Musta hattu 2018: mitä odottaa

Kesän lämpenemisen jälkeen turvallisuustutkijat, hallitushahmot ja teollisuuden eliitti suuntautuvat Las Vegasiin Black Hat -konferenssiin, jota seuraa heti sen korkeampi esi-ikä, DefCon.

Se on viikon mittainen juhla kaikista asioista, joissa tutkijat yrittävät yhdistää toisiaan esitelmillä uusimmista, pelottavimmista haavoittuvuuksista. Pimeän jälkeen on kimaltelevia juhlia, joissa ihmiset rentoutuvat satunnaisesti lauseiden, kuten "pyyhkäisemme tilaa kuuntelulaitteille ja löysimme kolme!" Kaikkien tämän sängyn keskellä ovat nöyrät PCMag-toimittajat Max Eddy ja Neil Rubenking, jotka takertuvat tiukasti paksuihin sateenvarjojuomiin, koska turvasalaisuuksia kuiskataan heidän korvissaan.

Black Hat tunnetaan showmanshipistaan ​​samoin kuin tutkimukseensa. Aiempina vuosina tutkijat ovat ajaneet hakkeroituja Linux-kivääreitä, 100 dollarin laskuja ATM-koneita, epävarmoja satelliittipuhelimia ja huipputeknologian "älykkäitä" autoja.

Tässä on mitä odotamme innolla Black Hatin 21. vuonna ja pidä silmällä SecurityWatch viimeisintä Black Hat 2018 -tapahtumaa.

Google Spotlightissa

Tämän vuoden avainsanan toimittaa Parisa Tabriz, Google-tekniikan johtaja. Tabrizin puhe keskittyy uusien turvallisuusideoiden omaksumiseen, jopa työskennellessään valtavassa mittakaavassa, ja koskettaa varmasti hänen työtään Chrome-selaimen kanssa.



Auton hakkerointi on palannut (tyyppi)

Otsikon tarttuvan hyökkäyksen jälkeen, joka kirjaimellisesti ajoi Jeepin tien päältä, Charlie Miller ja Chris Valasek kertoivat kääntäneensä autojen hakkerointiavaimet hyväkseen. Toisin sanoen, kunnes he osallistuivat itse ajaviin ajoneuvoihin. Keskustelu autonomisten kuninkaiden johtamien autonomisten autojen vaaroista kiinnittää varmasti huomion.



Ihmisten hakkerointi

Turvallisuusammattilaisten keskuudessa on yleinen (jos hylkäävä) vitsi, joka sanoo "minkä tahansa järjestelmän suurin haavoittuvuus on tuolin ja tietokoneen välillä". Ihmiset huijataan yhtä helposti kuin tietokoneet (ehkä helpommin), ja sosiaalisuunnittelu on varmasti tärkeä aihe. Se on erityisen totta, koska yhä useammat organisaatiot kohtaavat häpeä, jotta he joutuvat kalasamaan phishing-hyökkäyksiä. Kukaan ei halua olla demokraattinen kansallinen komitea, joka on noin vuonna 2016, ja että heidän taistelu- ja risottoreseptinsä on ruiskutettava Internetissä.



Salaus ja VPN

Kokemusten perusteella VPN: t ovat kuuma tuote turvallisuusalalla. Maailmanlaajuiset levottomuudet ja halu käyttää ilmaista suoratoistovideota verkossa ovat ajaneet tämän unisen ja unohdetun tietoturvatyökalun suosion. Ottaen hakkerit keskittyvän VPN-palveluihin niiden viimeaikaisen suosion ja mukana olevien yritysten läpinäkymättömyyden vuoksi.

Salaus on samoin tekniikka, joka saa kaiken toimimaan verkossa salaisuuksien pitämisestä samoin kuin henkilöiden henkilöllisyyden todentamiseen. Se on tehokas työkalu ja myös jännittävä kohde. Valmistelukunnan tutkijat esittelevät varmasti työskentelyä salauksen erottamiseksi, heikentämiseksi tai muulla tavoin kiertämiseksi. Emme odota mitään niin uraauurtavaa kuin SHA-1-hash-törmäys, mutta puhe sivukanavan hyökkäyksestä salaa avainten varastamiseksi reitittimiltä kuulostaa jännittäviltä.



Lohkoketjun rikkominen (tai käyttäminen)

Cryptocurvaluutat ovat verkkomaailman ja teknisten sijoittajien rakkaita. Niiden rahallinen arvo ja digitaalinen olemassaolo tekevät heistä helppoja kohteita hakkereille, mikä on muutaman istunnon aiheena tänä vuonna. Mielenkiintoisinta tutkimusta voi kuitenkin tuottaa taustalla olevan blockchain-tekniikan käyttäminen välineenä tietojen tallentamiseksi ja luottamuksen luomiseksi verkossa. Jotkut istunnot keskittyvät kuinka hyökätä salauksen perusteisiin huonojen päämäärien varalta.



Hakkeroi äänestys

Venäjän yritykset vaikuttaa Yhdysvaltojen vuoden 2016 vaaleihin ovat tosiasia, Yhdysvaltojen tiedustelupalvelun ja lainvalvontaviranomaisten mukaan. Se on suurin yksittäinen tietoturvatarina Snowdenin vuotamisen jälkeen, ja se jatkuu edelleen. Vaikka emme nähneet liikaa aiheesta viime vuonna, vaalien hakkerointi ja haavoittuvat äänestyskoneet ovat monivuotisia aiheita Black Hatissa, joten odota heitä myös tänä vuonna. Yhdessä huomattavassa istunnossa tarkastellaan, miten olemassa olevaa sosiaalista kuvaajaa voidaan käyttää paljastamaan Venäjän Twitter-robotit.



Kahden tekijän todennus: jumalattomuus vai kirous?

Google löysi äskettäin tietojen kalastelua fyysisten kaksifaktoristen laitteiden avulla ja esitteli oman suojausavainsarjansa NEXT-konferenssissa. Mutta jokainen ratkaisu turvallisuusongelmiin on tutkijalle uusi mahdollisuus osoittaa esiintymään. Olemme varmasti nähneet joitain hyökkäyksiä 2FA-järjestelmiin.



Hakkerointi 2000-luvulla

Black Hat ja DefCon ovat vuoden suurimpia tapahtumia turvallisuusammattilaisille ja harrastaja-hakkereille, joten on myös aika tarkastella koko yhteisöä. Vaikka tietoturvasta ja konferensseista on pyritty saamaan ystävällisempiä naisille, väri-, vammais- ja muille ryhmille, jotka usein syrjäytyvät tekniikassa, näissä tapahtumissa kumi kohtaa tietä. Tulee enemmän kuin muutama tapaaminen eri ryhmistä ja istunnoista, joissa käsitellään sitä, miten infosec voidaan kutsuvampaa. Useissa istunnoissa käsitellään masennus- ja PTSD-ongelmia hakkerointiyhteisössä. Aihetta ei ole usein keskusteltu.



Kuinka hakkeroida voimalaitos (tai vedenkäsittelylaitos, tehdas tai sähköverkko)

Suurin osa hakkereista on juuri tekemässä nopeaa vastinetta, mutta jotkut hyökkääjät (ja kansallisvaltioiden toimijat) näkevät suuremmat palkinnot: infrastruktuurin. Aiempina vuosina on käyty istuntoja siitä, kuinka tuhota tehdas, jolla on kuplia ja taktiikoita, kuinka poistaa hämmentävät, räätälöidyt järjestelmät, jotka muodostavat suurimman osan teollisuuskomplekseista.