Juodoji skrybėlė 2018: ko tikėtis

Vasarai įsibėgėjus, saugumo tyrinėtojai, vyriausybės žvilgsniai ir pramonės elitas keliauja į Las Vegasą į „Juodosios skrybėlės“ konferenciją, po kurios iškart eina jos daugiau paaukštinęs protėvis DefCon.

Tai savaitę trunkanti šventė, į kurią įeina visokie dalykai, kai tyrėjai bando susivienyti vienas su kitu pristatydami naujausius ir baisiausius pažeidžiamumus. Po tamsaus vakaro šurmuliuoja žmonės, kurie atsainiai melsdavosi tokiomis frazėmis kaip „prausėme kambarį klausymosi prietaisams ir radome tris!“. Tarp visų šio žvilgsnio bus jūsų nuolankūs „PCMag“ žurnalistai Maxas Eddy ir Neilas Rubenkingas, tvirtai laikydamiesi popierinių skėčių gėrimų, nes jų ausyse šnabždasi saugumo paslaptys.

Juodoji skrybėlė yra žinoma ir dėl savo meistriškumo, ir dėl savo tyrimų. Ankstesniais metais buvo matomi nulaužti „Linux“ šautuvai, bankomatai, išrašantys 100 JAV dolerių, nesaugūs palydoviniai telefonai ir aukštųjų technologijų „intelektualūs“ automobiliai, kuriuos tyrėjai nuvarė nuo kelio.

Štai ko mes tikimės 21-aisiais „Black Hat“ metais ir nuolat stebime „SecurityWatch“ naujausius iš „Black Hat 2018“.

„Google“ dėmesio centre

Šių metų pagrindinį pranešimą pristatys Parisa Tabriz, „Google“ inžinerijos direktorė. Tabrizo pokalbyje didžiausias dėmesys bus skiriamas naujų saugumo idėjų įkvėpimui, net dirbant didžiuliu mastu, ir būtinai palies jos darbą su „Chrome“ naršykle.



Automobilių piratavimas grįžo (rūšis)

Po jų galvos užpuolimo, kuris tiesiogine prasme nuvažiavo „Jeep“ nuo kelio, Charlie Miller ir Chrisas Valasekas teigė, kad jie pasuko į automobilio įsilaužimo raktus. T. y., Kol jie neįsitraukė į savarankiškai važiuojančias transporto priemones. Kalba apie autonominių automobilių, kuriems vadovauja automobilių išpuolių karaliai, pavojus tikrai patraukia dėmesį.



Žmonių įsilaužimas

Tarp saugumo specialistų yra paplitęs (jei atmestinas) pokštas, kuriame sakoma: „didžiausia bet kurios sistemos pažeidžiamumas yra tarp kėdės ir kompiuterio“. Žmonės yra lygiai taip pat lengvai apgaunami kaip kompiuteriai (galbūt lengviau), ir socialinė inžinerija tikrai yra pagrindinė tema. Tai ypač pasakytina apie tai, kad vis daugiau organizacijų susiduria su gėdos jausmu, kad pasidavė sukčiavimo apsimetant išpuoliais. Niekas nenori būti Demokratų nacionaliniu komitetu, kuris yra 2016 m., O jų įžvalgos ir risoto receptai turi būti išplatinti internete.



Šifravimas ir VPN

Kalbant iš patirties, VPT yra svarbi prekė saugumo pramonėje. Visuotiniai neramumai ir noras prieiti prie nemokamos vaizdo transliacijos internete paskatino šio kadaise mieguisto ir nepastebimo saugumo įrankio populiarumą. Atsižvelgiant į pastarojo meto populiarumą ir dalyvaujančių bendrovių neskaidrumą, tikėtis, kad įsilaužėliai sutelks dėmesį į VPN paslaugas.

Taip pat šifravimas yra technologija, leidžianti viskam veikti tinkle, pradedant paslapčių laikymu ir baigiant asmenų tapatybės tikrinimu. Tai galingas įrankis ir įdomus taikinys. Suvažiavimo tyrėjai tikrai pristatys darbą, kaip išsirinkti, susilpninti ar kitaip apeiti šifravimą. Mes nesitikime nieko tokio naujoviško kaip SHA-1 maišos susidūrimas, tačiau kalbos apie šoninio kanalo puolimą pavogti šifravimo raktus iš maršrutizatorių skamba įdomiai.



„Blockchain“ sulaužymas (arba naudojimas)

Kriptovaliutos yra internetinio pogrindžio ir technologijų investuotojų numylėtiniai. Dėl jų piniginės vertės ir skaitmeninio egzistavimo jie tampa lengvais įsilaužėlių taikiniais, dėl kurių šiais metais vyksta kelios sesijos. Įdomiausių tyrimų rezultatai gali būti pagrindinės „blockchain“ technologijos naudojimas kaip priemonė saugoti informaciją ir sukurti pasitikėjimą internetu. Kai kuriose sesijose bus kalbama apie tai, kaip užpulti kripto pamatus siekiant nesąžiningų tikslų.



Nulaužkite balsą

Anot Rusijos žvalgybos ir teisėsaugos institucijų, Rusijos bandymai paveikti 2016 m. JAV rinkimus yra faktas. Tai yra vienintelė didžiausia informacijos saugumo istorija nuo tada, kai „Snowden“ nutekėjo, ir ji tebevyksta. Nors praėjusiais metais per daug nematėme šia tema, rinkimų įsilaužimai ir pažeidžiami balsavimo aparatai yra daugiametės „Black Hat“ temos, todėl tikėkitės jų ir šiais metais. Vienoje pastebimoje sesijoje nagrinėjama, kaip panaudoti esamą socialinę schemą norint atidengti Rusijos „Twitter“ žinutes.



Dviejų faktorių autentiškumo patvirtinimas: dievobaimingumas ar prakeikimas?

Neseniai „Google“ sukčiavo apsimestiniu būdu naudodama fizinius dviejų veiksnių įrenginius ir savo NEXT konferencijoje pristatė savo saugos raktų eilutę. Bet kiekvienas saugumo problemos sprendimas yra nauja galimybė tyrinėtojui parodyti. Mes tikrai matėme kai kurias 2FA sistemų atakas.



Įsilaužimai į XXI amžių

„Black Hat“ ir „DefCon“ yra didžiausi metų įvykiai saugumo profesionalams ir pomėgių mėgėjams, todėl tai yra laikas pažvelgti į visą bendruomenę. Nors buvo imtasi pastangų, kad informacijos saugumas ir konferencijos taptų draugiškesnės moterims, spalvotiems žmonėms, neįgaliesiems ir kitoms grupėms, kurios dažnai yra atstumtos technologijų srityje, šie renginiai yra ten, kur guma pasitinka kelią. Bus daugiau nei keletas susitikimų su įvairiomis grupėmis ir sesijomis, kuriuose bus kalbama apie tai, kaip paversti infosectus malonesniais. Keliose sesijose nagrinėjamos depresijos ir PTSS problemos įsilaužėlių bendruomenėje. Ši tema nėra dažnai aptariama.



Kaip nulaužti elektrinę (arba vandens valymo įrenginį, ar gamyklą, ar elektros tinklą)

Daugelis įsilaužėlių tik ruošiasi greitai užsidirbti, tačiau kai kurie užpuolikai (ir nacionalinės valstybės veikėjai) turi žvilgsnį į didesnius prizus: infrastruktūrą. Ankstesniais metais buvo rengiamos sesijos, kaip sunaikinti gamyklą, kurioje yra burbuliukų, ir taktikos, kaip nuimti painias, pagal užsakymą sistemas, sudarančias daugumą pramoninių kompleksų.