Video: Watch hackers break into the US power grid (Oktober 2024)
Med datainnbrudd en del av den typiske nyhetssyklusen og Edward Snowden nå er et husholdningsnavn, har allmennheten en dyp interesse for digital sikkerhet. Og det største showet for krenkende sikkerhet er Black Hat, konferansen som ser hackere som gnir albuene med bransjens og myndigheters tall for å vise frem de nyeste hacks, angrep og sårbarheter.
Hack alt
Det var tidligere bare datamaskiner som var koblet til Internett. Nå for tiden har alle minst en tilkoblet enhet (telefon eller nettbrett) tilgjengelig. Vi er alle vant til behovet for antivirus- og sikkerhetsprogramvare på PC-er, men et stort antall forbrukere kan bare ikke pakke hodet rundt behovet for mobilsikkerhet og antivirusprogramvare. Selv om stasjonære maskiner og servere fremdeles er de foretrukne målene for hackere på Black Hat, blir mobile enheter en større og større del av showet.
Det blir verre. Internett er i alt i disse dager: biler, dørlåser, kjøleskap, til og med lyspærer. Og mange leverandører i denne nye tingenes internett tenker ikke på sikkerhet. I fjor viste smarte hackere hvordan de skulle ta kontroll over en Nest-termostat på få sekunder. De brukte den hacket enheten for å kjøre animerte bakgrunner, men andre angrep var kanskje ikke så fine.
Det er mulig å bygge sikkerhet inn i firmware, men praksis er ennå ikke vanlig. Minst to presentasjoner på Black Hat vil demonstrere teknikker for å ta kontroll over en bil med internett. En annen påpeker sårbarheter i Internett-bevisste programmerbare logiske kontrollere (PLC) som brukes i fabrikker. Andre ofre inkluderer Square-kredittkortleseren, bensinpumper og til og med en Linux-drevet rifle. Smartkort og RFID-oppføringsmerker, kontaktløse NFC-betalingsterminaler, SIM-kort - alle disse teknologiene er menneskeskapte og dermed ufullkomne. Sikkerhetseksperter vil presentere sine funn om sårbarheter på alle disse områdene.
Black Hat er der det å føle seg frikjent er normen og å være paranoid er et aktivum. Hvor ellers ville Mac OS X malware, useriøse femtoceller og angrep rettet mot satellittkommunikasjon ta scenen? Selv om det er flere økter som arbeider med mobil og tingenes internett, forblir Black Hat destinasjonen for å lære om sårbarheter på null dager. Og i år vil det bli avslørt 32 forskjellige nulldager på tvers av en rekke teknologier, inkludert mobile og industrielle kontrollsystemer, fortalte Steve Wylie, daglig leder for Black Hat, til eWEEK.
Jordbaserte enheter er ikke de eneste målene. I fjor så vi imponerende hacks med fly- og satellittkommunikasjon. I en demonstrasjon tok en forsker kontroll over en satellittradio og gjorde den om til en spilleautomat.
Før Black Hat 2015 var flyselskapshaver tilbake i nyhetene, og presentatørene lover angrep som også fokuserer på satellitter. Selv om angrep på smarte apparater til hverdagen er en stor bekymring for fremtiden, er dyre og essensielle deler av digital infrastruktur i bane akkurat nå, og de kan også være i faresonen.
Arsenal-utstillingsvinduet med sikkerhetsverktøy gir vanligvis ikke den oppmerksomheten (eller folkemengdene) scenepresentasjonene gjør, men det gir kikk på noen fantastiske verktøy: SpeedPhishing Framework for å innlemme phishing-e-postfunksjoner som en del av en penetrasjonstest, en testmiljø fra OWASP forhåndsutfylt med sårbare applikasjoner, og en måte å se ondsinnet nyttelast i PDF-filer. På tide å oppdatere sikkerhetsverktøyet!
Utover Cyber
Fellesskapet av sikkerhetsgeeks og aficionados har vokst opp mye de siste årene. Det er langt mer profesjonelt, og hvis årets Black Hat er noen indikasjon, er mye mer politisk. Det kan bare være et spørsmål om aktuelle hendelser - cybersecurity er tross alt et tilbakevendende tema på Capitol Hill - eller det kan gjenspeile samfunnets økende appetitt på aktivisme og økt bevissthet. Vi har økter fra regjeringen, inkludert Akshan Soltani, sjefsteknolog for Federal Trade Commission, og Leonard Bailey fra Department of Justice.
Men det er fremdeles nok av antiregjeringsmessige følelser, for eksempel en sesjon som kritiserer FTCs metoder for å regulere cybersikkerhet, en oversikt over National Security Agency sin portefølje av verktøy, og en paneldiskusjon om Wassenaar-arrangementet, en internasjonal traktat som regulerer konvensjonelle og cybervåpen.
- Ekstern hacking er nå en virkelighet Ekstern bilhacking er nå en virkelighet
- Det er (nesten) ingenting du kan gjøre med scenefremvisning Det er (nesten) ingenting du kan gjøre med scenefright
- Smart Sniper Rifle Sårbart å hacks Smart Sniper Rifle Sårbart å hacks
Selv om Edward Snowden-lekkasjene avslørte hvor åpen vår moderne informasjonskultur egentlig er, virker hans avsløringer merkbart fraværende i årets paneler og diskusjoner. Bare en økt, stilet som en debatt, vil ta direkte opp saken. Betyr det at Snowden var et glimt i pannen? Langt ifra. Økter vil dekke nasjonalstats malware og cybervåpen designet for å angripe infrastruktur. Disse øktene kan ha skjedd selv om Snowden hadde holdt seg stille, men lekkasjene hans tilfører disse temaene mye press.
Så mye som Black Hat er en lekeplass for hackere å vise frem, er det også der myndigheter, industri og enkeltpersoner deler ideene som former digital sikkerhet. Og mens noen av funnene som debuterer på Black Hat kanskje bare tar overskrifter, kan andre oppfordre selskaper og enkeltpersoner til å tenke nøye gjennom den digitale verdenen de vil leve i.
