Черная шляпа 2019: что мы ожидаем

Ежегодная хакерская конференция DEF CON началась как несчастный случай в 1993 году, и с тех пор продолжает расти и расти. Black Hat, созданная в 1997 году основателем DEF CON Джеффом Моссом (он же Dark Tangent), является ее более официальной кузиной.

Перефразируя приветственную речь Мосса несколько лет назад, друзья сказали ему: «Эй, почему бы тебе не пригласить больше людей, не взять с них много денег и не заставить их носить костюмы?» Костюмы по большей части исчезли, но Black Hat с каждым годом становится все больше, и в прошлом году их посетили 19 000 человек.

Черная шляпа состоит из двух очень разных частей. С субботы по вторник эксперты по безопасности и начинающие эксперты платят тысячи долларов за участие в учебных занятиях, нацеленных на оттачивание своих навыков в широком спектре задач безопасности. Пресса не приглашена. В среду и четверг конференция переключается на брифинги, на которых эксперты по безопасности и ученые со всего мира делятся своими последними открытиями, новыми уязвимостями и передовыми исследованиями.

Некоторые презентации слишком загадочны даже для экспертов по безопасности PCMag, но есть множество вещей, которые касаются жизни и конфиденциальности каждого. Вот некоторые из событий, которые мы с нетерпением ждем.

Основное противоречие

В июне команда Black Hat объявила, что (в настоящее время покидающий свой пост) член палаты представителей Уильям Херд, республиканец из Техаса и бывший сотрудник ЦРУ, выступит с основным докладом. Несколько дней спустя, депутат был «отозван» на основании его консервативного протокола голосования, сказал он; Команда конференции заявила, что они «неправильно оценили разделение технологий и политики». Вместо этого на подиум выйдет давний предприниматель в области безопасности, исследователь и спикер Дино Дай Зови.



Раскрытие культа мертвой коровы

Еще в 80-х годах группа хакеров и сисопов BBS в Техасе сформировала группу, которую они назвали Культом Мертвой Коровы, названной в честь местной бойни. Их троян удаленного администрирования Back Orifice сделал новости в конце 90-х, но вы, возможно, слышали это имя совсем недавно благодаря кандидату в президенты Бето О'Рурк, который когда-то был частью группы. Мы с нетерпением ждем сессии по истории и целям группы с участием трех влиятельных членов группы, включая Mudge и Deth Vegetable.



Deepfakes

Самый надежный сейф в мире не защитит ваши ценности, если кто-то раздаст комбинацию. Аналогичным образом, компьютерная безопасность зависит от человеческого фактора, настолько, что для брифингов существует целая цепочка человеческих факторов. В нескольких докладах рассматривается угроза глубокого поддельного видео, в том числе одно, целью которого является обнаружение подделки с помощью мышей (грызунов, а не компьютерного типа). Другие темы включают в себя фишинг, манипуляции с социальными сетями и, как ни странно, использование закона о конфиденциальности для кражи личной информации.



Интернет небезопасных вещей

Ни одна конференция Black Hat не будет полной без взлома устройств. В прошлом мы видели методы, позволяющие полностью захватить камеры видеонаблюдения, и трюки с зарядкой, которые могут поднять ваш телефон за минуту. Мы с нетерпением ждем разговора о взломе электродвигателей на всех уровнях, от приводов в автомобилях с самостоятельным вождением до крошечного устройства, которое заставляет ваш смартфон гудеть. В другом докладе говорится об уязвимостях внутренней сети Boeing 787. Может быть, мы должны ехать в Лас-Вегас.



Атакуй iPhone

Распространено мнение, что Windows и Android очень уязвимы для атак, macOS гораздо менее уязвим, а iOS - самая безопасная из всех. Действительно, вредоносные кодеры ориентированы на Windows и Android. Но главные хакеры, которые присутствуют в Black Hat, вместо этого стремятся к самой сложной цели.

Исследователь Google представит свои выводы о методах удаленной атаки на iPhone. Другая команда обещает технику джейлбрейка iPhone XS Max. Чтобы не потерять веру, Иван Крстич (Apple Apple) отвезет слушателей за кулисы, чтобы понять, что делает iOS и macOS такими безопасными. Его разговор о безопасности iOS несколько лет назад сумел взять некоторые чрезвычайно загадочные детали и сделать их понятными.



Кибервойна в Горячую войну?

Если Фридония стреляет ракетой по Руритании, руританцы, безусловно, оправданы в ответном огне. Но что, если Freedonia запустит вредоносное ПО Advanced Persistent Threat или удаленно отключит руританскую электросеть? Микко Хиппонен, давний исследователь безопасности и главный исследователь F-Secure, исследует эту чреватую тему. Как скоро мы увидим реакцию запуска ракеты на кибератаку?



Нет защиты от взлома выборов

Какое значение имеет, за кого вы голосуете, если машины для голосования взломаны? Мы с нетерпением ожидали презентации под длинным названием «Не могу коснуться этого: защита выборов 2020 года путем оценки и определения приоритетности кибер-рисков для критических систем выборов». Увы, этот сеанс исчез из очереди, и ораторы больше не отображаются в списке ораторов. Совпадение? Или вражеские действия?



Взлом бездорожных автомобилей

В течение многих лет бойкий и умный дуэт Чарли Миллера и Криса Валасека развлекал (и встревожил) участников Black Hat презентациями о взломе автомобилей, включая дистанционное вождение джипа чероки в канаву. В прошлом году они объяснили, почему автомобили с автоматическим управлением удивительно безопасны. Впервые за многие годы Валасек и Миллер не включены в список для Black Hat, но это не означает, что автомобили безопасны. Темы, которые мы наблюдаем, включают неправильное направление транспортных средств путем вмешательства в их навигационные системы и новый доклад экспертов по взлому автомобилей Keen Security Group об уязвимостях, обнаруженных в автомобилях BMW.



5G испуг

Все слышали о 5G, но большинство людей, вероятно, не знают, что такое 5G или что он на самом деле делает. Это особенно верно, когда речь идет о безопасности этого сверхбыстрого стандарта беспроводной связи. Операторы беспроводной связи только начали развертывать свои сети 5G, и исследователи уже беспокоятся о последствиях новой системы, предназначенной для постоянного подключения всего.



Кузнечики?

Конференция Black Hat проходит в конференц-центре Mandalay Bay. Вы можете добраться до Four Seasons, Delano, Luxor и даже Excalibur, даже не выходя на улицу. И это, наверное, хорошо, поскольку Лас-Вегас в настоящее время подвергается нападкам миллионов кузнечиков. Участники серии Evolution Championship Series (Evo), которая перекрывает брифинги Black Hat, не видели передышки. Будут ли участники Black Hat помогать в отладке конференции? Приведут ли кузнечные атаки на отказ в обслуживании осветительных приборов опасно выходить на улицу? Будет ли весь рой направляться в стратосферу, следуя за блестящим лучом света пирамиды Луксора? Мы уверены, что они кузнечики, а не крошечные дроны? Мы можем только подождать и посмотреть.



Черная шляпа после часа

От Black Room 63 этажа над полосой до House of Blues, от небольших обедов до Skyfall Lounge на вершине Delano, дни Black Hat продолжаются событиями в нерабочее время. Эти приемы и вечеринки дают нам взгляд на человеческую сторону безопасности и помогают нам узнать гениев, вовлеченных в процесс. Они также предоставляют широкие возможности для неофициальных обсуждений и неофициального обмена информацией, поэтому мы стараемся участвовать в как можно большем количестве мероприятий. Это тяжелая работа, но кто-то должен это делать.