10 najbolj strašnih napadov iz črnega klobuka 2014

Black Hat je bil letos dva intenzivna dneva sestankov, saj so varnostni raziskovalci pokazali, kako enostavno je vdreti v avtomobile, termostate, satelitsko komunikacijo in hotele. Hkrati je bilo veliko pogovorov o tem, kako povečati varnost. Deset predlogov politike iz govora Dan Geerja je bilo osredotočeno na izboljšanje sveta z izboljšanjem našega pristopa k informacijski varnosti. Med težavami, ki jih je obravnaval, so bila sedanja dirka z orožjem ranljivosti, zastarela programska oprema in potreba, da se varnost informacij obravnava kot poklic. Vsi smo odšli z glavo plavajoč z novimi dejstvi, idejami in predvsem pomisleki. Tako zelo veliko pomislekov.

Ena od stvari, na katero lahko pri Black Hatu vedno računate, je, da zaslišite ranljivosti v stvareh, za katere niste niti pomislili, da bi jih lahko napadli. Pomirjujoče je vedeti, da so te demonstracije predvsem akademske in da teh vprašanj trenutno ne izkoriščamo v naravi. Toda na isti način je zastrašujoče spoznanje, da če bodo predstavniki Black Hat našli pomanjkljivosti, kdo bo rekel, da nekdo drug z veliko bolj zlonamernimi nameni (in morda boljšim financiranjem) ne - ali ne bo?

Razmislite o tem: o tatvinskem upravljanju bankomatov v podjetju Black Hat smo slišali pred tremi leti, kriminalisti pa so končno začeli oropati bankomate v Evropi šele letos. Letos so bila vsaj tri zasedanja o tem, kako je mogoče preklicati terminale na prodajnih mestih za kartice s čipi in PIN. Če ne bomo poslušali in zavarovali svoje plačilne infrastrukture, bomo čez tri leta opazili še eno kršitev ciljnih razmerij prek kartic s čipi in PIN? To je resnično zastrašujoča misel.

Black Hat 2014 je morda konec, vendar bomo govorili o šokantnih stvareh, ki smo jih tam videli že kar nekaj časa. Upajmo, da bo šlo za pridobljene izkušnje, ki so pripeljale do uvedenih rešitev, in ne kot zamujene priložnosti, ki so vodile do groznih zločinov.

Tu je varnostni nadzor, ki smo ga videli pri Black Hat-u, ki nas bo spremljal ponoči.

1 1. Internet za neuspeh

Zaščita računalnika ali telefona je precej enostavna; samo upoštevajte nekaj nasvetov zdrave pameti in namestite varnostno programsko opremo in že ste pripravljeni. Kaj pa internet stvari? Na seji po seji so raziskovalci pokazali, da so kritične naprave, povezane z internetom, lahko dostopne. Ekipa, ki je zaskočila pametni termostat Nest, je napad napadla do 15 sekund in zdaj trdo delata nad napadom v zraku. Billy Rios je našel privzeta gesla, trdo kodirana v napravah za skeniranje, ki so pooblaščena za uporabo na kontrolnih točkah TSA po vsej državi. Še vedno smo presenečeni nad 15-sekundnim krampom.

• 2 2. Hakiranje letal, ladij in še več!

  Tudi v ozadju naprave niso varne tako varno, kot smo mislili, tudi naprave, na katere se zanašajo ladje, letala, novinarji in (morda) vojska. Ruben Santamarta iz IOActive-a je pokazal, da ima veliko teh sistemov zadaj, domnevno za vzdrževanje ali obnovitev gesla. Kljub temu, da naj bi bili nekateri zakulisji zavarovani, mu je uspelo obiti zaščitne ukrepe. Napad, ki je prizadel najbližje domu, je bil nenavadno trditev Santamarte, da bi lahko z letalom Wi-Fi preklical letala. Jasno je bilo, da mu to ne bo dovolilo, da bi "strmoglavil letala", vendar je tudi opozoril, da kritične komunikacije potekajo po tem istem sistemu. V svojem govoru je zasukal navtično svetilko, da je namesto SOS-a prikazal video igralni avtomat. Razmislite o isti vrsti heca na svojem jumbo-jetu in dobite predstavo o tem, kako zaskrbljujoče je to lahko.



3 3. Kraja gesla z Google Glass, pametnimi urami, pametnimi telefoni in videokamerami

Način za krajo gesla je veliko, vendar en nov pristop omogoča, da slabi fantje (ali vladna agencija) zaznajo vaše pritiske tipk, ne da bi videli zaslon ali nameščali zlonamerno programsko opremo. En voditelj Black Hat je pokazal svoj novi sistem, ki samodejno bere gesla z 90-odstotno natančnostjo. Deluje celo, ko je cilj na ravni ulice in napadalec štiri zgodbe navzgor in čez cesto. Metoda najbolje deluje z digitalnimi videokamerami, toda ekipa je ugotovila, da bi pametne telefone, pametne ure in celo Google Glass lahko uporabili za zajem uporabnih video posnetkov na kratkem dosegu. Steklarne, res!

Slika prek uporabnika Flickr Ted Eytan



4 4. Pozabite na MasterKey, spoznajte ponarejeni ID

Jeff Forristal se je lansko leto obrnil na glavo, ko je razkril tako imenovano ranljivost MasterKey, ki bi lahko škodljive aplikacije same od sebe postavile kot zakonite. Letos se je vrnil s ponarejenim ID-jem, ki izkorišča temeljne pomanjkljivosti varnostne arhitekture Androida. Natančneje, kako aplikacije podpisujejo certifikate in kako Android obdeluje ta potrdila. Praktični rezultat je, da je z eno zlonamerno aplikacijo, ki ne potrebuje posebnih dovoljenj, Forristal zlonamerno kodo vstavil v pet zakonitih aplikacij na telefon. Od tam je imel globok dostop in vpogled v to, kaj je okužen telefon.

Slika prek uporabnika Flickr JD Hancock



5 5. Zlo USB lahko prevzame vaš računalnik

Slišali ste, da so pogoni USB lahko nevarni, če ne onemogočite samodejnega predvajanja. Zadnja grožnja, ki temelji na USB-ju, je bistveno slabša. S kraje vdelane programske opreme USB pogona je par raziskovalcev uspelo najrazličnejše kraje v računalnikih Windows in Linux, vključno z ekvivalentom virusa zagonskega sektorja. Njihov napačno nameščen USB pogon je emuliral tipkovnico USB in en ukazni sistem ukazal za prenos zlonamerne programske opreme. V drugem testu je ponudil ponarejeno vozlišče Ethernet, ko je žrtev obiskala PayPal v brskalniku, je dejansko prešla na mimično spletno mesto PayPal, ki je ukradlo geslo. To ni bila zgolj teoretična vaja; na prizorišču so pokazali te in druge hekerje. Nikoli več ne bomo pogledali USB naprave na enak način!

Slika prek uporabnika Flickr Windell Oskay



6 6. Ali ima radio? Naj se hecamo!

Radio se morda zdi starodobna tehnologija v dobi interneta, vendar je še vedno najboljši način, da naprave, kot so monitorji za dojenčke, varnostni sistemi za dom in oddaljeni zaganjalniki avtomobilov, brezžično prenašajo informacije. In to je glavni cilj za hekerje. V enem pogovoru je Silvio Cesare pokazal, kako je premagal vsakega izmed njih s pomočjo programsko določenega radia in malo hobijske vneme. Njegov govor ni bil edino na programsko določenem radiu. Balint Seeber je množici povedal, kako je lahko prisluhnil radarskim jedem v zračnem prometu in sledil predmetom blizu tal. Ni ravno tako strašljivo, ampak zelo, zelo kul.

Slika prek uporabnika Flickr Martin Fisch



7 7. Ne moremo ustaviti vladne zlonamerne programske opreme

Slišali ste za črv Stuxnet, ki ga je sponzorirala vlada, ki je sabotiral iranski jedrski program, kitajske generale, ki jih je naša vlada tožila zaradi kraje, in še več. Glavni direktor za raziskave družbe F-Secure Mikko Hypponen je opozoril, da zlonamerna programska oprema, ki jo sponzorira vlada, obstaja že dlje, kot veste, in se bo s časom le še povečevala. Zaradi virov nacionalne države, ki stojijo za njimi, je te napade skoraj nemogoče preprečiti. Da ne bi mislili, da se naša vlada ne bi tako nizko postavila, je prelistal zbirko delovnih mest vojaških pogodbenih sodelavcev, ki so posebej iskali zlonamerno programsko opremo in izkoriščali pisce.

Slika prek uporabnika Flcikr Kevin Burkett



8 8. En povlecite čitalnike kreditnih kartic

Po kršitvah na drobno v letih 2013 in 2014 vsi govorijo o trenutnem uvajanju kartic s čip-in-PIN. Izkazalo se je, da če ne spremenimo načina obdelave plačil, trgujemo samo z enim problemom. Videli smo tudi, kako lahko z zlonamerno izdelanimi karticami ogrozijo mobilne prodajne naprave, ki upravljajo s karticami s čipom in PIN. Napadalci lahko samo vlečejo kartico v bralnik in naložijo trojanski program, ki nabere PIN-ove na sam bralnik. Druga lopovska kartica nato kopira datoteko, ki vsebuje pobrane podatke. Druga kartica bi lahko celo izbrisala Trojan, prodajalca pa se kršitve morda nikoli ne bi zavedali! To je dovolj, da se skoraj želimo, da se vrnemo v denarno družbo.

Slika prek uporabnika Flickr Sean MacEntee



9 9. Vaš omrežni pogon vohuni o vas

V zadnjem času smo veliko pozornosti usmerili na domače usmerjevalnike in na to, kako jih napadalci ogrožajo. Izkazalo se je, da so shranjevalne naprave, povezane s omrežjem, prav tako problematične, če ne celo več, pravi Jacob Holcomb iz neodvisnih varnostnih ocenjevalcev. Ogledal si je NAS-jeve naprave desetih proizvajalcev - Asustor, TRENDnet, QNAP, Seagate, Netgear, D-Link, Lenovo, Buffalo, Western Digital in ZyXEL - in v vseh njih našel ranljivosti. Te težave so pogoste pomanjkljivosti, kot so vstavljanje ukazov, ponarejanje zahtev na več mestih, prelivi medpomnilnikov, obhodi in okvare pristnosti, razkritje informacij, zaledni računi, slabo upravljanje sej in prehod imenika. S kombiniranjem nekaterih teh težav lahko napadalci dobijo popoln nadzor nad napravami. Kaj je na vašem NAS?

Slika prek uporabniškega čudovitega uporabnika Flickr



10 10. Napadi na medicinske pripomočke: zadeva življenja in smrti

Nihče v industriji informacijske varnosti se ni zasmejal nad novico, da so se zdravniki nekdanjega podpredsednika Dicka Cheneyja bali nad tem, da se je spodbudil njegov spodbujevalnik. Okrogla miza medicinskih pripomočkov v Black Hatu je preučila, kako uravnotežiti zdravje bolnikov z varnostjo. Zadnja stvar, ki jo želimo, je varnost, ki upočasni zdravstveno varstvo, kjer lahko sekunde pomenijo razliko med življenjem in smrtjo, je opozoril moderator Jay Radcliffe. Trezno spoznanje, da ne moremo uporabljati samo običajnih najboljših varnostnih praks za medicinske pripomočke, nas je spremljalo do DEF CON, kjer so raziskovalci podjetja SecMedic razpravljali o projektu, ki je proučeval ranljivosti vseh vrst naprav, vključno z defibrilatorji . Najstrašnejši del? Številne napake so bile odkrite v eni uri z uporabo orodij z odprto kodo. Zdaj res ne želite iti v bolnišnico, kajne?

Preko uporabnika Flickr Phalinn Ooi