Черная шляпа 2018: чего ожидать

С наступлением лета исследователи в области безопасности, правительственные агенты и представители элиты отправляются в Лас-Вегас на конференцию Black Hat, за которой сразу же следует ее более легендарный прародитель DefCon.

Это недельное празднование всех событий infosec, когда исследователи пытаются объединить усилия друг с другом презентациями о самых последних и самых страшных уязвимостях. После наступления темноты это блестящие вечеринки с людьми, небрежно подбрасывающими фразы: «Мы подметали комнату для прослушивающих устройств и нашли три!» Среди всего этого бедлама будут ваши скромные репортеры PCMag Макс Эдди и Нил Рубенкинг, крепко цепляющиеся за бумажные зонтичные напитки, а секреты безопасности шепчутся им в уши.

Black Hat известна не только своими исследованиями, но и своим мастерством. Предыдущие годы видели взломанные Linux-винтовки, банкоматы, извергающие 100-долларовые банкноты, небезопасные спутниковые телефоны и высокотехнологичные «умные» автомобили, согнанные исследователями с дороги.

Вот то, что мы с нетерпением ждем в 21-м году Black Hat, и следите за SecurityWatch для последних из Black Hat 2018.

Google в центре внимания

С основным докладом в этом году выступит Париса Табриз, директор по инженерным разработкам Google. Доклад Тебриз будет сосредоточен на принятии новых идей в области безопасности даже при работе в огромных масштабах, и, безусловно, коснется ее работы с браузером Chrome.



Взлом автомобиля вернулся (вид)

После их захватывающей заголовок атаки, которая буквально вытеснила джип с дороги, Чарли Миллер и Крис Валасек сказали, что они навсегда сдали ключи от взлома машины. То есть, пока они не увлеклись самостоятельным вождением автомобилей. Разговор об опасностях автономных автомобилей во главе с королями автомобильных атак наверняка привлечет внимание.



Взлом людей

Среди профессионалов в области безопасности есть распространенная (хотя и пренебрежительная) шутка: «Самая большая уязвимость в любой системе - это кресло и компьютер». Людей так же легко обмануть, как компьютеров (возможно, легче), и социальная инженерия, несомненно, станет главной темой. Это особенно верно, так как все больше и больше организаций сталкиваются с смущением в результате фишинговых атак. Никто не хочет быть Демократическим национальным комитетом около 2016 года, и их рецепты распри и ризотто распространяются по сети.



Шифрование и VPN

Судя по опыту, VPN являются популярным товаром в индустрии безопасности. Глобальные волнения и желание получить доступ к бесплатному потоковому видео в Интернете привели к популярности этого некогда сонного и недооцененного инструмента безопасности. Учитывая их недавнюю популярность и непрозрачность участвующих компаний, ожидайте, что хакеры сосредоточатся на услугах VPN.

Аналогично, шифрование - это технология, которая заставляет все работать в сети, от сохранения секретов до проверки личности отдельных лиц. Это мощный инструмент, а также захватывающая цель. Исследователи на конгрессе обязательно представят работу по выбору, ослаблению или иным способом обхода шифрования. Мы не ожидаем ничего столь же революционного, как коллизия хэшей SHA-1, но разговор о побочной атаке с целью кражи ключей шифрования от маршрутизаторов звучит захватывающе.



Взлом (или использование) блокчейна

Криптовалюты - это и любители онлайн-преступного мира, и технические инвесторы. Их денежная ценность и цифровое существование делают их легкой целью для хакеров, что является темой нескольких сессий в этом году. Но именно использование лежащей в основе технологии блокчейна как средства хранения информации и установления доверия в Интернете может привести к самым интересным исследованиям. Некоторые сессии будут посвящены тому, как атаковать основы крипто, для гнусных целей.



Взломать голосование

По мнению разведывательных и правоохранительных органов США, попытки России повлиять на выборы в США 2016 года - это факт. Это единственная самая большая история информационной безопасности со времен утечки Сноудена, и она все еще продолжается. Хотя в прошлом году мы не слишком много смотрели на эту тему, взломы и уязвимые машины для голосования являются постоянными темами в Black Hat, так что ожидайте их и в этом году. Одна заметная сессия посвящена тому, как использовать существующий социальный граф, чтобы разоблачить русских ботов в Twitter.



Двухфакторная аутентификация: находка или проклятие?

Google недавно подавил фишинг с использованием физических двухфакторных устройств и представил свою собственную линию ключей безопасности на своей следующей конференции. Но каждое решение проблемы безопасности - это новая возможность для исследователя. Мы обязательно увидим некоторые атаки на системы 2FA.



Взлом в 21 веке

Black Hat и DefCon являются крупнейшими событиями года для профессионалов в области безопасности и хобби-хакеров, поэтому пришло время взглянуть на сообщество в целом. Хотя были предприняты усилия, чтобы сделать информационную безопасность и конференции более дружественными к женщинам, цветным людям, инвалидам и другим группам, часто маргинальным в техническом бизнесе, эти события - то, где резина встречается с дорогой. Будет проведено более нескольких встреч разных групп и сессий, посвященных тому, как сделать Infosec более гостеприимным. Несколько сессий посвящены проблемам депрессии и ПТСР в сообществе хакеров, и эта тема не часто обсуждается.



Как взломать электростанцию ​​(или водоочистную станцию, или фабрику, или электросеть)

Большинство хакеров просто хотят быстро заработать, но некоторые злоумышленники (и субъекты национального государства) видят большие призы: инфраструктуру. В прошлые годы проходили сессии о том, как разрушить фабрику с помощью пузырей и тактики, как снять запутанные, сделанные на заказ системы, составляющие большинство промышленных комплексов.