Video: BAD【Black Hat】(Villainous) (November 2024)
Black Hat je zbiranje varnostnih raziskovalcev, hekerjev in industrije, ki se srečuje v Las Vegasu, da bi naredili tri stvari: orisali najnovejše grožnje, pokazali, kako je mogoče dobre in slabe fante premagati in sprožiti napade na udeležence. Letos se je zgodilo veliko strašljivih napadov, vključno s tistimi proti udeležencem razstav, skupaj s krampami avtomobilov, novimi načini za krajo gotovine z bankomatov in zakaj pametne žarnice morda niso tako varne, kot smo mislili. Vendar smo videli tudi veliko razlogov za upanje, kot na primer poučevanje strojev za odkrivanje nevarnih strežnikov, z uporabo Dungeons in Dragons za usposabljanje zaposlenih pri ravnanju z varnostnimi grožnjami in kako Apple ravna z varnostjo vašega iPhone. Bilo je, vse povedano, leto, ki se je zelo zmešalo.
Dobro
Da, Apple je na Black Hatu napovedal program za odpravljanje napak. Toda to je bilo le zadnjih 10 minut predstavitve Ivana Krstića, Applovega vodje varnostnega inženiringa in arhitekture. V predhodnih 40 minutah se je brez poglobljenega potovanja naučil, kako Apple ščiti uporabniške naprave in podatke, tako pred zlonamernimi kot tudi samimi. In ja, to vključuje uporabo mešalca, ki je od Boga sporočen.
Ko naprave Internet of Things postajajo vse bolj priljubljene, varnostni strokovnjaki postajajo vse bolj zaskrbljeni. Navsezadnje so to naprave z mikroračunalniki, ki so povezani v omrežja in so v celoti sposobni izvajati kodo. To so napadalčeve sanje. Dobra novica je, da je vsaj v primeru Philippovega sistema za odtenek zelo težko ustvariti črva, ki bi skočil iz žarnice v žarnico. Slaba novica? Očitno je zelo enostavno izvabiti Hue sisteme, da se pridružijo napadalčevi mreži.
Vsako varnostno usposabljanje v vsakem podjetju vključuje opozorilo, da zaposleni ne smejo nikoli klikniti povezav v e-poštnih sporočilih iz neznanih virov. In zaposleni se še naprej trudijo, da bi jih kliknili ne glede na to. Doktorka Zinaida Benenson z univerze v Erlangenu-Nürnbergu je zaključila, da preprosto ni smiselno pričakovati, da se bodo zaposleni uprli radovednosti in drugim motivacijam. Če želite, da je to James Bond, to dodajte v opis dela in temu ustrezno plačajte.
Veliko varnostnih raziskav in izvajanja je lahko mučno, a nove tehnike strojnega učenja lahko kmalu privedejo do varnejšega interneta. Raziskovalci so podrobno predstavili svoja prizadevanja pri poučevanju strojev za prepoznavanje strežniških ukaznih in nadzornih strežnikov, ki slabim fantom omogočajo nadzor nad stotimi tisoč (če ne celo milijoni) okuženih računalnikov. Orodje bi lahko pomagalo ohraniti pokrov pri tako zlobnih dejavnostih, vendar to niso bile vse težke raziskave. Za zaključek svoje seje so raziskovalci pokazali, kako bi lahko sisteme strojnega učenja uporabili za ustvarjanje prehodne pesmi Taylor Swift.
Nekdo, ki pozna hotelsko mrežo, je morda v redu za konferenco o oskrbi hišnih ljubljenčkov, Black Hat pa ne. Konferenca ima svoje povsem ločeno omrežje in impresivno mrežno operacijsko središče za upravljanje z njo. Obiskovalci lahko skozi stekleno steno pokukajo na številne žareče zaslone, hekerske filme in dolgoročne varnostne strokovnjake v NOC, ki se v celoti spakira in se po svetu preseli na naslednjo konferenco Black Hat.
IT varnost winks in hekerji preprosto ne morejo dobiti dovolj usposabljanja o varnosti, vendar niso tisti, ki jih res potrebujejo. Prodajno osebje, kadrovska ekipa in osebje klicnega centra nujno ne razumejo ali cenijo vadbe o varnosti in kljub temu jih resnično potrebujete, da povečajo svojo varnostno igro. Raziskovalec Tiphaine Romand Latapie je predlagal preoblikovanje usposabljanja za varnost kot igra vlog. Ugotovila je, da popolnoma deluje, in ustvarila pomemben nov angažma med varnostno ekipo in preostalim osebjem. Tamnice in zmaji, kdo?
Prevara telefonski klic je velik problem. Goljufije IRS prepričajo nezaupljive Američane, naj vilice plačajo z gotovino. Ponastavitev gesla prevare zvijače klicnih centrov oddajajo podatke o strankah. Profesorica Judith Tabron, forenzična jezikoslovka, je analizirala resnične klice prevare in zasnovala dvodelni preizkus, ki vam bo pomagal opaziti. Preberite to in se naučite, v redu? To je preprosta in vredna tehnika.
Zastrašujoče
Pwnie Express gradi naprave, ki nadzirajo zračni prostor omrežja, da bi dosegli kar koli proti njemu, in to je tudi dobro, saj je podjetje letos odkrilo ogromen napad Man-in-the-Middle na Black Hat. V tem primeru je zlonamerna dostopna točka spremenila svoj SSID, da bi zavedela telefone in naprave v omrežje, saj je mislila, da je to varno in prijazno omrežje, ki ga je naprava videla že prej. Pri tem so napadalci zvabili približno 35.000 ljudi. Čeprav je super, da je podjetje lahko opazilo napad, je dejstvo, da je bilo tako množično, opomnik na to, kako uspešni so lahko ti napadi.
Lani sta Charlie Miller in Chris Valasek predstavila tisto, za kar so mnogi domnevali, da je vrhunec njihove avtomobilske kariere. Letos so se vrnili s še bolj drznimi napadi, tistimi, ki so sposobni aktivirati zavore ali nab krmiljenje volana, ko se avto giblje s katero koli hitrostjo. Prejšnje napade je bilo mogoče izvesti le, če avtomobil potuje s hitrostjo 5Mph ali manj. Ti novi napadi lahko predstavljajo veliko nevarnost za voznike in upamo, da jih bodo proizvajalci avtomobilov hitro zakrpali. Valasek in Miller sta povedala, da sta končala s hekanjem avtomobilov, druge pa sta spodbudila, naj sledita po njihovi stopnji.
Če opazujete gospoda Robota, veste, da je mogoče z okužbo USB pogonov okoli parkirišča okužiti računalnik žrtve. A res deluje? Elie Bursztein, vodja raziskav na področju boja proti goljufijam in zlorabam pri Googlu, je predstavil dvodelni pogovor na to temo. Prvi del je podrobno opisal študijo, ki je jasno pokazala, da deluje (in parkirišča so boljša od hodnikov). Drugi del je zelo natančno razložil, kako natančno sestaviti USB-pogon, ki bi popolnoma prevzel kateri koli računalnik. Ste si beležili?
Droni so bili vroča postavka v lanski praznični nakupovalni sezoni in morda ne samo za štrene. Predstavitev je pokazala, kako se lahko DJI Phantom 4 uporablja za zatiranje industrijskih brezžičnih omrežij, vohunjenje za zaposlenimi in še huje. Trik je v tem, da številna kritična, industrijska spletna mesta uporabljajo zaščito občutljivih računalnikov. V bistvu so to omrežja in naprave, ki so izolirane od zunanjega interneta. Toda majhni manevrski droni lahko namesto njih pripeljejo internet.
Strojno učenje je vrhunec revolucije številnih tehnoloških panog, kar vključuje tudi prevare. Raziskovalci iz Black Hat so pokazali, kako se lahko stroje naučijo tudi za izdelavo zelo učinkovitih sporočil o lažnem predstavljanju. Njihovo orodje določa cilje z visoko vrednostjo, nato pa si ogleduje tvitove žrtve, da bi oblikoval sporočilo, ki je tako relevantno in neustavljivo kliče. Ekipa s svojim botrom neželene pošte ni širila ničesar zlonamernega, toda prevaranti, ki uporabljajo te tehnike, ni težko predstavljati.
V hotelu pričakujete brezplačen brezžični internet in morda boste dovolj pametni, da se zavedate, da ni nujno varen. Toda Airbnb ali druga kratkoročna najemnina lahko varnost ima najslabšo varnost doslej. Zakaj? Ker so gostje pred vami imeli fizični dostop do usmerjevalnika, kar pomeni, da bi ga lahko v celoti imeli v lasti. Jeremy Galloway je podrobno povedal, kaj heker lahko stori (slabo je!), Kaj lahko storite, da ostanete na varnem in kaj lahko lastnik nepremičnine stori za odvračanje takšnih napadov. To je težava, ki ne mine.
V enem od najobsežnejših pogovorov v Black Hat-u je starejši Pentester Weton Hecker podjetja Rapid7 dokazal, kaj bi lahko bil nov model prevare. Njegova vizija vključuje množično mrežo ogroženih bankomatov, prodajnih strojev (kot v trgovini z živili) in bencinskih črpalk. Ti bi lahko v realnem času ukradli podatke o plačilu žrtve in jih nato hitro vnesli s pomočjo motorizirane naprave za potiskanje PIN. Pogovor se je končal z gotovino na bankomatu in vizijo prihodnosti, kjer prevaranti ne kupujejo podatkov o kreditnih karticah posameznikov, temveč dostopa do obsežne mreže plačilnih prevar v realnem času.
To ni bila edina predstavitev v Black Hatu, ki je podrobno opisala napade na plačilne sisteme. Druga skupina raziskovalcev je pokazala, kako jim je z malino Pi in malo truda uspelo prestreči oodle osebne podatke iz transakcij s čip karticami. To je še posebej pomembno, ne samo zato, ker čip kartice (AKA EMV kartice) veljajo za varnejše kot kartice magswipe, ampak tudi zato, ker so ZDA šele začele uvajati čip kartice na domačem trgu.
Prihodnje leto bo prineslo nove raziskave, nove heke in nove napade. Toda Black Hat 2016 je določil ton za leto, kar kaže, da hekerskega dela (naj bo to belo-črno-sovražno) nikoli ni zares končano. Če nas oprostite, bomo razrezali kreditne kartice in odšli živet v kletko Faraday v gozdu.