Kara şapka 2019: gördüğümüz en çılgın, en korkunç şeyler

Las Vegas güneşi, başka bir Kara Şapka'ya ve sayısız saldırıya, saldırıya ve kırılganlığa yol açtı. Bu yıl yüksek beklentilerimiz vardı ve hayal kırıklığına uğramadık. Hatta bazen şaşırdık. İşte gördüğümüz tüm harika ve dehşet verici şeyler.

Jeff Moss'un Ayakkabıları

Açılış törenlerinin asıl yıldızı Black Hat'in kurucusu Jeff Moss'un parıldayan ayakkabılarıydı. Dark Tangent olarak da bilinen Moss, bir çift pırıl pırıl parlayan spor ayakkabısı kullandı; sahnede dediği gibi onun "ışıltılı ayakkabılar". "Eğer lazerler bana doğru vurduysa, bir veya ikinizi kör edebilirim."



Sahte Telefonlar

Bu telefonlar harika görünüyor, ama aslında Çin'den düşük maliyetli sahte. Her biri yaklaşık 50 dolar tutuyor ve hiçbir ekstra ücret ödemeden kötü amaçlı yazılımlarla önceden yüklenmiş olarak geliyor! Sahte iPhone özellikle etkileyici. İOS için ölü bir zil sesi olan Android'in oldukça değiştirilmiş bir sürümünü çalıştırıyor. Her zaman işaret eden olsa da, özenle yapılmış bir sahte pusula uygulaması bile vardır. Bu tuhaf cihazları bize gösterdiği için Afilias'a teşekkürler.



Kötü Amaçlı Yazılım için Füzeler

Güvenlik araştırmacısı Mikko Hypponen, Black Hat'taki sunumunda siber savaşın gerçek bir çekim savaşı olmasının sonuçlarının üzerinde durdu. Bu devlet destekli hackerların ve Rus seçim karışma çağında önemli bir konu. Ayrıca, bir güvenlik uzmanının işini tanımlamanın en iyi yolunu izleyicilere sundu: "Yaptığımız şey Tetris gibidir. Başarılı olduğunuzda kaybolur. Çarptığınızda yığılır."



Yazılımda Yayma

Kötü amaçlı yazılım diğer kodları kaç şekilde etkileyebilir? Yolları sayalım! Hayır, gerçekten, onları say. Bazı araştırmacıların yaptığı bu. Bir avuç yol bulmayı umuyorlardı, ancak bunun yerine 20 artı değişiklik yaptılar.



GPS'e Çok Fazla Güvenmeyin

GPS harika; gitmeniz gereken yere ulaşmanıza yardımcı olur ve artık arabanızda bir küf atlası bulundurmanıza gerek kalmaz. Ancak GPS gibi Küresel Navigasyon Uydu Sistemleri (GNSS) kolayca sahtedir ve GNSS'ye çok fazla dayanan özerk bir araç tasarlıyorsanız bu bir problemdir. Bu Black Hat konuşmasında, navigasyon sinyalleriyle uğraşırken sürücüsüz bir arabanın başına bu kadar korkutucu, garip şeyler geldiğini gördük.



SwapGS ile bir hayalet

Spectre ve Meltdown'u hatırladın mı? Bunlar, birkaç yıl önce CPU'larda haftalarca manşet almış olan korkutucu güvenlik açıkları araştırmacılardı. Şimdi, Bitdefender araştırmacıları tüm modern Intel çiplerinde benzer bir güvenlik açığı buldular.



Öz Önem Sektörü

Hiç Instagram'da binlerce kişi daha takipçisi olan arkadaşın hakkında kıskanç oldun mu? Olma, çünkü muhtemelen onları aldılar. Ama bu sahte takipçiler nereden geliyor ve gerçekten kim? GoSecure araştırmacıları Masarah Paquet-Clouston (resimdeki) ve Olivier Bilodeau'nun Black Hat konuşmalarında cevap vermeye çalıştığı soru budur. Sahte IP adresleri ve kötü amaçlı yazılımlarla enfekte olmuş IoT cihazlarının omurgası üzerine kurulu muazzam bir satıcı ve aracı ekosistemi ortaya çıkardılar. Bu sahte severler buna değmez.



5G (Çoğunlukla) Güvenlidir

5G gerçekten harika ve gerçekten hızlı ve temel olarak kablosuz standartlarda süren bazı kötü güvenlik kusurları da dahil olmak üzere tüm sorunlarımızı sonsuza dek çözecek. Bununla birlikte, araştırmacılar 5G'de, cihazları tespit etmelerini, internet hızlarını kısmalarını ve IoT cihazlarının pillerini tüketmelerini sağlayan bazı benzersiz tuhaflıklar buldular.



Metin ile Pwned

Her zaman ve tekrar, bir güvenlik şirketi veya böyle gizli bir etkinlik için kullandığı süper gizli iPhone kırılganlığına sahip bir hükümet hakkında bir hikaye göreceksiniz. Bir Google güvenlik araştırmacısı, böyle şeylerin gerçekten var olup olmadığını merak etti ve bu süreçte 10 hata buldu. Sonunda, o ve meslektaşı dosyaları çıkarabildiler ve bir iPhone'un kontrolünü sadece metin mesajları göndererek kısmen ele geçirdiler.



Büyük Boeing 787 2019 Hack Dövüşü

Black Hat sunum yapanlar, araştırdıkları şirket ve kuruluşlarla her zaman rahat bir ilişkiye sahip değiller, bu yıl bir noktaya dayanan evdeki Ruben Santamarta, Boeing 787 ağındaki potansiyel saldırılarını açıkladı. Çeşitli giriş noktalarından hassas sistemlere ulaşmanın mümkün olduğuna inanıyor, ancak Boeing her şeyin sahte olduğunu söylüyor. Bu hikayeye kimin inanacağını söylemek zor, ama Max Eddy Santamarta'nın çalışmalarını tam olarak gösterdiğine dikkat çekiyor.



Ölü İnek Kültü

20 yıl önce ünlü olan erkekler hakkında kim kitap yazacak? Joe Menn, gazeteci ve yazar budur. Kitabının adı Ölü İnek Kültü: Orijinal Hacking Süper Grubunun Dünyayı Nasıl Kurtarması . Grup, yarı isimsizdi, Deth Veggie, Dildog ve Mudge gibi kulplara gidiyordu. Kitabın serbest bırakılmasıyla birlikte, ilk kez gerçek isim altında Siyah Şapka ile konuştular. Neil henüz okumadı, ama grup kesinlikle bu Kara Şapkayı salladı; üst üste üç gün onlarla karşılaştı.

Salı gecesi önünde Deth Veggie ve çetesi olduğu ortaya çıkan grupla taksiye atladı. Çarşamba günü Neil, Dug Veggie, Dug Song of Duo Security yazarı Joe Menn ve Google’ın şu anda Google’ın kıdemli güvenlik direktörü olan Heather Adkins’in bulunduğu davetsiz bir öğle yemeği paneline çekildi. Joe, Mudge, Dildog ve Deth Veggie ile röportaj yaptı ve çok sevindi.

Bu gruptan bir hacker süvari geçmiştir. Çoğu şu anda güvenlik şirketlerinde veya devlet kurumlarında çalışmaktadır. Biri bile başkanlık için koşuyor. Neil, ilham verici bu hacktivists grubunun tarihini okumak için sabırsızlanıyor.



Mouthnet İle Derin Fişleri Tespit Etmek

Hiç kimse kamuoyunu denemek ve sallamak için derin bir video kullanmamış. Düşünürüz. Fakat Matt Price ve Mark Price (ilişki yok) bunun her an gerçekleşebileceğini düşünüyor. Bu yüzden derin derinlerin nasıl yapıldığını, nasıl tespit edilebileceğini ve nasıl daha iyi tespit edileceğini incelemeye başladılar. Bu son noktada, sahte denemek ve incinmek için ağızlara bakan bir araç yarattılar. Zamanın yüzde 50'sinden biraz daha iyi çalıştı, umarım gelecek için iyiye işarettir.

Mouthnet bizi kurtarmazsa, belki fareler yapabilir! Araştırmacılar, eğitimli farelerin farklı konuşma modellerini nasıl ayırt ettiğini inceliyorlar. Onların küçük beyinleri, dikkatlice yayımlanan bir sahte videonun bazı gerçek hasara yol açmasından önce umarım derin sahte videoları tespit etmenin anahtarı olabilir. (ALEXANDRA ROBINSON / AFP / Getty Images)



Rus İstihbaratı Kendisiyle Savaşta

Rus seçim müdahalesi veya Rus trol çiftlikleri hakkında konuştuğumuzda, Rusya Ana’nın istihbarat teşkilatlarının kilitlendiğini ve tek bir kurnazca planın parçası olarak hareket ettiğini varsayıyoruz. Bir araştırmacıya göre, bu gerçeklerden daha fazla olamaz. Aksine, Rusya bir istihbarat ajansı alfabe çorbasına, kaynaklara ve prestije ilgi göstermeye ve ilerlemek için tamamen kirli olmaya isteklidir. Bazen, sonuçlar korkunçtur.



İnterneti Silahlandırmak

Rus Karanlık Ağıyla ilgili bir oturumda araştırmacılar, son Rus yasalarının o ülke içindeki polis faaliyetlerini nasıl zorlaştırdığını incelemiştir. Rusya şu anda uluslararası internetten kesildiğinde bile çalışacak şekilde tasarlanmış bir tür iç internet kuruyor. Bu, yasadışı faaliyetler yürüten Rus sitelerine ulaşmayı zorlaştırmanın "istenmeyen" bir sonucudur.



Önceden Yüklenmiş Uygulamaları Kim İzliyor?

Hiç kimse bloatware'den hoşlanmaz, ancak önceden yüklenmiş uygulamaların yünlü kılıklarla sarılmış kurtlar olmadığından kim emin olabilir? Cevap Google’dır. Kıdemli Güvenlik Mühendisi Maddie Stone, önceden yüklenmiş uygulamalar arasında kötü amaçlı uygulamaları tanımlamanın zorluklarını anlattı. Bir sorun: önceden yüklenmiş uygulamalar, önceden kurulmuş olmaları nedeniyle daha yüksek ayrıcalıklara ve tuhaf davranışlara sahiptir, bu da tehlikeli olanları bulmayı zorlaştırır.



Hacked Bluetooth Key ile Çatı Katını Alın

Bir uygulama ile açtığınız Bluetooth özellikli kilitlerin sıkıcı metal pimlerden ve tamburlardan daha güvenli olması gerekir, değil mi? Black Hat'te değil. Küçük bir know-how ve düşük maliyetli donanım ile iki araştırmacı, kapıları açıp her türlü yararlı bilgiyi çıkarmayı başardı. Belki de sadece iskelet anahtarlarına bağlı kalmalıyız.



Çinli Hackerların Bile Yan Konsere İhtiyacı Var

Bir hacker olduğunuzu ve yerel yönetimleriniz için çalışırken oldukça iyi para kazandığınızı varsayalım. Sizi aydınlatmaktan alıkoyan ve video oyunu geliştiricileri için tedarik zincirine sızarak biraz fazla para kazanmanız gereken nedir? Görünüşe göre hiçbir şey, eğer FireEye'nin araştırmasına inanılıyorsa. Söz konusu bilgisayar korsanlarının Çin hükümeti için çalıştığını düşünürsek, grubun kendilerini tarafında zenginleştirdiğini görmek biraz şaşırtıcı. Bu, patronlarıyla başını belaya sokan ilk güvenlik araştırması olabilir.