Video: Black Hat SEO 2021 (Lokakuu 2024)
Koska tiedot rikkovat osaa tyypillisestä uutissyklistä ja koska Edward Snowden on nyt kotinimi, kansalaisilla on syvä kiinnostus digitaaliseen tietoturvaan. Ja loukkaavan turvallisuuden suurin näytös on Black Hat, konferenssi, jossa hakkerit hierovat kyynärpäätä teollisuuden ja hallituksen edustajien kanssa esittelemällä viimeisimmät hakkerit, hyökkäykset ja haavoittuvuudet.
Hakki kaikki
Aikaisemmin vain tietokoneet olivat yhteydessä Internetiin. Nykyään jokaisella on ainakin yksi kytketty laite (puhelin tai tabletti) kädessä. Olemme kaikki tottuneet tietokoneiden virustorjunta- ja tietoturvaohjelmistojen tarpeeseen, mutta suuri osa kuluttajista ei vain pysty kietoa päätään mobiililaitteiden suojauksen ja virustorjuntaohjelmien tarpeisiin. Vaikka pöytätietokoneet ja palvelimet ovat edelleen suosittuja kohteita hakkereille Black Hatissa, mobiililaitteista on tulossa yhä suurempi osa ohjelmaa.
Se pahenee. Internet on kaikessa nykyään: autoissa, oven lukot, jääkaapit ja jopa lamput. Ja monet tämän uuden esineiden Internet-aikakauden myyjät eivät ajattele turvallisuutta. Viime vuonna älykkäät hakkerit näyttivät kuinka hallita Nest-termostaatti sekunneissa. He käyttivät hakkeroitua laitetta animoitujen taustatietojen suorittamiseen, mutta muut hyökkäykset eivät ehkä ole niin mukavia.
Laiteohjelmistoon on mahdollista rakentaa tietoturva, mutta käytäntö ei ole vielä yleinen. Ainakin kahdessa esityksessä Black Hatissa esitellään tekniikoita Internet-yhteensopivan auton hallitsemiseksi. Toinen huomauttaa tehtaissa käytettävien Internet-tietoisten ohjelmoitavien logiikkaohjaimien (PLC) haavoittuvuuksista. Muita uhreja ovat Square-luottokortinlukija, kaasupumput ja jopa Linux-käyttöinen kivääri. Älykortit ja RFID-merkinnät, kontaktittomat NFC-maksupäätteet, SIM-kortit - kaikki nämä tekniikat ovat ihmisen luomia ja siten epätäydellisiä. Turvallisuusasiantuntijat esittelevät havaintonsa haavoittuvuuksista kaikilla näillä alueilla.
Musta hattu on normaali tunne pelästyneisyydestä ja vainoharhaisuus on etu. Missä muualla Mac OS X -haittaohjelmat, epärehelliset femtokelut ja satelliittiviestintää koskevat hyökkäykset astuisivat vaiheeseen? Vaikka mobiili- ja esineiden internetiä käsitteleviä istuntoja on enemmän, Black Hat on edelleen kohde oppia nollapäivän haavoittuvuuksista. Ja tänä vuonna 32 erilaista nollapäivää julkaistaan monien erilaisten tekniikoiden, mukaan lukien mobiili- ja teollisuusohjausjärjestelmien, kertoi Black Hatin pääjohtaja Steve Wylie eWEEKille.
Maanpäälliset laitteet eivät ole ainoita kohteita. Viime vuonna näimme vaikuttavia lento- ja satelliittiviestinnän hakkerointeja. Yhdessä mielenosoituksessa tutkija otti satelliittiradion hallintaan ja muutti sen hedelmäpelikoneeksi.
Ennen Black Hat 2015 -lentoyhtiötä lentoyhtiöiden hakkerit olivat palanneet uutisissa, ja juontajat lupaavat hyökkäyksiä, jotka keskittyvät myös satelliiteihin. Vaikka päivittäisten älykkäiden laitteiden hyökkäykset ovat suuri huolenaihe tulevaisuudelle, kalliit ja välttämättömät digitaalisen infrastruktuurin osat ovat kiertoradalla juuri nyt ja ne saattavat myös olla vaarassa.
Arsenalin tietoturvatyökalujen esittely ei yleensä ohjaa sellaista huomiota (tai väkijoukkoja), joita vaiheittaiset esitykset tekevät, mutta se tarjoaa kurkistaa osaan uskomattomia työkaluja: SpeedPhishing-kehys sisällyttää sähköpostin tietojenkalasteluominaisuudet osana tunkeutumistestiä, testausympäristö OWASP: stä, joka on esiasuttu haavoittuvilla sovelluksilla, ja tapa nähdä haitalliset hyötykuormat PDF-tiedostoina. Aika päivittää kyseinen tietoturvatyökalupakki!
Cyberin ulkopuolella
Turvallisuusprofiilien ja -harrastajien yhteisö on kasvanut paljon viime vuosina. Se on paljon ammattimaisempaa, ja jos tämän vuoden Black Hat on viitteitä, paljon poliittisempi. Se voi olla vain kysymys ajankohtaisista tapahtumista - kyberturvallisuus onkin toistuva aihe Capitol Hillillä - tai se saattaa heijastaa yhteisön kasvavaa aktiivisuushalukkuutta ja lisääntynyttä tietoisuutta. Meillä on istunnot hallitukselta, mukaan lukien liittovaltion kauppakomission pääteknologi Akshan Soltani ja oikeusministeriön edustaja Leonard Bailey.
Mutta hallitusten vastaisia mielipiteitä on edelleen paljon, kuten FTC: n kyberturvallisuuden sääntelymenetelmiä kritisoiva istunto, katsaus kansallisen turvallisuusviraston työkaluvalikoimaan ja paneelikeskustelu Wassenaarin järjestelystä, joka on kansainvälinen sopimus, joka sääntelee perinteisiä ja verkkoaseet.
- Auton etä hakkerointi on nyt todellisuutta Remote Car hakkerointi on nyt todellisuutta
- Stagefrightista ei voi tehdä (melkein) mitään, mitä voit tehdä Stagefrightista
- Smart Sniper -kivääri, joka on haavoittuva Hacksille Smart Sniper -kivääri, haavoittuva Hacksille
Vaikka Edward Snowdenin vuodot paljastivat, kuinka avoin nykyaikainen tietokulttuurimme todella on, hänen ilmoituksensa näyttävät olevan huomattavasti poissa tämän vuoden paneeleista ja keskusteluista. Vain yksi keskusteluksi tarkoitettu istunto käsittelee asiaa suoraan. Tarkoittaako tämä, että Snowden oli salama pannulla? Kaukana siitä. Istunnot kattavat kansallisvaltioiden haittaohjelmat ja verkkoaseet, jotka on suunniteltu hyökkäämään infrastruktuuriin. Nämä istunnot ovat saattaneet tapahtua, vaikka Snowden olisi ollut hiljaa, mutta hänen vuodonsa lisäävät näihin aiheisiin paljon kiireellisyyttä.
Black Hat onkin hakkereiden leikkipaikka, jossa myös hallitukset, teollisuus ja yksityishenkilöt jakavat ideoita, jotka muovaavat digitaalista tietoturvaa. Ja vaikka jotkut Black Hatissa debytoivista löytöistä saattavat vain tarttua otsikoihin, toiset saattavat rohkaista yrityksiä ja yksilöitä ajattelemaan tarkemmin digitaalimaailmaa, jossa he haluavat elää.
