Svart hatt 2018: hva du kan forvente

Når sommeren varmer opp, drar sikkerhetsforskere, regjeringsspoken og industrielitene til Las Vegas for Black Hat-konferansen, etterfulgt av sin mer avdøde etterkommere, DefCon.

Det er en ukes lang feiring av alle tingene infosec, der forskere prøver å oppfylle hverandre med presentasjoner om de siste, skumleste sårbarhetene. Etter mørkets frembrudd er det glitrende fester med folk som kastet tilfeldig rundt setninger som "vi feide rommet for lytteenheter og fant tre!" Midt i alt dette bedlamet vil du være de ydmyke PCMag-reporterne Max Eddy og Neil Rubenking, og klamrer seg fast til paraplydrikker når sikkerhetshemmeligheter blir hvisket i ørene.

Black Hat er kjent for sin utførelse like mye som sin forskning. Tidligere år har sett hackede Linux-rifler, minibanker som spruter $ 100-regninger, usikre satellittelefoner og høyteknologiske "smarte" biler kjørt av veien av forskere.

Her er hva vi gleder oss til i Black Hat sitt 21. år, og følg med på SecurityWatch for det siste fra Black Hat 2018.

Google i søkelyset

Årets hovednotat blir levert av Parisa Tabriz, direktør for ingeniørfag i Google. Tabrizs foredrag vil fokusere på å omfavne nye ideer for sikkerhet, selv når hun jobber i enorm skala, og vil sikkert berøre arbeidet hennes med Chrome-nettleseren.



Car Hacking Is Back (Kind of)

Etter deres overskriftende angrep som bokstavelig talt kjørte en jeep av veien, sa Charlie Miller og Chris Valasek at de hadde skrudd inn bilhackernøklene sine for godt. Det vil si inntil de engasjerte seg i selvkjørende kjøretøy. En samtale om farene ved autonome biler ledet av kongene i bilangrep vil helt sikkert fange oppmerksomhet.



Hacking Humans

Det er en vanlig (om avvisende) vits blant sikkerhetsfagfolk som sier at "den største sårbarheten i noe system er mellom stolen og datamaskinen." Folk blir like lurt som datamaskiner (kanskje lettere), og sosialteknikk er sikkert et hovedtema. Det er spesielt sant ettersom flere og flere organisasjoner står overfor flauen over å gi etter for phishing-angrep. Ingen ønsker å være den demokratiske nasjonalkomiteen rundt 2016, og ha sine infighting- og risotto-oppskrifter sprayet over hele nettet.



Kryptering og VPN-er

Når vi snakker om erfaring, er VPN-er en varm handelsvare i sikkerhetsbransjen. Global uro og ønsket om å få tilgang til gratis streaming video online har drevet populariteten til dette en gang søvnige og oversett sikkerhetsverktøyet. Gitt deres nylige popularitet og åpenheten hos de involverte selskapene, forventer hackere å fokusere på VPN-tjenester.

På samme måte er kryptering teknologien som gjør at alt fungerer online, fra å holde hemmeligheter hemmelig til å verifisere identiteten til enkeltpersoner. Det er et kraftig verktøy og også et spennende mål. Forskere på stevnet vil garantert presentere arbeid for hvordan de kan plukke fra hverandre, svekke eller på annen måte omgå kryptering. Vi forventer ikke noe så banebrytende som SHA-1-hasjkollisjonen, men en samtale om et sidekanalsangrep for å stjele krypteringsnøkler fra rutere høres spennende ut.



Å bryte (eller bruke) Blockchain

Cryptocururrency er elsklingene til online underverden så vel som teknologiske investorer. Deres økonomiske verdi og digitale eksistens gjør dem til enkle mål for hackere, som er gjenstand for noen få økter i år. Men det er bruken av den underliggende blockchain-teknologien som et middel til å lagre informasjon og etablere tillit på nettet som kan gi den mest interessante forskningen. Noen økter vil fokusere på hvordan du kan angripe grunnlaget for krypto, for ubehagelige mål.



Hack the Vote

Russiske forsøk på å påvirke valget i USA i 2016 er et faktumspørsmål, ifølge amerikanske etterretnings- og rettshåndhevingsbyråer. Det er den største informasjonssikkerhetshistorien siden Snowden lekker ut, og den pågår fortsatt. Selv om vi ikke så for mye om emnet i fjor, er valgfrekvens og sårbare stemmemaskiner flerårige temaer på Black Hat, så forvent deg også i år. Én bemerkelsesverdig økt ser på hvordan du bruker den eksisterende sosiale grafen til å avmaske russiske Twitter-roboter.



To-faktor autentisering: Godsend eller forbannelse?

Google satte nylig phishing med bruk av fysiske tofaktorenheter, og introduserte sin egen linje med sikkerhetsnøkler på sin NESTE konferanse. Men enhver løsning på et sikkerhetsproblem er en ny mulighet for en forsker å vise seg frem. Vi kommer garantert til å se noen angrep på 2FA-systemer.



Hacking i det 21. århundre

Black Hat og DefCon er årets største begivenheter for sikkerhetsfagfolk og hobbyhacker, så det er også en tid å se på samfunnet som helhet. Selv om det er gjort anstrengelser for å gjøre informasjonssikkerhet og konferanser mer vennlige for kvinner, farger, funksjonshemmede og andre grupper som ofte blir marginalisert i teknisk biz, er disse begivenhetene der gummien møter veien. Det vil være mer enn noen få møter med forskjellige grupper og økter som tar for seg hvordan man kan gjøre infosec mer innbydende. Flere økter tar opp spørsmål om depresjon og PTSD i hackingsamfunnet, et tema som ikke ofte diskuteres.



Hvordan hacke et kraftverk (eller et vannbehandlingsanlegg, fabrikk eller kraftnett)

De fleste hackere er bare ute etter å tjene raskt, men noen angripere (og nasjonalstatsaktører) har øynene opp for større premier: infrastruktur. Tidligere år har sett økter om hvordan man ødelegger en fabrikk med bobler og taktikker for hvordan man kan ta ned de forvirrende, skreddersydde systemene som utgjør de fleste industrikomplekser.