Video: Black Hat 2016 wrap-up: Same stuff, different year? (Oktober 2024)
Black Hat er en samling av sikkerhetsforskere, hackere og bransjer som møtes i Las Vegas for å gjøre tre ting: skissere de siste truslene, vise hvordan de gode gutta og skurkene kan bli beseiret, og sette i gang angrep på de fremmøtte. I år var det mange skumle angrep, inkludert en mot showdeltakere, sammen med bilhakker, nye måter å stjele kontanter fra minibanker, og hvorfor smarte lyspærer kanskje ikke var så trygge som vi trodde. Men vi så også mange grunner til å håpe, som å lære maskiner å oppdage farlige servere, bruke Dungeons og Dragons for å trene ansatte i å håndtere sikkerhetstrusler, og hvordan Apple håndterer sikkerheten til iPhone-en din. Det var, alt i alt, et ganske bastant år.
Det gode
Ja, Apple kunngjorde et bug-dusørprogram på Black Hat. Men det var bare de siste 10 minuttene av en presentasjon av Ivan Krstic, Apples sjef for sikkerhetsteknikk og arkitektur. I løpet av de foregående 40 minuttene tilbød han et enestående dypdykk i måtene Apple beskytter brukernes enheter og data, både fra malefaktorer og fra seg selv. Og ja, det innebærer å bruke en ærlig-til-Gud-blender.
Etter hvert som Internet of Things-enheter blir mer og mer populære, blir sikkerhetsfagfolk mer og mer bekymret. Dette er tross alt enheter med mikrodatamaskiner koblet til nettverk og fullt ut i stand til å kjøre kode. Det er en angreps drøm. Den gode nyheten er, i hvert fall når det gjelder Philip's Hue-systemet, det er veldig vanskelig å lage en orm å hoppe fra lyspære til lyspære. Den dårlige nyheten? Det er tilsynelatende veldig enkelt å lure Hue-systemer til å bli med i angriperens nettverk.
Hver sikkerhetstrening i hver bedrift inkluderer formaning om at ansatte aldri skal klikke på lenker i e-post fra ukjente kilder. Og ansatte fortsetter å bli dypt til å klikke på dem uansett. Dr. Zinaida Benenson, fra University of Erlangen-Nuremberg, konkluderte med at det rett og slett ikke er rimelig å forvente at ansatte motstår nysgjerrighet og andre motivasjoner. Hvis du vil at de skal være James Bond, bør du legge det inn i stillingsbeskrivelsen og betale dem deretter.
Mye sikkerhetsforskning og utførelse kan være sløvende, men nye teknikker innen maskinlæring kan snart føre til et tryggere internett. Forskere detaljert sin innsats for å lære maskiner for å identifisere botnet-kommando- og kontrollservere, som lar skurkene kontrollere hundretusener (om ikke millioner) infiserte datamaskiner. Verktøyet kan hjelpe til med å holde lokket på så ubehagelige aktiviteter, men det var ikke alt som var tung forskning. For å avslutte økten, demonstrerte forskere hvordan maskinlæringssystemer kunne brukes til å generere en farbar Taylor Swift-sang.
Det hvem som vet hotellnettverket kan være bra for en konferanse for kjæledyrforsyning, men ikke for Black Hat. Konferansen har sitt eget helt separate nettverk og et imponerende Network Operations Center for å administrere det. Besøkende kan kikke inn gjennom glassveggen på de mange glødende skjermene, hackerfilmene og langsiktige sikkerhetseksperter i NOC, som blir pakket opp i sin helhet og flyttet verden rundt til neste Black Hat-konferanse.
IT-sikkerhetsvinner og hackere med hvit hatt kan bare ikke få nok av sikkerhetstreninger, men det er ikke de som virkelig trenger dem. Salgspersonalet, HR-teamet og personalet i kundesenteret forstår ikke nødvendigvis eller verdsetter sikkerhetstreninger, og likevel trenger du dem virkelig for å øke sikkerhetsspillet. Forsker Tiphaine Romand Latapie foreslo å omarbeide sikkerhetstrening som et rollespill. Hun fant ut at det fungerte fullstendig, og produserte betydelig nytt engasjement mellom sikkerhetsteamet og resten av staben. Fangehull og drager, noen?
Svindel telefonsamtale er et stort problem. IRS-svindel overbeviser intetanende amerikanere om å gaffle over kontanter. Tilbakestilling av passord svindler samtalesentre til å gi bort kundedata. Professor Judith Tabron, en rettsmedisinsk språkforsker analyserte ekte svindelanrop og utviklet en todelt test for å hjelpe deg med å oppdage dem. Les dette og lær, OK? Det er en enkel og verdig teknikk.
Den skremmende
Pwnie Express bygger enheter som overvåker nettverkets luftrom for noe ubehagelig, og det er en god ting også, fordi selskapet oppdaget et massivt Man-in-the-Middle-angrep på Black Hat i år. I dette tilfellet endret et ondsinnet tilgangspunkt SSID for å lure telefoner og enheter til å bli med i nettverket, og trodde det var et trygt, vennlig nettverk enheten hadde sett før. Dermed lurte angriperne rundt 35 000 mennesker. Selv om det er flott at selskapet klarte å oppdage angrepet, er det faktum at det var så massivt, en påminnelse om hvor vellykkede disse angrepene kan være.
I fjor presenterte Charlie Miller og Chris Valasek det mange antok var høydepunktet i deres bilhackingkarriere. De kom tilbake i år med enda mer vågale angrep, de som er i stand til å bruke bremsene eller nab-kontrollen av rattet når bilen beveger seg med hastighet. Tidligere angrep kunne bare utføres når bilen kjører 5 km / h eller lavere. Disse nye angrepene kan utgjøre en stor risiko for sjåførene, og vil forhåpentligvis bli raskt oppdatert av bilprodusenter. For deres del sa Valasek og Miller at de er ferdig med å hacke biler, men oppfordret andre til å følge i deres fotspor.
Hvis du ser på Mr. Robot, vet du at det er mulig å infisere datamaskinen til et offer ved å strekke USB-stasjoner rundt parkeringsplassen. Men fungerer det egentlig? Elie Bursztein, leder for bekjempelse av svindel og overgrep ved Google, holdt en todelt foredrag om emnet. Den første delen detaljerte en studie som tydelig viste at den fungerer (og parkeringsplasser er bedre enn gangene). Den andre delen forklarte, i detalj, nøyaktig hvordan du bygger en USB-stasjon som totalt ville overta enhver datamaskin. Tok du notater?
Droner var en varm ting forrige helligdag, og kanskje ikke bare for nørder. En presentasjon viste hvordan DJI Phantom 4 kunne brukes til å jamme industrielle trådløse nettverk, spionere på ansatte og verre. Trikset er at mange kritiske, industrielle nettsteder bruker det som kalles "luftgap" for å beskytte sensitive datamaskiner. I utgangspunktet er dette nettverk og enheter som er isolert fra internett utenfor. Men små, manøvrerbare droner kan bringe Internett til dem i stedet.
Maskinlæring er i ferd med å revolusjonere en rekke teknologibransjer, og det inkluderer svindlere. Forskere ved Black Hat demonstrerte hvordan maskiner også kan læres å produsere svært effektive spydfiskemeldinger. Verktøyet deres bestemmer mål med høy verdi, og deretter skurer offerets tweets for å lage en melding som er både relevant og uimotståelig klikkbar. Teamet spredte ikke noe ondsinnet med spam-boten deres, men det er ikke vanskelig å forestille seg svindlere som bruker disse teknikkene.
Du forventer gratis Wi-Fi på et hotell, og du kan være kunnskapsrik nok til å innse at det ikke nødvendigvis er sikkert. Men en Airbnb eller annen kortsiktig utleie, sikkerhet kan potensielt ha den verste sikkerheten noensinne. Hvorfor? Fordi gjester før du hadde fysisk tilgang til ruteren, noe som betyr at de helt kunne eie den. Jeremy Galloways foredrag detaljert hva en hacker kan gjøre (det er ille!), Hva du kan gjøre for å holde deg trygg, og hva huseieren kan gjøre for å avskrekke slike angrep. Det er et problem som ikke går bort.
I en av de mest omfattende samtalene på Black Hat, demonstrerte Rapid7s senior Pentester Weton Hecker hva som kan være en ny modell for svindel. Hans visjon inkluderer et massivt nettverk av kompromitterte minibanker, salgssteder (som i dagligvarebutikken) og bensinpumper. Disse kan stjele offerets betalingsinformasjon i sanntid og deretter raskt gå inn i dem ved hjelp av en motorisert PIN-push-enhet. Foredraget ble avsluttet med en minibank som sprød kontanter, og en fremtidsvisjon der svindlere ikke kjøper enkeltpersoners kredittkortinformasjon, men tilgang til et massivt sanntidsnettverk med betalingssvindel.
Det var ikke den eneste presentasjonen på Black Hat som detaljerte angrep på betalingssystemer. En annen gruppe forskere viste frem hvordan de med en Raspberry Pi og en liten innsats klarte å avskjære oodler med personlig informasjon fra chipkorttransaksjoner. Det er spesielt bemerkelsesverdig ikke bare fordi chipkort (AKA EMV-kort) anses som sikrere enn magswipe-kort, men fordi USA nettopp har begynt å rulle ut chipkort innenlands.
Neste år kommer med ny forskning, nye hacks og nye angrep. Men Black Hat 2016 har satt tonen for året, og viser at en hacker-verk (enten det er hvit- eller svarthatt) aldri virkelig blir gjort. Hvis du unnskylder oss, vil vi makulere kredittkortene våre og dra til å bo i et Faraday Cage i skogen.
