Video: TWiT Live Specials 295: Black Hat 2016 (November 2024)
Black Hat je stretnutie výskumných pracovníkov v oblasti bezpečnosti, hackerov a priemyslu, ktorí sa stretávajú v Las Vegas s cieľom urobiť tri veci: načrtnúť najnovšie hrozby, ukázať, ako možno poraziť dobrých a zlých mužov, a spustiť útoky na účastníkov. V tomto roku došlo k mnohým strašidelným útokom, vrátane jedného proti účastníkom show, spolu s hackmi v aute, nových spôsobov, ako ukradnúť peniaze z bankomatov, a prečo by inteligentné žiarovky nemuseli byť také bezpečné, ako sme si mysleli. Tiež sme však videli veľa dôvodov na to, aby sme dúfali, ako napríklad výučba strojov na zisťovanie nebezpečných serverov, používanie Dungeonov a Dragónov na školenie zamestnancov v zaobchádzaní s bezpečnostnými hrozbami a spôsob, akým spoločnosť Apple rieši bezpečnosť vášho iPhone. Všetci povedali, bol to pekný rok ohýbania mysle.
Dobré
Áno, Apple ohlásil v Black Hat program na odmenu za chyby. Bolo to však len posledných 10 minút prezentácie vedúceho bezpečnostného inžinierstva a architektúry Apple od spoločnosti Krst. Počas predchádzajúcich 40 minút ponúkol bezprecedentný hlboký ponor do spôsobov, ako spoločnosť Apple chráni zariadenia a údaje používateľov, pred škodlivými činiteľmi aj pred sebou. A áno, vyžaduje to použitie mixéra čestného k Bohu.
S rastúcou obľubou zariadení Internet of Things sa odborníci v oblasti bezpečnosti stále viac zaoberajú. Koniec koncov, jedná sa o zariadenia s mikropočítačmi pripojenými k sieťam, ktoré sú schopné spustiť kód. To je sen útočníka. Dobrá správa je, prinajmenšom v prípade systému Philip's Hue, vytvorenie červa na skok z žiarovky na žiarovku veľmi ťažké. Zlá správa? Je zrejmé, že je veľmi jednoduché podviesť systémy Hue, aby sa pripojili k sieti útočníka.
Každé školenie o bezpečnosti v každej firme zahŕňa napomenutie, aby zamestnanci nikdy neklikali na odkazy v e-mailoch z neznámych zdrojov. Zamestnanci sú neustále podvedení v tom, že na ne kliknú bez ohľadu na to. Dr. Zinaida Benenson z univerzity v Erlangene v Norimbergu dospela k záveru, že jednoducho nie je rozumné očakávať, že zamestnanci odolajú zvedavosti a iným motiváciám. Ak chcete, aby sa stali Jamesom Bondom, mali by ste to uviesť v popise práce a náležite im zaplatiť.
Mnohé výskumy a vykonávanie bezpečnosti môžu byť necitlivo únavné, ale nové techniky strojového učenia môžu čoskoro viesť k bezpečnejšiemu internetu. Vedci podrobne opísali svoje úsilie vo výučbe strojov na identifikáciu príkazových a riadiacich serverov botnetov, ktoré umožňujú zlým chlapcom kontrolovať stovky tisíc (ak nie milióny) infikovaných počítačov. Tento nástroj by mohol pomôcť udržať veko pri takej nebezpečnej činnosti, ale nebol to len ťažký výskum. Na záver svojho zasadnutia vedci preukázali, ako by sa systémy strojového učenia mohli použiť na vytvorenie priechodnej piesne Taylor Swift.
Ten, kto vie, sieť hotelov môže byť v poriadku na konferenciu s domácimi miláčikmi, ale nie pre Black Hat. Konferencia má svoju vlastnú úplne samostatnú sieť a pôsobivé sieťové operačné centrum, ktoré ju spravuje. Návštevníci sa môžu pozrieť cez sklenenú stenu na mnohých žiariacich obrazovkách, hackerských filmoch a dlhoročných bezpečnostných expertoch v NOC, ktorí sa zbalili v celom rozsahu a presunuli sa po celom svete na ďalšiu konferenciu Black Hat.
Počítačoví hackeri a hackeri s bielym klobúkom jednoducho nedokážu získať dostatok bezpečnostných školení, ale nie sú to tí, ktorí ich skutočne potrebujú. Pracovníci predaja, tím HR a posádka call centra nemusia nevyhnutne chápať alebo oceňovať bezpečnostné školenia a napriek tomu ich naozaj potrebujete, aby zintenzívnili svoju bezpečnostnú hru. Výskumník Tiphaine Romand Latapie navrhol prepracovanie bezpečnostného výcviku ako hry na hrdinov. Zistila, že to úplne fungovalo, a priniesla významné nové zapojenie medzi bezpečnostným tímom a zvyškom personálu. Žaláre a draky, niekto?
Podvodný telefónny hovor je obrovský problém. Podvody IRS presvedčia netušiacich Američanov, aby rozdávali peniaze. Podvody s obnovením hesla podnecujú call centrá k rozdávaniu zákazníckych údajov. Profesorka Judith Tabron, forenzná lingvistka, analyzovala skutočné podvodné hovory a navrhla dvojdielny test, ktorý vám ich pomôže spoznať. Prečítajte si to a učte sa, dobre? Je to jednoduchá a užitočná technika.
Strach
Pwnie Express stavia zariadenia, ktoré monitorujú sieťový vzdušný priestor pre všetko, čo nie je v poriadku, a je to tiež dobrá vec, pretože spoločnosť tento rok objavila v Black Hat obrovský útok typu Man-in-the-Middle. V tomto prípade škodlivý prístupový bod zmenil svoje SSID, aby oklamal telefóny a zariadenia, aby sa pripojili k sieti, čo považovalo za bezpečnú a priateľskú sieť, ktorú zariadenie predtým videlo. Útočníci pri tom oklamali asi 35 000 ľudí. Aj keď je skvelé, že spoločnosť dokázala útok odhaliť, skutočnosť, že bola taká masívna, pripomína pripomenutie úspešnosti týchto útokov.
V minulom roku Charlie Miller a Chris Valasek predstavili to, čo mnohí predpokladali, bol vrchol ich kariéry v hackovaní automobilov. Tento rok sa vrátili s ešte odvážnejšími útokmi, ktoré dokážu zabrzdiť alebo ovládať volant, keď sa automobil pohybuje akoukoľvek rýchlosťou. Predchádzajúce útoky sa mohli vykonať iba vtedy, keď vozidlo ide rýchlosťou 5 km / h alebo nižšou. Tieto nové útoky by mohli predstavovať veľké riziko pre vodičov a dúfajme, že ich výrobcovia automobilov rýchlo opravia. Valasek a Miller naopak tvrdili, že robili hackovacie autá, ale povzbudili ostatných, aby šli v ich šľapajach.
Ak sa pozeráte na pána Robota, viete, že je možné infikovať počítač obete tak, že disky USB natiahnete okolo parkoviska. Ale naozaj to funguje? Elie Bursztein, vedúca výskumu v oblasti boja proti podvodom a zneužívaniu v spoločnosti Google, predniesla na túto tému dvojdielnu diskusiu. V prvej časti bola podrobne opísaná štúdia, ktorá jasne preukázala, že funguje (a parkovisko sú lepšie ako chodby). Druhá časť podrobne vysvetlila, ako presne zostaviť jednotku USB, ktorá by úplne prebrala akýkoľvek počítač. Robili ste si poznámky?
Droni boli horúcou položkou minulého obdobia dovolenkových nákupov a možno nielen pre geekov. Prezentácia ukázala, ako by sa DJI Phantom 4 mohol použiť na rušenie priemyselných bezdrôtových sietí, špionáž zamestnancov a horšie. Trik je v tom, že veľa kritických priemyselných miest používa na ochranu citlivých počítačov tzv. „Vzduchovú medzeru“. V zásade ide o siete a zariadenia, ktoré sú izolované od vonkajšieho internetu. Internet však k nim môžu priniesť aj malé, manévrovacie dróny.
Strojové vzdelávanie je na pokraji revolúcie v mnohých technologických odvetviach, a to vrátane podvodníkov. Vedci spoločnosti Black Hat demonštrovali, ako by sa stroje mohli učiť aj pri produkcii vysoko efektívnych správ o phishingu. Ich nástroj určuje vysoko hodnotné ciele a potom sleduje obete tweety, aby vyprodukoval správu, ktorá je relevantná a neodolateľne na ňu možno kliknúť. Tím nešíril nič škodlivé pomocou spamu, ale nie je ťažké si predstaviť podvodníkov, ktorí tieto techniky prijímajú.
V hoteli môžete očakávať bezplatné Wi-Fi pripojenie a môžete byť dostatočne dôvtipní, aby ste si uvedomili, že to nie je nevyhnutne bezpečné. Ale Airbnb alebo iný krátkodobý prenájom, bezpečnosť môže mať najhoršiu bezpečnosť vôbec. Prečo? Pretože hostia predtým, ako ste mali fyzický prístup k smerovaču, znamená to, že ho mohli úplne vlastniť. Hovor Jeremy Galloway podrobne popisoval, čo hacker môže urobiť (je to zlé!), Čo môžete urobiť, aby ste zostali v bezpečí a čo môže vlastník nehnuteľnosti urobiť, aby takéto útoky odradil. Je to problém, ktorý neodchádza.
V jednom z najkomplexnejších rozhovorov v spoločnosti Black Hat predstavil senior Pentester Rapid7 Weton Hecker, čo by mohol byť novým modelom podvodu. Jeho vízia zahŕňa rozsiahlu sieť kompromitovaných bankomatov, predajné automaty (ako v obchode s potravinami) a plynové čerpadlá. Tieto mohli ukradnúť informácie o platbe obete v reálnom čase a potom ich rýchlo zadať pomocou motorizovaného zariadenia na potlačenie PIN. Hovorilo sa o tom, že hotovostné bankomaty chrlia hotovosť a vízia budúcnosti, keď podvodníci kupujú informácie o kreditných kartách jednotlivcov, ale prístup k rozsiahlej sieti platobných podvodov v reálnom čase.
Nebola to jediná prezentácia v Black Hat, ktorá podrobne popisovala útoky na platobné systémy. Ďalšia skupina vedcov ukázala, ako dokázali pomocou Raspberry Pi a trocha úsilia zachytiť osobné údaje z transakcií na čipových kartách. Je to pozoruhodné nielen preto, že čipové karty (karty AKA EMV) sa považujú za bezpečnejšie ako karty typu magswipe, ale tiež preto, že USA práve začali s rozširovaním čipových kariet na domácom trhu.
Budúci rok prinesie nový výskum, nové hacky a nové útoky. Ale Black Hat 2016 určil tón pre tento rok, čo ukazuje, že hackerova práca (či už ide o bielu alebo čiernu čiapku) sa v skutočnosti nikdy nerobí. Ak nás ospravedlníte, skartujeme naše kreditné karty a pôjdeme žiť v lese Faraday Cage.