Čierny klobúk 2019: najbláznivejšie a najstrašidelnejšie veci, ktoré sme videli

Slnko v Las Vegas zapadlo na ďalší čierny klobúk a nespočetné množstvo hackov, útokov a zraniteľností, ktoré prináša. Tento rok sme mali vysoké očakávania a neboli sme sklamaní. Boli sme dokonca občas prekvapení. Tu sú všetky skvelé a desivé veci, ktoré sme videli.

Jeff Moss 'Shoes

Skutočnou hviezdou slávnostného otvorenia boli trblietavé topánky zakladateľa Black Hat Jeffa Mossa. Moss, tiež známy ako Dark Tangent, obliekal trblietavé tenisky; jeho „iskrivé topánky“, ako povedal na pódiu. „Ak mi lasery zasiahnu pravdu, možno budem môcť oslepiť jedného alebo dvoch z vás.“



Falošné telefóny

Tieto telefóny vyzerajú skvele, ale v skutočnosti ide o lacný falzifikát z Číny. Každá stojí približne 50 dolárov a je dodávaná s predplateným škodlivým softvérom bez ďalších poplatkov! Falošný iPhone je obzvlášť pôsobivý. Prevádzkuje vysoko upravenú verziu systému Android, ktorá je mŕtvym zvončekom pre iOS. Má dokonca starostlivo vyrobenú falošnú kompasovú aplikáciu, aj keď takú, ktorá vždy ukazuje. Ďakujeme Afílii za to, že ste nám ukázali tieto divné zariadenia.



Rakety na malware

Výskumník bezpečnosti Mikko Hypponen vo svojej prezentácii v Black Hat uvažoval o dôsledkoch kybernetického vojna, ktoré sa stalo skutočnou streleckou vojnou. Je to dôležitá otázka v tomto veku hackerov sponzorovaných štátom a zasahovania do ruských volieb. Publikum tiež predstavil najlepší spôsob, ako opísať prácu bezpečnostného odborníka: „Čo robíme, je to, ako je Tetris. Keď budete úspešní, zmizne.



Šírenie v softvéri

Koľko spôsobov môže škodlivý softvér infikovať iný kód? Poďme si spočítať spôsoby! Nie, naozaj ich spočítajte. To robili niektorí vedci. Očakávali, že nájdu niekoľko spôsobov, ale namiesto toho prišli s 20-plus variáciami.



Na GPS sa príliš nespoliehajte

GPS je skvelý; Pomáha vám dostať sa tam, kam potrebujete, a už nemusíte mať v aute zatuchnutý atlas. Globálne navigačné satelitné systémy (GNSS), ako napríklad GPS, sú však ľahko podvrhnuté, a to je problém, ak navrhujete autonómne vozidlo, ktoré sa príliš spolieha na GNSS. V tomto rozhovore pre Black Hat sme videli, ako strašidelné, nepríjemné veci sa stávajú automobilu bez vodiča, keď sa pohrávate s navigačnými signálmi.



Strašidlo strašidla s SwapGS

Pamätáte si na Spectre a Meltdown? Boli to veľké desivé zraniteľné miesta, ktoré vedci našli v procesoroch pred niekoľkými rokmi a ktoré chytili titulky niekoľko týždňov. Vedci Bitdefenderu teraz našli podobnú zraniteľnosť vo všetkých moderných čipoch Intel.



Odvetvie sebazáruky

Žiarli ste niekedy na svojho priateľa, ktorý má na Instagrame nevysvetliteľne tisíce ďalších sledovateľov? Nebuď, pretože ich pravdepodobne kúpili. Ale odkiaľ títo falošní nasledovníci pochádzajú a kto to vlastne je? To je otázka, ktorú vedci GoSecure Masarah Paquet-Clouston (na obrázku) a Olivier Bilodeau pokúsili odpovedať v rozhovore pre Black Hat. Odhalili obrovský ekosystém predajcov a sprostredkovateľov postavený na chrbtici falošných adries IP a zariadení internetu vecí infikovaných škodlivým softvérom. Títo falošní páči sa za to všetko nestoja.



5G je (väčšinou) bezpečný

5G je skutočne cool a skutočne rýchly a v podstate vyrieši všetky naše problémy navždy, vrátane niektorých nepríjemných bezpečnostných nedostatkov, ktoré pretrvávajú v bezdrôtových štandardoch. Vedci však našli v 5G niektoré jedinečné vtipky, ktoré im umožnili identifikovať zariadenia, znížiť rýchlosť internetu a vybiť batériu zariadení internetu vecí.



Pwned by Text

Tu a znova uvidíte príbeh o bezpečnostnej spoločnosti alebo vláde, ktorá má super tajnú zraniteľnosť pre iPhone, ktorú používa pri takej nebezpečnej činnosti. Jeden výskumný pracovník v oblasti bezpečnosti Google sa pýtal, či by také veci mohli skutočne existovať, a našiel 10 chýb. Nakoniec mohla so svojim kolegom extrahovať súbory a čiastočne ovládať iPhone iba odoslaním textových správ.



Veľký boj Boeing 787 Hack Fight z roku 2019

Moderátori Black Hat nemajú vždy útulný vzťah so spoločnosťami a organizáciami, ktoré vyšetrujú. Tento rok bol domovom, keď Ruben Santamarta odhalil svoje potenciálne útoky na sieť Boeing 787. Verí, že je možné dosiahnuť citlivé systémy prostredníctvom rôznych vstupných bodov, ale Boeing tvrdí, že je to všetko falošné. Ťažko povedať, komu veriť v tento príbeh, ale Max Eddy poukazuje na to, že Santamarta svoju prácu plne preukázal.



Kult mŕtvej kravy

Kto by napísal knihu o ľuďoch, ktorí boli slávni pred 20 rokmi? Joe Menn, novinár a autor, to je kto. Jeho kniha má názov Cult of the Dead Cow: Ako pôvodná hackerská superskupina môže zachrániť svet . Skupina bola niekedy anonymná, používali ju kľučky ako Deth Veggie, Dildog a Mudge. S vydaním knihy prvýkrát hovorili v Black Hat pod ich skutočnými menami. Neil to ešte nečítal, ale skupina tento Black Hat určite húpala; stretol sa s nimi tri dni v rade.

V utorok v noci skočil do kabíny so skupinou pred sebou, ktorá sa ukázala ako Deth Veggie a gang. V stredu sa Neil dostal na pozvaný obedový panel, na ktorom vystúpili okrem iného Deth Veggie, autor Joe Menn, Dug Song of Duo Security a Heather Adkins, ktorý je v súčasnosti najvyšším bezpečnostným riaditeľom spoločnosti Google. Joe robil rozhovory s Mudgeom, Dildogom a Deth Veggie a bolo veľa radosti.

Cez túto skupinu prešlo kaskáda brilantných hackerov. Väčšina z nich je v súčasnosti zamestnaná v bezpečnostných spoločnostiach alebo vládnych agentúrach. Jeden dokonca kandiduje na prezidenta. Neil sa teší na prečítanie histórie tejto inšpiratívnej skupiny hacktivistov.



Detekcia dýchania s náustkom

Nikto nepoužil hlboké falošné video, aby sa pokúsil ovplyvniť verejnú mienku. My si myslíme. Matt Price a Mark Price (no relationship) si však myslia, že by sa to mohlo stať kedykoľvek. Preto sa rozhodli preskúmať, ako sa robia hlboké falzifikáty, ako sa dajú zistiť a ako ich lepšie odhaliť. V tomto poslednom bode vytvorili nástroj, ktorý sa pozerá na ústa, aby sa pokúsil vypracovať falzifikáty. Fungovalo to o niečo lepšie ako 50 percent času, ktorý sa, dúfajme, dobre hodí do budúcnosti.

Ak nás Mouthnet nezachráni, možno to môžu myši! Vedci skúmajú, ako vyškolené myši rozpoznávajú rôzne vzorce reči. Ich malý mozog by mohol byť kľúčom k detekcii hlbokých falošných videí, dúfajme, že predtým, ako dôkladne vydané falošné video spôsobí nejaké skutočné škody. (ALEXANDRA ROBINSON / AFP / Getty Images)



Ruská spravodajská služba bojuje sama so sebou

Keď hovoríme o ruských volebných zásahoch alebo ruských troll fariem, predpokladáme, že spravodajské služby Matky Ruska sú v pohotovosti a konajú ako súčasť jediného prefíkaného plánu. Podľa jedného výskumníka to nemohlo byť ďalej od pravdy. Rusko má skôr abecednú polievku spravodajských agentúr, ktoré bojujú o zdroje a prestíž a sú úplne ochotné hrať špinavo, aby dosiahli pokrok. Dôsledky sú niekedy zlé.



Zbraňovanie internetu

Na zasadnutí o ruskom temnom webe vedci skúmali, ako nedávne ruské zákony sťažujú policajnú činnosť v tejto krajine. Rusko teraz buduje akýsi interný internet navrhnutý tak, aby fungoval, aj keď bol odrezaný od medzinárodného webu. To má „nezamýšľaný“ dôsledok, pretože je oveľa ťažšie dostať sa na ruské stránky, ktoré vykonávajú nezákonnú činnosť.



Kto sleduje predinštalované aplikácie?

Nikto nemá rád bloatware, ale kto zaistí, aby predinštalované aplikácie neboli vlci zabalení do vlnených maskov? Odpoveď je Google. Senior Security Engineer Maddie Stone opísal problémy pri identifikácii škodlivých aplikácií medzi predinštalovanými aplikáciami. Jeden problém: predinštalované aplikácie majú vyššie privilégiá a čudné správanie vďaka predinštalovaniu, čo sťažuje vyhľadávanie nebezpečných.



Získajte prístrešok s hacknutým Bluetooth kľúčom

Zámky s podporou Bluetooth, ktoré otvárate pomocou aplikácie, musia byť bezpečnejšie ako nudné kovové špendlíky a stavítka, správne? Nie v Black Hat. S trochou know-how a lacného hardvéru mohli dvaja vedci otvoriť dvere a získať všetky druhy užitočných informácií. Možno by sme sa mali držať kľúčov od kostry.



Dokonca aj čínski hackeri potrebujú bočné koncerty

Povedzme, že ste hacker a vynakladáte pre svoju miestnu vládu dosť dobré peniaze. Čo vás má zastaviť pred mesačným osvetľovaním a zarobiť si trochu peňazí navyše, povedzme infiltráciou dodávateľského reťazca pre vývojárov videohier? Zdá sa, že nič, ak sa má veriť výskumu FireEye. Vzhľadom na to, že predmetní hackeri pracujú pre čínsku vládu, je trochu prekvapujúce, keď sa skupina obohacuje na strane. Toto by mohol byť prvý bezpečnostný výskum, ktorý dostal hackera do problémov so svojím šéfom.