Vídeo: NSA Director Keith Alexander Keynote at Black Hat USA (De novembre 2024)
El component de formació de la conferència 2014 de Black Hat USA a Las Vegas ja ha començat. La premsa popular no està convidada a fer entrenaments, però SecurityWatch estarà aquí per cobrir les ponències dimecres i dijous. Les ponències poden ser impactants. En els últims anys, els investigadors van revelar una tècnica per generar qualsevol dispositiu iOS mitjançant un carregador enganxat, van descriure una tècnica per extreure el vostre feed de Twitter per crear correus electrònics de phishing convincents i van demostrar una debilitat d’Android que permetria als pirates pirates Trojanitzar una aplicació Android indetectablement. I aquests formaven part del relativament sedant Barret Negre; les coses es tornen a tenir més pèl en el DefCon salvatge i lanós que segueix.
Els millors pirates informàtics del món participen en aquestes conferències, persones que viuen i respiren seguretat i pirateria. No deixen d’intentar piratejar totes les coses només perquè estan en una conferència. De fet, DefCon compta amb un "Mur de les Ovelles" per avergonyir públicament als assistents prou despreocupats com per a ser piratejat. Si hi assistiu, voldreu afegir-vos a la paranoia i ser el màxim de atent possible.
Comença ara
El sistema operatiu del vostre portàtil està actualitzat al 100%? No suposeu que les actualitzacions automatitzades han fet el treball; llançar manualment una comprovació. Feu el mateix per al vostre programari de seguretat i els vostres navegadors. De fet, us convindria bé per comprovar totes les aplicacions i complements del vostre sistema. Una eina gratuïta com Secunia Personal Software Inspector 3.0 us pot ajudar.
Arrogeu les galetes! Cookies del navegador, és a dir. Per a cada navegador que utilitzeu, esborreu l’historial, les cookies i totes les altres dades del navegador emmagatzemades. D’aquesta manera, si l’ordinador portàtil està piratejat amb un trojan d’accés remot (o simplement robat), el perp almenys no obtindrà l’historial de navegació.
Millor encara, configure BitLocker o una eina de xifrat de disc complet de tercers per protegir-ho tot a l’ordinador portàtil. Com a mínim, xifra tots els teus fitxers delicats. Ara que heu tingut cura de les actualitzacions i la neteja, feu una còpia de seguretat completa i emmagatzeneu-la en algun lloc segur.
Descontaminar
La meva col·lega Fahmida Rashid aconsella esborrar completament l’ordinador portàtil a la tornada de Black Hat i, a continuació, restaurar aquest backup complet. També utilitza un telèfon de cremadores durant la conferència, deixant el telèfon habitual a casa.
Aquestes precaucions tenen sentit per Fahmida, perquè continua a DefCon. Assisteixo a Black Hat per informar sobre les sessions i salto DefCon. No veig com heuria d'escriure una publicació al bloc amb el meu ordinador portàtil apagat i enganxat a una caixa de plom!
Abraça la teva paranoia
Acabeu d’instal·lar totes les actualitzacions de tot el vostre programari. Si obteniu una notificació d’actualització durant la conferència, ignora-la. Hi ha molt bones oportunitats que sigui un parany. I bé, la unitat USB que acabes de trobar, és probablement una trampa també. Suprimeix la teva curiositat i només descarta-la. Si el connecteu a l'ordinador portàtil per fer-hi un cop d'ull, podríeu acabar amb el mur de les ovelles.
Quan hagueu de carregar els vostres dispositius mòbils, feu-ho amb el vostre propi cable de càrrega personal connectat al vostre suport personal USB. Se sap que els pirates informàtics van configurar "estacions de recàrrega" per capturar el no desitjat. També podeu considerar la càrrega d’un paquet de bateries portàtils i utilitzar-lo per carregar el telèfon, ja que aquests dispositius no es poden piratejar. Però.
L'aprimat per a caixers automàtics és una altra forma de pirateria, especialment comuna a Europa. Hi ha totes les possibilitats que alguns assistents de tot l'estany puguin provar a instal·lar skimmers. Necessiteu retirar tots els diners que necessiteu abans de dirigir-vos a Vegas. no hi ha cap possibilitat.
Mireu aquells dispositius
Actualment, la majoria de nosaltres és propietari d'una sèrie de dispositius. Portàtil, telèfon, tauleta, possiblement més d’un. Quan aneu cap a Black Hat i, sobretot, a DefCon, deixeu enrere tot allò que no necessiteu absolutament i no deixeu mai aquests dispositius fora de la vostra vista. No estic segur del que seria pitjor: trobar el telèfon que vas deixar robat a la taula o trobar-lo encara allà, però indicat per un hacker que passa.
Si és possible, utilitzeu una connexió Ethernet a la vostra habitació, més que una conferencia Wi-Fi. Sí, Black Hat afirma tenir una connexió Wi-Fi molt segura, però per què arriscar? (I sí, sé que també es podria piratejar una xarxa per cable).
El vostre telèfon intel·ligent té diverses maneres de comunicar-se amb altres dispositius, alguns més aviat promiscus. La comunicació per a mòbils és una necessitat, si no és un telèfon i, de fet, és força segura (tret que es connecti a una femella cel·lular maliciosa). Però desactiveu la resta: Bluetooth, Wi-Fi, NFC, tot. Fahmida assenyala que els pirates informàtics podrien exfiltrar dades de dispositius habilitats per RFID, com ara distintius de seguretat per al treball, passaports i fins i tot algunes targetes de crèdit. Si és possible, només cal deixar-los a casa.
Compte amb la xarxa
Si utilitzeu wifi, assegureu-vos que és la xarxa oficial de conferències. És molt probable que en trobeu amb altres noms similars. I qualsevol tipus de connexió que utilitzeu, assegureu-vos d’executar-la a través d’una xarxa privada virtual (VPN). No teniu cap VPN? Obteniu un gratuït ara.
Podeu considerar la possibilitat d’utilitzar el dispositiu mòbil com a hotspot portàtil. Com s'ha remarcat, la transmissió cel·lular és (en la majoria dels casos) més segura que una xarxa per cable o sense fils. N’hi ha prou amb comprovar amb el seu operador les conseqüències de la combustió a través del pla de dades.
L’objectiu complet de Black Hat i DefCon és compartir investigacions i idees sobre seguretat. Només passa que per descobrir noves veritats en seguretat, de vegades cal trencar les coses. Estigueu alerta, aprengueu tot el que pugueu sobre seguretat i gaudiu de la conferència. I bé, tots els de SecurityWatch hi serem. Seguiu la nostra cobertura aquí i, si ens veieu, digueu-la!