Video: Black Hat Tribute - I Hate U (Studeni 2024)
Black Hat je skup istraživača sigurnosti, hakera i industrije koji se u Las Vegasu sastaje da bi učinio tri stvari: zacrtao najnovije prijetnje, pokazao kako se dobri i loši mogu pobijediti i pokrenuti napade na sudionike. Ove smo godine imali zastrašujuće napade, uključujući i one protiv sudionika izložbe, zajedno s automobilskim hakerima, nove načine krađe gotovine s bankomata i zašto pametne žarulje možda nisu toliko sigurne kako smo mislili. Ali vidjeli smo i puno razloga za nadu, poput podučavanja strojeva za otkrivanje opasnih poslužitelja, koristeći Dungeons i Dragons za obučavanje zaposlenika u rukovanju sigurnosnim prijetnjama i kako Apple postupa sa sigurnošću vašeg iPhonea. Bila je to, sve rečeno, dobra prizorna godina.
Dobro
Da, Apple je objavio Black buta program za obruke. Ali to je bilo samo posljednjih 10 minuta prezentacije Ivana Krstića, Appleovog šefa sigurnosnog inženjerstva i arhitekture. Tijekom prethodnih 40 minuta ponudio je dosad neviđeni duboki zaron na načine na koje Apple štiti uređaje i podatke korisnika, kako od zlostavljača, tako i od samog sebe. I da, to uključuje uporabu miksera poštenog Boga.
Kako uređaji Interneta stvari postaju sve popularniji, sigurnosni stručnjaci postaju sve više zabrinuti. To su, na kraju krajeva, uređaji s mikroračunalima spojenim na mreže i u potpunosti sposobni za pokretanje koda. To je napadački san. Dobra vijest je da je, barem u slučaju Philippovog sustava za odijevanje, vrlo teško stvoriti crva za preskakanje s žarulje na žarulju. Loše vijesti? Navodno je vrlo jednostavno zavesti Hue sustave da se pridruže napadačevoj mreži.
Svaka obuka o sigurnosti u svakom poslu uključuje upozorenje da zaposlenici nikada ne smiju kliknuti veze u e-mailovima iz nepoznatih izvora. I zaposlenici i dalje ostaju bez dimova na njih. Doktorka Zinaida Benenson sa Sveučilišta Erlangen-Nuremberg zaključila je da jednostavno nije razumno očekivati da se zaposlenici odupru znatiželji i drugim motivacijama. Ako želite da oni budu James Bond, stavite to u opis posla i uplatite ih u skladu s tim.
Mnogo sigurnosnih istraživanja i izvršavanja mogu biti dosadno zamorni, ali nove tehnike strojnog učenja uskoro bi mogle dovesti do sigurnijeg interneta. Istraživači su detaljno predstavili svoje napore na podučavanju strojeva kako bi identificirali botnet naredbene i upravljačke servere koji lošim momcima omogućavaju kontrolu stotina tisuća (ako ne i milijuna) zaraženih računala. Alat bi mogao pomoći da se pokrije takva gadna aktivnost, ali to nisu bila sva teška istraživanja. Za kraj svoje sesije, istraživači su pokazali kako se sustavi strojnog učenja mogu koristiti za stvaranje prolazne pjesme Taylor Swift.
Poznata hotelska mreža možda će biti u redu za konferenciju o opskrbi kućnih ljubimaca, ali ne i za Black Hat. Konferencija ima svoju posve zasebnu mrežu i impresivan mrežni operativni centar kojim se njome upravlja. Posjetitelji mogu zaviriti kroz stakleni zid na brojne užarene ekrane, hakerske filmove i dugoročne sigurnosne stručnjake u NOC-u, koji se u cijelosti skupljaju i kreću po svijetu na sljedeću konferenciju Black Hat.
IT sigurnost namiguje i hakeri s bijelim šeširima jednostavno ne mogu dobiti dovoljno sigurnosnih treninga, ali nisu oni koji im stvarno trebaju. Prodajno osoblje, HR tim i posada pozivnog centra ne moraju nužno razumjeti ili ne cijene sigurnosne treninge, a ipak vam ih stvarno trebaju da pojačaju svoju sigurnosnu igru. Istraživač Tiphaine Romand Latapie predložio je izmijeniti trening sigurnosti kao igra uloga. Otkrila je kako to potpuno funkcionira i stvorila je značajan novi angažman između sigurnosnog tima i ostalog osoblja. Tamnice i zmajevi, bilo tko?
Prevara telefonski poziv je veliki problem. Prevare IRS-a uvjeravaju Amerikance koji ništa ne sumnjaju da izdvoje novac. Poništavanje lozinke prevare trikove pozivnim centrima u davanje korisničkih podataka. Profesorica Judith Tabron, forenzična lingvistica, analizirala je stvarne pozive na prijevaru i osmislila dvodijelni test kako bi vam pomogla da ih uočite. Pročitajte ovo i naučite, u redu? To je jednostavna i vrijedna tehnika.
Zastrašujuće
Pwnie Express gradi uređaje koji nadziru mrežni zračni prostor radi bilo čega prema naprijed, a i dobra je stvar, jer je kompanija otkrila ogroman napad Man-in-Middle-a na Black Hat ove godine. U ovom slučaju, zlonamjerna pristupna točka promijenila je svoj SSID kako bi zavarala telefone i uređaje da se pridruže mreži, misleći da je to sigurna i prijateljska mreža koju je uređaj već vidio. Radeći to, napadači su prevarili oko 35 000 ljudi. Iako je sjajno što je tvrtka uspjela uočiti napad, činjenica da je bila toliko masivna podsjetnik je koliko uspješni mogu biti ti napadi.
Prošle su godine Charlie Miller i Chris Valasek predstavili ono što su mnogi pretpostavili da je vrhunac njihovih karijera u automobilu. Ove su se godine vratili još hrabrijim napadima, onima koji su u stanju primijeniti kočnice ili nab kontrolu upravljača kada se automobil kreće bilo kojom brzinom. Prethodni napadi mogli su se izvoditi samo kad automobil putuje 5Mph ili niže. Ovi novi napadi mogli bi predstavljati veliki rizik za vozače, a nadamo se da će ih proizvođači automobila brzo zakrpiti. Sa svoje strane, Valasek i Miller rekli su da rade hakiranje automobila, ali su ohrabrili druge da slijede njihovim stopama.
Ako gledate gospodina Robota, znate da je moguće zaraziti računalo žrtvom puštanjem USB pogona oko parkirališta. Ali, djeluje li stvarno? Elie Bursztein, voditelj istraživanja na Googleu za borbu protiv prijevara i zlouporaba, održao je dvodijelni razgovor o toj temi. Prvi dio detaljno je proučavao studiju koja je jasno pokazala da djeluje (a parkirališta su bolja od hodnika). Drugi dio je detaljno objasnio kako točno izraditi USB pogon koji bi u potpunosti preuzeo svako računalo. Jeste li vodili bilješke?
Dronovi su bili vruća stavka prošle sezone blagdanske kupovine, a možda ne samo za štrebere. Prezentacija je pokazala kako se DJI Phantom 4 može koristiti za usporavanje industrijskih bežičnih mreža, špijuniranje zaposlenika i još gore. Trik je u tome što mnoga kritična, industrijska mjesta koriste ono što se naziva "zračni jaz" za zaštitu osjetljivih računala. U osnovi su to mreže i uređaji koji su izolirani od vanjskog interneta. Ali mali, pokretni dronovi umjesto njih mogu dovesti Internet.
Strojno je učenje vrhunac revolucije mnogih tehnoloških industrija, a to uključuje i prevare. Istraživači iz Black Hat-a pokazali su kako se strojevi također mogu naučiti proizvoditi visoko učinkovite koplje phishing poruke. Njihov alat određuje ciljeve visoke vrijednosti, a zatim pregledava tvitove žrtve kako bi se sastavila poruka koja je relevantna i neodoljivo klikljiva. Tim nije širio neželjenu poštu sa svojim neželjenim botom, ali nije teško zamisliti prevare koji su prihvatili ove tehnike.
U hotelu očekujete besplatan Wi-Fi, a možda ćete biti dovoljno pametni da shvatite da nije nužno siguran. Ali Airbnb ili neki drugi kratkoročni najam, sigurnost može potencijalno imati najgoru sigurnost ikad. Zašto? Budući da su gosti prije vas imali fizički pristup usmjerivaču, što znači da bi ga u potpunosti mogli posjedovati. Jeremy Galloway je detaljno govorio o tome što haker može učiniti (loše je!), Što možete učiniti da budete sigurni i što vlasnik imovine može učiniti kako bi odvratio takve napade. To je problem što ne ide dalje.
U jednom od najopsežnijih razgovora u Black Hatu, stariji penzioner Rapid7-a Weton Hecker pokazao je što bi mogao biti novi model prijevare. Njegova vizija uključuje masivnu mrežu kompromitiranih bankomata, strojeva na prodajnom mjestu (kao u trgovini namirnicama) i benzinskih pumpi. Oni bi mogli ukrasti podatke o plaćanju žrtve u stvarnom vremenu, a zatim ih brzo unijeti uz pomoć motoriziranog PIN uređaja. Razgovor je završen gotovinom za izvlačenje putem bankomata i vizijom budućnosti u kojoj prevaranti ne kupuju podatke o pojedinim kreditnim karticama, već pristupa ogromnoj mreži prijevara o plaćanju u stvarnom vremenu.
To nije bila jedina prezentacija u Black Hatu za detalje o napadima na platni sustav. Druga skupina istraživača pokazala je kako su s Raspberry Pi i malo truda uspjeli presresti ood osobnih podataka iz transakcija s čip karticama. To je posebno ne samo što se čip kartice (AKA EMV kartice) smatraju sigurnijim od magswipe kartica, već i zato što su SAD tek započele s domaćim čip karticama.
Iduća godina će donijeti nova istraživanja, nove hake i nove napade. Ali Black Hat 2016 postavio je ton za godinu, pokazujući da se posao hakera (bilo da je bijelo ili crno-mrzo) nikada zapravo nije dovršen. Ako nas oprostite, uništit ćemo naše kreditne kartice i otići živjeti u Faraday kavez u šumi.
