15 najdesivejších vecí na čiernom klobúku 2015

4 Ukradnutie súborov z cloudu

Služby cloudového úložiska, ako sú Dropbox a Disk Google, sa rýchlo stali základnými nástrojmi na dokončenie práce. Preto je nový útok vedcov z Impervy, ktorý dokáže ukradnúť všetky vaše súbory z cloudu, taký chladivý. Horšie je, že Imperva hovorí, že útok nie je možné zistiť pomocou obvodovej obrany a tradičných bezpečnostných nástrojov koncových bodov.

Dômyselnou súčasťou tohto útoku je to, že sa vyhýba problémom, ktoré musia ukradnúť poverenia potenciálnej obete alebo ohroziť samotnú cloudovú platformu. Namiesto toho útočník podvedie obeť do inštalácie škodlivého softvéru, ktorý presmeruje lokálne uloženú kópiu cloudových súborov na iný server, na ktorý váš počítač šťastne doručí všetky dôležité súbory.

5 Ovládanie telefónu s Androidom

Trójske kone vzdialeného prístupu (RAT) umožňujú útočníkovi vzdialený prístup k telefónu alebo počítaču, akoby sedeli pred ním. Môžu vidieť to, čo vidíte, a dokonca aj fotografovať, počúvať pomocou mikrofónu alebo natáčať video bez toho, aby ste to vedeli. Je to jeden z najdesivejších druhov škodlivého softvéru a vedci tvrdia, že našli spôsob, ako získať takýto prístup na miliónoch zariadení s Androidom.

Problém je v tom, že niektorí výrobcovia Androidu zahŕňajú špeciálne doplnky, ktoré zvyčajne nespia, až kým sa nevráti služba vzdialenej podpory, ako je LogMeIn alebo TeamViewer. Potom sa doplnok zapne a umožní spoločnosti pristupovať k zariadeniu Android, ako by bol agent podpory, ktorý používa telefón. Vedci spoločnosti Check Point, Ohad Bobrov a Avi Bashan, objavili, ako tieto doplnky používať pre zlo a umožňujú im tak ovládať telefóny s Androidom. Najhoršia časť? Pretože tieto doplnky inštalujú výrobcovia, nemôžete urobiť nič, aby ste sa chránili.

6 Stagefright Ukradne show

Stagefright, zverejnený pred Black Hat výskumníkom spoločnosti Zimperium Josh Drake, predstavuje novú, veľkú a desivú zraniteľnosť v systéme Android. Ako veľký? Predpokladá sa, že ovplyvňuje 95 percent všetkých zariadení s Androidom. Ako strašidelné? Drake ukázal, že dokázal prinútiť telefóny Android, aby spustili kód iba odoslaním textovej správy. V spojení so správnym druhom útoku by to mohlo byť zničujúce.

Drake bol po ruke v Black Hat, aby hovoril o Stagefrightovi, odkiaľ to pochádza, a o tom, čo objavil, keď ho skúmal. Veľkým úspechom bolo, že kodebáza systému Android je obrovská a vyžaduje si väčšiu pozornosť. „Toto pravdepodobne nie je jediný kód, ktorý bol napísaný v zhone, “ povedal Drake.

Na Black Hat sa zúčastnil aj vedúci bezpečnosti spoločnosti Google pre Android, Adrian Ludwig (na obrázku vyššie). Uznal rozsah pôsobnosti spoločnosti Stagefright, oznámil však, že spoločnosť Google a jej partneri vyvíjajú rovnako veľké úsilie na ochranu systému Android pred zneužitím systému Stagefright. Ludwig tiež zdôraznil prácu, ktorú spoločnosť Google už urobila, aby zaistila bezpečnosť systému Android. Tvárou v tvár mnohým útokom povedal, že Android je stále silný.

7 Hackovanie pušky na báze Linuxu

Internet vecí bude čoskoro všade okolo nás. Vlastne už je (pri pohľade na vaše inteligentné televízory a smerovače!). Existujú však aj miesta, kde sa technológia pripojená na internet iba začala vyrábať na križovatkách, napríklad strelné zbrane. Runa Sandvik a jej spolu-vedecký pracovník Michael Auger kúpili, roztrhali a úspešne prelomili inteligentnú pušku Tracking Point. Za normálnych okolností vám táto puška pomôže zasiahnuť vašu značku zakaždým. Pod kontrolou hackerov môže byť uzamknutý, prinútený vynechať ciele a byť prinútený zasiahnuť iné ciele.

Z práce Sandvika a Augera bolo zrejmé, že hackovanie pušky nebolo ľahké. Zobrali si čas na to, aby poukázali na mnohé veci, ktoré Tracking Point urobil správne, a navrhli odvetviu, ako môžu vylepšiť zariadenia IOT. Možno, že hacknutie tejto pušky jedného dňa povedie k svetu s bezpečnejšími hriankovačmi.

8 hackerov vám môže poprsie otvoriť váš pripojený domov

Systém domácej automatizácie ZigBee vám umožňuje ľahké ovládanie vašich dverových zámkov, svetiel a termostatu, ale môže to tiež rozšíriť aj na hackerov. V dramatickej prezentácii vedci Tobias Zillner a Sebastian Strobl demonštrovali, ako by mohli prevziať kontrolu nad systémami založenými na ZigBee.

Zdá sa, že chyba nie je na ZigBee, ale na predajcoch, ktorí používajú jej komunikačný systém. ZigBee ponúka množstvo bezpečnostných nástrojov na zabezpečenie toho, aby so zariadeniami hovorili iba tí správni ľudia. Predajcovia tieto nástroje jednoducho nepoužívajú, namiesto toho sa spoliehajú na menej bezpečný záložný systém. Našťastie je to zložitý útok, ale výrobcovia zariadení musia zintenzívniť svoju kolektívnu hru.

9 Ako bezpečný je váš odtlačok prsta?

Stále viac mobilných zariadení zahŕňa senzory odtlačkov prstov a v budúcnosti môžeme očakávať aj exotickejšie druhy biometrickej autentifikácie. Údaje o odtlačkoch prstov sa však v telefóne nemusia bezpečne uložiť a hacker môže napadnúť čítačku samotnú. Vedci FireEye Tao Wei a Yulong Zhang predstavili štyri útoky, ktoré by mohli ukradnúť vaše údaje o odtlačkoch prstov. To nie je príliš veľký problém za predpokladu, že vám nedôjde prsty.

Z uvedených štyroch útokov boli Zhang obzvlášť zaujímavé. Prvá ukázala, ako by útočník mohol pomocou správnych nástrojov jednoducho odskočiť odomknutú obrazovku, aby prinútil obeť pritiahnuť prst po skeneri. Simple! Ďalší, oveľa komplikovanejší útok by mohol získať prístup k údajom zo skenera odtlačkov prstov bez toho, aby sa musel preniknúť do zabezpečeného segmentu zariadenia TrustZone zariadenia Android. Hoci zraniteľné miesta, ktoré Zhang a Wei našli, boli opravené, je pravdepodobné, že ich bude ešte veľa odhalených. (Obrázok )

10 Napadnutie chemickej továrne je naozaj ťažké

V jednej z najkomplexnejších prezentácií v Black Hat Marina Krotofil opísala, ako by útočníci mohli priniesť chemickú rastlinu na kolená kvôli zábave a zisku. No, väčšinou zisk. Tento proces je plný jedinečných výziev, z ktorých najväčšou je zisťovanie toho, ako pochopiť zložité vnútorné fungovanie závodu, v ktorom sa plyny a kvapaliny pohybujú zvláštnymi spôsobmi, ktoré nemožno ľahko sledovať pomocou elektronických zariadení, ktoré majú hackeri k dispozícii. A potom sa musí zaoberať trápnou fyzikou továrne. Príliš veľa znížte tlak vody a kyselina by mohla dosiahnuť kritickú teplotu a upozornite na svoj útok.

Najdesivejšou časťou prezentácie spoločnosti Krotofil bola určite skutočnosť, že hackeri už v minulosti úspešne vydierali peniaze z verejných služieb a závodov, ale tieto informácie neboli pre vedcov dostupné. (Obrázok )

11 Budúca bezpečná spoločnosť

Počas svojho prejavu v hlavnom duchu slávna právnička Jennifer Granick opísala, ako sa hackerský étos sociálneho pokroku prostredníctvom technológie stratil kvôli spokojnosti, vládnej kontrole a podnikovým záujmom. Sen, ktorý povedala, o slobodnom a otvorenom internete, ktorý umožnil plynulé poznanie a komunikáciu a narušil rasizmus, klasicizmus a rodovú diskrimináciu, sa nikdy úplne nezrealizoval a rýchlo nezmizol.

Popísala svoje obavy, že informačné technológie vytvoria svet, v ktorom sa analýza údajov používa pre všetko. To by posilnilo existujúce energetické štruktúry, povedala, a najviac by to poškodilo okrajové prípady. Varovala tiež pred vládami, ktoré používajú bezpečnosť ako spôsob premietania moci, vytváranie bezpečnostných hádok a bezpečnostných nedostatkov. Strašidelné veci.

12 Ako sa nechať zatknúť

Jedným z najviac hovorených stretnutí medzi účastníkmi Black Hat bolo ministerstvo spravodlivosti. Priemernému človeku to asi znelo nudne, ale toto živé sedenie sa snažilo vychovávať publikum a vysvetliť, ako hackeri mohli pokračovať vo svojej práci bez toho, aby porušili zákon.

Leonard Bailey, osobitný poradca DOJ pre národnú bezpečnosť v sekcii agentúry Počítačová kriminalita a duševné vlastníctvo, účastníkom vysvetlil, ako môžu bezpečne vykonávať kontroly zraniteľnosti a penetračné testy. Dôležitejšie je však úsilie DOJ zabezpečiť, aby presadzovanie práva nemalo na výskum bezpečnosti chladivý účinok.

13 útočníkov v sieti

Neverte sieti Black Hat. V sieti je veľa ľudí a veľa účastníkov využíva príležitosť vyskúšať si nové triky a techniky, ktoré sa naučili počas týždňa. Fortinet tento rok riadil stredisko bezpečnostných operácií pre spoločnosť Black Hat a monitoroval všetku činnosť na káblových aj bezdrôtových sieťach na mieste. Aj keď bolo veľa obrazoviek ukazujúcich, ktoré aplikácie bežali, väčšinu analýz vykonal dobrovoľný tím odborníkov v oblasti bezpečnosti. Jedna trieda, ktorá sa naučila pokročilé techniky útoku na web, sa trochu uniesla a vyzvala poskytovateľa internetových služieb, aby zavolal operačný tím, aby im povedal, aby prestali.

14 Ukončenie robotických hovorov

Toto nebolo v Black Hat, ale DEF CON. Humanity Strikes Back je súťaž FTC na DEF CON, kde hackeri vytvorili anti-robocall softvér. Zámerom bolo vytvoriť nástroj, ktorý by analyzoval zvuk hovoru, a ak by sa hovor považoval za robocall, zablokoval ho od koncového používateľa a presmeroval hovor na včelár. Dvaja finalisti predviedli svoj softvér na konferenčnom pulte počas DEF CON, zatiaľ čo tento robot veselo ponúkol bezplatné výletné dovolenky, ak stlačíte 1.

15 Ako sa stať hackerom

Teraz, keď viete, ako sa nechať zatknúť pre bezpečnostný výskum, možno vás zaujíma hranie s niektorými vlastnými hackerskými nástrojmi? Zadajte Kali Linux, prispôsobiteľnú platformu, ktorá vám umožní zažiť všetky druhy zábavy.

Kali Linux má byť jednoduchý, ale predovšetkým flexibilný. Môžete pridať alebo odstrániť nástroje na testovanie škodlivého softvéru, testovanie siete, testovanie penetrácie - pomenujete ho. Môžete dokonca nainštalovať nástroje na Raspberry Pi na testovanie bezpečnosti na cestách.