Crni šešir 201: najluđe, najstrašnije stvari koje smo vidjeli

Sunce iz Las Vegasa zašlo je u još jedan Black Hat i bezbroj hakova, napada i ranjivosti koje donosi. Ove godine imali smo velika očekivanja i nismo bili razočarani. Čak smo se povremeno iznenadili. Evo svih sjajnih i zastrašujućih stvari koje smo vidjeli.

Cipele Jeffa Mossa

Prava zvijezda ceremonije otvaranja bile su svjetlucave cipele osnivača Black Hat-a Jeff Moss. Moss poznat i kao Dark Tangent, Moss je sputao par pjenušava, svjetlucavih tenisica; njegove "sjajne cipele", kako je rekao na pozornici. "Ako me laseri pogode sasvim ispravno, možda ću uspjeti zaslijepiti jednog ili dva od vas."



Lažni telefoni

Ovi telefoni izgledaju sjajno, ali zapravo su jeftini lažni proizvodi iz Kine. Svaki košta oko 50 dolara, a dolazi s unaprijed instaliranim zlonamjernim softverom bez dodatnih troškova! Lažni iPhone posebno je impresivan. Ona ima visoko izmijenjenu verziju Androida koja je mrtvo zvono za iOS. Ima čak pomno napravljenu lažnu kompasu, iako onu koja uvijek ističe. Hvala Afilias što nam je pokazao ove čudne uređaje.



Rakete za zlonamjerni softver

Istraživač sigurnosti Mikko Hypponen razmišljao je o posljedicama cyberwarta koji je postao stvarni rat u pucnjavi u svom izlaganju u Black Hat-u. Važno je to pitanje u ovom dobu hakera pod pokroviteljstvom države i miješanja u ruske izbore. Također je publici predstavio najbolji način da opiše posao sigurnosnog stručnjaka: "Ono što mi radimo je poput Tetrisa. Kad budete uspješni, ono nestaje. Kad ga zakucate, gomila se."



Širenje u softveru

Na koliko načina zlonamjerni softver može zaraziti drugi kod? Prebrojmo načine! Ne, zaista, broji ih. To su radili i neki istraživači. Očekivali su da će pronaći nekoliko načina, ali umjesto toga smislili su 20 i više varijacija.



Ne vjerujte previše na GPS

GPS je sjajan; To vam pomaže da stignete tamo gdje trebate ići i više ne morate držati zagasiti atlas u automobilu. No, globalni navigacijski satelitski sustavi (GNSS) poput GPS-a lako se prevaraju i to je problem ako dizajnirate autonomno vozilo koje se previše oslanja na GNSS. U ovom razgovoru o Black Hat-u vidjeli smo tako zastrašujuće, nervozne stvari s automobilom bez vozača kada se pobrkate za navigacijske signale.



Karakteristika spektra sa SwapGS-om

Sjećate se Spectra i Meltdowna? To su bile velike zastrašujuće ranjivosti koje su istraživači pronašli u procesorima prije nekoliko godina koji su tjednima hvatali naslove. Sada su istraživači Bitdefendera otkrili sličnu ranjivost u svim modernim Intelovim čipovima.



Industrija samobitnosti

Jeste li ikad postali ljubomorni na svog prijatelja koji na neobjašnjiv način ima hiljade drugih sljedbenika na Instagramu? Nemojte biti jer su ih vjerojatno kupili. Ali odakle dolaze ti lažni sljedbenici i tko su oni u stvari? Na to su pitanje istraživači GoSecure Masarah Paquet-Clouston (na slici) i Olivier Bilodeau pokušali odgovoriti u svom razgovoru o Black Hat-u. Otkrili su ogroman ekosustav preprodavača i posrednika izgrađenih na okosnici lažnih IP adresa i IoT uređaja zaraženih zlonamjernim softverom. Ti lažni lakovi ne mogu biti vrijedni svega toga.



5G je (uglavnom) siguran

5G je stvarno cool i stvarno brz i u osnovi će riješiti sve naše probleme zauvijek, uključujući i neke jezive sigurnosne nedostatke koji postoje u bežičnim standardima. Međutim, istraživači su otkrili neke jedinstvene poteškoće u 5G koji su im omogućili prepoznavanje uređaja, prigušivanje njihove brzine interneta i pražnjenje baterije IoT uređaja.



Pwned Text

S vremena na vrijeme vidjet ćete priču o zaštitnoj kompaniji ili vladi koja ima super tajnu ranjivost iPhonea koju koristi za neke tako gadne aktivnosti. Jedan Googleov istraživač sigurnosti pitao se mogu li takve stvari zaista postojati, i pronašao je 10 bugova u procesu. Na kraju su ona i njezin kolega uspjeli izdvojiti datoteke i djelomično iskoristiti kontrolu nad iPhoneom samo slanjem tekstualnih poruka.



Velika borbena borba Boeing 787 iz 2019. godine

Izlagači Black Hat-a nemaju uvijek ugodan odnos s tvrtkama i organizacijama koje istražuju, što je točka usmjerena ove godine kada je Ruben Santamarta razotkrio svoje potencijalne napade na mrežu Boeing 787. Vjeruje da je moguće doći do osjetljivih sustava kroz različite ulazne točke, ali Boeing kaže da je sve lažno. Teško je reći kome vjerovati u ovu priču, ali Max Eddy ističe da je Santamarta u potpunosti prikazao svoje djelo.



Kult mrtve krave

Tko bi napisao knjigu o momcima koji su bili poznati prije 20 godina? Joe Menn, novinar i autor, eto koga. Njegova knjiga nosi naslov Kult mrtve krave: Kako bi originalna hakerska supergrupa mogla samo spasiti svijet . Grupa je nekada bila polu-anonimna i kretala se ručicama poput Deth Veggie, Dildog i Mudge. S izlaskom knjige prvi put su razgovarali u Black Hat-u pod svojim pravim imenima. Neil ga još nije pročitao, ali grupa je zasigurno ljuljala ovu Crnu Šešir; susreo se s njima tri dana zaredom.

U utorak navečer skočio je u taksi s grupom ispred sebe, za koju se ispostavilo da je Deth Veggie i banda. U srijedu je Neil pripao ploči za ručak samo uz pozivnicu na kojoj su, između ostalih, bili Deth Veggie, autor Joe Menn, Dug Song of Duo Security i Heather Adkins, trenutno Googleova viša direktorica sigurnosti. Joe je intervjuirao Mudgea, Dildoga i Deth Veggie, i bilo je mnogo radovanja.

Kroz ovu skupinu prošao je kavalkad briljantnih hakera. Većina je trenutno zaposlena u zaštitarskim tvrtkama ili vladinim agencijama. Jedan se čak kandidira za predsjednika. Neil se raduje što će pročitati povijest ovog nadahnjujućeg skupa hacktivista.



Otkrivanje dubokih zvukova uz Mouthnet

Nitko nije upotrijebio dubinski lažni videozapis da bi pokušao poljubiti mišljenje javnosti. Mi mislimo. Ali Matt Price i Mark Price (nema veze) misle da bi se to moglo dogoditi u bilo kojem trenutku. Zbog toga su se odlučili ispitati kako nastaju duboke slike, kako ih se može otkriti i kako ih bolje otkriti. Na toj su posljednjoj točki stvorili alat koji gleda na usta kako bi isprobao varanje. Radilo je malo bolje od 50 posto vremena, što, nadamo se, čini dobro za budućnost.

Ako nas Mouthnet neće spasiti, možda miševi mogu! Istraživači promatraju kako obučeni miševi razaznaju različite govorne obrasce. Njihov mali mozak možda bi mogao biti ključ za otkrivanje dubinskih lažnih videozapisa, nadamo se da prije pažljivo objavljenog lažnog videa dođe do stvarne štete. (ALEXANDRA ROBINSON / AFP / Getty Images)



Ruska obavještajna služba u ratu je sama sa sobom

Kada govorimo o ruskom uplitanju u izbore ili o ruskim farmama trolova, pretpostavljamo da su obavještajne agencije Majke Rusije bile u korak i djelovale su kao dio jedinstvenog lukavog plana. Prema jednom istraživaču, to ne može biti dalje od istine. Umjesto toga, Rusija ima suhu abecede obavještajnih agencija, trudeći se za resurse i ugled i potpuno spremna igrati se prljavo da bi uspjela napredovati. Ponekad su posljedice strašne.



Oružavanje interneta

U sesiji o ruskom Mračnom webu istraživači su ispitali kako nedavni ruski zakoni otežavaju policijske aktivnosti unutar te zemlje. Rusija sada gradi svojevrsni interni internet, osmišljen tako da funkcionira čak i kad bude odsječen od međunarodne mreže. To je posljedica "nenamjerne" posljedice što je znatno teže doći na ruska mjesta koja obavljaju ilegalnu aktivnost.



Tko gleda na unaprijed instalirane aplikacije?

Nitko ne voli bloatware, ali tko se brine da unaprijed instalirane aplikacije nisu vukovi zamotani u vunene prekrivače? Odgovor je Google. Viši inženjer zaštite sigurnosti Maddie Stone opisala je izazove prepoznavanja zlonamjernih aplikacija među unaprijed instaliranim aplikacijama. Jedan problem: unaprijed instalirane aplikacije imaju veće privilegije i čudno ponašanje zbog predinstaliranja, što pronalazi opasne one dodatno teške.



Nabavite penthouse s hakiranim Bluetooth ključem

Brave s omogućenom Bluetoothom koje otvorite pomoću aplikacije moraju biti sigurnije od dosadnih metalnih igara i gumica, zar ne? Ne u Crnom šeširu. Uz malo stručnosti i nešto jeftinog hardvera, dva istraživača uspjela su otvoriti vrata i izvući sve korisne informacije. Možda bismo se trebali držati ključeva s kosturima.



Čak su i kineski hakeri potrebni bočni igrači

Recimo da ste haker i zarađujete prilično dobar novac radeći za svoju lokalnu upravu. Što vas sprečava od mjesečine i zaradite malo više novaca, recimo, ulazeći u lanac opskrbe za programere videoigara? Navodno ništa, ako je vjerovati istraživanju FireEye-a. S obzirom na to da dotični hakeri rade za kinesku vladu, pomalo je iznenađujuće vidjeti kako se skupina obogatila na strani. Ovo je možda prvo sigurnosno istraživanje koje je uhvatilo hakera u nevolji sa svojim šefom.