremi za novu generaciju hakera, pozdravljajući više raznolikosti.

Sjednice o Crnom šeširu uvijek su bile mjesto za vidjeti iznenađujuće, a ponekad i zastrašujuće primjere sigurnosnih istraživanja. Ove smo godine vidjeli kako zavarati web sučelje Apple Paya, kako srušiti hoverboard pomoću ulstrasounda i naučili smo koliko ranjive vjetroelektrane mogu biti cyber napadom.

Jednom sesijom se vratio trio Teske Model S hakera koji su pokazali nove napade. Njihova se istraživanja zasigurno nastavljaju s povezivanjem vozila. Također velika hakerska meta? Pisači.

Drugi je izvanredan razgovor bio napad na industrijsku infrastrukturu. Uz dva uspješna napada na ukrajinsku elektroenergetsku mrežu prošle godine, osiguranje kritične infrastrukture poput elektrana i tvornica glavni je problem. Ovaj put vidjeli smo kako mjehurići - da, obični mjehurići - mogu se koristiti kao zlonamjerni teret za uništavanje skupih, kritičnih crpki.

Možda najznačajnije dostignuće ovogodišnjeg showa bilo je na području kriptoanalize. Pomoću sofisticirane tehnike, tim je uspio stvoriti prvi SHA-1 sudara. Ako niste sigurni što to znači, čitajte dalje jer je vrlo cool.

Nakon 20 godina, Black Hat je i dalje premijerna pozornica hakera. Ali budućnost je neizvjesna. Cyber ​​napadi u nacionalnoj državi prešli su iz rijetkosti u redovitu pojavu, a ulozi su veći nego ikad. Još uvijek nije jasno kako ćemo se nositi s tim; možda će Black Hat 2018 imati odgovore. Do tada, pogledajte neke od privlačnijih trenutaka s ovogodišnjeg Crnog šešira u nastavku.

1 Veće i veće

Za 20. godišnjicu emisije, glavna vijest održana je na masivnom stadionu umjesto u samo velikoj konferencijskoj sali. Emisija je narasla u skokovima i granicama u samo posljednjih nekoliko godina.



2 Žrtva uspjeha

Gužva u hodnicima bila je problem na ovogodišnjoj izložbi, a situacije poput one gore nisu bile neuobičajene.



3 Osporavanje sigurnosne zajednice

Facebook CSO Alex Stamos održao je glavnu riječ Black Hat za 2017. godinu u govoru koji je jednako dijelio pohvale za obiteljsku atmosferu današnje obitelji i izazov za boljitak. Pozvao je publiku da bude manje elitistička i da priznaju da su se ulozi digitalne sigurnosti povećali, navodeći ulogu hakerskih i informativnih napada u američkim izborima 2016. godine.



4 ultrazvučne pištolje napada dronove, hoverboarde

Uređaji koriste senzore kako bi razumjeli svijet oko sebe, ali neki su od tih senzora podložni neovlaštenim pristupima. Jedan istraživački tim pokazao je kako mogu upotrijebiti ultrazvuk da uzrokuju mlatanje dronova, spuštanje hoverboarda i VR sustavi koji se nekontrolirano vrte. Napad je zasad ograničen, aplikacije bi mogle biti dalekosežne.



5 Jesu li mjehurići budućnost sjeckanja?

Vjerojatno ne, ali Marina Krotofil pokazala je kako se napad ventila u vodenoj pumpi može upotrijebiti za stvaranje mjehurića koji smanjuju učinkovitost crpke za vodu i s vremenom uzrokuju fizičku štetu što rezultira s kvarom pumpe. Svojom prezentacijom Krotofil je nastojao pokazati da nesigurni uređaji, poput ventila, mogu na nove načine napadati sigurne uređaje, poput pumpi. Uostalom, nema antivirusa za mjehuriće.



6 Bugovih bunata i piva

Posljednjih godina bilježi se proširenje programa za izdavanje bugova, gdje tvrtke plaćaju istraživačima, testovima prodora i hakeri novčanim računima za prijavljivanje grešaka. Istraživač James Kettle rekao je okupljenima na svojoj sjednici kako je sastavio metodu za istovremeno testiranje 50.000 web stranica. Uz put je imao i neke nesretnike, ali zaradio je preko 30 000 dolara u tom procesu. Kazao je da je njegov šef u početku inzistirao da troše bilo koji novac zarađen u automatiziranom poduhvatu na pivo, ali s obzirom na Kettleov uspjeh, odlučili su donirati većinu u dobrotvorne svrhe i potrošiti samo malo na pivo.



7 Napadi vjetrenjača

Istraživač Jason Staggs vodio je opsežnu sigurnosnu procjenu vjetroelektrana, što je svoj tim dovelo do nekoliko prednjih elektrana na 300 stopa. Ne samo da je fizička sigurnost slaba (ponekad, samo katanac), već je i digitalna sigurnost bila još slabija. Njegov tim razvio je nekoliko napada koji bi mogli zadržati otkup vjetra i čak uzrokovati fizičku štetu. Mislite Stuxnet, ali za masivne vrtloge oštrica smrti.



8 Pwnie Express na oprezu

Prošle je godine Pwnie Express donio svoju opremu za nadzor mreže i otkrio ogroman napad zlih pristupnih točaka koji je konfiguriran tako da oponaša mrežu prilagođenu uređajima koji prolaze i poziva ih na povezivanje. Pwnie je ove godine surađivao s mrežnim sigurnosnim timom Black Hat-a, ali nije otkrio ništa veliko poput prošlogodišnjeg napada - barem ništa, što nije bilo dio treninga na Black Hat sesiji. Ovaj Pwn Pro senzor bio je jedan od nekoliko smještenih tijekom konferencije radi nadziranja mrežnih aktivnosti.

na



9 Ne vjerujte svom pisaču

Mrežni pisači istraživači već dugo gledaju kao glavne mete. Oni su sveprisutni, povezani na Internet i često im nedostaje osnovna sigurnost. Ali Jens Müller pokazao je da je ono što se unutar toga računa. Koristeći protokole koje gotovo svaki pisač koristi za pretvorbu datoteka u tiskani materijal, uspio je izvršiti brojne napade. Mogao je izvući prethodne zadatke ispisa, pa čak i prekrivati ​​tekst ili slike na dokumentima. Napadi koje je nacrtao postojat će sve dok se netko konačno ne riješi tih desetljeća starih protokola.



10 Super sudarač

Hash funkcije su svuda, ali gotovo nevidljive. Koriste se za provjeru ugovora, digitalni potpis softvera, pa čak i sigurnu lozinku. Hash funkcija, poput SHA-1, pretvara datoteke u niz brojeva i slova, a nijedna dva ne bi trebala biti ista. No, istraživač Elie Bursztein i njegov tim osmislili su način na koji dvije različite datoteke završavaju s istim hash-em. To se zove sudar, a znači da je SHA-1 mrtav kao i čavao na vratima.



11 Hakiranje Tesle (Opet)

Godine 2016. trojac istraživača pokazao je kako uspijevaju preuzeti kontrolu nad Teslinim modelom S. Ove godine, istraživači iz Tencenta KeenLaba vratili su se da korak po korak prođu kroz svoj napad. Ali to nije sve sažeto: ispitali su i Teslin ublažavanje svog početnog napada i iznijeli svoje nove napade; tim je pokazao par automobila koji su treperili svoja svjetla i na vrijeme otvorili svoja vrata za glazbu.



12 Hakiranje Apple Paya na Internetu

Kad se prvi put predstavio, opširno sam pisao o Apple Payu, hvaleći njegovu tokenizaciju podataka o kreditnim karticama i kako Apple nije mogao pratiti vaše kupovine. Ali Timur Yunusov nije bio uvjeren. Otkrio je da je moguće izvršavati vjerodajnice i izvršiti napad ponavljanja pomoću Apple Paya na webu. Bolje pripazite na te račune s kreditnih kartica.



13 Kontrola industrijskih robota iz daleka

Trio istraživača, koji su predstavljali tim iz Politecnico di Milano i Trend Micro, predstavio je svoja otkrića o sigurnosti robota. Ne vaš ljubazni Roombas, već marljivi i snažni industrijski roboti koji se nalaze u tvornicama. Otkrili su nekoliko kritičnih nedostataka koji bi mogli omogućiti napadaču da preuzme kontrolu nad robotom, uvede nedostatke u proizvodne procese, pa čak i da potencijalno šteti ljudskim operaterima. Još više zabrinjava otkriće da je na Internet povezano mnogo tisuća industrijskih robota.



14 Što slijedi?

Black Hat radi se još godinu dana, ali s digitalnom sigurnošću vidljivijom i vrijednijom nego ikad, nadolazeća godina zasigurno će vas donijeti zanimljiva iznenađenja.