10 najdesivejších hack útokov z black hat 2014

Black Hat tento rok boli dva intenzívne briefingy, pretože vedci v oblasti bezpečnosti demonštrovali, aké ľahké bolo preniknúť do automobilov, termostatov, satelitných komunikácií a hotelov. Zároveň sa uskutočnilo veľa rozhovorov o tom, ako zvýšiť bezpečnosť. Desať návrhov politiky z hlavnej príhovory spoločnosti Dan Geer sa zameriavalo na to, aby sa svet stal lepším miestom zlepšením nášho prístupu k informačnej bezpečnosti. Medzi problémy, ktorými sa zaoberala, boli súčasný závod so zbraňami v zraniteľnosti, zastaraný softvér a potreba zaobchádzať s informačnou bezpečnosťou ako s povolaním. Všetci sme odišli s plávajúcimi hlavami s novými faktami, nápadmi a predovšetkým záujmami. Toľko obáv.

Jednou z vecí, na ktorú sa v Black Hat môžete vždy spoľahnúť, je vypočutie si zraniteľností vo veciach, o ktorých ste si ani nemysleli, že by mohli byť napadnutí. Je upokojujúce vedieť, že tieto demonštrácie sú primárne akademické a že tieto problémy sa v súčasnosti nevyužívajú vo voľnej prírode. Ale z toho istého dôvodu je desivé uvedomiť si, že ak moderátori Black Hat zistia nedostatky, kto má povedať niekomu inému, čo má oveľa škodlivejšie úmysly (a možno lepšie financovanie), nemá - alebo nebude?

Zoberme si toto: počuli sme o hackovaní bankomatov v Black Hat pred tromi rokmi a zločinci konečne začali rabovať bankomaty v Európe práve tento rok. Tento rok sa konali najmenej tri zasadnutia o tom, ako môžu byť hackerské miesta terminálov pre karty čipov a PIN napadnuté. Ak do troch rokov nepočúvame a nezabezpečujeme našu platobnú infraštruktúru, uvidíme ďalšie porušenie cieľových rozmerov prostredníctvom čipových a PIN kariet? To je skutočne desivá myšlienka.

Black Hat 2014 možno skončil, ale budeme hovoriť o šokujúcich veciach, ktoré sme tam videli už nejaký čas. Dúfajme, že to bude také ponaučenie, ktoré viedlo k implementovaným riešeniam, a nie také zmeškané príležitosti, ktoré viedli k hrozným zločinom.

Toto je prehľad bezpečnostných hliadok, ktoré sme videli v Black Hat a ktoré nás v noci držia hore.

1 1. Internet zlyhania

Obrana počítača alebo telefónu je celkom jednoduchá; postupujte podľa niekoľkých tipov pre zdravý rozum a nainštalujte bezpečnostný softvér a vy ste dobrí. Ale čo internet vecí? V relácii po relácii vedci ukázali, že kritické zariadenia pripojené k internetu boli ľahko dostupné. Tím, ktorý hackuje inteligentný termostat Nest, dostal útok až na 15 sekúnd a teraz je ťažké pracovať na útoku cez vzduch. Billy Rios zistil, že predvolené heslá sú pevne zakódované v skenovacích strojoch, ktoré sú určené na používanie na kontrolných stanoviskách TSA v celej krajine. Stále nás ohromuje 15sekundový hack.

• 2 2. Hacking Lietadlá, Lode a ďalšie!

  Pokiaľ ide o zadné vrátka, zariadenia, ktoré dodávajú lode, lietadlá, novinári a (možno) armáda, na ktoré sa spolieha pri komunikácii, nie sú také bezpečné, ako sme si mysleli. Ruben Santamarta od spoločnosti IOActive preukázal, že mnoho z týchto systémov má zadné vrátka, pravdepodobne kvôli údržbe alebo obnoveniu hesla. Aj keď niektoré zadné dvierka boli údajne zabezpečené, podarilo sa mu obísť ochranné opatrenia. Útok, ktorý zasiahol najbližšie k domovu, nebol prekvapením, tvrdenie Santamarty, že mohol hackovať lietadlá pomocou bezdrôtového pripojenia Wi-Fi. Bolo mu jasné, že by mu to nedovolilo „havarovať lietadlá“, ale tiež zdôraznil, že kritická komunikácia prebieha cez ten istý systém. Vo svojom vystúpení prelomil námorný tiesňový maják, aby namiesto SOS zobrazil video automat. Zoberme si rovnaký druh hacku na svojom jumbo jet a získate predstavu o tom, aké znepokojujúce by to mohlo byť.



3 3. Krádež hesiel pomocou Google Glass, smartwatches, smartphonov a videokamier

Existuje mnoho spôsobov, ako ukradnúť heslo, ale jeden nový prístup umožňuje zlodejom (alebo vládnej agentúre) rozoznať vaše stlačenia klávesov bez toho, aby videli vašu obrazovku alebo nainštalovali škodlivý softvér. Jeden moderátor Black Hat predvádzal svoj nový systém, ktorý automaticky číta heslá s presnosťou 90 percent. Funguje to dokonca aj vtedy, keď je cieľ na úrovni ulice a útočník štyri príbehy hore a cez ulicu. Táto metóda funguje najlepšie s digitálnymi videokamerami, ale tím zistil, že na zachytenie použiteľného videa v krátkom dosahu by sa mohli použiť smartfóny, smartwatches a dokonca aj Google Glass. Sklo, skutočne!

Obrázok prostredníctvom používateľa Flickr Ted Eytan



4 4. Zabudnite na MasterKey, Meet Fake ID

Jeff Forristal minulý rok otočil hlavu, keď odhalil takzvanú zraniteľnosť MasterKey, ktorá by mohla nechať škodlivé aplikácie prejsť ako legitímne. Tento rok sa vrátil s falošným ID, ktoré využíva základné nedostatky v bezpečnostnej architektúre systému Android. Konkrétne to, ako aplikácie podpisujú certifikáty a ako Android tieto certifikáty spracováva. Praktickým výsledkom je, že s jednou škodlivou aplikáciou, ktorá nevyžaduje žiadne zvláštne povolenia, sa spoločnosti Forristal podarilo vložiť škodlivý kód do piatich legitímnych aplikácií v telefóne. Odtiaľ mal hlboký prístup a nahliadol do toho, čo infikovaný telefón dokázal.

Obrázok prostredníctvom používateľa Flickr JD Hancock



5 5. Váš počítač môže prevziať zlé USB

Počuli ste, že disky USB môžu byť nebezpečné, ak vypnete funkciu automatického prehrávania. Najnovšia hrozba založená na USB je omnoho horšia. Na základe hackerského firmvéru USB spravoval dvojica vedcov širokú škálu hackov na počítačoch so systémom Windows a Linux, vrátane ekvivalentu vírusu bootovacieho sektora. Ich neobvyklá jednotka USB napodobňovala klávesnicu USB a prikázala jednomu testovaciemu systému sťahovať malvér. V ďalšom teste ponúklo falošný ethernetový rozbočovač, takže keď obeť navštívila v prehliadači PayPal, v skutočnosti išla na mimikálnu stránku PayPal, ktorá ukradla heslo. Toto nebolo iba teoretické cvičenie; predviedli tieto a ďalšie hacky na pódiu. Už nikdy sa na zariadenie USB nebudeme pozerať rovnakým spôsobom!

Obrázok prostredníctvom používateľa Flickr Windell Oskay



6 6. Má rádio? Poďme na to hack!

Rádio sa môže v internetovom veku javiť ako zastaraná technológia, ale stále je to najlepší spôsob, ako môžu zariadenia, ako sú detské monitory, domáce bezpečnostné systémy a vzdialené štartéry do auta, prenášať informácie bezdrôtovo. A to z neho robí hlavný cieľ pre hackerov. V jednej prednáške Silvio Cesare ukázal, ako postupne porazil každú z nich pomocou softvéru definovaného rádia a trochou nadšenej horlivosti. Nebol jediný hovor v softvérovom rádiu. Balint Seeber povedal davu, ako sa mu podarilo počúvať na radarových miskách leteckej dopravy a sledovať objekty blízko úrovne zeme. Nie tak strašidelné, ale veľmi chladné.

Obrázok prostredníctvom používateľa Flickr Martin Fisch



7 7. Nemôžeme zastaviť malvér vlády

Počuli ste o červa Stuxnet sponzorovanom vládou, ktorý sabotoval iránsky jadrový program, čínskych generálov žalovaných našou vládou za hackovanie a ďalšie. Vedúci výskumu spoločnosti F-Secure Mikko Hypponen varoval, že malware sponzorovaný vládou existuje už dlhšie, ako si uvedomujete, a časom sa bude zvyšovať. Tieto zdroje môžu byť takmer nemožné blokovať, ak sú za nimi zdroje národného štátu. Aby si nemyslel, že by sa naša vlastná vláda neskĺzla tak nízko, prehodil kolekciu pracovných ponúk od vojenských dodávateľov, ktorí konkrétne hľadali škodlivý softvér a využívali spisovateľov.

Obrázok prostredníctvom používateľa Flcikr Kevin Burkett



8. Jeden čitateľ kreditných kariet typu Swipe Hacks

Po porušení maloobchodného predaja v rokoch 2013 a 2014 každý hovorí o aktuálnom zavedení čipových a PIN kariet. Ukazuje sa, že pokiaľ nezmeníme spôsob, akým funguje spracovanie platieb, obchodujeme iba s jednou skupinou problémov za druhú. Tiež sme videli, ako môžu byť mobilné zariadenia v predaji, ktoré manipulujú s čipovými a PIN kartami, ohrozené pomocou zlomyseľne vytvorených kariet. Útočníci môžu jednoducho presunúť kartu do čítačky a načítať trójskeho koňa, ktorý získava PINy do samotnej čítačky. Druhá nečestná karta potom skopíruje súbor obsahujúci zozbierané informácie. Druhá karta by mohla dokonca odstrániť trójskeho koňa a predajca by si nikdy nebol vedomý porušenia! To je dosť na to, aby sme sa takmer chceli vrátiť k spoločnosti založenej na peňažných tokoch.

Obrázok prostredníctvom používateľa Flickr Sean MacEntee



9 9. Sieťový disk na vás špionuje

Nedávno sme sa zamerali na domáce smerovače a na to, ako ich útočníci ohrozujú. Ukázalo sa, že úložné zariadenia pripojené k sieti sú rovnako problematické, ak nie viac, podľa Jacoba Holcomba z nezávislých bezpečnostných hodnotiteľov. Pozrel sa na zariadenia NAS od 10 výrobcov - Asustor, TRENDnet, QNAP, Seagate, Netgear, D-Link, Lenovo, Buffalo, Western Digital a ZyXEL - a zistil zraniteľné miesta vo všetkých z nich. Problémy sú bežné nedostatky, ako napríklad vstrekovanie príkazov, falšovanie žiadostí na viacerých stránkach, pretečenie vyrovnávacích pamätí, overovanie bypassov a zlyhaní, zverejňovanie informácií, zadné účty, zlá správa relácií a prechod adresárov. Kombináciou niektorých z týchto problémov môžu útočníci získať úplnú kontrolu nad zariadeniami. Čo máš na NAS?

Obrázok cez Flickr užívateľa wonderferret



10 10. Útoky na zdravotnícke pomôcky: záležitosť života a smrti

Nikto v odvetví informačnej bezpečnosti sa nerozosmial správou, že lekári bývalého viceprezidenta Dicka Cheneyho sa obávali hackerstva. Okrúhly stôl zdravotníckych pomôcok v Black Hat sa pozrel na to, ako vyvážiť zdravie pacientov s bezpečnosťou. Posledné, čo chceme, je bezpečnosť, ktorá spomaľuje zdravotnú starostlivosť, kde sekundy môžu znamenať rozdiel medzi životom a smrťou, poznamenal moderátor Jay Radcliffe. Triezve uvedomenie si, že nemôžeme použiť bežné bezpečnostné postupy pre zdravotnícke pomôcky, nás viedlo k DEF CON, kde vedci zo spoločnosti SecMedic diskutovali o projekte, ktorý skúma zraniteľné miesta vo všetkých druhoch zariadení vrátane defibrilátorov . Najdesivejšia časť? Mnoho z týchto nedostatkov sa zistilo do hodiny pomocou nástrojov s otvoreným zdrojom. Teraz naozaj nechcete ísť do nemocnice, však?

Cez používateľa Flickr Phalinn Ooi