Video: Black Hat Tribute - Everything Black (Lapkritis 2024)
„Juodoji skrybėlė“ yra saugumo tyrinėtojų, įsilaužėlių ir pramonės atstovų sambūris, susitinkantis Las Vegase, kad būtų atlikti trys dalykai: išdėstytos naujausios grėsmės, parodyta, kaip galima nugalėti gerus ir blogus vaikinus, ir surengtos atakos prieš dalyvius. Šiais metais įvyko daug baisių išpuolių, įskaitant prieš parodų dalyvius, taip pat automobilių apiplėšimai, nauji būdai pavogti grynuosius pinigus iš bankomatų ir kodėl išmaniosios lemputės gali būti ne tokios saugios, kaip mes manėme. Tačiau mes taip pat pamatėme daug vilčių keliančių priežasčių, pavyzdžiui, mokymo mašinas, leidžiančias pastebėti pavojingus serverius, „Dungeons“ ir „Dragons“ naudojimą mokant darbuotojus valdyti saugumo grėsmes ir kaip „Apple“ tvarko jūsų „iPhone“ saugą. Visa tai pasakė, kad tai labai gražus mąstymas.
Geras
Taip, „Apple“ paskelbė klaidų laužymo programą „Black Hat“. Tačiau tai buvo tik paskutinės 10 minučių, kurias pristatė Ivanas Krsticas, „Apple“ saugos inžinerijos ir architektūros vadovas. Per pastarąsias 40 minučių jis pasiūlė precedento neturintį gilų pasinėrimą į tai, kaip „Apple“ apsaugo vartotojų įrenginius ir duomenis tiek nuo blogo, tiek nuo savęs. Ir taip, tai apima sąžiningo Dievui trintuvo naudojimą.
Daiktų interneto prietaisai tampa vis populiaresni, todėl saugumo specialistai tampa vis labiau susirūpinę. Galų gale tai yra įrenginiai, turintys mikrokompiuterius, prijungtus prie tinklų ir visiškai galinčius paleisti kodą. Tai užpuoliko svajonė. Geros naujienos yra tai, kad bent jau „Philip's Hue“ sistemos atveju labai sunku sukurti slieką, kuris peršoktų iš lemputės į lemputę. Bloga žinia? Matyti, kad labai paprasta apgauti „Hue“ sistemas prisijungti prie užpuoliko tinklo.
Kiekvienas saugos mokymas kiekviename versle apima įspėjimą, kad darbuotojai niekada neturėtų spustelėti el. Laiškų iš nežinomų šaltinių saitų. Ir darbuotojai ir toliau yra verčiami spustelėti juos, nepaisant to. Erlangeno-Niurnbergo universiteto dr. Zinaida Benenson padarė išvadą, kad tiesiog nėra pagrįsta tikėtis, kad darbuotojai priešinsis smalsumui ir kitoms motyvacijoms. Jei norite, kad jie būtų Džeimsas Bondas, turėtumėte tai įtraukti į pareigybės aprašą ir atitinkamai sumokėti.
Daugybė saugumo tyrimų ir vykdymo gali būti nuobodūs, tačiau nauji mašininio mokymosi metodai netrukus gali padėti sukurti saugesnį internetą. Tyrėjai detalizavo savo pastangas mokant mašinų atpažinti „botnet“ komandos ir valdymo serverius, kurie blogiukams leidžia valdyti šimtus tūkstančių (jei ne milijonus) užkrėstų kompiuterių. Priemonė galėtų padėti uždengti tokią nemandagią veiklą, tačiau tai nebuvo visi sunkūs tyrimai. Baigdami sesiją, tyrėjai pademonstravo, kaip mašininio mokymosi sistemos gali būti panaudotos kuriant praeinamą Taylor Swift dainą.
Kas žino viešbučių tinklą, gali būti gerai už konferenciją dėl augintinių, bet ne už „Black Hat“. Konferencija turi savo visiškai atskirą tinklą ir įspūdingą tinklo operacijų centrą, skirtą jam valdyti. Lankytojai gali apsižvalgyti pro stiklinę sieną prie daugybės žėrinčių ekranų, įsilaužėlių filmų ir ilgalaikių saugumo ekspertų NOC, kuris yra visiškai supakuotas ir persikėlė aplink pasaulį į kitą „Black Hat“ konferenciją.
IT saugumo stebuklai ir piratų įsilaužėliai tiesiog negali gauti pakankamai saugumo mokymų, tačiau jie nėra tie, kuriems jų iš tikrųjų reikia. Pardavimų darbuotojai, personalo komanda ir skambučių centro personalas nebūtinai supranta ar vertina saugumo mokymus, tačiau vis dėlto jums jų reikia, kad sustiprintumėte savo saugumo žaidimą. Tyrėjas Tiphaine'as Romandas Latapie pasiūlė pakeisti saugumo mokymą kaip vaidmenų žaidimą. Ji nustatė, kad tai visiškai suveikė ir paskatino reikšmingą naują saugumo komandos ir likusio personalo susižadėjimą. Požemiai ir drakonai, kas nors?
Nesąžiningi telefono skambučiai yra didžiulė problema. IRS sukčiavimai įtikina neįtariančius amerikiečius sumokėti už grynuosius pinigus. Slaptažodžio nustatymas iš naujo sukčiavimo būdu nukreipia skambučių centrus į klientų duomenų atidavimą. Teismo kalbininkė profesorė Judith Tabron išanalizavo tikrus skambučius ir sukūrė dviejų dalių testą, padėsiantį jums juos pastebėti. Perskaityk tai ir išmok, gerai? Tai paprasta ir verta technika.
Bauginantis
„Pwnie Express“ konstruoja įrenginius, kurie stebi tinklo oro erdvę nepageidaujamai, ir tai taip pat yra geras dalykas, nes šiemet bendrovė atrado didžiulę „Man-in-the-Middle“ ataką „Black Hat“. Šiuo atveju kenkėjiškas prieigos taškas pakeitė savo SSID, kad apgautų telefonus ir įrenginius, kad jie prisijungtų prie tinklo, manydami, kad tai yra saugus, draugiškas tinklas, kurį įrenginys matė anksčiau. Tai darydami, užpuolikai apgavo apie 35 000 žmonių. Nors puiku, kad įmonė sugebėjo pastebėti išpuolį, faktas, kad ji buvo tokia masinė, primena, kaip šios atakos gali būti sėkmingos.
Praėjusiais metais Charlie Miller ir Chris Valasek pristatė tai, kas, jų manymu, buvo jų karjeros karjeroje viršūnė. Šiemet jie grįžo su dar drąsesnėmis atakomis, kurios sugeba pritaikyti stabdžius ar valdyti vairą, kai automobilis juda bet kokiu greičiu. Ankstesnės atakos galėjo būti vykdomos tik tada, kai automobilis važiuoja ne mažesne kaip 5Mph greičiu. Šios naujos atakos gali kelti didelę riziką vairuotojams ir, tikimės, greitai jas pataisys automobilių gamintojai. Savo ruožtu Valasekas ir Milleris teigė, kad jie buvo padaryti įsilaužėlių automobiliais, tačiau paragino kitus sekti jų pėdomis.
Jei žiūrite poną Robotą, žinote, kad užkrėsti aukos kompiuterį įmanoma, apvalant USB laikmenas aplink automobilių stovėjimo aikštelę. Bet ar tai tikrai veikia? Elie Bursztein, „Google“ vadovaujanti kovos su sukčiavimu ir piktnaudžiavimu tyrimams, pristatė dviejų dalių pokalbį šia tema. Pirmoje dalyje išsamiai aprašytas tyrimas, kuris aiškiai parodė, kad jis veikia (o stovėjimo aikštelės yra geriau nei prieškambariai). Antroje dalyje labai išsamiai paaiškinta, kaip sukurti USB diską, kuris visiškai perimtų bet kurį kompiuterį. Ar ėmėtės užrašų?
Dronai buvo karštas daiktas praėjusių atostogų apsipirkimo sezone, ir galbūt ne tik geeksams. Pristatymas parodė, kaip „DJI Phantom 4“ gali būti panaudotas pramoniniams belaidžiams tinklams blokuoti, darbuotojams šnipinėti ir dar blogiau. Apgaulė yra ta, kad daugelis kritinių pramonės objektų naudoja tai, kas vadinama „oro tarpu“, kad apsaugotų jautrius kompiuterius. Iš esmės tai yra tinklai ir įrenginiai, atskirti nuo išorinio interneto. Tačiau maži, manevringi dronai gali nešti juos į internetą.
Mašinų mokymasis yra daugelio technologijų pramonės šakų revoliucijos taškas, įskaitant sukčius. „Black Hat“ tyrėjai pademonstravo, kaip mašinas taip pat galima išmokyti gaminti labai efektyvius ieties sukčiavimo pranešimus. Jų įrankis nustato didelės vertės taikinius ir tada nuskaito aukos tviterį, kad būtų galima nusiųsti žinią, kuri yra aktuali ir neatšaukiamai spustelėjama. Komanda savo šlamšto žiniatinklyje skleidė nieko blogo, tačiau nėra sunku įsivaizduoti sukčius, kurie naudojasi šiais būdais.
Jūs tikitės nemokamo belaidžio interneto viešbutyje, ir jūs galite būti pakankamai taupūs, kad suprastumėte, jog jis nebūtinai yra saugus. Bet „Airbnb“ ar kitos trumpalaikės nuomos atveju saugumas gali būti blogiausias. Kodėl? Kadangi svečiai, prieš jus turėję fizinę prieigą prie maršrutizatoriaus, reiškia, kad jie galėjo visiškai jį valdyti. Jeremy Galloway pokalbis išsamiai aprašė, ką įsilaužėlis gali padaryti (tai blogai!), Ką galite padaryti, kad būtumėte saugūs, ir ką turto savininkas gali padaryti, kad atgrasytų nuo tokių išpuolių. Tai problema, kuri neišnyks.
Vienoje iš išsamiausių „Black Hat“ derybų „Rapid7“ vyresnysis penktasis Wetonas Heckeris pademonstravo, koks galėtų būti naujas sukčiavimo modelis. Jo vizijoje yra didžiulis kompromituotų bankomatų tinklas, prekybos taškų automatai (kaip maisto prekių parduotuvėje) ir dujų siurbliai. Tai gali pavogti aukos mokėjimo informaciją realiuoju laiku ir tada greitai įvesti ją naudojant motorizuotą PIN kodą. Pokalbis baigėsi bankomatu, mokančiu grynuosius pinigus, ir ateities vizija, kai sukčiai perka ne asmenų kreditinių kortelių informaciją, o prieigą prie didžiulio realiojo laiko mokėjimo sukčiavimo tinklo.
Tai nebuvo vienintelis „Black Hat“ pristatymas, kuriame išsamiai aprašomos išpuoliai prieš mokėjimo sistemas. Kita tyrėjų grupė parodė, kaip, naudodamiesi „Raspberry Pi“ ir šiek tiek pastangų, jie sugebėjo perimti daugybę asmeninės informacijos iš lustinių kortelių operacijų. Tai ypač svarbu ne tik todėl, kad lustinės kortelės (AKA EMV kortelės) yra laikomos saugesnėmis nei „magswipe“ kortelės, bet ir todėl, kad JAV ką tik pradėjo platinti lustines korteles savo šalyje.
Kiti metai atneš naujų tyrimų, naujų įsilaužimų ir naujų atakų. Tačiau „Black Hat 2016“ nustatė metų toną, parodydama, kad įsilaužėlių darbas (balta ar juoda skrybėlėmis) niekada nėra atliekamas. Jei jūs atleisite mus, mes susmulkinsime savo kreditines korteles ir išvyksime gyventi į Faradėjaus narvą miške.
