Siyah şapka 2015 de 15 en korkunç şeyler

4 Buluttan Dosyaları Çalmak

Dropbox ve Google Drive gibi bulut depolama hizmetleri, işlerin tamamlanması için hızla temel bir araç haline geldi. Bu nedenle Imperva araştırmacılarının tüm dosyalarınızı buluttan çalabilecekleri yeni bir saldırı çok ürpertici. Daha da kötüsü, Imperva'nın, saldırının çevre savunmaları ve geleneksel uç nokta güvenlik araçlarıyla tespit edilemeyeceğini söylemesi.

Bu saldırının en akıllıca kısmı, potansiyel bir mağdurun kimlik bilgilerini çalmak veya bulut platformunun kendisini tehlikeye atmak zorunda kalmaktan kaçınmasıdır. Bunun yerine, saldırgan, kurbanı, yerel olarak depolanan bulut dosyalarının bir kopyasını, bilgisayarınızın tüm önemli dosyalarınızı mutlu bir şekilde teslim ettiği farklı bir sunucuya yönlendiren kötü amaçlı yazılım yüklemeye zorlar.

5 Android Telefonunuzun Kontrolünü Yakalama

Uzaktan Erişim Truva Atları veya RAT'lar, bir saldırganın, sanki önünde oturuyormuş gibi telefonunuza veya bilgisayarınıza uzaktan erişmesine izin verir. Gördüklerinizi görebilir ve hatta fotoğraflar çekebilir, mikrofonla dinleyebilir veya siz bilmeden video çekebilirler. En korkunç kötü amaçlı yazılım türlerinden biri ve araştırmacılar, milyonlarca Android cihazında bu tür bir erişim kazanmanın bir yolunu bulduğunu söylüyor.

Sorun bazı Android üreticilerinin, LogMeIn veya TeamViewer gibi bir uzaktan destek servisi temas kurmadan normalde uykuda oturan özel eklentiler içermesidir. Ardından, eklenti açılır ve şirketin, telefonun kullanıldığı destek aracısı gibi Android cihazına erişmesine izin verir. Check Point araştırmacıları Ohad Bobrov ve Avi Bashan, bu eklentileri nasıl kötülük için kullanacaklarını keşfetti ve Android telefonlarının kontrolünü ellerine aldılar. En kötü yanı? Bu eklentiler üreticiler tarafından yüklendiğinden, kendinizi korumak için yapabileceğiniz hiçbir şey yoktur.

6 Stagefright Gösteriyi Çaldı

Black Hat'tan önce Zimperium araştırmacısı Josh Drake tarafından ifşa edilen Stagefright, Android'deki yeni, büyük ve korkutucu bir güvenlik açığıdır. Ne kadar büyük? Tüm Android cihazların yüzde 95'ini etkilediği düşünülüyor. Ne kadar korkutucu? Drake, Android telefonlarının yalnızca kısa mesaj göndererek kod yürütmesini sağlayabildiğini gösterdi. Doğru saldırı türüyle birleştiğinde, bu yıkıcı olabilir.

Drake, nereden geldiğini ve araştırırken ne keşfettiğini Stagefright hakkında konuşmak için Black Hat'ta hazırdı. Büyük bir paket Android'in kod temeli muazzam ve daha fazla dikkat garanti oldu. Drake, "Bu muhtemelen aceleyle yazılmış tek kod değil, " dedi.

Ayrıca Black Hat'a katılmak Google’ın Android güvenlik şefi Adrian Ludwig’di. Stagefright'ın kapsamını kabul etti, ancak Google ve ortaklarının Android'i Stagefright'ın sömürüsüne karşı korumak için eşit derecede büyük bir çaba harcadığını duyurdu. Ludwig ayrıca Google’ın Android'i güvende tutmak için yapmış olduğu çalışmaları da vurguladı. Çok sayıda saldırı karşısında, Android'in hala güçlü olduğunu söyledi.

7 Linux Destekli Bir Tüfeğin Hacklenmesi

Çok yakında, Nesnelerin İnterneti etrafımızda olacak. Aslında, zaten (akıllı TV'nize ve yönlendiricilerinize bakıyorsunuz!). Ancak, İnternet'e bağlı teknolojinin ateşli silahlar gibi henüz daha yeni yollara girmeye başladığı yerler var. Runa Sandvik ve ortak araştırmacısı Michael Auger, bir Tracking Point akıllı tüfeğini satın aldı, yıktı ve başarılı bir şekilde hackledi. Normal şartlarda, bu tüfek, her seferinde markanızı vurmanıza yardımcı olur. Hacker kontrolü altında kilitlenebilir, hedefleri kaçırmak ve diğer hedefleri vurmak için uyarılabilir.

Sandvik ve Auger'in çalışmasından açıkça anlaşılan bir şey, tüfek çalmanın kolay olmadığıydı. İzleme Noktasının doğru yaptığı birçok şeyi belirtmek ve sektöre IOT cihazlarını nasıl geliştirebilecekleri konusunda önerilerde bulunmak için zaman harcadılar. Belki de bu tüfeği çiğnemek bir gün daha güvenli tost makinelerinin bulunduğu bir dünyaya yol açacaktır.

8 Hackerlar Bağlı Evinizi Açabilir

ZigBee ev otomasyon sistemi, kapı kilitlerinizi, ışıklarınızı ve termostatınızı kolayca kontrol etmenizi sağlar, ancak aynı zamanda bu kontrolü bilgisayar korsanlarına da dağıtabilir. Dramatik bir sunumda araştırmacılar Tobias Zillner ve Sebastian Strobl, ZigBee tabanlı sistemlerin kontrolünü nasıl ele geçirebileceklerini gösterdi.

Görünüşe göre, hata ZigBee'ye değil, iletişim sistemini kullanan satıcılara bağlı. ZigBee, yalnızca doğru kişilerin cihazlarla konuşmasını sağlamak için sayısız güvenlik aracı sunar. Ancak satıcılar bu araçları kullanmıyor, daha az güvenli bir yedekleme sistemine güveniyorlar. Neyse ki, çekmek zor bir saldırı ama cihaz üreticileri kolektif oyunlarını hızlandırmalı.

9 Parmak İziniz Ne Kadar Güvende?

Gittikçe daha fazla mobil cihaz parmak izi sensörleri içeriyor ve gelecekte daha egzotik biyometrik kimlik doğrulama türleri de bekleyebiliriz. Ancak parmak izi verileriniz telefonunuzda güvenle saklanmayabilir ve okuyucunun kendisi bilgisayar korsanı tarafından saldırıya uğramış olabilir. FireEye araştırmacıları Tao Wei ve Yulong Zhang, parmak izi verilerinizi çalabilecek dört saldırı sundu. Bu, çok fazla bir şey değil, parmaklarınız tükenmediği sürece.

Zhang'ın sunduğu dört saldırının, ikisi özellikle ilginçti. Birincisi, bir saldırganın kurbanı parmağını tarayıcıya kaydırması için kandırmak için doğru araçlarla bir saldırganın bir kilit açma ekranını nasıl dolaştırabileceğini gösterdi. Basit! Çok daha karmaşık bir saldırı, Android cihazının güvenli TrustZone segmentine girmeden parmak izi tarayıcıdan gelen verilere erişebilir. Zhang ve Wei'nin tespit ettiği güvenlik açıklarına rağmen, keşfedilmesi gereken daha pek çok şey var. ( Resim )

10 Bir Kimya Santralini Hacklemek Gerçekten Zor

Black Hat'teki en karmaşık sunumlardan birinde, Marina Krotofil, saldırganların eğlence ve kazanç için dizlerine nasıl bir kimyasal tesis getirebileceklerini açıkladı. Eh, çoğunlukla kar. Bu süreç, en büyüğü, hackerların kullanabileceği elektronik cihazlar tarafından kolayca izlenemeyen garip şekillerde hareket eden bir tesisin karmaşık içsel çalışmalarının nasıl anlaşılacağına karar veren benzersiz zorluklarla doludur. Ve sonra bir fabrikanın sinir bozucu fiziği ile uğraşmak zorunda. Su basıncını çok fazla düşürdüğünüzde asit kritik bir sıcaklığa ulaşabilir ve saldırınıza dikkat çekebilir.

Krotofil'in sunumunun en korkutucu kısmı kesinlikle bilgisayar korsanlarının geçmişte kamu hizmetleri ve tesislerden başarıyla para kazanmış olmalarıydı, ancak bu bilgi araştırmacılar için mevcut değildi. ( Resim )

11 Gelecek Güvenli Topluluğu

Açılış konuşması sırasında, ünlü avukat Jennifer Granick, teknoloji yoluyla sosyal ilerlemenin hackerının nasıl bir ahlaksızlık, devlet kontrolü ve kurumsal çıkarlara kaybedildiğini anlattı. Bilgi ve iletişimi kesintisiz ve aşındıran ırkçılık, sınıfçılık ve cinsiyet ayrımcılığını özgürleştiren özgür ve açık bir İnternet'in hayali asla gerçekleşmediğini ve hızlıca solmadığını söyledi.

Bilgi teknolojisinin veri analizinin her şey için kullanıldığı bir dünya yaratacağı korkusunu anlattı. Bu, mevcut güç yapılarını pekiştireceğini ve saçak kasalarına en çok zarar vereceğini söyledi. Ayrıca, iktidarı projelendirmek için bir güvenlik olarak güvenlik kullanarak, güvenlik geliştirmeleri ve güvenlik gereklilikleri oluşturma konusunda hükümetleri uyardı. Korkutucu şeyler.

12 Tutuklanmamak

Black Hat katılımcıları arasında en çok konuşulan oturumlardan biri Adalet Bakanlığı tarafından yapıldı. Ortalama bir insana göre, muhtemelen donuk geliyordu, ama bu canlı oturum izleyiciyi eğitmek ve korsanların yasalara aykırı hareket etmeden çalışmalarına nasıl devam edebileceklerini açıklamaya çalıştı.

Ajansın Bilgisayar Suçu ve Fikri Mülkiyet Bölümü'ndeki DOJ Ulusal Güvenlik Özel Danışmanı Leonard Bailey, katılımcılara güvenlik açığı taramalarını ve penetrasyon testlerini güvenli bir şekilde nasıl gerçekleştirebileceklerini açıkladı. Ancak, asıl önemli olan DOJ'un kolluk kuvvetlerinin güvenlik araştırması üzerinde ürpertici bir etkisinin bulunmadığından emin olma çabaları.

Ağdaki 13 Saldırgan

Black Hat ağına güvenme. Ağın çevresinde birçok insan var ve katılımcıların çoğu hafta boyunca öğrendikleri yeni numaralar ve teknikleri denemek için bu fırsatı kullanıyor. Fortinet, bu yıl Black Hat güvenlik operasyon merkezini yönetti ve sahadaki hem kablolu hem de kablosuz ağlardaki tüm aktiviteleri izledi. Hangi uygulamaların çalıştığını gösteren birçok ekran varken, analizlerin tamamı gönüllü çalışan bir güvenlik uzmanı ekibi tarafından yapıldı. Gelişmiş Web penetrasyon saldırısı tekniklerini öğrenen bir sınıf, biraz uzaklaştı ve ISS'ye operasyon ekibini durdurmalarını söyleme çağrısı yaptı.

14 Robo Call'ları Kapatma

Bu Black Hat'ta değildi, ama DEF CON. Humanity Strikes Back, Hacker'ların anti-robocall yazılımı oluşturduğu DEF CON'da bir FTC yarışması. Buradaki fikir çağrı sesini analiz edecek bir araç yaratmak ve çağrı bir hırsızlık olarak belirlendiyse, son kullanıcıdan engellemek ve çağrıyı bir bal küpüne iletmek idi. İki finalist yazılımlarını DEF CON sırasında bağlam masasında sergilerken, bu robot 1'e basarsanız neşeyle ücretsiz seyir tatilleri teklif etti.

15 Hacker Nasıl Olunur?

Güvenlik araştırması için nasıl tutuklanmayacağınızı bildiğinize göre, belki de kendi hackleme araçlarınızla uğraşmakla ilgileniyorsunuzdur? Her türlü eğlenceyi sağlayan özelleştirilebilir bir platform olan Kali Linux'a gir.

Kali Linux kolay olması gerekiyordu, ama daha da önemlisi esnek olması gerekiyordu. Kötü amaçlı yazılım testi, ağ testi, sızma testi için araçlar ekleyebilir veya kaldırabilirsiniz; Hareket halindeyken güvenlik testi yapmak için araçları bir Ahududu Pi'ye bile takabilirsiniz.