Taula de continguts:
- 1 Més gran i més gran
- 2 Víctima de l’èxit
- 3 Desafiant la comunitat de seguretat
- 4 atacs de pistola d'ultrasons: drons, taulers de bord
- 5: Les bombolles són el futur de la pirateria informàtica?
- 6 Bug Bounties i cervesa
- 7 atacs als parcs eòlics
- 8 Pwnie Express On Guard
- 9 No confieu en la vostra impressora
- 10 Super Col·lisionador
- 11 Piratant una Tesla (de nou)
- 12 Hacking Apple Pay al web
- 13 Control de robots industrials des de l’Àfrica
- 14 Què hi ha a continuació?
Vídeo: Bic Lighter Tips & Tricks (Hacks to Make a Great Lighter Better) 🔥 (Setembre 2024)
La conferència Black Hat és una oportunitat perquè investigadors, pirates informàtics i qualsevol persona propera al món de la seguretat es reuneixin i aprenguin els uns dels altres. És una setmana de sessions, de formació i, inevitablement, de mala presa de decisions a la zona de Las Vegas.
En el seu vintè any, Black Hat 2017 va començar en una nota reflexiva. Alex Stamos, CSO de Facebook, va mirar els seus primers dies a la conferència. Per a ell, era un lloc on acceptar-se i aprendre de la comunitat. Va reptar a aquesta mateixa comunitat a ser més empàtica i a preparar-se per a la propera generació de pirates informatius acollint més diversitat.
Les sessions de Black Hat sempre han estat el lloc per veure exemples sorprenents i, de vegades horrorosos, d’investigació en seguretat. Aquest any, vam veure com enganyar la interfície web d’Apple Pay, com arrabassar un hoverboard amb ulstrasound, i vam aprendre com podrien ser els parcs eòlics vulnerables davant d’un ciberatac.
En una sessió, es va tornar un trio de pirates hackers de Tesla Model S, que van mostrar nous atacs. Les seves investigacions segurament continuaran a mesura que els vehicles estiguin més connectats. També és un gran objectiu de pirates informàtics? Impressores.
Una altra xerrada destacada va tractar atacar infraestructures industrials. Amb dos atacs reeixits contra la xarxa elèctrica ucraïnesa l'any passat, la seguretat d’infraestructures crítiques com centrals i fàbriques elèctriques és un problema important. Aquesta vegada, hem vist com les bombolles (sí, bombolles regulars) es poden utilitzar com a càrrega útil maliciosa per destruir bombes cares i crítiques.
Potser l’èxit més notable del programa d’aquest any va ser en el camp de la criptoanàlisi. Mitjançant tècniques sofisticades, un equip va poder crear la primera col·lisió de hash SHA-1. Si no esteu segurs del que això vol dir, seguiu llegint perquè és molt maco.
Després de 20 anys, Black Hat segueix sent l’etapa principal dels pirates informàtics. Però el futur és incert. Els ciberatacs de l'estat nació han passat de ser una raresa a un fet habitual, i les apostes són més grans que mai. Com encara no podem afrontar-ho, encara no és clar; potser Black Hat 2018 tindrà les respostes. Fins llavors, consulta alguns dels moments més atractius del Barret Negre d'aquest any.
1 Més gran i més gran
Amb motiu del vintè aniversari del saló, la nota principal es va celebrar en un massís estadi en lloc d'una gran sala de conferències. L'espectacle ha augmentat a poc i poc en els últims anys.
2 Víctima de l’èxit
La congestió als passadissos va ser un problema al saló d’enguany i situacions com la de dalt no eren poc freqüents.
3 Desafiant la comunitat de seguretat
El Facebook CSO, Alex Stamos, va lliurar la nota principal del Barret Negre del 2017 en un discurs que va ser elogiat a parts iguals per l’atmosfera familiar de la comunitat de seguretat de fa molt temps i un repte de fer-ho millor. Va fer una crida a l'audiència a ser menys elitista i a reconèixer que les apostes de la seguretat digital han augmentat, i va citar el paper dels atacs de pirateria i informació a les eleccions dels Estats Units de 2016.
4 atacs de pistola d'ultrasons: drons, taulers de bord
Els dispositius utilitzen sensors per entendre el món que els envolta, però alguns d'aquests sensors poden estar alterats. Un equip d’investigació va demostrar com podien fer servir els ultrasons per provocar que els drons es torbessin, els hoverboards es topessin i els sistemes VR es giressin sense control. L'atac és limitat, de moment, les aplicacions podrien ser de gran abast.
5: Les bombolles són el futur de la pirateria informàtica?
Probablement no, però Marina Krotofil va demostrar com l’atac al sistema de vàlvules d’una bomba d’aigua es pot utilitzar per crear bombolles que reduïssin l’eficiència de la bomba d’aigua i, amb el temps, causen danys físics provocant una fallada de la bomba. Amb la seva presentació, Krotofil va intentar demostrar que dispositius insegurs, com les vàlvules, podien atacar dispositius segurs, com bombes, a través de nous mitjans. Al cap i a la fi, no hi ha antivirus per a bombolles.
6 Bug Bounties i cervesa
En els últims anys, s'ha vist l'expansió dels programes de recompensa d'errors, on les empreses paguen als investigadors, als testers de penetració i als pirates informàtics una recompensa en efectiu per informar d'errors. L’investigador James Kettle va explicar a la multitud en la sessió com va muntar un mètode per provar 50.000 llocs web simultàniament. Va tenir algunes desventures pel camí, però va guanyar més de 30.000 dòlars en el procés. Va dir que el seu cap va insistir inicialment en gastar diners en l'obtenció automatitzada en cervesa, però a la llum de l'èxit de Kettle, van optar per donar la majoria a beneficència i gastar només una mica en cervesa.
7 atacs als parcs eòlics
L'investigador Jason Staggs va dirigir una avaluació de seguretat integral dels parcs eòlics, que va conduir el seu equip a diverses plantes elèctriques de filatura de 300 peus. La seguretat física no només era feble (de vegades, només un cadenat), sinó que la seguretat digital era encara més feble. El seu equip va desenvolupar diversos atacs que podien evitar el rescat dels parcs eòlics i fins i tot provocar danys físics. Penseu en Stuxnet, però en el cas de les masses fulles de la mort.
8 Pwnie Express On Guard
L’any passat, Pwnie Express va portar els seus equips de control de xarxa i va descobrir un atac massiu de punts d’accés dolent que va ser configurat per imitar una xarxa amigable per a dispositius que passin i convidar-los a connectar-se. Aquest any, Pwnie ha treballat amb l'equip de seguretat de xarxa de Black Hat, però no va detectar res tan gran com l'atac de l'any passat, almenys, res que no formés part d'un exercici d'entrenament en una sessió de Black Hat. Aquest sensor Pwn Pro va ser un dels diversos situat al llarg de la conferència per supervisar l'activitat de la xarxa.
a
9 No confieu en la vostra impressora
Els investigadors fa temps que els investigadors han vist com a objectius principals. Són omnipresents, connectats a Internet i sovint no tenen seguretat bàsica. Però Jens Müller va demostrar que és el que hi ha a dins. Mitjançant els protocols utilitzats per gairebé totes les impressores per convertir fitxers en material imprès, va poder realitzar diversos atacs. Podria extreure treballs d'impressió anteriors i, fins i tot, sobreposar text o imatges en documents. Els atacs que va exposar existiran fins que finalment algú s’alliberi d’aquests protocols antics de dècades.
10 Super Col·lisionador
Les funcions de barret són a tot arreu, però gairebé invisibles. S'utilitzen per verificar contractes, signar digitalment programari i, fins i tot, protegir contrasenyes. Una funció hash, com SHA-1, converteix els fitxers en una cadena de números i lletres i no se suposa que dos siguin iguals. Però l'investigador Elie Bursztein i el seu equip van idear una manera en què dos fitxers diferents acabin amb el mateix hash. Això es diu col·lisió i significa que SHA-1 està tan mort com un clau de la porta.
11 Piratant una Tesla (de nou)
L’any 2016, un trio d’investigadors va mostrar com van poder prendre el control d’un Tesla Model S. Aquest any, els investigadors de Tencent KeenLab van tornar a caminar pel seu atac pas a pas. Però no va ser tot un cas: també van examinar la mitigació de Tesla del seu atac inicial i van presentar els seus nous atacs; l'equip va mostrar un parell de cotxes lluminant els seus llums i obrint les portes a temps per a la música.
12 Hacking Apple Pay al web
Quan es va llançar per primera vegada, vaig escriure extensament sobre Apple Pay, lloant la seva tokenització de dades de targetes de crèdit i com Apple no va poder fer el seguiment de les compres. Però Timur Yunusov no estava convençut. Va descobrir que era possible enganxar les credencials i realitzar un atac de reproducció mitjançant Apple Pay a la xarxa. És millor estar atent a les factures de la targeta de crèdit.
13 Control de robots industrials des de l’Àfrica
Un trio d’investigadors, en representació d’un equip del Politecnic di Milano i Trend Micro, va presentar les seves conclusions sobre la seguretat dels robots. No és el vostre Roombas amable, sinó els treballadors i poderosos robots industrials que es troben a les fàbriques. Van trobar diverses debilitats crítiques que podrien permetre a un atacant apoderar-se del control d'un robot, introduir defectes en els processos de fabricació i fins i tot perjudicar als operadors humans. Més preocupant és el descobriment que hi ha molts milers de robots industrials connectats a Internet.
14 Què hi ha a continuació?
Black Hat es fa un any més, però amb una seguretat digital més visible i valuosa que mai, l’any que ve segur que tindrà algunes sorpreses interessants.
