Vídeo: Black Hat 2016 wrap-up: Same stuff, different year? (De novembre 2024)
Black Hat és una reunió d’investigadors en seguretat, hackers i indústria que es reuneix a Las Vegas per fer tres coses: esbossar les darreres amenaces, mostrar com es poden derrotar els nois bons i els dolents i llançar atacs als assistents. Aquest any, hi ha hagut molts atacs de por, inclosos un contra els assistents a l'espectacle, juntament amb hacks de cotxes, noves maneres de robar efectiu dels caixers automàtics i per què pot ser que les bombetes intel·ligents no siguin tan segures com pensàvem. Però també vam veure molts motius per esperar, com ara ensenyar a les màquines a detectar servidors perillosos, utilitzar Dungeons and Dragons per entrenar els empleats en la gestió d’amenaces de seguretat i com Apple gestiona la seguretat del vostre iPhone. Va ser, tot dit, un bon any que agita la ment.
El bo
Sí, Apple va anunciar un programa de recompensa d'errors a Black Hat. Però van ser només els darrers deu minuts d’una presentació d’Ivan Krstic, el cap d’enginyeria i arquitectura de seguretat d’Apple. Durant els 40 minuts anteriors, va oferir una immersió profunda sense precedents en la manera com Apple protegeix els dispositius i les dades dels usuaris, tant de malfactors com de si mateix. I sí, implica implicar un licuador honest-a-Déu.
A mesura que els dispositius Internet of Things són cada cop més populars, els professionals de la seguretat es preocupen cada cop més. Es tracta, al cap i a la fi, de dispositius amb microcomputadors connectats a xarxes i completament capaços d’executar codi. Aquest és el somni d'un atacant. La bona notícia és que, almenys en el cas del sistema de Philip Hue, és molt difícil crear un cuc per saltar de la bombeta a la bombeta. Les males notícies? Aparentment és molt senzill enganyar els sistemes de Hue a unir-se a la xarxa d'un atacant.
Totes les formacions de seguretat de tots els negocis inclouen l’advertència que els empleats mai no han de fer clic en enllaços de correus electrònics de fonts desconegudes. I els empleats continuen fent-se clic sobre ells independentment. La doctora Zinaida Benenson, de la Universitat d'Erlangen-Nuremberg, va concloure que simplement no és raonable esperar que els empleats resisteixin la curiositat i altres motivacions. Si voleu que siguin James Bond, heu de posar-ho a la descripció del lloc de treball i pagar-los en conseqüència.
Moltes investigacions i execucions en seguretat poden resultar molestes, però les noves tècniques d'aprenentatge de màquines poden conduir aviat a una Internet més segura. Els investigadors van detallar els seus esforços en les màquines d'ensenyar a identificar servidors de comandaments i control de botnet, que permeten als dolents controlar centenars de milers (si no milions) d'ordinadors infectats. L'eina podria ajudar a mantenir una tapa en aquestes activitats tan nefastes, però no va ser una investigació pesada. Per concloure la sessió, els investigadors van demostrar com es podien utilitzar els sistemes d’aprenentatge automàtic per generar una cançó de Taylor Swift transitable.
La xarxa d’hotels que ho conegui pot estar bé per a una conferència de subministrament d’animals de companyia, però no per a Black Hat. La conferència té la seva pròpia xarxa completament separada i un impressionant Centre d'operacions de xarxa per gestionar-la. Els visitants es poden veure a través de la paret de vidre a les moltes pantalles brillants, pel·lícules de pirates informàtics i experts en seguretat a llarg termini al NOC, que s’empaqueta íntegrament i es va desplaçar arreu del món a la propera conferència de Black Hat.
Els ulls de seguretat informàtics i els hackers de barret blanc no poden obtenir prou capacitació en seguretat, però no són els que realment els necessiten. El personal de vendes, l’equip de recursos humans i la tripulació del centre de trucades no necessàriament entenen o agraeixen els entrenaments de seguretat i, tot i així, els necessiteu per millorar el seu joc de seguretat. L’investigador Tiphaine Romand Latapie va suggerir que es tornés a entrenar en seguretat com a joc de rol. Va comprovar que funcionava totalment i va produir un nou compromís significatiu entre l'equip de seguretat i la resta del personal. Dungeons and dragons, algú?
Les trucades de telèfon d’estafa són un problema enorme. Les estafes IRS convencen als nord-americans que no esperen que busquin efectiu. Restablir contrasenya els estafes enganyen els centres de trucades per proporcionar dades de clients. La professora Judith Tabron, lingüista forense va analitzar les trucades d’estafa reals i va idear un test de dues parts per ajudar-vos a localitzar-les. Llegiu això i apreneu, d'acord? És una tècnica senzilla i digne de pena.
La Espantada
Pwnie Express construeix dispositius que controlin l’espai aeri de la xarxa per a qualsevol cosa poc efectiva, i també és una bona cosa, perquè la companyia va descobrir un atac massiu a la mà de Black Hat aquest any. En aquest cas, un punt d'accés maliciós va canviar el seu SSID per enganyar telèfons i dispositius a unir-se a la xarxa, pensant que era una xarxa segura i amable que el dispositiu havia vist abans. En fer-ho, els atacants van enganyar unes 35.000 persones. Si bé és fantàstic que la companyia va poder detectar l'atac, el fet que va ser tan massiu és un recordatori de l'èxit que poden tenir aquests atacs.
L'any passat, Charlie Miller i Chris Valasek van presentar el que molts van suposar que era el punt àlgid de les seves carreres de pirateria. Aquest any van tornar amb atacs encara més atrevits, que són capaços d’aplicar els frens o el control del nab del volant quan el cotxe es mou a qualsevol velocitat. Els atacs anteriors només es van poder realitzar quan el cotxe viatja a 5 Mph o més. Aquests nous atacs podrien suposar un gran risc per als conductors, i esperarem que els fabricants d'automòbils puguin patxar ràpidament. Per la seva banda, Valasek i Miller van dir que han acabat piratejant cotxes, però van animar els altres a seguir les seves passes.
Si observeu Mr. Robot, ja sabeu que és possible infectar l'ordinador de la víctima mitjançant la conducció de discs USB al voltant de l'aparcament. Però realment funciona? Elie Bursztein, responsable d’investigació contra el frau i l’abús de Google, va presentar una xerrada en dues parts sobre el tema. La primera part va detallar un estudi que va mostrar clarament que funciona (i els aparcaments són millors que els passadissos). La segona part va explicar, amb molt de detall, exactament la forma de construir una unitat USB que assumiria totalment qualsevol ordinador. Heu pres notes?
Els drons van ser un punt fort de la temporada de compres de vacances i potser no només per als frikis. Una presentació va mostrar com el DJI Phantom 4 es podia utilitzar per combatre xarxes sense fils industrials, espiar els empleats i pitjor. El truc és que molts llocs industrials crítics utilitzen el que s'anomena "espai d'aire" per protegir ordinadors sensibles. Bàsicament, es tracta de xarxes i dispositius aïllats de l'Internet exterior. Però petits drones maniobrables poden arribar a Internet.
L’aprenentatge de màquines és l’aposta per revolucionar nombroses indústries tecnològiques i això inclou estafadors. Els investigadors de Black Hat van demostrar com a les màquines també se'ls podia ensenyar a produir missatges de phishing de llança altament eficaços. La seva eina determina objectius d’alt valor i, a continuació, recorre els tuits de la víctima per tal d’elaborar un missatge rellevant i de manera irresistible. L'equip no va difondre res maliciós amb el seu bot de correu brossa, però no és difícil imaginar els estafadors adoptant aquestes tècniques.
Hi ha Wi-Fi gratuïta en un hotel i és possible que tinguis prou experiència per adonar-se que no és necessàriament segur. Però, un Airbnb o un altre lloguer a curt termini, la seguretat pot tenir la pitjor seguretat que mai ha tingut. Per què? Com que els convidats abans tenien accés físic al router, és a dir, podrien ser propietaris totalment. La xerrada de Jeremy Galloway va detallar què pot fer un pirata informàtic (és dolent!), Què podeu fer per mantenir-se en seguretat i què pot fer el propietari de la propietat per dissuadir aquests atacs. És un problema que no marxarà.
En una de les converses més completes a Black Hat, el Pentèter sènior de Rapid7, Weton Hecker, va demostrar el que podria ser un nou model de frau. La seva visió inclou una xarxa massiva de caixers automàtics compromesos, màquines de punt de venda (com a la botiga de queviures) i bombes de gas. Aquests podrien robar la informació de pagament de les víctimes en temps real i després introduir-les ràpidament amb l’ajuda d’un dispositiu motoritzat que empeny el PIN. La xerrada va finalitzar amb un caixer automàtic en efectiu i una visió del futur en què els estafadors no compren informació de la targeta de crèdit dels individus, sinó que accedeixen a una xarxa massiva d’estafes de pagament.
Aquesta no va ser l'única presentació a Black Hat per detallar els atacs als sistemes de pagament. Un altre grup d’investigadors va demostrar com, amb un Raspberry Pi i una mica d’esforç, van poder interceptar els ous d’informació personal de les transaccions amb targeta xip. Això és particularment notable, no només perquè les targetes xip (AKA EMV) es consideren més segures que les targetes magswipe, sinó perquè els Estats Units acaben de llançar targetes xip nacionals.
L’any que ve aportarà noves investigacions, nous hacks i nous atacs. Però Black Hat 2016 ha establert el to per a l'any, demostrant que el treball d'un pirata informàtic (ja sigui de color blanc o negre) mai no es realitza. Ara, si ens excusem, triturarem les nostres targetes de crèdit i anirem a viure a una gàbia de Faraday, al bosc.