Čierny klobúk 2018: čo očakávať

Ako sa leto zahrieva, vedci v oblasti bezpečnosti, vládne strašidlá a priemyselné elity smerujú do Las Vegas na konferenciu Black Hat, po ktorej okamžite nasleduje jeho viac zastretý predchodca DefCon.

Je to týždenná oslava všetkých vecí infosec, kde sa vedci snažia vzájomne sa spojiť s prezentáciami najnovších a najdesivejších zraniteľností. Po zotmení sú to bludné večierky, keď ľudia náhodne vyhodia frázy, ako napríklad: „Zametli sme priestor pre zariadenia na počúvanie a našli sme tri!“ Uprostred všetkého tohto bedra budú vaši skromní reportéri spoločnosti PCMag Max Eddy a Neil Rubenking, ktorí sa pevne držia papierových dáždnikových nápojov, pretože do uší mu zašepkávajú bezpečnostné tajomstvá.

Black Hat je známy svojimi ukážkami a výskumom. V predchádzajúcich rokoch došlo k hacknutým puškám Linuxu, bankomatom chrliacim účty za 100 dolárov, nezabezpečeným satelitným telefónom a špičkovým „inteligentným“ autom, ktoré vedci odštartovali z cesty.

Tešíme sa, na čo sa tešíme v 21. roku Black Hat, a sledujte, čo sa SecurityWatch týka najnovších udalostí z Black Hat 2018.

Google v centre pozornosti

Tohtoročnú hlavnú tému dodá Parisa Tabriz, riaditeľka inžinierstva spoločnosti Google. Diskusia spoločnosti Tabriz sa zameria na predstavenie nových nápadov týkajúcich sa bezpečnosti, aj keď pracujete v obrovskom rozsahu, a určite sa dotkne jej práce s prehliadačom Chrome.



Hacking v aute je späť (druh)

Charlie Miller a Chris Valasek po útoku, ktorý doslova odviezol Jeepa z cesty, povedali, že svoje kľúče na hackovanie automobilov navždy obracali. To znamená, až kým sa nezapojia do vozidiel s vlastným riadením. Hovoriť o nebezpečenstvách autonómnych automobilov na čele s kráľmi automobilových útokov určite upúta pozornosť.



Hacking Humans

Medzi odborníkmi v oblasti bezpečnosti je bežný (ak je odmietavý) vtip, ktorý hovorí: „najväčšia zraniteľnosť v akomkoľvek systéme je medzi stoličkou a počítačom.“ Ľudia sú rovnako ľahko podvedení ako počítače (možno ľahšie) a sociálne inžinierstvo je určite hlavnou témou. Platí to najmä preto, že čoraz viac organizácií čelí trápeniu podľahnutím phishingovým útokom. Približne okolo roku 2016 sa nikto nechce stať Demokratickým národným výborom a necháva sa na internete rozstrekovať ich bojové recepty a recepty na rizoto.



Šifrovanie a VPN

Keď hovoríme zo skúseností, VPN sú horúcou komoditou v bezpečnostnom priemysle. Globálne nepokoje a snaha o prístup k bezplatnému streamovanému videu online viedli k popularite tohto kedysi ospalého a prehliadaného bezpečnostného nástroja. Vzhľadom na ich nedávnu popularitu a nepriehľadnosť zúčastnených spoločností očakávajú hackeri zameranie na služby VPN.

Šifrovanie je technológia, vďaka ktorej všetko funguje online, od utajenia tajomstiev až po overenie totožnosti jednotlivcov. Je to mocný nástroj a tiež vzrušujúci cieľ. Vedci kongresu sú istí, že budú prezentovať prácu, ako šifrovanie od seba oddeliť, oslabiť alebo inak obísť. Neočakávame nič také priekopnícke ako kolízia hash SHA-1, ale hovor o útoku v bočnom kanáli na ukradnutie šifrovacích kľúčov zo smerovačov znie vzrušujúco.



Prerušenie (alebo použitie) blockchainu

Kryptomeny sú miláčikmi online podsvetia, ako aj technologických investorov. Ich peňažná hodnota a digitálna existencia z nich robia ľahké ciele pre hackerov, čo je tento rok predmetom niekoľkých stretnutí. Ale to je použitie základnej technológie blockchainu ako prostriedku na ukladanie informácií a vytvorenie dôvery online, čo môže priniesť najzaujímavejší výskum. Niektoré stretnutia sa zameriavajú na to, ako zaútočiť na základy kryptom, a to pre hanebné konce.



Hack the Vote

Podľa spravodajských agentúr USA a orgánov činných v trestnom konaní sú ruské pokusy ovplyvniť americké voľby v roku 2016 skutočnosťou. Je to jediný najväčší príbeh o informačnej bezpečnosti, odkedy Snowden uniká, a stále pokračuje. Aj keď sme v minulom roku na túto tému príliš veľa nevideli, volebné hackovanie a zraniteľné hlasovacie zariadenia sú v Black Hat trvalými témami, takže ich tiež čakajte tento rok. Jedna pozoruhodná relácia sa zameriava na to, ako použiť existujúci sociálny graf na odmaskovanie ruských Twitter robotov.



Dvojfaktorové overenie: Godsend alebo kliatba?

Spoločnosť Google nedávno potlačila phishing pomocou fyzických dvojfaktorových zariadení a na svojej konferencii NEXT predstavila vlastnú radu bezpečnostných kľúčov. Každé riešenie bezpečnostného problému je však pre výskumníka novou príležitosťou, ktorá sa môže predviesť. Určite vidíme útoky na systémy 2FA.



Hacking v 21. storočí

Black Hat a DefCon sú najväčšími udalosťami roka pre odborníkov v oblasti bezpečnosti a hackerov, ktorí sa venujú koníčkom, takže je tiež čas pozrieť sa na komunitu ako celok. Aj keď sa vynaložilo úsilie na zvýšenie povedomia o bezpečnosti informácií a konferencií pre ženy, ľudí farby, ľudí so zdravotným postihnutím a ďalšie skupiny, ktoré sa často ocitajú na okraji spoločnosti v oblasti biznisu, tieto udalosti sú miestom, kde sa guma stretáva s cestou. Uskutoční sa viac ako niekoľko stretnutí rôznych skupín a stretnutí zameraných na to, ako urobiť infosec príjemnejším. Niekoľko relácií sa venuje otázkam depresie a PTSD v hackerskej komunite, o téme, o ktorej sa často nehovorí.



Ako zaseknúť elektráreň (alebo čističku vody alebo továreň alebo energetickú mriežku)

Väčšina hackerov je pripravená rýchlo zarobiť, ale niektorí útočníci (a aktéri národných štátov) majú oči na väčšie ceny: infraštruktúru. V predchádzajúcich rokoch sa uskutočnili zasadnutia o tom, ako zničiť továreň bublinami a taktikou o tom, ako zlikvidovať mätúce, zákazkové systémy, ktoré tvoria väčšinu priemyselných komplexov.