Видео: Marshmello - Alone (Official Music Video) (Октября 2024)
Black Hat - это собрание исследователей безопасности, хакеров и представителей индустрии, которые собираются в Лас-Вегасе, чтобы сделать три вещи: описать последние угрозы, показать, как можно победить хороших и плохих парней, и начать атаки на посетителей. В этом году было много страшных атак, включая нападения на посетителей шоу, а также взломы автомобилей, новые способы кражи наличных в банкоматах и почему умные лампочки могут быть не такими безопасными, как мы думали. Но мы также видели много причин для надежды, например, учить машины распознавать опасные серверы, использовать Dungeons and Dragons для обучения сотрудников работе с угрозами безопасности и то, как Apple управляет безопасностью вашего iPhone. Это был, как все говорят, довольно ошеломляющий год.
Добро
Да, Apple объявила о выпуске программы баунти в Black Hat. Но это были только последние 10 минут выступления Ивана Крстича, главы Apple по проектированию безопасности и архитектуре. В течение предыдущих 40 минут он предложил беспрецедентное глубокое погружение в способы защиты Apple устройств и данных пользователей как от злоумышленников, так и от самих себя. И да, это предполагает использование честного блендера.
Поскольку устройства Интернета вещей становятся все более и более популярными, профессионалы в области безопасности становятся все более и более заинтересованными. В конце концов, это устройства с микрокомпьютерами, подключенными к сетям и полностью поддерживающими код. Это мечта атакующего. Хорошей новостью является то, что, по крайней мере, в случае системы Филиппа Хюэ, создание червя для перехода от лампочки к лампочке очень сложно. Плохие новости? Очевидно, очень просто обмануть системы Hue, чтобы они присоединились к сети злоумышленника.
Каждое обучение безопасности в каждом бизнесе включает в себя предупреждение о том, что сотрудники никогда не должны нажимать ссылки в электронных письмах из неизвестных источников. И сотрудники продолжают обманываться, нажимая на них независимо. Доктор Зинаида Бененсон из Университета Эрланген-Нюрнберг пришла к выводу, что просто не стоит ожидать, что сотрудники будут сопротивляться любопытству и другим мотивам. Если вы хотите, чтобы они были Джеймсом Бондом, вы должны указать это в должностной инструкции и оплатить их соответствующим образом.
Многие исследования безопасности и выполнение могут быть утомительно утомительными, но новые методы в машинном обучении могут скоро привести к более безопасному Интернету. Исследователи подробно рассказали о своих усилиях по обучению машин распознаванию командных и управляющих серверов ботнета, которые позволяют злоумышленникам контролировать сотни тысяч (если не миллионы) зараженных компьютеров. Инструмент может помочь скрыть такую гнусную деятельность, но это были не все тяжелые исследования. В заключение своей сессии исследователи продемонстрировали, как системы машинного обучения могут быть использованы для создания сносной песни Тейлора Свифта.
Гостиничная сеть, которая знает, может подойти для конференции по снабжению домашних животных, но не для Black Hat. Конференция имеет свою собственную отдельную сеть и впечатляющий Центр управления сетью для управления ею. Посетители могут заглянуть сквозь стеклянную стену на множество светящихся экранов, хакерских фильмов и экспертов по долговременной безопасности в NOC, который полностью упакован и перемещен по всему миру на следующую конференцию Black Hat.
Злоумышленники в области ИТ-безопасности и хакеры в белых шапках просто не могут получить достаточного количества тренингов по безопасности, но они не те, кто действительно нуждается в них. Персонал по продажам, отдел кадров и команда колл-центра не обязательно понимают или ценят тренинги по безопасности, и тем не менее они действительно необходимы для повышения уровня безопасности. Исследователь Tiphaine Romand Latapie предложил переработать тренинг по безопасности в ролевую игру. Она обнаружила, что это полностью сработало и привело к значительному новому взаимодействию между командой безопасности и остальным персоналом. Подземелья и драконы, кто-нибудь?
Жульнический телефонный звонок - огромная проблема. Мошенничество IRS убеждает ничего не подозревающих американцев раскошелиться на деньги. Жульничество сброса пароля обманывает центры обработки вызовов, чтобы выдавать данные клиентов. Профессор Джудит Таброн, судебно-медицинский лингвист, проанализировала реальные мошеннические звонки и разработала тест из двух частей, чтобы помочь вам определить их. Прочитайте это и узнайте, хорошо? Это простая и стоящая техника.
Страшно
Pwnie Express создает устройства, которые следят за воздушным пространством в сети для чего-то неблагоприятного, и это тоже хорошо, потому что в этом году компания обнаружила массовую атаку «Человек посередине» на Black Hat. В этом случае злонамеренная точка доступа изменила свой SSID для того, чтобы обмануть телефоны и устройства в подключении к сети, считая ее безопасной, дружественной сетью, которую устройство видело ранее. При этом злоумышленники обманули около 35 000 человек. Хотя замечательно, что компания смогла обнаружить атаку, тот факт, что она была настолько масштабной, является напоминанием о том, насколько успешными могут быть эти атаки.
В прошлом году Чарли Миллер и Крис Валасек представили то, что многие считали вершиной своей карьеры хакера. Они вернулись в этом году с еще более смелыми атаками, которые могут использовать тормоза или контролировать руль, когда автомобиль движется с любой скоростью. Предыдущие атаки можно было совершать только тогда, когда машина движется со скоростью 5 миль в час или ниже. Эти новые атаки могут представлять большой риск для водителей, и, надеюсь, будут быстро исправлены производителями автомобилей. В свою очередь, Валасек и Миллер сказали, что они взломали машины, но призвали других пойти по их стопам.
Если вы наблюдаете за мистером Роботом, вы знаете, что возможно заразить компьютер жертвы, разбрасывая USB-накопители вокруг парковки. Но действительно ли это работает? Эли Бурштейн, ведущий исследователь Google по борьбе с мошенничеством и злоупотреблениями, выступил с докладом на эту тему из двух частей. Первая часть детализировала исследование, которое ясно показало, что это работает (и места для парковки лучше, чем прихожие). Во второй части подробно объясняется, как именно создать USB-накопитель, который бы полностью захватил любой компьютер. Вы делали заметки?
В прошлом сезоне праздничных покупок дроны были популярны, и, возможно, не только для фанатов. Презентация показала, как DJI Phantom 4 можно использовать для подавления промышленных беспроводных сетей, слежки за сотрудниками и, что еще хуже. Хитрость заключается в том, что многие важные промышленные объекты используют так называемый «воздушный зазор» для защиты чувствительных компьютеров. По сути, это сети и устройства, которые изолированы от внешнего Интернета. Но маленькие, маневренные дроны могут принести им Интернет.
Машинное обучение стоит на пороге революционных изменений во многих технологических отраслях, включая мошенников. Исследователи из Black Hat продемонстрировали, как можно научить машинам создавать высокоэффективные фишинговые сообщения. Их инструмент определяет ценные цели, а затем просматривает твиты жертвы, чтобы создать сообщение, которое является одновременно актуальным и неотразимо кликабельным. Команда не распространяла ничего вредоносного со своим спам-ботом, но несложно представить, что мошенники используют эти методы.
Вы ожидаете, что бесплатный Wi-Fi в отеле, и вы можете быть достаточно опытным, чтобы понять, что это не обязательно безопасно. Но Airbnb или другая краткосрочная аренда, безопасность может иметь худшую безопасность когда-либо. Почему? Потому что у гостей до вас был физический доступ к роутеру, то есть они могли полностью им владеть. В выступлении Джереми Гэллоуэя подробно рассказывалось о том, что может сделать хакер (это плохо!), Что вы можете сделать, чтобы оставаться в безопасности, и что может сделать владелец собственности, чтобы предотвратить такие атаки. Это проблема, которая не исчезнет.
На одном из самых полных переговоров в Black Hat старший пентестер из Rapid7 Уэтон Хекер продемонстрировал, что может быть новой моделью мошенничества. Его видение включает в себя огромную сеть скомпрометированных банкоматов, торговых точек (как в продуктовом магазине) и газовых насосов. Они могут украсть информацию о платежах жертвы в режиме реального времени, а затем быстро ввести их с помощью механизированного устройства для ввода PIN-кода. Беседа завершилась изрыганием наличных в банкомате и видением будущего, в котором мошенники покупают не информацию о кредитных картах отдельных лиц, а доступ к широкой сети мошеннических платежей в режиме реального времени.
Это была не единственная презентация в Black Hat, в которой подробно описывались атаки на платежные системы. Другая группа исследователей продемонстрировала, как благодаря Raspberry Pi и небольшим усилиям им удалось перехватить кучу личной информации из транзакций с использованием чип-карт. Это особенно примечательно не только потому, что чип-карты (карты EMA AKA) считаются более безопасными, чем карты magswipe, но и потому, что США только начали развертывать чип-карты внутри страны.
В следующем году появятся новые исследования, новые хаки и новые атаки. Но Black Hat 2016 установил тон года, показав, что работа хакера (будь то в белой или черной шляпе) на самом деле никогда не выполняется. Теперь, если вы извините нас, мы собираемся уничтожить наши кредитные карты и отправиться жить в клетку Фарадея в лесу.
