Video: SCP-231 The Seven Brides (SCP Animation) (Marraskuu 2024)
Black Hat on turvallisuustutkijoiden, hakkereiden ja teollisuuden yhdistelmä, joka kokoontuu Las Vegasissa tekemään kolme asiaa: hahmotella viimeisimmät uhat, näyttää kuinka hyvät ja pahat voittaa ja aloittaa hyökkäykset osallistujia kohtaan. Tänä vuonna tapahtui runsaasti pelottavia hyökkäyksiä, muun muassa näyttelyyn osallistujia vastaan, sekä autojen hakkerointeja, uusia tapoja varastaa käteistä pankkiautomaatteista ja miksi älykkäät lamput eivät ehkä ole niin turvallisia kuin luulimme. Mutta näimme myös paljon syytä toivoa, kuten opettaa koneita etsimään vaarallisia palvelimia, käyttämään Dungeoneja ja Dragoneja työntekijöiden kouluttamiseen tietoturvauhkien käsittelemiseksi ja kuinka Apple käsittelee iPhonesi turvallisuutta. Se oli, kaikki kerrottiin, kauniita mielenosoituksia tekevä vuosi.
Hyvä
Kyllä, Apple ilmoitti vikapalkkio-ohjelmasta Black Hatissa. Mutta se oli vain viimeiset 10 minuuttia Applen turvallisuustekniikan ja arkkitehtuurin päällikön Ivan Krsticin esittelystä. Edellisten 40 minuutin aikana hän tarjosi ennennäkemättömän syvän sukelluksen tapaan, jolla Apple suojaa käyttäjien laitteita ja tietoja sekä väärinkäyttäjiltä että itseltään. Ja kyllä, siihen sisältyy rehellinen Jumalalle -sekoittimen käyttö.
Asioiden Internet-laitteiden suosion kasvaessa turvallisuusammattilaiset ovat yhä huolestuneempia. Nämä ovat loppujen lopuksi laitteita, joissa on mikrotietokoneita, jotka on kytketty verkkoihin ja pystyvät täysin suorittamaan koodia. Se on hyökkääjän unelma. Hyvä uutinen on, että ainakin Philip's Hue -järjestelmän tapauksessa mahan luominen hyppylampusta lamppuun on erittäin vaikeaa. Huonoja uutisia? On ilmeisen hyvin helppoa huijata Hue-järjestelmiä liittymään hyökkääjän verkkoon.
Jokaiseen jokaisen yrityksen tietoturvakoulutukseen sisältyy huomautus, jonka mukaan työntekijöiden ei tulisi koskaan napsauttaa tuntemattomista lähteistä lähtevien sähköpostien linkkejä. Ja työntekijät ovat edelleen pettyneet napsauttamaan heitä riippumatta. Dr. Zinaida Benenson, Erlangen-Nürnbergin yliopistosta, totesi, ettei yksinkertaisesti ole järkevää odottaa työntekijöiden vastustavan uteliaisuutta ja muita motivaatioita. Jos haluat heidän olevan James Bond, sinun tulee laittaa se tehtäväkuvaukseen ja maksaa heille vastaava palkkio.
Paljon tietoturvatutkimuksia ja toteutuksia voi olla mielestäni tylsää, mutta uudet tekniikat koneoppimisessa voivat pian johtaa turvallisempaan Internetiin. Tutkijat tarkensivat pyrkimyksiään koneiden opettamiseen tunnistamaan bottiverkon komento- ja hallintapalvelimet, joiden avulla pahat pojat voivat hallita satoja tuhansia (ellei miljoonia) tartunnan saaneita tietokoneita. Työkalu voi auttaa pitämään kannen tällaiseen pahaenteiseen toimintaan, mutta se ei ollut kaikki raskasta tutkimusta. Istunnon päätteeksi tutkijat osoittivat, kuinka koneoppimisjärjestelmiä voidaan käyttää hyväksyttävän Taylor Swift -kappaleen tuottamiseen.
Kuka tuntee hotelliverkoston, se voi olla hieno lemmikkieläinkonferenssista, mutta ei Black Hatista. Konferenssilla on oma täysin erillinen verkko ja vaikuttava verkkotoimintakeskus sen hallitsemiseksi. Vierailijat voivat käydä läpi lasiseinän monissa hehkuvissa näytöissä, hakkereita sisältävissä elokuvissa ja pitkäaikaisissa turvallisuusasiantuntijoissa NOC: ssa, joka pakataan kokonaisuuteen ja muutti ympäri maailmaa seuraavaan Black Hat -konferenssiin.
Tietoturva-arvoja ja white-hat-hakkerit eivät vain pääse tarpeeksi turvataidoista, mutta he eivät ole niitä, jotka todella tarvitsevat niitä. Myyntihenkilökunta, HR-ryhmä ja puhelinpalveluhenkilökunta eivät välttämättä ymmärrä tai arvosta turvallisuuskoulutusta, ja silti tarvitset heitä todella tehostamaan turvallisuuspeliään. Tutkija Tiphaine Romand Latapie ehdotti turvallisuuskoulutuksen muuttamista roolipeliksi. Hän totesi, että se toimi täysin, ja aiheutti merkittävän uuden sitoutumisen turvallisuusryhmän ja muun henkilöstön välillä. Dungeons ja lohikäärmeet, kukaan?
Huijauspuhelut ovat valtava ongelma. IRS-huijaukset vakuuttavat epäilyttävät amerikkalaiset haarukoimaan käteistä. Salasanan palautus huijaa huijauspuhelinkeskuksia antamaan asiakkaille tietoja. Oikeuslääketieteen professori Judith Tabron analysoi todelliset huijauskutsut ja suunnitteli kaksiosaisen testin, jonka avulla voit havaita ne. Lue tämä ja opi, OK? Se on yksinkertainen ja kannattava tekniikka.
Pelottava
Pwnie Express rakentaa laitteita, jotka tarkkailevat verkon ilmatilaa kaikkea haitallista, ja se on myös hyvä asia, koska yritys löysi tänä vuonna massiivisen Man-in-the-Middle-hyökkäyksen Black Hat -tapahtumassa. Tässä tapauksessa ilkeä tukiasema muutti SSID-tunnustaan puhelimien ja laitteiden huijaamiseksi liittymiseen verkkoon ajatellen, että se on turvallinen, ystävällinen verkko, jonka laite oli aiemmin nähnyt. Hyökkääjät huijasivat noin 35 000 ihmistä. Vaikka on hienoa, että yritys pystyi havaitsemaan hyökkäyksen, se, että se oli niin massiivinen, muistuttaa siitä, kuinka onnistuneet nämä hyökkäykset voivat olla.
Viime vuonna Charlie Miller ja Chris Valasek esittelivät sen, minkä monet arvelivat olevan heidän autojen hakkerointiuransa huippu. He palasivat tänä vuonna vielä rohkeammilla iskuilla, sellaisilla, jotka pystyvät kohdistamaan ohjauspyörän jarrut tai nab-ohjauksen, kun auto liikkuu millä tahansa nopeudella. Aiemmat hyökkäykset voitiin suorittaa vain, kun auto ajaa nopeudella 5 km / h tai vähemmän. Nämä uudet hyökkäykset voivat muodostaa suuren riskin kuljettajille, ja autovalmistajat toivottavasti korjaavat ne nopeasti. Valasek ja Miller puolestaan sanoivat tehneensä hakkerointia, mutta rohkaisivat muita seuraamaan jalanjälkiä.
Jos katsot herra Robotia, tiedät, että on mahdollista saastuttaa uhrin tietokone puristamalla USB-asemat parkkipaikan ympärille. Mutta toimiiko se todella? Elie Bursztein, petosten ja väärinkäytösten tutkimuksen johtaja Googlessa, esitteli kaksiosaisen keskustelun aiheesta. Ensimmäisessä osassa selvitettiin tutkimusta, joka osoitti selvästi, että se toimii (ja parkkipaikat ovat parempia kuin käytävät). Toisessa osassa selitettiin yksityiskohtaisesti, kuinka rakennetaan USB-asema, joka täysin hallitsee minkä tahansa tietokoneen. Teitkö muistiinpanoja?
Droonit olivat kuumat esineet viimeisen loma-ostoskauden aikana, ja eivät ehkä vain geeksille. Esitelmä osoitti, kuinka DJI Phantom 4: tä voidaan käyttää teollisuuden langattomien verkkojen tukkemiseen, työntekijöiden vakoojaan ja mikä pahempaa. Temppu on se, että monet kriittiset teollisuusalueet käyttävät ns. Ilmarakoksi arkaluontoisten tietokoneiden suojaamiseksi. Periaatteessa nämä ovat verkkoja ja laitteita, jotka on eristetty Internetistä. Mutta pienet, ohjattavat droonit voivat tuoda Internetin heille sen sijaan.
Koneoppiminen on lukuisten tekniikan alojen mullistuksen kärjessä, ja siihen sisältyy myös huijarit. Black Hatin tutkijat osoittivat, kuinka koneita voidaan myös opettaa tuottamaan erittäin tehokkaita keihäsyritysviestejä. Heidän työkalunsa määrittää arvokkaat kohteet ja viettää sitten uhrin tweetit saadakseen viestin, joka on sekä asiaankuuluva että vastustamattomasti napsautettavissa. Joukkue ei levittänyt mitään haitallista roskapostin kanssa, mutta ei ole vaikea kuvitella huijareita käyttävän näitä tekniikoita.
Voit odottaa ilmaista Wi-Fi-yhteyttä hotellissa, ja saatat olla tarpeeksi taitava ymmärtämään, että se ei välttämättä ole turvallista. Mutta Airbnb: llä tai muulla lyhytaikaisella vuokrauksella turvallisuudella voi olla kaikkien aikojen huonoin turvallisuus. Miksi? Koska vierailla oli ennen fyysistä pääsyä reitittimeen, mikä tarkoittaa, että he voivat täysin omistaa sen. Jeremy Galloway puhui yksityiskohtaisesti, mitä hakkeri voi tehdä (se on huono!), Mitä voit tehdä pysyäksesi turvassa ja mitä kiinteistön omistaja voi tehdä estääkseen tällaiset hyökkäykset. Se on ongelma, joka ei katoa.
Yhdessä Black Hatin kattavimmista keskusteluista Rapid7: n vanhempi pententeri Weton Hecker esitti, mikä voi olla uusi malli petoksille. Hänen visioonsa kuuluu valtava verkosto vaarannettuja pankkiautomaatteja, myyntipisteiden koneita (kuten ruokakaupassa) ja kaasupumppuja. Ne voivat varastaa uhrin maksutiedot reaaliajassa ja syöttää ne nopeasti moottoroidun PIN-työntölaitteen avulla. Keskustelu päättyi pankkiautomaattiin, joka käytti käteisvaroja, ja visio tulevaisuudesta, jossa huijarit eivät osta henkilöiden luottokorttitietoja, vaan pääsy massiiviseen reaaliaikaiseen maksuhuijausten verkkoon.
Se ei ollut ainoa esitys Black Hatissa, jossa yksityiskohtaisesti selvitettiin maksujärjestelmiin kohdistuvia hyökkäyksiä. Toinen ryhmä tutkijoita osoitti, kuinka he pystyivät tarttumaan Raspberry Pi: llä ja pienellä ponnistelulla henkilökohtaisten tietojen runsaasti sirukorttitapahtumista. Se on erityisen merkittävää paitsi siksi, että sirukortteja (AKA EMV -kortteja) pidetään turvallisempina kuin magswipe-kortteja, vaan myös koska Yhdysvallat on juuri alkanut levittää sirukortteja kotimaassa.
Ensi vuosi tuo uutta tutkimusta, uusia hakkereita ja uusia hyökkäyksiä. Mutta Black Hat 2016 on asettanut vuodelle äänen, mikä osoittaa, että hakkerointityötä (olipa se valkoinen tai musta hattu) ei todellakaan koskaan tehdä. Nyt jos anteeksi meille, tuhoamme luottokortit ja lähdemme asumaan Faraday-häkissä metsässä.