İçindekiler:
- 1 Daha Büyük ve Daha Büyük
- 2 Başarı Kurbanı
- 3 Güvenlik Topluluğuna Meydan Okumak
- 4 Ultrasonik Silah Saldırısı Uçağı, Hoverboard'lar
- 5 Hackinglerin Geleceğini Kabarcıklar mı?
- 6 Böcek Ödül ve Bira
- 7 Saldıran Rüzgar Çiftlikleri
- 8 Pwnie Express Nöbetçi
- 9 Yazıcınıza Güvenme
- 10 Süper Çarpıştırıcı
- 11 Tesla Hacklemek (Yine)
- 12 Web’de Apple Pay’i Hacklemek
- 13 Afar'dan Endüstriyel Robotların Kontrolü
- 14 Sırada Ne Var?
Video: Blackhat Europe 2017 (4K) (Kasım 2024)
Black Hat konferansı araştırmacılar, bilgisayar korsanları ve güvenlik dünyasına yakın herkesin birbirinden bir araya gelip bunları öğrenmesi için bir şans. Las Vegas bölgesinde bir kaç seans, eğitim ve - kaçınılmaz olarak - bazı kötü kararlar almak.
20. yılında, Black Hat 2017 yansıtıcı bir nota başladı. Facebook STK'sı Alex Stamos konferanstaki ilk günlerine baktı. Onun için, kabul edilmek ve topluluktan öğrenmek için bir yerdi. Aynı topluluğa daha empatik davranması ve daha fazla çeşitliliği karşılayarak yeni nesil bilgisayar korsanları için hazırlık yapması için zorladı.
Black Hat oturumları her zaman güvenlik araştırmalarının şaşırtıcı ve bazen dehşet verici örneklerini görmenin yeri olmuştur. Bu yıl, Apple Pay'in web arayüzünü nasıl kandıracağımızı, ulstrasound kullanarak bir hoverboardu nasıl devireceğimizi gördük ve savunmasız rüzgar çiftliklerinin siber saldırılara nasıl yaklaşabileceğini öğrendik.
Bir oturumda, yeni saldırılar gösteren Tesla Model S korsanlarının üçlüsünün geri döndüğü görüldü. Araştırmaları, araçlar birbirine bağlı hale geldikçe devam edeceğinden emin olabilirsiniz. Ayrıca büyük bir bilgisayar korsanı mı? Yazıcılar.
Dikkate değer bir başka konuşma da endüstriyel altyapıya saldırmaya baktı. Geçen yıl Ukrayna elektrik şebekesine yapılan iki başarılı saldırı ile enerji santralleri ve fabrikalar gibi kritik altyapının güvence altına alınması önemli bir konudur. Bu sefer, baloncukların - evet, normal baloncukların - pahalı, kritik pompaları yok etmek için zararlı bir yük olarak nasıl kullanılabileceğini gördük.
Belki de bu yılki gösterinin en dikkat çekici başarısı kriptoanaliz alanındaydı. Bir takım sofistike tehditler kullanarak ilk SHA-1 karma çarpışmasını yaratabildi. Bunun ne anlama geldiğinden emin değilseniz, okumaya devam edin, çünkü çok havalı.
20 yıl sonra, Black Hat hala korsanların en önde gelen sahnesi. Ancak gelecek belirsizdir. Ulus-devlet siber saldırıları nadir bir durumdan düzenli bir olaya doğru gitti ve riskler her zamankinden daha büyük. Bununla nasıl başa çıkacağımız hala net değil; Muhtemelen Black Hat 2018 cevapları alacak. O zamana kadar, bu yılın Siyah Şapkasından daha göz alıcı anlardan bazılarına göz atın.
1 Daha Büyük ve Daha Büyük
Gösterinin 20. yıldönümü için açılış konuşması büyük bir konferans salonu yerine büyük bir stadyumda yapıldı. Şov sadece son birkaç yılda sıçrama ve sınırlarda büyüdü.
2 Başarı Kurbanı
Koridorlardaki tıkanıklık bu yılki fuarda bir sorun oldu ve yukarıdaki gibi durumlar nadir değildi.
3 Güvenlik Topluluğuna Meydan Okumak
Facebook CSO Alex Stamos, güvenlik topluluğunun aile benzeri eski atmosferine eşit derecede övgü ve daha iyisini yapma mücadelesi veren 2017 Black Hat açılış konuşmasını yaptı. Seyircileri daha az seçkin olmaya ve 2016 ABD seçimlerinde bilgisayar korsanlığı ve bilgi saldırıları rolüne değinerek dijital güvenlik risklerinin arttığını kabul etmeye çağırdı.
4 Ultrasonik Silah Saldırısı Uçağı, Hoverboard'lar
Aygıtlar, etraflarındaki dünyayı anlamak için sensörler kullanır, ancak bu sensörlerin bazıları kurcalamaya maruz kalır. Bir araştırma ekibi, uçağın sallanmasına, hoverboardların devrilmesine ve VR sistemlerinin kontrolsüz bir şekilde dönmesine neden olmak için ultrasonu nasıl kullanabileceklerini gösterdi. Saldırı şimdilik sınırlı, uygulamalar çok geniş kapsamlı olabilir.
5 Hackinglerin Geleceğini Kabarcıklar mı?
Muhtemelen hayır, ancak Marina Krotofil, bir su pompasına valf sistemine takmanın, su pompasının verimliliğini azaltan ve zamanla pompanın arızalanmasına neden olan fiziksel hasara neden olan kabarcıklar oluşturmak için nasıl kullanılabileceğini gösterdi. Krotofil, sunumuyla birlikte vana gibi güvensiz cihazların yeni araçlarla pompa gibi güvenli cihazlara saldırabileceğini göstermeye çalıştı. Ne de olsa, baloncuklar için antivirüs yok.
6 Böcek Ödül ve Bira
Son yıllarda, şirketlerin araştırmacılara, nüfuz test uzmanlarına ve bilgisayar korsanlarına hataları bildirdikleri için nakit bir ödül ödemesi yapan hata ödül programlarının genişlediğini gördük. Araştırmacı James Kettle, oturumunda kalabalığa, aynı anda 50.000 web sitesini test etmek için nasıl bir yöntem oluşturduğunu anlattı. Yol boyunca bazı yanlışlıklar yaşadı, ancak bu süreçte 30.000 $ kazandı. Patronunun başlangıçta, bira için otomatik girişimde kazanılan parayı harcamakta ısrar ettiğini söyledi, ancak Kettle'in başarısı ışığında çoğunluğu hayır kurumuna bağışlamayı ve sadece biraz bira harcamayı tercih ettiklerini söyledi.
7 Saldıran Rüzgar Çiftlikleri
Araştırmacı Jason Staggs, ekibini 300 metrelik iplik üretim tesislerine yönlendiren kapsamlı bir rüzgar çiftliği güvenlik değerlendirmesine öncülük etti. Sadece fiziksel güvenlik zayıf (bazen sadece bir asma kilit) değildi, ama dijital güvenlik daha da zayıftı. Ekibi rüzgar çiftlikleri fidye tutabilecek ve hatta fiziksel hasara neden olabilecek birkaç saldırı geliştirdi. Stuxnet'i düşünün, ama büyük, dönen ölüm bıçakları için.
8 Pwnie Express Nöbetçi
Geçtiğimiz yıl, Pwnie Express ağ izleme ekipmanını getirdi ve geçen cihazlara dost bir ağ taklit etmek ve onları bağlamaya davet etmek için yapılandırılmış büyük bir kötü erişim noktası saldırısı keşfetti. Bu yıl, Pwnie Black Hat'ın ağ güvenlik ekibiyle çalıştı, ancak geçen yılki saldırı kadar büyük bir şey tespit etmedi - en azından Black Hat oturumunda yapılan bir eğitim çalışmasının parçası olmayan hiçbir şey. Bu Pwn Pro sensörü, ağ etkinliğini izlemek için konferans boyunca yerleştirilen birkaç kişiden biriydi.
en
9 Yazıcınıza Güvenme
Ağ yazıcıları uzun zamandır araştırmacılar tarafından ana hedefler olarak görülüyor. Her yerde, internete bağlı ve çoğu zaman temel güvenlikten yoksundurlar. Ancak Jens Müller bunun önemli olduğunu gösterdi. Neredeyse her yazıcının, dosyaları basılı malzemeye dönüştürmek için kullandığı protokolleri kullanarak bir dizi saldırı gerçekleştirebildi. Önceki yazdırma işlerini çıkarabilir ve hatta belgelerdeki metin veya görüntüleri kapatabilirdi. Özetlediği saldırılar, birisi on yıllardır devam eden protokollerden kurtulana kadar devam edecek.
10 Süper Çarpıştırıcı
Hash işlevleri her yerde, ancak neredeyse görünmez. Sözleşmeleri doğrulamak, yazılımı dijital olarak imzalamak ve hatta şifreleri güvence altına almak için kullanılırlar. SHA-1 gibi bir karma işlevi, dosyaları bir sayı ve harf dizisine dönüştürür ve ikisinin de aynı olmaması gerekir. Ancak araştırmacı Elie Bursztein ve ekibi, iki ayrı dosyanın aynı karma ile sonuçlanacağı bir yol geliştirdi. Buna çarpışma denir ve bu SHA-1'in bir kapı çivisi kadar ölü olduğu anlamına gelir.
11 Tesla Hacklemek (Yine)
2016 yılında, bir araştırmacı üçlüsü bir Tesla Model S'nin kontrolünü nasıl ele geçirdiklerini gösterdi. Bu yıl, Tencent KeenLab'dan araştırmacılar, adım adım saldırılarına devam etmek için geri döndüler. Fakat hepsi özet değildi: Tesla'nın ilk saldırılarını azaltmalarını da incelediler ve yeni saldırılarını sundular; Ekip, ışıklarını yanıp sönen ve kapılarını müziğe açarak bir çift otomobil gösterdi.
12 Web’de Apple Pay’i Hacklemek
İlk lansmanı sırasında, Apple Pay hakkında kapsamlı bir şekilde yazdım, kredi kartı verilerinin belirtilmesinde ve Apple'ın alışverişlerinizi nasıl takip edemediğini övdü. Fakat Timur Yunusov ikna olmadı. Web’deki Apple Pay’i kullanarak kimlik bilgilerini almanın ve tekrarlama saldırısı yapmanın mümkün olduğunu keşfetti. Kredi kartı faturalarına dikkat etsen iyi olur.
13 Afar'dan Endüstriyel Robotların Kontrolü
Politecnico di Milano ve Trend Micro'dan bir ekibi temsil eden bir araştırmacı üçlüsü, robotların güvenliği hakkındaki bulgularını sundu. Samimi Roombas'ınız değil, fabrikalarda bulunan çalışkan ve güçlü endüstriyel robotlardır. Bir saldırganın bir robotun kontrolünü ele geçirmesine, kusurları üretim işlemlerine sokmasına ve hatta insan operatörlerine potansiyel olarak zarar vermesine izin verebilecek birkaç kritik zayıflık buldular. Daha fazla sorun, internete bağlı binlerce endüstriyel robotun bulunduğunun keşfi.
14 Sırada Ne Var?
Black Hat başka bir yıl için yapıldı, ancak dijital güvenlik her zamankinden daha görünür ve değerli, gelecek yıl bazı ilginç sürprizlerin olacağından emin olabilirsiniz.
