Video: Black Hat USA 2013 - Exploiting Network Surveillance Cameras Like a Hollywood Hacker (November 2024)
Ker podatki ponavadijo del tipičnega informativnega cikla in je Edward Snowden zdaj ime gospodinjstva, je širša javnost zelo zainteresirana za digitalno varnost. In največji šov za žaljivo varnost je Black Hat, konferenca, na kateri vidijo hekerje, ki drgnejo komolce z osebami iz industrije in vlade, da bi pokazali najnovejše heke, napade in ranljivosti.
Hack Everything
Včasih je bil to samo računalnik, ki je povezan z internetom. Dandanes ima vsak pri roki vsaj eno povezano napravo (telefon ali tablični računalnik). Vsi smo navajeni na potrebo po protivirusni in varnostni programski opremi na osebnih računalnikih, vendar veliko število potrošnikov preprosto ne more zviti glave okoli potrebe po mobilni zaščiti in protivirusni programski opremi. Čeprav so namizni računalniki in strežniki še vedno najprimernejša tarča za hekerje v Black Hat-u, mobilne naprave postajajo vse večji in večji del oddaje.
Se poslabša. Internet je danes v vsem: avtomobili, ključavnice vrat, hladilniki, celo žarnice. In mnogi prodajalci v tej novi dobi Interneta stvari ne razmišljajo o varnosti. Lani so pametni hekerji pokazali, kako v nekaj sekundah prevzeti nadzor nad termostatom Nest. S prikrito napravo so uporabljali animirano ozadje, vendar drugi napadi morda niso tako lepi.
V programsko opremo je mogoče vgraditi varnost, vendar praksa še ni pogosta. Vsaj dve predstavitvi v podjetju Black Hat bodo pokazale tehnike za prevzem nadzora nad internetom sposobnim avtomobilom. Druga opozarja na ranljivosti internetno ozaveščenih logičnih krmilnikov (PLC), ki se uporabljajo v tovarnah. Druge žrtve vključujejo čitalnik kreditnih kartic Square, črpalke za plin in celo puško z Linuxom. Pametne kartice in vnosne oznake RFID, brezkontaktni plačilni terminali NFC, kartice SIM - vse te tehnologije so umetne in zato nepopolne. Varnostni strokovnjaki bodo predstavili svoja odkritja o ranljivosti na vseh teh področjih.
Črna kapa je tam, kjer je občutek prestrašenosti norma, paranoičnost pa je prednost. Kje drugje bi nastopil zlonamerna programska oprema Mac OS X, lopute femtocells in napadi, ki ciljajo na satelitsko komunikacijo? Medtem ko je več sej, ki se ukvarjajo z mobilnim in internetom stvari, je Black Hat še vedno destinacija za učenje o ranljivostih brez dnevnega dne. Letos bodo razkrita 32 različnih ničelnih dni v različnih tehnologijah, vključno z mobilnimi in industrijskimi nadzornimi sistemi, je za eWEEK povedal generalni direktor Black Hat-a Steve Wylie.
Naprave, povezane z zemljo, niso edine tarče. Lani smo videli impresivne krame letalskih in satelitskih komunikacij. V eni demonstraciji je raziskovalec prevzel nadzor nad satelitskim radiom in ga spremenil v igralni avtomat.
Pred Black Hat 2015 so bili letalski kraki spet v novicah, predstavniki pa obljubljajo napade, ki se bodo osredotočili tudi na satelite. Medtem ko napadi na vsakodnevne pametne naprave veliko skrbijo za prihodnost, so dragi in bistveni kosi digitalne infrastrukture trenutno v orbiti in morda so tudi v nevarnosti.
Arsenal predstavitev varnostnih orodij na splošno ne daje takšne pozornosti (ali množice), ki jo izvajajo predstavitve na odru, vendar ponuja pokuka v nekatera neverjetna orodja: SpeedPhishing Framework, ki vključuje e-poštne funkcije lažnega predstavljanja kot del testa penetracije, preskusno okolje iz OWASP, ki je predhodno poseljen z ranljivimi aplikacijami, in način za ogled zlonamernih koristnih obremenitev v PDF datotekah. Čas je za posodobitev tega varnostnega orodja!
Nad Cyber
Skupnost varnostnih geekov in zagovornikov je v zadnjih letih precej narasla. Veliko bolj profesionalno je, in če je letošnji Črni klobuk kakršen koli pokazatelj, veliko bolj političen. To je morda samo vprašanje trenutnih dogodkov - kibernetska varnost je navsezadnje tema na Capitol Hillu - ali pa lahko odraža naraščajoči apetit skupnosti za aktivizem in večjo ozaveščenost. Imamo seje vlade, med njimi Akshan Soltani, glavni tehnolog zvezne komisije za trgovino, in Leonard Bailey z ministrstva za pravosodje.
Vendar je še vedno veliko vladnih naklonjenosti, na primer zasedanje, na katerem so kritizirane metode FTC pri urejanju kibernetske varnosti, pregled portfelja orodij nacionalne varnostne agencije in panelna razprava o aranžmaju Wassenaar, mednarodni pogodbi, ki ureja konvencionalne in kibernetsko orožje.
- Oddaljeno krampanje avtomobila je zdaj resničnost Oddaljeno krampanje avtomobila je zdaj resničnost
- Glede Stagefright-a (skoraj) ničesar ne morete storiti. Glede Stagefright-a ne morete storiti ničesar
- Smart Sniper Puška je ranljiva za kraje. Smart Sniper Puška Ranjiva za kraje
Čeprav so puščanja Edwarda Snowdena razkrila, kako odprta je naša sodobna informacijska kultura v resnici, so njegova razkritja očitno odsotna z letošnjih panelov in razprav. Samo ena seja, oblikovana kot razprava, bo neposredno obravnavala to vprašanje. Ali to pomeni, da je bil Snowden bliskovit v ponvi? Daleč od tega. Seje bodo pokrivale zlonamerno programsko opremo in kibernetsko orožje nacionalnih držav, namenjene napadu na infrastrukturo. Te seje bi se lahko zgodile, tudi če bi Snowden molčal, vendar njegovo puščanje tem temam doda veliko nujnost.
Kolikor je Black Hat igrišče, s katerim se hekerji lahko pokažejo, tudi tam vlada in industrija delijo ideje, ki oblikujejo digitalno varnost. Medtem ko nekatera odkritja, ki bodo nastopila v Black Hat-u, morda le osvojijo naslove, druga pa lahko podjetja in posameznike spodbudijo k bolj skrbnemu razmišljanju o digitalnem svetu, v katerem želijo živeti.