Črna kapa 2019: najbolj nore, najbolj grozne stvari, ki smo jih videli

Las Vegas sonce je postavilo še eno Črno kapo in nešteto hekerjev, napadov in ranljivosti, ki jih prinaša. Letos smo imeli velika pričakovanja in nismo bili razočarani. Bili smo celo občasno presenečeni. Tu so vse velike in grozljive stvari, ki smo jih videli.

Čevlji Jeff Moss '

Prava zvezda otvoritvenih slovesnosti so bili svetleči čevlji ustanovitelja Black Hat-a Jeff Moss. Moss, znan tudi kot Dark Tangent, je Moss sporočil par penečih, bleščečih superge; njegove "bleščeče čevlje", kot je rekel na odru. "Če me laserji udarijo ravno prav, bom morda zaslepil enega ali dva od vas."



Telefoni

Ti telefoni izgledajo odlično, a dejansko so poceni ponaredki iz Kitajske. Vsak stane približno 50 dolarjev, vnaprej pa se naloži z zlonamerno programsko opremo za doplačilo! Še posebej impresiven je lažni iPhone. Ima visoko spremenjeno različico Androida, ki je mrtva zvončica za iOS. Ima celo skrbno narejeno lažno aplikacijo za kompas, čeprav tisto, ki vedno pokaže na glavo. Hvala Afilias, da nam je pokazal te čudne naprave.



Rakete za zlonamerno programsko opremo

Varnostni raziskovalec Mikko Hypponen je v svoji predstavitvi na Črni klobuki razmišljal o posledicah kibernetske vojne dejanska strelska vojna. To je pomembno vprašanje v tej dobi hekerjev, ki jih sponzorirajo države, in ruskega posredovanja na volitvah. Občinstvu je predstavil tudi najboljši način, da opiše delo varnostnega strokovnjaka: "To, kar počnemo, je kot Tetris. Ko si uspešen, izgine. Ko ga zajebaš, se to nakopiči."



Širjenje v programski opremi

Na koliko načinov lahko zlonamerna programska oprema okuži drugo kodo? Preštejmo načine! Ne, res, štejte jih. To so storili nekateri raziskovalci. Pričakovali so, da bodo našli nekaj načinov, vendar so namesto tega pripravili različice 20 plus.



Ne zanašajte se preveč na GPS

GPS je odličen; pomaga vam priti tja, kamor morate iti, in vam v avtomobilu ni treba več hraniti premaganega atlasa. Toda globalni navigacijski satelitski sistemi (GNSS), kot je GPS, so zelo lažni, in to je težava, če oblikujete avtonomno vozilo, ki se preveč zanaša na GNSS. V tem pogovoru o Črni klobuki smo videli tako grozne, okorne stvari, ki se zgodijo avtomobilu brez voznikov, ko se spopadate z navigacijskimi signali.



Čar spektra s SwapGS

Se spomnite Spectre in Meltdown? To so bile velike grozljive ranljivosti, ki so jih raziskovalci našli pred nekaj leti v procesorjih, ki so tedne grabili naslove. Zdaj so raziskovalci Bitdefenderja našli podobno ranljivost v vseh sodobnih Intelovih čipih.



Industrija samopomembnosti

Ste kdaj ljubosumni na svojega prijatelja, ki ima neizprosno več tisoč sledilcev na Instagramu? Ne bodi, ker so jih verjetno kupili. Toda od kod prihajajo ti lažni privrženci in kdo so v resnici? Na to vprašanje sta raziskovalca GoSecure Masarah Paquet-Clouston (na sliki) in Olivier Bilodeau poskušala odgovoriti v pogovoru o Black Hat. Odkrili so ogromen ekosistem preprodajalcev in posrednikov, zgrajen na hrbtenici lažnih IP naslovov in naprav IoT, okuženih z zlonamerno programsko opremo. Te lažne všečke ne morejo biti vredne vsega tega.



5G je (večinoma) varen

5G je res kul in zares hiter in bo v bistvu rešil vse naše težave za vedno, vključno z nekaterimi grdimi varnostnimi napakami, ki obstajajo v brezžičnih standardih. Vendar pa so raziskovalci v 5G našli nekaj edinstvenih preiskav, ki so jim omogočale prepoznavanje naprav, zmanjševanje hitrosti interneta in izpraznitev baterije naprav IoT.



Pwned by Text

Vsake toliko časa boste videli zgodbo o varnostnem podjetju ali vladi, ki ima nadkrito ranljivost iPhone-a, ki jo uporablja za nekatere tako zlobne dejavnosti. En Googlov raziskovalec varnosti se je vprašal, ali lahko takšne stvari resnično obstajajo, in našel 10 napak. Na koncu sta s sodelavcem lahko izvlekla datoteke in delno izkoristila nadzor nad iPhoneom le tako, da sta mu pošiljala besedilna sporočila.



The Boeing 787 Hack Fight 2019

Predstavniki Black Hat nimajo vedno prijetnega odnosa s podjetji in organizacijami, ki jih raziskujejo, točko, ki jo je letos vodil domov, ko je Ruben Santamarta razkril svoje morebitne napade na omrežje Boeing 787. Verjame, da je mogoče do občutljivih sistemov doseči skozi različne vstopne točke, vendar Boeing pravi, da je vse to lažno. Težko je reči, komu verjeti v to zgodbo, toda Max Eddy poudarja, da je Santamarta v celoti pokazal svoje delo.



Kult mrtve krave

Kdo bi napisal knjigo o fantih, ki so bili slavni pred 20 leti? Joe Menn, novinar in avtor, to je kdo. Njegova knjiga nosi naslov Kult mrtve krave: Kako bi originalna hekerska superskupina lahko samo rešila svet . Skupina je bila pol-anonimna in je potekala po ročajih, kot so Deth Veggie, Dildog in Mudge. Z izdajo knjige so v Črni klobuki govorili prvič pod pravimi imeni. Neil ga še ni prebral, toda skupina je zagotovo razžalila to Črno kapo; srečal jih je tri dni zapored.

V torek zvečer je skočil v taksi s skupino pred seboj, za katero se je izkazalo, da sta Deth Veggie in tolpa. V sredo se je Neil privabil na kosilo, ki je samo na povabilo, na katerem so bili med drugim Deth Veggie, avtor Joe Menn, Dug Song of Duo Security in Heather Adkins, trenutno Googlova višja direktorica za varnost. Joe je opravil intervju z Mudgeom, Dildogom in Dethom Veggiejem in bilo je veliko veselja.

Skozi to skupino je prešla kavalkada briljantnih hekerjev. Večina jih je trenutno zaposlenih pri varnostnih podjetjih ali vladnih agencijah. Eden celo kandidira za predsednika. Neil se veseli branja zgodovine tega navdihujočega kupa hacktivistov.



Zaznavanje globinskih peres z Mouthnet

Nihče ni uporabil videoposnetka s poglobljenim posnetkom, da bi skušal omajati javno mnenje. Mislimo. Toda Matt Price in Mark Price (nobena zveza) menita, da bi se to lahko zgodilo kadar koli. Zato so si zadali, da preučijo, kako nastajajo globusi, kako jih je mogoče zaznati in kako jih bolje zaznati. Na zadnji točki so ustvarili orodje, ki gleda v usta, da bi preizkusilo ponaredke. Delovalo je malo bolje kot 50 odstotkov časa, kar upajmo, da je dobro za prihodnost.

Če nas Mouthnet ne bo rešil, lahko to tudi miš! Raziskovalci gledajo, kako usposobljene miši zaznavajo različne vzorce govora. Njihovi majhni možgani bi lahko imeli ključ do zaznavanja videoposnetkov v globini, upajmo, da bodo skrbno objavljeni lažni videoposnetki povzročili resnično škodo. (ALEXANDRA ROBINSON / AFP / Getty Images)



Ruska obveščevalna služba je v vojni sama s seboj

Ko govorimo o ruskem vmešavanju v volitve ali o ruskih farmah trolov, domnevamo, da so obveščevalne agencije Mati Rusija v zaostanku in delujejo kot del enotnega, zvijačnega načrta. Po mnenju enega raziskovalca to ne bi moglo biti dlje od resnice. Namesto tega ima Rusija abecedno juho obveščevalnih agencij, ki se bori za vire in prestiž in je popolnoma pripravljena na umazanijo, da bi stopila naprej. Včasih so posledice hude.



Orožanje interneta

V seji o ruskem temnem spletu so raziskovalci preučili, kako nedavni ruski zakoni otežujejo policijsko dejavnost znotraj te države. Rusija zdaj gradi nekakšen notranji internet, zasnovan tako, da deluje tudi, ko je odrezan od mednarodnega spleta. To je posledica "nenamerne" posledice, ker je veliko težje priti na ruska mesta, ki opravljajo nezakonito dejavnost.



Kdo gleda prednameščene aplikacije?

Nihče ne mara bloatware, ampak kdo poskrbi, da prednameščene aplikacije niso volkovi zaviti v volnene preobleke? Odgovor je Google. Višja varnostna inženirka Maddie Stone je opisala izzive prepoznavanja zlonamernih aplikacij med predhodno nameščenimi aplikacijami. Ena težava: prednameščene aplikacije imajo zaradi predhodne namestitve večje privilegije in čudno vedenje, zaradi česar je iskanje nevarnih še dodatno težko.



Pridobite si penthouse s krampirnim ključem Bluetooth

Bluetooth ključavnice, ki jih odprete z aplikacijo, morajo biti bolj varne od dolgočasnih kovinskih zatičev in sušilnikov, kajne? Ne pri Črni klobuk. Z malo znanja in nekaj poceni strojne opreme sta dva raziskovalca lahko odprla vrata in izvlekla vse vrste koristnih informacij. Mogoče bi se morali držati samo okostnih tipk.



Tudi kitajski hekerji potrebujejo stranske igrače

Recimo, da ste heker in zaslužite precej dobrega denarja za svojo lokalno upravo. Kaj vas bo preprečilo, da bi se osvetljevali mesečini in zaslužili malo dodatnega denarja s tem, da bi recimo vdrli v dobavno verigo za razvijalce video iger? Očitno nič, če gre verjeti raziskavam FireEye. Glede na to, da zadevni hekerji delujejo za kitajsko vlado, je nekoliko presenetljivo videti, kako se je skupina obogatila ob strani. To je morda prva varnostna raziskava, s katero je heker imel težave s šefom.