10 siyah şapkadan en korkunç 10 saldırı kesildi

Güvenlik Araştırmacıları arabalara, termostatlara, uydu iletişimine ve otellere girmenin ne kadar kolay olduğunu gösterdiğinden, bu yıl Black Hat iki yoğun brifing günüydü. Aynı zamanda, güvenliği artırmanın bir çok konuşması vardı. Dan Geer'in ana konuşmasından çıkan on politika önerisi, bilgi güvenliği konusundaki yaklaşımımızı geliştirerek dünyayı daha iyi bir yer haline getirmeye odaklandı. Ele aldığı sorunlar arasında mevcut güvenlik açığı silahlanma yarışı, eski yazılımlar ve bilgi güvenliğini bir meslek olarak ele alma ihtiyacı vardı. Hepimiz başımıza yeni gerçeklerle, fikirlerle ve hepsinden önemlisi kaygılarla yüzerek gittik. Çok fazla kaygı var.

Black Hat'te her zaman güvenebileceğiniz şeylerden biri, saldırı altında bile olamayacağını düşündüğünüz şeylerdeki güvenlik açıkları hakkında bir şeyler duyuyor. Bu gösterilerin öncelikli olarak akademik olduğunu ve bu meselelerin şu anda vahşi ortamlarda kullanılmadığını bilmek güven vericidir. Ancak, aynı şekilde, eğer Black Hat sunum yapanları kusurları bulmuşsa, kim daha fazla kötü niyetli niyeti olan (ve muhtemelen daha iyi fonlama) başkasının söylemediğini ya da etmeyeceğini söylemek korkutucu.

Bunu düşünün: üç yıl önce Black Hat'ta ATM'leri hacklemeyi duyduk ve suçlular nihayet Avrupa'da bu yıl ATM'leri yağmalamaya başladılar. Bu yıl en az üç seans vardı ve çip ve PIN kartları için satış noktası terminallerinin nasıl hacklenebileceği hakkında. Ödeme altyapımızı dinleyip güvence altına almazsak, üç yıl içinde çip ve PIN kartlarıyla başka bir Hedef benzeri oran ihlali görüyor muyuz? Bu gerçekten korkutucu bir düşünce.

Black Hat 2014 bitmiş olabilir, ancak orada bir süredir gördüğümüz şok edici şeyler hakkında konuşacağız. İnşallah, uygulanan çözümlere yol açan, korkunç suçlara yol açan kaçırılmış fırsatlar olarak ortaya çıkarılan dersler gibi çıkacak.

İşte Güvenlik İzleme'nin Siyah Şapka'da gördüğümüz şeyleri alması, bizi geceleri ayakta tutacağı.

1 1. Başarısızlık İnternet

Bilgisayarınızı veya telefonunuzu savunmak oldukça kolaydır; bazı sağduyulu ipuçlarını takip edin ve güvenlik yazılımını yükleyin; artık kullanmanız iyi. Peki ya Nesnelerin İnterneti? Oturumdan sonraki oturumda araştırmacılar internete bağlı kritik cihazların kolayca erişilebilir olduğunu gösterdi. Nest akıllı termostatını hackleyen ekip, saldırılarını 15 saniyeye indirdi ve artık havadan saldırıya uğramakta zorlanıyorlar. Billy Rios, ülke genelinde TSA kontrol noktalarında kullanılması zorunlu olan tarama makinelerine kodlanmış varsayılan şifreleri buldu. Hala 15 saniyelik hack tarafından şaşırıyoruz.

• 2 2. Uçakları, Gemileri ve Daha Fazlasını Hacklemek!

  Arka kapılar konusunda, gemileri, uçakları, gazetecileri ve (belki) orduyu iletişim kurmak için kullanmaya dayanan cihazlar da düşündüğümüz kadar güvenli değil. IOActive'ten Ruben Santamarta, bu sistemlerin çoğunun görünürde bakım veya şifre kurtarma için arka kapağa sahip olduğunu gösterdi. Arka kapıların bir kısmının emniyete alınmış olmasına rağmen, güvenlik önlemlerini aştı. Eve en yakın olan saldırı, şaşırtıcı bir şekilde, Santamarta'nın uçak içi Wi-Fi kullanarak uçakları kırabileceğini iddia etti. Bunun “uçaklara çarpmasına izin vermeyeceği” konusunda açıktı, ancak kritik iletişimin aynı sistemden geçtiğini belirtti. Konuşmasında, SOS yerine bir video slot makinesini göstermesi için bir denizsel tehlike fenerini hackledi. Jumbo jetinizde aynı tür hackleri düşünün ve bunun ne kadar endişe verici olduğu fikrini alın.



3 3. Google Glass, Akıllı Saatler, Akıllı Telefonlar ve Video Kameralarla Şifreleri Çalmak

Parola çalmanın birçok yolu vardır, ancak yeni bir yaklaşım, kötü adamların (veya bir devlet kurumunun) ekranınızı görmeden veya kötü amaçlı yazılım yüklemeden tuş vuruşlarınızı fark etmesini sağlar. Black Hat'taki bir sunucu, şifrelerini otomatik olarak yüzde 90 doğrulukla okuyan yeni sistemini gösterdi. Hedef, sokak düzeyinde olduğunda ve saldırgan dört kat yukarı ve sokağın karşısında olduğunda bile çalışır. Bu yöntem dijital kameralarla en iyi sonucu verir, ancak ekip akıllı telefonların, akıllı saatlerin ve hatta Google Glass'ın kullanılabilir videoyu kısa mesafeden yakalamak için kullanılabileceğini buldu. Gerçekten de cam delikler!


Flickr kullanıcı Ted Eytan üzerinden görüntü



4 4. MasterKey'i unutun, sahte kimlikle tanışın

Jeff Forristal, kötü niyetli uygulamaların kendilerini meşru olanlardan kurtarmasına izin verebilecek sözde MasterKey güvenlik açığını açıkladığında geçen yıl başkanları döndü. Bu yıl, Android'in güvenlik mimarisindeki temel hatalardan yararlanan Fake ID ile geri döndü. Özellikle, uygulamaların sertifikaları nasıl imzaladığı ve Android'in bu sertifikaları nasıl işlediği. Pratik sonuç, Forristal'ın özel izinler gerektirmeyen tek bir kötü niyetli uygulama ile, bir telefondaki beş meşru uygulamaya kötü amaçlı kod enjekte edebilmesiydi. Oradan, virüslü telefonun ne yaptığını derin bir şekilde öğrendi ve iç gördü.


Flickr kullanıcısı JD Hancock ile görüntü



5 5. Kötü bir USB PC'nizi Devralabilir

Otomatik Kullan özelliğini devre dışı bırakmazsanız, USB sürücülerinin tehlikeli olabileceğini duydunuz. En son USB tabanlı tehdit çok daha kötü. USB sürücü bellenimini kıran bir çift araştırmacı, Windows ve Linux makinelerinde bir önyükleme sektörü virüsünün eşdeğeri dahil olmak üzere çok çeşitli saldırıları yönetti. Gimmicked USB sürücüleri bir USB klavye taklit etti ve kötü amaçlı yazılım indirmek için bir test sistemine kumanda etti. Başka bir testte sahte bir Ethernet hub'ı sundu, bu yüzden kurban tarayıcıda PayPal'ı ziyaret ettiğinde, aslında şifre çalmak için kullanılan bir PayPal taklit sitesine gitti. Bu sadece teorik bir alıştırma değildi; sahnede bunları ve diğer saldırıları gösterdiler. Bir USB cihazına bir daha asla aynı şekilde bakmayacağız!


Flickr kullanıcısı aracılığıyla görüntü Windell Oskay



6 6. Telsizi Var mı? Hadi keselim!

Radyo, İnternet çağında eski teknolojiye benziyor gibi görünebilir, ancak bebek monitörleri, ev güvenlik sistemleri ve uzaktan araba yol vericileri gibi cihazların kablosuz olarak bilgi aktarması için hala en iyi yoldur. Bu da bilgisayar korsanları için ana hedef haline getiriyor. Bir konuşmasında Silvio Cesare, sırayla yazılım tanımlı radyo ve biraz hobi meraklısı kullanarak bunların her birini nasıl yendiğini gösterdi. Yazılım tanımlı radyodaki tek konuşma o değildi. Balint Seeber, kalabalığa, hava trafiği radar yemeklerini nasıl dinleyebildiğini ve yer seviyesine yakın nesneleri takip edebildiğini söyledi. Çok korkutucu değil, ama çok havalı.


Flickr kullanıcısı Martin Fisch ile görüntü



7 7. Devlet Zararlı Yazılımını Durduramıyoruz

İran’ın nükleer programını sabote eden hükümet destekli Stuxnet solucanını, hükümetimiz tarafından hacklenmek için dava açan Çin generallerini duydunuz. F-Secure'un Baş Araştırma Görevlisi Mikko Hypponen, hükümet destekli kötü amaçlı yazılımların sizin düşündüğünüzden daha uzun süredir bulunduğunu ve yalnızca zamanla artacağı konusunda uyardı. Arkasındaki ulus-devletin kaynakları ile bu saldırıları engellemek neredeyse imkansız olabilir. Kendi hükümetimizin bu kadar düşük kalmayacağını düşünüyorsanız, özellikle kötü amaçlı yazılım arayan ve yazarları istismar eden askeri müteahhitler tarafından ilan edilen iş ilanlarını topladı.


Flcikr kullanıcısı Kevin Burkett üzerinden görüntü



8 8. Bir Tokatlamak Kredi Kartı Okuyucular Hacks

2013 ve 2014 yıllarındaki perakende satış ihlallerinden sonra, herkes mevcut çip ve PIN kartlarının kullanıma sunulmasından bahsediyor. Öyle görünüyor ki, ödeme işlemenin çalışma şeklini değiştirmezsek, bir başkası için sadece bir takım problem takas ediyoruz. Ayrıca, çip ve PIN kartlarını kullanan mobil satış noktası cihazlarının, kötü amaçlı hazırlanmış kartlar kullanılarak nasıl ele geçirilebileceğini gördük. Saldırganlar okuyucunun içine bir kartı kaydırabilir ve PIN'leri okuyucunun kendisine toplayan bir Truva Atı yükleyebilir. İkinci hileli kart daha sonra toplanan bilgiyi içeren dosyayı kopyalar. İkinci kart Truva atını bile silebilir ve perakendeci ihlalin farkında olmayabilir! Bu bizi neredeyse nakit temelli bir topluma geri dönmek istememiz için yeterli.


Flickr kullanıcısı Sean MacEntee üzerinden görüntü



9 9. Ağ Sürücünüz Size Göz Atıyor

Son zamanlarda ev yönlendiricilerine ve saldırganların bunlardan nasıl taviz verdiğine çok dikkat ettik. Independent Security Evalutors'dan Jacob Holcomb'a göre, ağa bağlı depolama aygıtlarının sorun yaratıcı olduğu ortaya çıktı. Asustor, TRENDnet, QNAP, Seagate, Netgear, D-Link, Lenovo, Buffalo, Western Digital ve ZyXEL gibi 10 üreticiden NAS cihazlarına baktı ve hepsinde güvenlik açıkları buldu. Sorunlar, komut enjeksiyonu, siteler arası sahtecilik isteği sahteciliği, arabellek taşmaları, kimlik doğrulama baypasları ve arızaları, bilgilerin ifşası, arka kapı hesapları, zayıf oturum yönetimi ve dizin geçişi gibi yaygın hatalardır. Bu sorunların bazılarını birleştirerek, saldırganlar aygıtlar üzerinde tam kontrol sahibi olabilirler. NAS'ında ne var?


Flickr kullanıcısı ile görüntü wonderferret



10 10. Tıbbi Cihazlara Saldırılar: Bir Yaşam ve Ölüm Meselesi

Bilgi güvenliği endüstrisindeki hiç kimse, eski başkan yardımcısı Dick Cheney'in doktorlarının, kalp pilinin saldırıya uğramasından endişe duymadıklarını söyledi. Black Hat'taki yuvarlak masa tıbbi cihazları hasta sağlığını güvenlikle nasıl dengeleyeceğine baktı. Moderatör Jay Radcliffe, istediğimiz son şey, sağlık hizmetini yavaşlatan, saniye ve yaşam ve ölüm arasındaki fark anlamına gelebilecek olan güvenlik. Tıbbi cihazlar için sadece normal güvenlik en iyi uygulamalarını kullanamayacağımızın sadık bir şekilde gerçekleşmesi, bizi SecMedic'ten araştırmacıların defibrilatörler de dahil olmak üzere her türlü cihazdaki güvenlik açıklarını inceleyen bir projeyi tartıştığı DEF CON'a kadar takip etti. En korkunç kısım? Bu kusurların çoğu bir saat içinde açık kaynaklı araçlar kullanılarak bulundu. Şimdi gerçekten hastaneye gitmek istemiyorsun, değil mi?


Flickr kullanıcısı Phalinn Ooi ile