15 pelottavinta asioita mustalla hatulla 2015

4 Tiedostojen varastaminen pilvestä

Pilvitallennuspalveluista, kuten Dropbox ja Google Drive, on nopeasti tullut välttämättömiä työkaluja työn tekemiseen. Siksi Impervan tutkijoiden uusi hyökkäys, joka voi varastaa kaikki tiedostosi pilvestä, on niin kylmä. Pahempaa on, että Imperva sanoo, että hyökkäys ei ole havaittavissa kehän puolustuksilla ja perinteisillä päätepisteiden tietoturvatyökaluilla.

Tämän hyökkäyksen fiksu osa on, että siinä vältetään ongelmat, jotka aiheutuvat potentiaalisen uhrien varastamisesta tai itsensä vaarantamisesta. Sen sijaan hyökkääjä huijaa uhria asentamaan haittaohjelmia, jotka ohjaavat pilvitiedostojen paikallisesti tallennetun kopion toiselle palvelimelle, jolle tietokoneesi toimittaa onnellisina kaikki tärkeät tiedostosi.

5 Android-puhelimen hallinta

Etäkäyttö troijalaiset tai RAT: t antavat hyökkääjän käyttää kauko-ohjausta puhelimeesi tai tietokoneeseesi ikään kuin he istuisivat sen edessä. He voivat nähdä mitä näet, ja jopa napsauttaa valokuvia, kuunnella mikrofonilla tai ampua videota tietämättäsi. Se on harvinaisinta haittaohjelmatyyppiä, ja tutkijoiden mukaan he ovat löytäneet tavan saada tällainen käyttöoikeus miljoonilla Android-laitteilla.

Ongelmana on, että jotkut Android-valmistajat sisällyttävät erityisiä laajennuksia, jotka yleensä ovat lepotilassa, kunnes LogMeIn tai TeamViewer, kuten etätukipalvelu, ottaa yhteyttä. Sitten laajennus käynnistyy ja antaa yrityksen päästä Android-laitteeseen ikään kuin tukiasiamies käyttäisi puhelinta. Check Pointin tutkijat Ohad Bobrov ja Avi Bashan löysivät, kuinka näitä laajennuksia voidaan käyttää pahuuden vuoksi, antamalla heidän hallita Android-puhelimia. Pahinta? Koska nämä laajennukset ovat valmistajien asentamia, sinun ei tarvitse tehdä mitään suojautuaksesi.

6 Stagefright varastaa näyttelyn

Stagefright on paljastanut ennen Black Hat -tapahtumaa, ennen kuin Zimperiumin tutkija Josh Drake esitti, että Stagefright on uusi, iso, pelottava haavoittuvuus Androidissa. Kuinka suuri? Sen uskotaan vaikuttavan 95 prosenttiin kaikista Android-laitteista. Kuinka pelottavaa? Drake osoitti pystyvänsä saamaan Android-puhelimet suorittamaan koodin lähettämällä vain tekstiviestin. Yhdessä oikean tyyppisen hyökkäyksen kanssa tämä voi olla tuhoisa.

Drake oli käsillä Black Hatissa puhuakseen Stagefrightista, mistä se tulee ja mitä hän löysi tutkiessaan sitä. Suuri takea oli, että Androidin kooditietokanta on valtava ja vaatii enemmän huomiota. "Tämä ei todennäköisesti ole ainoa kiireellisesti kirjoitettu koodi", Drake sanoi.

Black Hattiin osallistuminen oli myös Googlen Android-tietoturvan päällikkö Adrian Ludwig (kuvassa yllä). Hän tunnusti Stagefrightin laajuuden, mutta ilmoitti, että Google ja sen kumppanit ovat asettaneet yhtä suuret pyrkimykset suojata Android Stagefrightin hyväksikäytöltä. Ludwig korosti myös työtä, jonka Google oli jo tehnyt Androidin turvassa. Hän sanoi, että Android on edelleen vahva useiden hyökkäysten edessä.

7 Linux-käyttöisen kiväärin hakkerointi

Hyvin pian esineiden Internet on kaikkialla. Itse asiassa se jo on (katsot älytelevisioita ja reitittimiäsi!). Mutta joissakin paikoissa, kuten Internet-yhteyteen kytketty tekniikka on vasta alkanut tunkeutua, kuten ampuma-aseet. Runa Sandvik ja hänen tutkija Michael Auger ostivat, repivät ja hakkeroivat onnistuneesti Tracking Point-älykiväärin. Normaaliolosuhteissa tämä kivääri auttaa sinua osumaan merkkiisi joka kerta. Hakkerihallinnassa se voidaan lukita, saada ohittamaan kohteet ja saada se osumaan muihin kohteisiin.

Yksi Sandvikin ja Augerin työstä selvä asia oli, että kiväärin hakkerointi ei ollut helppoa. Heillä oli aikaa huomauttaa monista asioista, jotka Tracking Point teki oikein, ja tehdä teollisuudelle ehdotuksia siitä, kuinka he voivat parantaa IOT-laitteita. Ehkä tämän kiväärin hakkerointi johtaa jonain päivänä maailmaan, jossa on turvallisempia leivänpaahtimia.

8 hakkeri voi rikkoa kytketyn kodin auki

ZigBee-kotiautomaatiojärjestelmän avulla voit hallita oven lukkoja, valoja ja termostaattia helposti, mutta se voi myös laajentaa tämän ohjauksen myös hakkereihin. Dramaattisessa esityksessä tutkijat Tobias Zillner ja Sebastian Strobl osoittivat, kuinka he voisivat hallita ZigBee-pohjaisia ​​järjestelmiä.

Näyttää siltä, ​​että vika ei ole ZigBee: llä, vaan myyjillä, jotka käyttävät sen viestintäjärjestelmää. ZigBee tarjoaa lukuisia tietoturvatyökaluja sen varmistamiseksi, että vain oikeat ihmiset puhuvat laitteiden kanssa. Mutta toimittajat eivät yksinkertaisesti käytä näitä työkaluja, vaan luottavat vähemmän turvallisiin varmuuskopiojärjestelmiin. Onneksi se on hankala hyökkäys vetää pois, mutta laitevalmistajien on tehostettava kollektiivista peliäan.

9 Kuinka turvallinen sormenjälkesi on?

Yhä useammat mobiililaitteet sisältävät sormenjälkitunnistimet, ja tulevaisuudessa voimme odottaa myös eksoottisempaa tyyppistä biometristä todennusta. Sormenjälkitietojasi ei kuitenkaan välttämättä tallenneta turvallisesti puhelimeesi, ja hakkeri voi hyökätä itse lukijaan. FireEye-tutkijat Tao Wei ja Yulong Zhang esittelivät neljä hyökkäystä, jotka voivat varastaa sormenjälkitietosi. Se ei ole liian iso juttu, mikäli et lopu sormilta.

Neljästä Zhangin esittämästä hyökkäyksestä kaksi oli erityisen mielenkiintoinen. Ensimmäinen osoitti, kuinka hyökkääjä voi oikeiden työkalujen avulla vain huijata lukitusruudun huijatakseen uhrin pyyhkimään sormea ​​skannerilla. Yksinkertainen! Toinen, paljon monimutkaisempi hyökkäys voisi käyttää tietoja sormenjälkitunnistimesta tarvitsematta tunkeutua Android-laitteen turvalliseen TrustZone-segmenttiin. Vaikka Zhangin ja Wein havaitut haavoittuvuudet on korjattu, todennäköisesti on vielä paljon löydettäviä. (Kuva )

10 Kemikaalitehtaan hakkerointi on todella kovaa

Yhdessä monimutkaisimmissa esityksissä Black Hatissa Marina Krotofil kuvasi, kuinka hyökkääjät voivat tuoda kemiallisen laitoksen polvilleen hauskanpitoa ja voittoa varten. No, enimmäkseen voittoa. Prosessi on täynnä ainutlaatuisia haasteita, joista suurin on selvittää, kuinka ymmärtää laitoksen monimutkaista sisäistä toimintaa, jossa kaasut ja nesteet liikkuvat omituilla tavoilla, joita hakkereiden käytettävissä olevat elektroniset laitteet eivät ole helposti jäljitettävissä. Ja sitten on jouduttava käsittelemään tehtaan ärsyttävää fysiikkaa. Käännä vedenpainetta liian paljon ja happo saattaa saavuttaa kriittisen lämpötilan, ja kiinnitä huomiota hyökkäykseesi.

Pelottavin osa Krotofilin esityksestä oli ehdottomasti se, että hakkerit olivat jo aikaisemmin onnistuneesti kiristäneet rahaa laitoksista ja laitoksista, mutta kyseiset tiedot eivät olleet tutkijoiden saatavilla. (Kuva )

11 Turvallinen tulevaisuus

Aloituspuheensa aikana juhlittu asianajaja Jennifer Granick kuvasi, kuinka tekniikan kautta tapahtuvan sosiaalisen edistymisen hakkereiden etiikka oli kadonnut tyytyväisyyteen, hallituksen valvontaan ja yritysten etuihin. Hänen mukaansa unelma ilmaisesta ja avoimesta Internetistä, joka teki tiedon ja viestinnän saumattomaksi ja rasisoi rasismia, klassismia ja sukupuoleen perustuvaa syrjintää, ei koskaan toteutunut täysin ja häipyi nopeasti.

Hän kuvasi pelkoaan siitä, että tietotekniikka loisi maailman, jossa data-analyysiä käytetään kaikkeen. Tämä vahvistaisi olemassa olevia voimarakenteita, hän sanoi, ja vahingoittaisi eniten tapauksia. Hän varoitti myös hallituksia, jotka käyttävät turvallisuutta tapana suunnitella valtaa, luoda turvavaltuuksia ja turvavarmuuksia. Pelottavia juttuja.

12 Kuinka ei pidätetä

Yksi puhuneimmista istunnoista Black Hat -tapaamisten keskuudessa oli oikeusministeriön isännöima. Tavalliselle ihmiselle se todennäköisesti kuulosti tylsältä, mutta tällä vilkkaalla istunnolla pyrittiin kouluttamaan yleisöä ja selittämään, kuinka hakkerit voisivat jatkaa työtään noudattamatta lakia.

Leonard Bailey, DOJ: n erityinen kansallisen turvallisuuden neuvonantaja viraston tietokonerikollisuutta ja immateriaalioikeuksia käsittelevässä osassa, kertoi osallistujille, kuinka he voisivat tehdä haavoittuvuustarkastuksia ja tunkeutumistestejä turvallisesti. Tärkeintä on kuitenkin DOJ: n pyrkimykset varmistaa, että lainvalvonnalla ei ole jäähdyttävää vaikutusta turvallisuustutkimukseen.

13 hyökkääjää verkossa

Älä luota Black Hat -verkkoon. Verkoston ympärillä on paljon ihmisiä, ja monet osallistujista käyttävät tilaisuutta kokeilla uusia temppuja ja tekniikoita, jotka he ovat oppineet viikon aikana. Fortinet johti tänä vuonna Black Hatin turvatoimintakeskusta ja seurasi toimintaa sekä paikan päällä olevissa langallisissa että langattomissa verkoissa. Vaikka näytöissä oli paljon näytöksiä siitä, mitkä sovellukset olivat käynnissä, suurimman osan analyyseistä suoritti turvallisuusammattilaisten vapaaehtoinen ryhmä. Yksi luokka, joka oppi edistyneitä Web-tunkeutumisen hyökkäystekniikoita, sai jonkin verran matkaa, ja pyysi Internet-palveluntarjoajaa soittamaan operaatiotiimille käskääkseen heitä lopettamaan.

14 Robo-puhelujen sammuttaminen

Tämä ei ollut Black Hatilla, mutta DEF CON. Humanity Strikes Back on FTC-kilpailu DEF CON -tapahtumassa, jossa hakkerit loivat anti-robocall-ohjelmiston. Ajatuksena oli luoda työkalu, joka analysoi puhelun ääntä ja jos puhelun päätettiin olla robocall, estää se loppukäyttäjältä ja välittää puhelun hunajapottiin. Kaksi finalistia esitteli ohjelmistonsa kontekstipöydällä DEF CON: n aikana, kun taas tämä robotti tarjosi iloisesti ilmaisia ​​risteilylomia, jos painat 1.

15 Kuinka tulla hakkereiksi

Nyt kun tiedät miten sinun ei pidätetä turvallisuustutkimuksesta, ehkä olet kiinnostunut leikkimään omien hakkerointityökalujen kanssa? Siirry Kali Linuxiin, mukautettavaan alustaan, jolla voit pitää hauskaa.

Kali Linux on tarkoitettu helpoksi, mutta mikä tärkeintä, sen tarkoitetaan olevan joustava. Voit lisätä tai poistaa työkaluja haittaohjelmien testaamiseen, verkkotestaukseen ja levinneisyystesteihin - nimeät sen. Voit jopa asentaa työkalut Raspberry Pi: hen turvallisuustestausta varten liikkeellä ollessasi.