10 pelottavaa hakkerointia mustahattu 2014

Black Hat oli tänä vuonna kaksi intensiivistä tiedotustilaisuutta, koska turvallisuustutkijat osoittivat, kuinka helppo oli tunkeutua autoihin, termostaateihin, satelliittiviestintään ja hotelleihin. Samaan aikaan oli runsaasti keskusteluja siitä, miten turvallisuutta voidaan lisätä. Dan Geerin aloituspuheen kymmenen poliittista ehdotusta keskittyi parantamaan maailmaa paremmalla paikalla parantamalla lähestymistapamme tietoturvaan. Siihen liittyviä ongelmia olivat nykyinen haavoittuvuusaseiden kilpailu, vanhentuneet ohjelmistot ja tarve käsitellä tietoturvaa ammattina. Kävelimme pois päämme uimasta uusien tosiasioiden, ideoiden ja - ennen kaikkea - huolenaiheiden kanssa. Niin hyvin monia huolenaiheita.

Yksi asioista, joihin voit aina luottaa Black Hatissa, on kuulla haavoittuvuuksista asioissa, joita et edes ajatellut olevan hyökkäyksen kohteena. On vakuuttavaa tietää, että nämä mielenosoitukset ovat ensisijaisesti akateemisia ja että näitä kysymyksiä ei tällä hetkellä käytetä luonnossa. Mutta samaan tapaan on pelottavaa huomata, että jos Black Hat -julkaisijat ovat löytäneet puutteita, kuka sanoa, että joku muu, jolla on paljon haitallisempia aikomuksia (ja mahdollisesti parempaa rahoitusta), ei ole - vai ei?

Harkitse tätä: kuulimme pankkiautomaatin hakkeroinnista Black Hatissa kolme vuotta sitten, ja rikolliset ovat vihdoinkin ryöstäneet pankkiautomaatteja Euroopassa juuri tänä vuonna. Tänä vuonna järjestettiin ainakin kolme istuntoa siitä, kuinka siru- ja PIN-korttien myyntipisteisiin voidaan hakkeroida. Jos emme kuuntele ja turvaa maksujärjestelmäämme, näemmekö kolmessa vuodessa uuden tavoitemaisen mittasuhteen rikkomuksen siru-ja PIN-korttien avulla? Se on todella pelottava ajatus.

Black Hat 2014 saattaa olla ohi, mutta puhumme järkyttävistä asioista, joita näimme siellä jo jonkin aikaa. Toivottavasti ratkaisut on saatu aikaan opiksi, jotka johtivat ratkaisuihin, eivätkä menetettyihin mahdollisuuksiin, jotka johtivat hirvittäviin rikoksiin.

Tässä on turvallisuusvalvonnan tehtävä asioista, jotka näimme Black Hatissa ja jotka pitävät meidät yöllä.

1 1. Epäonnistumisen Internet

Tietokoneesi tai puhelimesi puolustaminen on melko helppoa; Seuraa vain joitain järkeviä vinkkejä ja asenna tietoturvaohjelmisto ja olet hyvä mennä. Entä esineiden Internet? Istunnon jälkeen istunnon jälkeen tutkijat osoittivat, että kriittisiin laitteisiin, jotka olivat yhteydessä Internetiin, oli helppo pääsy. Nestin älykästä termostaattia hakkeroivien joukkueiden hyökkäys tapahtui 15 sekunnissa ja he työskentelevät nyt ahkerasti ilmassa tapahtuvan hyökkäyksen parissa. Billy Rios löysi oletussalasanat, jotka on koodattu koodattuihin skannauslaitteisiin, jotka on valtuutettu käytettäväksi TSA-tarkastuspisteissä ympäri maata. Olemme edelleen hämmästyneitä 15 sekunnin hakkeroinnista.

• 2 2. Lentokoneiden, alusten ja muun hakkerointi!

  Takaovien suhteen, laitteet, joihin laivat, lentokoneet, toimittajat ja (ehkä) armeija luottavat kommunikoimaan, eivät myöskään ole yhtä turvallisia kuin luulimme. IOActiven Ruben Santamarta osoitti, että monilla näistä järjestelmistä on takaovet, näennäisesti huoltoa tai salasanan palauttamista varten. Vaikka jotkut takaovista oli oletettavasti kiinnitetty, hän kykeni kiertämään suojatoimenpiteet. Kotiin lähinnä oleva hyökkäys oli yllättävää, että Santamarta väitti voivansa hakata hakkeroimaan lentokoneita lentokoneilla. Hän oli selvä, että tämä ei anna hänen "kaatua lentokoneita", mutta hän huomautti myös, että kriittinen viestintä kulkee saman järjestelmän läpi. Puheessaan hän hakkeroi merenkulun hätämerkkivalon näyttääkseen videopelikoneen SOS: n sijaan. Harkitse samanlaista hakkerointia jumbo-suihkukoneellasi, ja saat käsityksen siitä, kuinka huolestuttavaa tämä voi olla.



3 3. Salasanojen varastaminen Google Glassin, älykellojen, älypuhelimien ja videokameroiden avulla

Salasanan varastamiseen on monia tapoja, mutta yhden uuden lähestymistavan avulla pahat pojat (tai valtion virasto) voivat havaita näppäilysi näkemättä näyttöäsi tai asentamatta haittaohjelmia. Yksi Black Hatin juontaja näytti uuden järjestelmänsä, joka lukee salasanat automaattisesti 90 prosentin tarkkuudella. Se toimii jopa silloin, kun kohde on katutasolla ja hyökkääjä neljä tarinaa kadun toisella puolella. Menetelmä toimii parhaiten digitaalisilla videokameroilla, mutta ryhmä havaitsi, että älypuhelimia, älykelloja ja jopa Google Glassia voidaan käyttää kaappaamaan käyttökelpoisia videoita lyhyellä etäisyydellä. Lasiaukot, todellakin!

Kuva Flickrin käyttäjän Ted Eytanin kautta



4 4. Unohda MasterKey, tapaa fake ID

Jeff Forristal käänsi päänsä viime vuonna, kun hän paljasti ns. MasterKey-haavoittuvuuden, joka saattoi antaa haitallisten sovellusten siirtyä itsensä laillisiksi. Tänä vuonna hän tuli takaisin Fake ID: llä, joka hyödyntää Androidin tietoturva-arkkitehtuurin olennaisia ​​puutteita. Erityisesti kuinka sovellukset allekirjoittavat varmenteita ja kuinka Android käsittelee näitä varmenteita. Käytännöllinen tulos on, että yhdellä haitallisella sovelluksella, joka ei vaadi erityisiä oikeuksia, Forristal pystyi injektoimaan haittaohjelman viiteen lailliseen sovellukseen puhelimessa. Sieltä hänellä oli syvä pääsy ja käsitys tartunnan saaneen puhelimen toimintaan.

Kuva Flickrin käyttäjän JD Hancockin kautta



5 5. Paha USB voi ottaa tietokoneesi haltuun

Olet kuullut, että USB-asemat voivat olla vaarallisia, jos et poista automaattisen toiston käytöstä. Uusin USB-pohjainen uhka on huomattavasti pahempi. Hakkeroimalla USB-asemaohjelmistoa pari tutkijaa hallitsi monenlaisia ​​hakkerointeja Windows- ja Linux-koneissa, mukaan lukien vastaavat käynnistyssektorivirukset. Heidän näennäinen USB-asema jäljitteli USB-näppäimistöä ja käski yhtä testijärjestelmää lataamaan haittaohjelmia. Se tarjosi väärennetyn Ethernet-keskittimen toisessa testissä, joten kun uhri vieraili PayPal-selaimessa, se meni todella salasanan varastavalle PayPal-jäljittelysivustolle. Tämä ei ollut pelkkä teoreettinen harjoittelu; he osoittivat nämä ja muut hakkerit lavalla. Emme koskaan katso USB-laitetta samalla tavalla uudestaan!

Kuva Flickrin käyttäjän Windell Oskayn kautta



6 6. Onko sillä radiota? Hakkeroidaan se!

Radio voi tuntua vanhentuneelta tekniikalta Internet-aikakaudella, mutta se on silti paras tapa muun muassa vauvojen seuraamiseen, kodin turvajärjestelmiin ja auton etäkäynnistimiin siirtää tietoja langattomasti. Ja se tekee siitä ensisijaisen kohteen hakkereille. Yhdessä keskustelussa Silvio Cesare osoitti, kuinka hän voitti kukin niistä vuorostaan ​​käyttämällä ohjelmistoradioitua radiota ja vähän harrastaja-intoa. Hän ei ollut ainoa puhe ohjelmisto-määritellyllä radiossa. Balint Seeber kertoi yleisölle kuinka hän pystyi kuuntelemaan lentoliikenteen tutkalaitteita ja seuraamaan esineitä maanpinnan lähellä. Ei aivan yhtä pelottavaa, mutta erittäin, erittäin siistiä.

Kuva Flickrin käyttäjän Martin Fischin kautta



7 7. Emme voi estää hallituksen haittaohjelmia

Olet kuullut hallituksen tukemasta Stuxnet-madosta, joka sabotoi Iranin ydinohjelmaa, Kiinan kenraaleista, joita hallituksemme haastoi hakkeroinnista, ja muusta. F-Securen tutkimusjohtaja Mikko Hypponen varoitti, että valtion tukemat haittaohjelmat ovat olleet olemassa pidempään kuin tiedätte ja kasvaa vain ajan myötä. Niiden takana olevan kansallisvaltion resursseilla näitä hyökkäyksiä voi olla lähes mahdotonta estää. Ellei luulet, että meidän hallituksemme ei nouse niin alhaiselle tasolle, hän selasi kokoelman sotilasurakoitsijoiden työpaikkailmoituksia, jotka etsivät erityisesti haittaohjelmia ja kirjailijoita.

Kuva Flcikr-käyttäjän Kevin Burkettin kautta



8 8. Yksi pyyhkäisemällä hakkeroitu luottokortinlukija

Vuosien 2013 ja 2014 vähittäismyyntirikkomusten jälkeen kaikki puhuvat siru-ja PIN-korttien nykyisestä käyttöönotosta. Osoittautuu, että ellemme muuta maksunkäsittelyn toimintatapaa, käytämme vain kauppaa yhdestä ongelmajoukosta toiseen. Näimme myös, kuinka siru- ja PIN-kortteja käsittelevät liikkuvat myyntipisteet voivat vaarantua haitallisesti valmistettujen korttien avulla. Hyökkääjät voivat vain pyyhkäistä kortin lukijaan ja ladata troijalaisen, joka kerää PIN-koodit itse lukijaan. Sitten toinen vilpillinen kortti kopioi korjatut tiedot sisältävän tiedoston. Toinen kortti voi jopa poistaa troijalaisen, ja jälleenmyyjä ei ehkä koskaan ole tietoinen rikkomuksesta! Tämä riittää melkein saamaan meidät haluamaan palata takaisin kassaperustaiseen yhteiskuntaan.

Kuva Flickrin käyttäjän Sean MacEntenen kautta



9 9. Verkkoasema vakoilee sinua

Olemme keskittyneet viime aikoina paljon huomiota kotireitittimiin ja siihen, kuinka hyökkääjät kompromissevat heitä. Vaikuttaa siltä, ​​että verkkoon liitetyt tallennuslaitteet ovat yhtä ongelmallisia, ellei vieläkin enemmän, sanoo riippumattomien turvallisuuden arvioijien Jacob Holcomb. Hän tarkasteli 10 valmistajan NAS-laitteita - Asustor, TRENDnet, QNAP, Seagate, Netgear, D-Link, Lenovo, Buffalo, Western Digital ja ZyXEL - ja löysi kaikissa heikkouksia. Ongelmat ovat yleisiä virheitä, kuten komentojen injektio, sivustojenvälinen pyyntöjen väärentäminen, puskurin ylivuodot, todentamisen ohitukset ja epäonnistumiset, tietojen paljastuminen, takaoven tilit, huono istuntojen hallinta ja hakemistojen läpikäynti. Yhdistämällä joitain näistä asioista hyökkääjät voivat saada täyden hallinnan laitteisiin. Mitä NAS-laitteessasi on?

Kuva Flickrin käyttäjän ihmeferretin kautta



10 10. Hyökkäykset lääkinnällisissä laitteissa: elämän ja kuoleman asia

Kukaan tietoturva-alan työntekijä ei nauroi uutisista, että entinen varapuheenjohtaja Dick Cheneyn lääkärit olivat huolissaan sydämentahdistimen hakkeroinnista. Black Hatin pyöreän pöydän pöydässä tutkittiin kuinka tasapainottaa potilaan terveyttä turvallisuuteen. Viimeinen asia, jota haluamme, on terveydenhuoltoa hidastava turvallisuus, jossa sekunnit voivat tarkoittaa eroa elämän ja kuoleman välillä, totesi moderaattori Jay Radcliffe. Vakava taju, että emme voi vain käyttää lääkinnällisiä laitteita koskevia normaaleja tietoturvan parhaita käytäntöjä, seurasi meitä DEF CON: iin, missä SecMedicin tutkijat keskustelivat projektista, joka tutkii kaikenlaisten laitteiden, myös defibrillaattorien, haavoittuvuuksia. Pelottavampi osa? Monet näistä virheistä löydettiin tunnin sisällä avoimen lähdekoodin työkaluilla. Nyt et todellakaan halua mennä sairaalaan, eikö niin?

Flickr-käyttäjän kautta Phalinn Ooi