Video: Black Hat 2016 wrap-up: Same stuff, different year? (Mayıs 2024)
Black Hat, Las Vegas'ta üç şeyi yapmak için bir araya gelen güvenlik araştırmacıları, bilgisayar korsanları ve endüstri topluluğudur: en son tehditleri sıralayın, iyi adamların ve kötü adamların nasıl yenilebileceğini gösterin ve katılımcılara saldırılar başlatın. Bu yıl, gösteri katılımcılarına karşı yapılanlar, araba saldırılarının yanı sıra ATM'lerden nakit para çalmanın yeni yolları ve akıllı ampullerin neden düşündüğümüz kadar güvenli olamayacağı da dahil olmak üzere pek çok korkunç saldırı gerçekleşti. Ancak, çalışanlara güvenlik tehditlerini ele alma konusunda eğitim vermek için Zindanlar ve Dragolar'ı ve Apple'ın iPhone'unuzun güvenliğini nasıl ele aldığını öğretmek için tehlikeli sunucuları tespit etmeyi öğretmek gibi birçok umut gördük. Her şey söylendi, akıllara durgunluk veren güzel bir yıldı.
İyi
Evet, Apple Black Hat'te bir hata ödül programı ilan etti. Fakat bu, Apple'ın güvenlik mühendisliği ve mimarlığı başkanı Ivan Krstic'in sunumunun son 10 dakikasıydı. Geçen 40 dakika boyunca, Apple'ın kullanıcıların cihazlarını ve verilerini hem erkek faktörlerden hem de kendisinden koruma yollarına eşi benzeri görülmemiş bir dalış yaptı. Ve evet, dürüst bir Tanrı blenderini kullanmayı gerektirir.
Nesnelerin İnterneti cihazları gittikçe daha popüler hale geldikçe, güvenlik uzmanları gittikçe daha fazla endişe duyuyor. Sonuçta bunlar, ağlara bağlı ve kodları tam olarak çalıştırabilen mikrobilgisayarlara sahip cihazlardır. Bu bir saldırganın hayali. İyi haber şu ki, en azından Philip'in Hue sisteminde, ampulden ampule atlamak için bir solucan yaratmak çok zordur. Kötü haber mi? Görünüşe göre Hue sistemlerini bir saldırganın ağına katılmak üzere kandırmak çok basit.
Her işletmedeki her güvenlik eğitimi, çalışanların bilinmeyen kaynaklardan gelen e-postalardaki bağlantıları hiçbir zaman tıklamamaları gerektiği uyarısını içerir. Ve çalışanlar ne olursa olsun onları tıklamaya tıkanmaya devam ediyor. Erlangen-Nürnberg Üniversitesi'nden Dr. Zinaida Benenson, çalışanların meraka ve diğer motivasyonlara karşı direnmelerini beklemenin makul olmadığı sonucuna vardı. Onları James Bond olmalarını istiyorsanız, bunu iş tanımına koyup buna göre ödemeniz gerekir.
Bir çok güvenlik araştırması ve yürütme zihinsel bir şekilde sıkıcı olabilir, ancak makine öğrenimindeki yeni teknikler yakında daha güvenli bir İnternet sağlayabilir. Araştırmacılar, kötü adamların yüz binlerce (milyonlarca virüslü) bilgisayarı kontrol etmelerine izin veren botnet komut ve kontrol sunucularını tanımlamak için makinelere verme çabalarını ayrıntılandırdılar. Bu araç, bu tür zararlı faaliyetler üzerinde bir kapak tutmaya yardımcı olabilir, ancak hepsi ağır araştırma değildi. Oturumlarını tamamlamak için araştırmacılar, makine öğrenim sistemlerinin başarılı bir Taylor Swift şarkısı oluşturmak için nasıl kullanılabileceğini gösterdi.
Otel ağını bilen bir hayvan besleme konferansı için uygun olabilir ancak Black Hat için uygun olmayabilir. Konferansın tamamen ayrı bir ağı ve yönetimi için etkileyici bir Ağ Operasyon Merkezi vardır. Ziyaretçiler, NOC'de bütünüyle toplanan ve dünyayı bir sonraki Black Hat konferansına taşıyan pek çok parlayan ekranda, hacker filmlerinde ve uzun vadeli güvenlik uzmanlarının cam duvarından içeri girebilirler.
BT güvenliği kazandı ve beyaz şapka korsanları güvenlik eğitimlerini yeterince alamıyorlar, ancak onlara gerçekten ihtiyacı olanlar değil. Satış ekibi, İK ekibi ve çağrı merkezi ekibi, güvenlik eğitimlerini ille de anlamıyor veya takdir etmiyor, ancak güvenlik oyunlarını hızlandırmaları için gerçekten de onlara ihtiyacınız var. Araştırmacı Tiphaine Romand Latapie, güvenlik eğitimini rol yapma oyunu olarak yeniden düzenlemeyi önerdi. Tamamen çalıştığını tespit etti ve güvenlik ekibi ile personelin geri kalanı arasında önemli yeni katılımlar sağladı. Zindanlar ve ejderhalar, kimse?
Aldatmaca telefon görüşmesi büyük bir problemdir. IRS aldatmacaları, şüphesiz Amerikalıları nakit para kazanmaya ikna ediyor. Parola sıfırlama dolandırıcılığı, çağrı merkezlerini müşteri verilerini dağıtmak için kandırır. Adli bir dilbilimci olan Profesör Judith Tabron, gerçek aldatmaca çağrılarını analiz etti ve onları tespit etmenize yardımcı olmak için iki bölümlü bir test geliştirdi. Bunu oku ve öğren, tamam mı? Bu basit ve değerli bir teknik.
Korkutucu
Pwnie Express, ağ hava sahasını istenmeyen bir şey için izleyen cihazlar üretiyor ve bu da iyi bir şey çünkü şirket bu yıl Black Hat'ta büyük bir Ortadaki Adam saldırısı keşfetti. Bu durumda, kötü amaçlı bir erişim noktası, telefonları ve cihazları ağa katılmaya kandırmak için SSID'sini değiştirdi ve cihazın daha önce gördüğü güvenli, dost canlısı bir ağ olduğunu düşündü. Bunu yaparken, saldırganlar yaklaşık 35.000 kişiyi kandırdı. Şirketin saldırıyı tespit edebilmesi harika olsa da, bu kadar büyük olması, bu saldırıların ne kadar başarılı olabileceğini hatırlatıyor.
Geçtiğimiz yıl, Charlie Miller ve Chris Valasek, çoğu kişinin arabalarını kariyeri kariyerinin zirvesi olduğunu varsaydıklarını sundu. Bu yıl daha da cüretkar saldırılarla, araba herhangi bir hızla hareket ederken frenleri veya direksiyon simidi kontrolünü uygulayabilen saldırılarla geri verdiler. Önceki saldırılar yalnızca araç 5 km veya daha altında giderken gerçekleştirilebilir. Bu yeni saldırılar sürücüler için büyük risk oluşturabilir ve umarım otomotiv üreticileri tarafından derhal düzeltilebilir. Valasek ve Miller, kendileri için arabaları kırdıklarını, ancak diğerlerini adımlarını takip etmeye teşvik ettiklerini söyledi.
Bay Robot'u izlerseniz, park yerinin etrafına USB sürücüleri atarak kurbanların bilgisayarlarına bulaşmanın mümkün olduğunu biliyorsunuzdur. Ama gerçekten çalışıyor mu? Google’daki sahtekârlık ve suistimal araştırmalarından Elie Bursztein, konuyla ilgili iki bölümden oluşan bir konuşma sundu. İlk bölüm, bunun işe yaradığını açıkça gösteren bir çalışmayı ayrıntılı olarak açıkladı (ve otoparklar koridorlardan daha iyidir). İkinci kısım, tüm bilgisayarları tamamen devralacak bir USB sürücüsünün nasıl inşa edileceğini tam olarak ayrıntılı olarak açıkladı. Not aldın mı?
Dronlar geçen tatil alışveriş sezonunda sıcak bir üründü ve belki de sadece meraklılar için değil. Bir sunum DJI Phantom 4'ün endüstriyel kablosuz ağları sıkışmada, çalışanlara casuslukta ve daha da kötüsünde nasıl kullanılabileceğini gösterdi. İşin püf noktası, pek çok kritik ve endüstriyel sitenin hassas bilgisayarları korumak için "hava boşluğu" denilen şeyi kullanmasıdır. Temel olarak, bunlar dış Internet'ten izole edilmiş ağlar ve cihazlardır. Fakat küçük, manevra kabiliyetine sahip dronlar, İnternet'i kendilerine getirebilir.
Makine öğrenimi çok sayıda teknoloji endüstrisinde devrim yaratmanın zirvesinde ve bu sahtekârları da içeriyor. Black Hat'taki araştırmacılar, makinelere nasıl etkili bir şekilde mızrak avlağı mesajı üretilebileceğini öğretti. Onların aracı, yüksek değerli hedefleri belirler ve daha sonra hem alakalı hem de karşı konulamaz bir şekilde tıklanabilir bir mesaj oluşturmak için kurbanın tweet'lerini inceler. Ekip, spam botlarıyla kötü niyetli herhangi bir şey yaymadı, ancak bu teknikleri benimseyen dolandırıcıları hayal etmek zor değil.
Otelde ücretsiz Wi-Fi bekliyorsunuz ve mutlaka güvenli olmadığını anlamak için yeterince anlayışlı olabilirsiniz. Ancak bir Airbnb veya başka bir kısa süreli kiralamada, güvenlik potansiyel olarak şimdiye kadarki en kötü güvenlik koşullarına sahip olabilir. Neden? Çünkü siz yönlendirici olmadan önce misafirleriniz fiziksel olarak erişebiliyordu, yani tamamen sahip olabiliyorlardı. Jeremy Galloway'ın konuşması, bir bilgisayar korsanının neler yapabileceğini (kötü!), Güvende kalmak için neler yapabileceğinizi ve mülk sahibinin bu tür saldırıları önlemek için neler yapabileceğini ayrıntılı olarak anlatıyor. Bu gitmeyen bir problem.
Black Hat'in en kapsamlı görüşmelerinden birinde Rapid7'nin Kıdemli Pentester Weton Hecker, sahtekarlık için yeni bir model olabileceğini gösterdi. Vizyonu muazzam bir riskli ATM ağı, satış noktası makineleri (bakkaldaki gibi) ve gaz pompalarından oluşuyor. Bunlar mağdurun ödeme bilgilerini gerçek zamanlı olarak çalabilir ve daha sonra hızlı bir şekilde motorlu PIN-itme aygıtı yardımı ile girebilir. Konuşma, ATM yayma parası ve dolandırıcıların bireylerin kredi kartı bilgilerini almadığı, ancak gerçek zamanlı olarak büyük bir ödeme dolandırıcılık ağına erişiminin geleceğe dair bir vizyonuyla sona erdi.
Black Hat’ta ödeme sistemlerine yapılan saldırıları ayrıntılandıran tek sunum bu değildi. Başka bir araştırmacı grubu, bir Ahududu Pi ile ve küçük bir çabayla, kişisel bilgilerin oodlarını çip kart işlemlerinden nasıl uzaklaştırabildiklerini gösterdi. Bu özellikle, sadece çip kartlarının (AKA EMV kartları) magswipe kartlarından daha güvenli olduğu düşünülmesinden ötürü değil, ABD’nin de çip kartlarını yurt içinde yaymaya başlaması nedeniyle dikkat çekiyor.
Gelecek yıl yeni araştırmalar, yeni saldırılar ve yeni saldırılar getirecek. Ancak Black Hat 2016, bir hacker'ın çalışmasının (beyaz veya siyah çizgili) asla gerçekten yapılmayacağını göstererek yıl için tonu belirledi. Şimdi, bize izin verirseniz, kredi kartlarımızı parçalayacağız ve ormanda bir Faraday Kafesinde yaşamaya gideceğiz.
