Чорна шапочка 2018: чого очікувати

Коли літо розігрівається, дослідники з питань безпеки, урядові шахраї та промислові еліти прямують до Лас-Вегасу на конференцію «Чорна капелюх», після якої відразу ж приходить її більш відомий прародитель DefCon.

Це щотижневе святкування всіх речей, де дослідники намагаються один на одного за допомогою презентацій про останні, найстрашніші вразливості. Після темряви це блискучі вечірки з людьми, які недбало обкидають фрази на кшталт "ми зачистили приміщення для прослуховування пристроїв і знайшли три!" Серед всього цього пропагандиста будуть ваші покірні репортери PCMag Макс Едді та Ніл Рубенкінг, щільно чіпляючись за паперові напійні парасольки, коли секрети безпеки шепочуться їм у вуха.

Чорна Шапочка відома своєю виставковою майстерністю стільки ж, скільки і своїми дослідженнями. Попередні роки спостерігали зламані гвинтівки Linux, банкомати, які витрачали 100 доларів, невпевнені супутникові телефони, а також високотехнологічні "розумні" автомобілі, які виганяли з дороги дослідники.

Ось, що ми з нетерпінням чекаємо у 21-му році Black Hat, і слідкуйте за SecurityWatch за останніми версіями Black Hat 2018.

Google у центрі уваги

Цьогорічну основну доповідь виступить Паріса Табріз, директор з інженерії Google. Розмова Тебріз буде зосереджена на впровадженні нових ідей щодо безпеки навіть при роботі у величезних масштабах, і неодмінно торкнеться її роботи з браузером Chrome.



Зламування автомобілів повернулося (різновид)

Після нападу на заголовок, який буквально відігнав джип з дороги, Чарлі Міллер та Кріс Валасек сказали, що вони назавжди повернули свої ключі від автомобіля. Тобто до тих пір, поки вони не вплутувались у керування транспортними засобами. Розмова про небезпеку автономних автомобілів на чолі з королями автомобільних атак обов'язково приверне увагу.



Злам людей

Існує поширений (якщо зневажливий) жарт серед професіоналів безпеки, який говорить: "Найбільша вразливість у будь-якій системі - між кріслом і комп'ютером". Люди так само легко обманюються, як комп'ютери (можливо, простіше), і соціальна інженерія, безумовно, є головною темою. Це особливо вірно, оскільки все більше і більше організацій стикаються з неприємністю піддаватися фішинг-атакам. Ніхто не хоче бути Демократичним національним комітетом близько 2016 року, а їхні рецепти боротьби та різотто розповсюджуються в Інтернеті.



Шифрування та VPN

Якщо говорити з досвіду, VPN - це гарячий товар у галузі безпеки. Глобальні заворушення та бажання отримати доступ до безкоштовного потокового відео в Інтернеті призвели до популярності цього колись сонного та занедбаного інструменту безпеки. Зважаючи на їх недавню популярність та непрозорість компаній, які беруть участь, очікуйте, що хакери зосередиться на VPN-послугах.

Аналогічно, шифрування - це технологія, яка змушує все працювати в Інтернеті, від зберігання таємниці в секреті до перевірки особи особистості. Це потужний інструмент, а також захоплююча мета. Дослідники конвенції неодмінно представляють роботу над тим, як виділити, послабити чи іншим чином обійти шифрування. Ми не очікуємо нічого настільки революційного, як хеш-зіткнення SHA-1, але розмова про атаку бічного каналу для крадіжки ключів шифрування у маршрутизаторів звучить захоплююче.



Порушення (або використання) блокчейна

Криптовалюти - це улюбленці інтернет-підземного світу, а також технологічні інвестори. Їх грошова цінність та цифрове існування роблять їх легкими мішенями для хакерів, що є предметом кількох сесій цього року. Але використання базової технології blockchain як засобу для зберігання інформації та встановлення довіри в Інтернеті може призвести до найцікавіших досліджень. У деяких сесіях буде зосереджено увагу на тому, як атакувати основи криптовалюти для нечесних цілей.



Зламати голос

Російські спроби вплинути на вибори у США 2016 року - це фактично факт, повідомляють американські розвідувальні та правоохоронні органи. Це єдина найбільша історія інформаційної безпеки з часу витоку Сноудена, і вона все ще триває. Хоча ми не бачили занадто багато цього питання, хакерські вибори та вразливі машини для голосування - це багаторічна тема у Black Hat, тому очікуйте їх і цього року. Один помітний сеанс розглядає, як використовувати наявний графік соціальних ресурсів, щоб розкрити російські боти Twitter.



Двофакторна автентифікація: Подорож чи Прокляття?

Нещодавно Google фіксував фішинг із використанням фізичних двофакторних пристроїв та представив власну лінійку ключів безпеки на своїй наступній конференції. Але кожне рішення проблеми безпеки - це нова можливість для дослідника показати себе. Ми впевнені, що ми бачимо деякі атаки на системи 2FA.



Злому в 21 столітті

Black Hat та DefCon - це найбільші події року для професіоналів із безпеки та хакерів-хобі, тому це також час, щоб подивитися на спільноту в цілому. Хоча докладаються зусилля, щоб зробити інформаційну безпеку та конференції більш доброзичливими до жінок, кольорових людей, інвалідів та інших груп, які часто маргіналізуються в технічному бізнесі, ці події - це місце, де гума зустрічає дорогу. Буде більше декількох зустрічей різних груп та сесій, що стосуються того, як зробити інфосек привітнішим. У кількох сесіях розглядаються питання депресії та ПТСР у хакерській спільноті, тема, яку не часто обговорюють.



Як зламати електростанцію (або очисну станцію, або завод, або електромережу)

Більшість хакерів просто збираються швидко заробити гроші, але деякі зловмисники (та національні суб'єкти) мають погляди на більші призи: інфраструктура. Попередні роки бачили сесії про те, як знищити фабрику бульбашками та тактику, як знищити заплутану, замовлену систему, яка складається з більшості промислових комплексів.