Črna kapa 2018: kaj pričakovati

Ko se poletje segreva, se varnostni raziskovalci, vladni izvijalci in industrijske elite odpravijo v Las Vegas na konferenco o Črni klobuki, ki ji je takoj sledil njen bolj obljudeni rod, DefCon.

To je tedensko praznovanje vsega, kar je infosec, kjer se raziskovalci med seboj trudijo s predstavitvami o najnovejših, najstrašnejših ranljivostih. Po mraku so bleščeče zabave z ljudmi, ki se ležerno metajo okoli stavkov, kot so "pomestili smo prostor za poslušanje naprav in našli tri!" Med vsem tem bedakoma bosta vaša skromna poročevalca PCMag Max Eddy in Neil Rubenking, ki sta se tesno oprijemal papirnate pijače s krovnimi rokavi, ko jim v ušesa šepetajo varnostne skrivnosti.

Črna kapa je znana po svojem razstavnem delovanju prav toliko kot tudi raziskovanje. Prejšnja leta so raziskovalci opazili vlomljene Linux-ove puške, bankomati, ki so predvajali račune v višini 100 dolarjev, negotove satelitske telefone in visokotehnološke "pametne" avtomobile, ki jih raziskovalci odganjajo s ceste.

Tukaj se bomo veselili 21. letnika Black Hat in pozorno spremljajte SecurityWatch za najnovejše iz Black Hat 2018.

Google v središču pozornosti

Letos bo uvodno besedo predala Parisa Tabriz, direktorica inženiringa pri Googlu. Tabrizin pogovor se bo osredotočil na sprejemanje novih idej za varnost, tudi ko delajo v velikem obsegu, zagotovo pa se bo dotaknil njenega dela s brskalnikom Chrome.



Hakiranje avtomobila se je vrnilo (vrsta)

Charlie Miller in Chris Valasek sta po napadu z glavo, ki je dobesedno odpeljal džip s ceste, dejala, da sta se za vedno vrnila v ključe avtomobila. Se pravi, dokler se niso zapletli v samovozna vozila. Govor o nevarnosti avtonomnih avtomobilov na čelu s kralji avtomobilskih napadov zagotovo pritegne pozornost.



Hekerski ljudje

Med varnostnimi strokovnjaki je običajna (če odklonilna) šala, ki pravi, "da je največja ranljivost v katerem koli sistemu med stolom in računalnikom." Ljudje se prav tako zlahka zvijajo kot računalniki (morda lažje), socialni inženiring pa je zagotovo glavna tema. To še posebej velja, ker se čedalje več organizacij sooča s sramoto, da bi podlegle lažnim napadom. Nihče ne želi biti Demokratični nacionalni odbor okrog leta 2016 in njihove recepte za zatiranje in rižoto razpršiti po spletu.



Šifriranje in VPN-ji

Po izkušnjah so VPN-ji vroča dobrina v varnostni industriji. Globalni nemiri in želja po dostopu do brezplačnega pretočnega videa na spletu so spodbudili priljubljenost tega nekoč zaspanega in spregledanega varnostnega orodja. Glede na njihovo nedavno priljubljenost in nepreglednost vpletenih podjetij pričakujte, da se hekerji osredotočijo na storitve VPN.

Prav tako je šifriranje tehnologija, zaradi katere vse deluje na spletu, od varovanja skrivnosti do preverjanja identitete posameznikov. Je močno orodje in tudi vznemirljiva tarča. Raziskovalci na konvenciji zagotovo predstavljajo delo o tem, kako razločiti, oslabiti ali kako drugače zaobiti šifriranje. Ne pričakujemo nič tako revolucionarnega kot trčenje hash-a SHA-1, vendar pogovor o napadu stranskih kanalov za krajo šifrirnih ključev iz usmerjevalnikov zveni vznemirljivo.



Prekinitev (ali uporaba) blokovne verige

Kripto valute so ljubitelji spletnega podzemlja in tehnološki vlagatelji. Njihova denarna vrednost in digitalna eksistenca omogočata lahke tarče hekerjem, kar je tema nekaj sej letos. Toda uporaba osnovne tehnologije blockchain kot sredstva za shranjevanje informacij in vzpostavljanje zaupanja v spletu lahko prinese najzanimivejše raziskave. Nekatere seje bodo osredotočene na to, kako napasti temelje kriptovalut za zlovešče namene.



Hack the Vote

Ameriški obveščevalni organi in organi pregona so ruski poskusi vplivanja na ameriške volitve leta 2016 stvar. To je največja zgodba o varnosti informacij odkar pušča Snowden in še vedno traja. Medtem ko v preteklem letu nismo preveč razpravljali o tej temi, so pri Black Hatu večkratna tema volilnih hekerjev in ranljivih volilnih strojev, zato jih pričakujte tudi letos. Na enem od pomembnih sej je razvidno, kako uporabiti obstoječi graf socialnih omrežij za odkrivanje ruskih Twitter botov.



Dvofaktorska overitev: Godgend ali prekletstvo?

Google je pred kratkim z uporabo fizičnih dvofaktorskih naprav zvabil lažno predstavljanje in na svoji NASLEDNJI konferenci predstavil lastno linijo varnostnih ključev. Toda vsaka rešitev varnostnega problema je nova priložnost, da se raziskovalec pokaže. Zagotovo bomo videli nekaj napadov na sisteme 2FA.



Hakiranje v 21. stoletju

Black Hat in DefCon sta največja dogodka v letu za varnostne strokovnjake in hobi hekerje, zato je tudi čas, da si ogledate skupnost kot celoto. Čeprav so si prizadevali, da bi varnost informacij in konferenc naredili bolj prijazne do žensk, barvnih ljudi, invalidov in drugih skupin, ki so pogosto marginalizirane v tehnološkem biznisu, so na teh dogodkih gume na cesti. Obstaja več kot nekaj srečanj različnih skupin in sej, ki obravnavajo, kako narediti infosec bolj dobrodošlega. Več sej obravnava vprašanja depresije in PTSP v hekerski skupnosti, o kateri se pogosto ne razpravlja.



Kako vstaviti elektrarno (ali čistilno napravo, tovarno ali električno omrežje)

Večina hekerjev je le hitra, a nekateri napadalci (in akterji nacionalnih držav) so pozorni na večje nagrade: infrastrukturo. Prejšnja leta smo se srečevali o tem, kako uničiti tovarno z mehurčki in taktiki, kako uničiti zmedene, po meri narejene sisteme, ki sestavljajo večino industrijskih kompleksov.