Svart hatt 2019: de sprøeste, mest skremmende tingene vi så

Las Vegas-solen har satt seg på en annen Black Hat, og mylderet av hacks, angrep og sårbarheter den bringer. Vi hadde høye forventninger i år, og ble ikke skuffet. Vi ble til og med overrasket. Her er alle de flotte og skremmende tingene vi så.

Jeff Moss 'Sko

Den virkelige stjernen på åpningsseremoniene var Black Hat-grunnlegger Jeff Moss’skimrende sko. Også kjent som Dark Tangent, sportset et par glitrende, glimrende joggesko; hans "glitrende sko", som han sa på scenen. "Hvis laserne treffer meg akkurat passe, kan jeg være i stand til å blinde en eller to av dere."



Falske telefoner

Disse telefonene ser bra ut, men de er faktisk rimelige forfalskninger fra Kina. Hver koster omtrent $ 50, og leveres forhåndsinstallert med skadelig programvare uten ekstra kostnad! Den falske iPhone er spesielt imponerende. Den kjører en meget modifisert versjon av Android som er en død ringetone for iOS. Den har til og med en nøye laget falske kompass-app, om enn en som alltid peker opp. Takk til Afilias for å ha vist oss disse rare enhetene.



Missiler for skadelig programvare

Sikkerhetsforsker Mikko Hypponen funderte på konsekvensene av at cyberwar ble en faktisk skytekrig i presentasjonen hans på Black Hat. Det er en viktig sak i denne alderen av statlige sponsede hackere og russisk valgmedling. Han ga også publikum den beste måten å beskrive jobben til en sikkerhetsekspert: "Det vi gjør er som Tetris. Når du lykkes, forsvinner den. Når du skruer den opp, hoper den seg opp."



Spredning i programvare

Hvor mange måter kan skadelig programvare infisere annen kode? La oss telle måtene! Nei, egentlig, tell dem. Det var det noen forskere gjorde. De forventet å finne en håndfull måter, men kom i stedet opp med 20-pluss varianter.



Ikke stol for mye på GPS

GPS er flott; det hjelper deg å komme dit du trenger å gå, og du trenger ikke å ha et muggenatlas i bilen din lenger. Men Global Navigation Satellite Systems (GNSS) som GPS er lett forfalsket, og det er et problem hvis du designer et autonomt kjøretøy som er avhengig av for mye på GNSS. I denne Black Hat-praten, så vi den slags skumle, vanvittige ting skje med en førerløs bil når du roter med navigasjonssignaler.



Et spekter av spekter med SwapGS

Husker du Spectre og Meltdown? Dette var de store uhyggelige sårbarhetene som forskere fant på CPU-er for noen år siden, og som fanget overskrifter i flere uker. Nå har Bitdefender-forskere funnet en lignende sårbarhet i alle moderne Intel-brikker.



En bransje av selvtillit

Blir du sjalu på vennen din som på uforklarlig vis har tusenvis av flere følgere på Instagram? Ikke vær det, for de har antagelig kjøpt dem. Men hvor kommer de falske tilhengere fra, og hvem er de egentlig? Det er spørsmålet GoSecure-forskerne Masarah Paquet-Clouston (bildet) og Olivier Bilodeau prøvde å svare på i Black Hat-praten. De avdekket et enormt økosystem av forhandlere og mellommenn bygd på en ryggrad av falske IP-adresser og IoT-enheter infisert med malware. De falske likene kan ikke være verdt alt det.



5G er (for det meste) sikkert

5G er veldig kul og veldig rask, og den kommer i utgangspunktet til å løse alle problemene våre for alltid, inkludert noen ekle sikkerhetsfeil som vedvarer i trådløse standarder. Imidlertid fant forskere noen unike quirks i 5G som gjorde det mulig for dem å identifisere enheter, smøre internetthastigheten og tømme batteriet til IoT-enheter.



Pwned av tekst

Av og til vil du se en historie om et sikkerhetsselskap eller en regjering som har en superhemmelig iPhone-sårbarhet den bruker til en slik ubehagelig aktivitet. En sikkerhetsforsker fra Google lurte på om slike ting virkelig kunne eksistere, og fant 10 feil i prosessen. Til slutt klarte hun og kollegaen å trekke ut filer og delvis gripe kontrollen over en iPhone bare ved å sende den tekstmeldinger.



The Great Boeing 787 Hack Fight of 2019

Black Hat-presentatører har ikke alltid det koselige forholdet til selskapene og organisasjonene de undersøker, et punkt drevet hjem i år da Ruben Santamarta avduket sine potensielle angrep på Boeing 787-nettverket. Han mener det er mulig å nå sensitive systemer gjennom en rekke inngangspunkter, men Boeing sier at det hele er falskt. Det er vanskelig å si hvem de skal tro på denne historien, men Max Eddy påpeker at Santamarta har vist arbeidet sitt fullt ut.



Cult of the Dead Cow

Hvem skulle skrive en bok om gutta som var berømte for 20 år siden? Joe Menn, journalist og forfatter, det er hvem. Boken hans har tittelen Cult of the Dead Cow: How the Original Hacking Supergroup Might Just Save the World . Gruppen pleide å være semi-anonym, gå av håndtak som Deth Veggie, Dildog og Mudge. Med utgivelsen av boka snakket de på Black Hat under deres virkelige navn for første gang. Neil har ikke lest den ennå, men gruppen berget absolutt denne Black Hat; han møtte dem tre dager på rad.

Tirsdag kveld hoppet han inn i en drosje med gruppen foran seg, noe som viste seg å være Deth Veggie og gjengen. Onsdag ble Neil trukket inn i et lunsjpanel med bare invitasjoner med Deth Veggie, forfatteren Joe Menn, Dug Song of Duo Security og Heather Adkins, for tiden Googles senior sikkerhetsdirektør, blant andre. Joe intervjuet Mudge, Dildog og Deth Veggie, og det var mye jubel.

En kavalkade av strålende hackere har gått gjennom denne gruppen. De fleste er for tiden ansatt i sikkerhetsselskaper eller offentlige etater. Man kjører til og med for president. Neil ser frem til å lese historien til denne inspirerende gjengen med hacktivister.



Oppdage Deepfakes With Mouthnet

Ingen har brukt en dybde-video for å prøve å svaie opinionen. Vi tror. Men Matt Price og Mark Price (ingen relasjon) tror at det kunne skje når som helst. Derfor bestemte de seg for å undersøke hvordan deepfakes lages, hvordan de kan oppdages og hvordan de kan oppdage dem bedre. På det siste punktet laget de et verktøy som ser på munnen for å prøve å friste ut forfalskninger. Det fungerte litt bedre enn 50 prosent av tiden, som forhåpentligvis bærer godt for fremtiden.

Men hvis ikke Mouthnet redder oss, kan musene gjøre det! Forskere ser på hvordan trente mus skiller forskjellige talemønstre. Deres små hjerner kan være nøkkelen til å oppdage falske videoer, forhåpentligvis før en nøye utgitt falske video forårsaker noen reelle skader. (ALEXANDRA ROBINSON / AFP / Getty Images)



Russisk etterretning er i krig med seg selv

Når vi snakker om russisk valginnblanding eller russiske trollgårder, antar vi at etterretningsbyråene til Mor Russland er i lås og fungerer som en del av en enkelt, utspekulert plan. Ifølge en forsker kan det ikke være lenger fra sannheten. Snarere har Russland en alfabetet suppe av etterretningsbyråer, som kjemper om ressurser og prestisje, og helt villig til å spille skitten for å komme foran. Noen ganger er konsekvensene alvorlige.



Våpenbruk av Internett

I en sesjon om den russiske mørke nettet undersøkte forskere hvordan nyere russiske lover gjør det vanskeligere å politivirke i det landet. Russland bygger nå et slags internt internett, designet for å fungere selv når det er avskåret fra det internasjonale nettet. Dette har den "utilsiktede" konsekvensen av å gjøre det mye vanskeligere å komme til russiske nettsteder som utfører ulovlig aktivitet.



Hvem ser på de forhåndsinstallerte appene?

Ingen liker bloatware, men hvem sørger for at forhåndsinstallerte apper ikke er ulver pakket inn i ullete forkledninger? Svaret er Google. Senior sikkerhetsingeniør Maddie Stone beskrev utfordringene med å identifisere skadelige apper blant forhåndsinstallerte apper. Et problem: forhåndsinstallerte apper har høyere privilegier og rare oppførsel i kraft av å være forhåndsinstallert, noe som gjør det vanskelig å finne de farlige.



Få taket med en hacket Bluetooth-nøkkel

Bluetooth-aktiverte låser du åpner med en app, må være sikrere enn kjedelige metallpinner og tumblere, ikke sant? Ikke på Black Hat. Med litt kunnskap og litt rimelig maskinvare klarte to forskere å åpne dører og trekke ut all slags nyttig informasjon. Kanskje vi bare skulle holde oss til skjelettnøkler.



Til og med kinesiske hackere trenger sidespill

La oss si at du er en hacker, og at du tjener ganske gode penger på å jobbe for din lokale myndighet. Hva er det som hindrer deg i måneskinn, og tjene litt ekstra penger ved å si, infiltrere forsyningskjeden for videospillutviklere? Tilsynelatende ingenting, hvis FireEyes forskning skal tro. Tatt i betraktning at hackerne det gjelder jobber for den kinesiske regjeringen, er det litt overraskende å se gruppen berike seg på siden. Dette kan være den første sikkerhetsforskningen som fikk en hacker i trøbbel med sjefen deres.