15 najbolj odmevnih stvari na črnem klobuku 2015

4 Krajo datotek iz oblaka

Storitve shranjevanja v oblaku, kot sta Dropbox in Google Drive, so hitro postale bistvena orodja za opravljanje dela. Zato je nov napad raziskovalcev Imperve, ki lahko ukradejo vse vaše datoteke iz oblaka, tako hladen. Še huje je, da Imperva pravi, da napada ni mogoče zaznati po obodni obrambi in tradicionalnih varnostnih orodjih za končne točke.

Pametni del tega napada je, da se izogne ​​težavam, da bi lahko ukradel poverilnice potencialne žrtve ali ogrožal samo platformo v oblaku. Namesto tega napadalec zvabi žrtev v namestitev zlonamerne programske opreme, ki lokalno shranjeno kopijo datotek v oblaku preusmeri na drug strežnik, na katerega računalnik z veseljem dostavi vse vaše pomembne datoteke.

5 Izkoristite nadzor svojega telefona Android

Trojani z oddaljenim dostopom ali RAT-ji omogočijo napadalcu na daljavo dostop do vašega telefona ali računalnika, kot da bi sedel pred njim. Lahko vidijo, kar vidite, in celo posnamejo fotografije, poslušajo z mikrofonom ali snemajo video, ne da bi vedeli. Je ena najstrašnejših zlonamernih programov, raziskovalci pa trdijo, da so našli način, kako pridobiti takšen dostop na milijone naprav Android.

Težava je v tem, da nekateri proizvajalci Android vključujejo posebne vtičnike, ki običajno mirujejo, dokler storitev za oddaljeno podporo, kot sta LogMeIn ali TeamViewer, ne stopi v stik. Nato se vtičnik vklopi in podjetju omogoči dostop do naprave Android, kot da bi podporni agent uporabljal telefon. Raziskovalca Check Point Ohad Bobrov in Avi Bashan sta odkrila, kako uporabljati te vtičnike za zlo in jim omogočiti nadzor nad telefoni Android. Najslabši del? Ker te vtičnike namestijo proizvajalci, se ne morete ničesar zaščititi.

6 Stagefright ukrade šov

Stagefright je nova, velika, strašljiva ranljivost v sistemu Android, ki jo je raziskal Zimperium Josh Drake pred Black Blackom. Kako velik? Menda vpliva na 95 odstotkov vseh naprav Android. Kako strašljivo? Drake je pokazal, da lahko Android telefonom izvrši kodo samo s pošiljanjem besedilnega sporočila. Skupaj s pravo vrsto napada bi to lahko bilo uničujoče.

Drake je bil v Črni klopi na roki, da je spregovoril o Stagefrightu, od kod prihaja in kaj je odkril med raziskovanjem. Veliko odvzemanje je bilo, da je Androidova zbirka kodov ogromna in si zasluži več pozornosti. "To verjetno ni edina koda, ki je bila napisana v naglici, " je dejal Drake.

Black Hat se je udeležil tudi Googlov vodja Androidove varnosti, Adrian Ludwig (na sliki zgoraj). Priznal je področje uporabe programa Stagefright, vendar je sporočil, da si Google in njegovi partnerji prizadevajo za zaščito Androida pred uporabo Stagefright. Ludwig je izpostavil tudi delo, ki ga je Google že opravil, da je Android varen. Glede na številne napade je dejal, da je Android še vedno močan.

7 Hakiranje puške z Linuxom

Kmalu bo internet stvari vse okoli nas. Pravzaprav to že je (gledamo vaše pametne televizorje in usmerjevalnike!). Toda obstajajo nekateri kraji, kjer se tehnologija, povezana z internetom, šele začne pojavljati, kot je strelno orožje. Runa Sandvik in njen soraziskovalnik Michael Auger sta kupila, raztrgala in uspešno preklicala pametno puško Tracking Point. V normalnih okoliščinah vam ta puška pomaga vsakič udariti svoj znak. Pod hekerskim nadzorom se lahko zaklene, naredi, da zgreši tarče in povzroči, da zadene druge tarče.

Eno, kar je bilo razvidno iz Sandvikovega in Augerjevega dela, je, da kljukanje puške ni enostavno. Vzeli so si čas, da so opozorili na številne stvari, ki jih je Tracking Point naredila pravilno, in industriji podali predloge, kako lahko izboljšajo naprave IOT. Morda bo ta kraška nekega dne pripeljala v svet z bolj varnimi opekači.

8 hekerjev lahko razklene vaš povezani dom

ZigBee sistem za domačo avtomatizacijo vam omogoča enostavno upravljanje vrat, luči in termostata z lahkoto, lahko pa ta nadzor razširi tudi na hekerje. V dramatični predstavitvi sta raziskovalca Tobias Zillner in Sebastian Strobl dokazala, kako lahko prevzameta nadzor nad sistemi, ki temeljijo na ZigBeeju.

Zdi se, da krivda ni v ZigBeeju, ampak v prodajalcih, ki uporabljajo njegov komunikacijski sistem. ZigBee ponuja številna varnostna orodja za zagotovitev, da se z napravami pogovarjajo samo pravi ljudje. Vendar prodajalci teh orodij preprosto ne uporabljajo, temveč se zanašajo na manj varen rezervni sistem. K sreči gre za težaven napad, vendar morajo proizvajalci naprav okrepiti svojo kolektivno igro.

9 Kako varen je vaš prstni odtis?

Vse več mobilnih naprav vključuje senzorje prstnih odtisov, v prihodnosti pa lahko pričakujemo tudi bolj eksotične vrste biometrične avtentikacije. Podatki o prstnih odtisih morda niso varno shranjeni v vašem telefonu, bralca pa bi lahko napadel sam heker. Raziskovalca FireEye Tao Wei in Yulong Zhang sta predstavila štiri napade, ki bi vam lahko ukradli podatke o prstnih odtisih. To ni prevelika stvar, če vam ne zmanjka prstov.

Od štirih napadov, ki jih je predstavil Zhang, sta bila dva posebej zanimiva. Prvi je pokazal, kako lahko napadalec s pravimi orodji preprosto pokvari zaslon za odklepanje, da bi žrtev zvabil, da je s prstom potegnil na optični bralnik. Preprosto! Drug, precej bolj zapleten napad bi lahko dostopal do podatkov s skenerja prstnih odtisov, ne da bi se moral vdreti v varen segment TrustZone naprave Android. Čeprav sta ranljivosti, ki sta jih ugotovili Zhang in Wei, odkrita, je še veliko odkriti. (Slika )

10 Hakiranje kemičnega obrata je resnično težko

Marina Krotofil je v eni od najbolj zapletenih predstavitev na Črni klobuk opisala, kako lahko napadalci kemično tovarno spravijo na kolena za zabavo in dobiček. No, večinoma dobiček. Proces je poln edinstvenih izzivov, od katerih je največji to, kako razumeti zapleteno notranje delovanje obrata, kjer se plini in tekočine premikajo na čudne načine, ki jih elektronske naprave, ki so na voljo hekerjem, ne dajo enostavno zaslediti. In potem se moramo spoprijeti s predrzno fiziko tovarne. Preveč znižajte pritisk vode in kislina lahko doseže kritično temperaturo ter opozorite na napad.

Najstrašnejši del predstavitve Krotofila je bil vsekakor dejstvo, da so hekerji v preteklosti že uspešno izsiljevali denar od komunalnih naprav in naprav, vendar raziskovalci niso imeli na voljo informacij. (Slika )

11 Društvo varnih prihodnosti

Slavnostna odvetnica Jennifer Granick je med svojim osrednjim govorom opisala, kako je hekerski etos družbenega napredka s pomočjo tehnologije izgubil na samovšečnosti, vladnem nadzoru in korporativnih interesih. Sanje o svobodnem in odprtem internetu, s katerimi so znanje in komunikacija postali brezhibni ter spodkopavali rasizem, klasizem in spolno diskriminacijo, niso bili nikoli uresničeni in hitro zbledijo.

Opisala je svoj strah, da bo informacijska tehnologija ustvarila svet, v katerem se za vse uporablja analiza podatkov. To bi okrepilo obstoječe strukture moči, je dejala, in najbolj prizadela primere obrob. Opozorila je tudi na vlade, ki uporabljajo varnost kot način za načrtovanje moči, ustvarjanje varnostnih in varnostnih dokumentov. Strašljive stvari.

12 Kako ne prijeti

Eno izmed najbolj pogovarjajočih sej med udeleženci Black Hat je bilo eno, ki ga je gostilo ministrstvo za pravosodje. Za povprečnega človeka se je to verjetno slišilo dolgočasno, vendar je ta živahna seja želela izobraževati občinstvo in razložiti, kako lahko hekerji nadaljujejo svoje delo, ne da bi spopadli z zakonom.

Leonard Bailey, posebni svetovalec DOJ za nacionalno varnost v oddelku za računalniški kriminal in intelektualno lastnino, je udeležencem razložil, kako lahko varno izvajajo preglede ranljivosti in teste penetracije. Še pomembneje pa je, da si prizadevanja ministrstva za pravosodje zagotavljajo, da organi kazenskega pregona ne vplivajo na varnostne raziskave.

13 Napadalci v omrežju

Ne zaupajte mreži Black Hat. Po spletu je veliko ljudi in številni udeleženci izkoristijo priložnost, da preizkusijo nove trike in tehnike, ki so se jih naučili med tednom. Fortinet je letos vodil center za varnostne operacije za Black Hat in spremljal vse aktivnosti v žičnem in brezžičnem omrežju na kraju samem. Medtem ko je bilo veliko zaslonov, ki prikazujejo, kakšne aplikacije se izvajajo, je večino analiz opravila skupina prostovoljcev strokovnjakov za varnost. En razred, ki se je učil napredne tehnike napada na splet, se je nekoliko odnesel, kar je ponudnika internetnih storitev pozvalo, naj pokliče operativno ekipo in jim reče, naj se ustavijo.

14 Izklop Robo-klicev

To ni bilo v Black Hat, ampak DEF CON. Humanity Strikes Back je tekmovanje FTC v podjetju DEF CON, kjer so hekerji ustvarili programsko opremo proti robocallom. Ideja je bila ustvariti orodje, ki bi analiziralo zvok klicev in če bi bil klic določen kot robocall, ga blokirati pri končnem uporabniku in klic posredovati v satnico. Dva finalista sta demonstrirala svojo programsko opremo na kontekstnem pultu med DEF CON, medtem ko je ta robot veselo ponudil brezplačne počitnice za križarjenje, če pritisnete 1.

15 Kako postati heker?

Zdaj, ko veste, kako ne bi bili aretirani zaradi varnostnih raziskav, vas morda zanima, če se lahko igrate s kakšnimi lastnimi sredstvi za kramp? Vstopite v Kali Linux, prilagodljivo platformo, ki vam omogoča zabavo.

Kali Linux naj bi bil enostaven, še pomembneje pa je, da je prilagodljiv. Orodja za testiranje zlonamerne programske opreme, omrežno testiranje, testiranje penetracije lahko dodate ali odstranite - poimenujete jih. Orodja lahko celo namestite na Raspberry Pi za preverjanje varnosti na poti.