Зміст:
- Взуття Джеффа Мосса
- Телефонні телефони
- Ракети для зловмисного програмного забезпечення
- Поширення в програмному забезпеченні
- Не сподівайтеся занадто багато на GPS
- Зовнішній вигляд привидів за допомогою SwapGS
- Індустрія власного значення
- 5G є (здебільшого) безпечним
- Поширений текстом
- Великий боїнг-787 хак-бій 2019 року
- Культ мертвої корови
- Виявлення Deepfakes за допомогою Mouthnet
- Російська розвідка воює з собою
- Зброя Інтернету
- Хто дивиться попередньо встановлені програми?
- Отримайте Пентхаус із зламаним ключем Bluetooth
- Навіть китайським хакерам потрібні бічні гіги
Відео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Вересень 2024)
Сонце в Лас-Вегасі встановило чергову Чорну Шапочку і безліч хакерів, атак та вразливих місць, які вона приносить. Цього року ми мали великі очікування і не були розчаровані. Ми навіть зрідка були здивовані. Ось усі чудові та жахливі речі, які ми побачили.
Взуття Джеффа Мосса
Справжньою зіркою церемоній відкриття став мерехтливе взуття засновника Black Hat Джефф Мосс. Мосс також відомий як Темний дотик, Мосс випустив пару блискучих, мерехтливих кросівок; його "блискучі черевики", як він сказав на сцені. "Якщо лазери вдарять мене як раз, я можу осліпити одного або двох із вас".
Телефонні телефони
Ці телефони виглядають чудово, але вони насправді недорогі підробки з Китаю. Кожна вартість коштує близько 50 доларів США, а додатково завантажуються зловмисним програмним забезпеченням безкоштовно! Помилковий iPhone особливо вражає. Він працює в сильно модифікованій версії Android, яка є мертвим дзвоном для iOS. Він навіть має ретельно зроблений підроблений додаток для компаса, хоч і той, який завжди вказує. Дякуємо Afilias, що показала нам ці дивні пристрої.
Ракети для зловмисного програмного забезпечення
Дослідник безпеки Мікко Гіппонен розмірковував над наслідками того, що кібервійна стала фактичною стріляниною у своїй презентації у "Чорній шапці". Це важливе питання в цю епоху хакерів, які фінансуються державою, і втручання російських виборів. Він також представив аудиторії найкращим способом описати роботу експерта з питань безпеки: "Те, що ми робимо, схоже на тетріс. Коли ти успішний, він зникає. Коли ти накручуєш, він накопичується".
Поширення в програмному забезпеченні
Скільки способів шкідливе програмне забезпечення може заразити інший код? Давайте порахуємо шляхи! Ні, справді, порахуйте їх. Ось що зробили деякі дослідники. Вони очікували знайти кілька способів, але натомість придумали варіації з 20 плюс.
Не сподівайтеся занадто багато на GPS
GPS відмінний; це допомагає вам дістатися туди, куди вам потрібно їхати, і вам більше не потрібно тримати затхлий атлас у вагоні. Але глобальні навігаційні супутникові системи (GNSS), такі як GPS, легко підробляють, і це проблема, якщо ви проектуєте автономний транспортний засіб, який занадто сильно покладається на GNSS. У цій розмові про Чорну Шапочку ми побачили, що страшні, хиткі речі трапляються з автомобілем без водія, коли ви псуєтесь із навігаційними сигналами.
Зовнішній вигляд привидів за допомогою SwapGS
Пам’ятаєте Spectre та Meltdown? Це були великі страхітливі вразливості дослідників, виявлені в процесорах кілька років тому, які тижнями захоплювали заголовки. Зараз дослідники Bitdefender виявили подібну вразливість у всіх сучасних мікросхемах Intel.
Індустрія власного значення
Ви коли-небудь заздрять своєму другові, який незрозуміло має ще тисячі підписників в Instagram? Не будь, тому що вони, ймовірно, їх купили. Але звідки беруться ці фальшиві послідовники, і хто вони насправді? На це питання дослідники GoSecure Масара Пакет-Клустон (на фото) та Олів'є Білодо намагалися відповісти у своїх розмовах про Чорну Шапочку. Вони виявили величезну екосистему реселерів та посередників, побудовану на основі неправдивих IP-адрес та пристроїв IoT, заражених шкідливим програмним забезпеченням. Ці фальшиві лайки не можуть бути варті цього всього.
5G є (здебільшого) безпечним
5G дійсно крутий і дуже швидкий, і в основному вирішувати всі наші проблеми назавжди, включаючи деякі неприємні недоліки в безпеці, які зберігаються в бездротових стандартах. Однак дослідники знайшли кілька унікальних химерностей у 5G, які дозволили їм ідентифікувати пристрої, зменшити їх швидкість в Інтернеті та вирядити акумулятор пристроїв IoT.
Поширений текстом
Раз і знову ви побачите історію про охоронну компанію чи уряд, яка має надто секретну вразливість iPhone, яку вона використовує для такої неприємної діяльності. Один дослідник безпеки Google задумався, чи можуть такі речі дійсно існувати, і виявив 10 помилок у процесі. Врешті-решт, вона та її колега змогли витягти файли та частково захопити контроль над iPhone лише надсилаючи йому текстові повідомлення.
Великий боїнг-787 хак-бій 2019 року
Презентатори Black Hat не завжди мають затишні стосунки з компаніями та організаціями, які вони досліджують, в цьому році, коли Рубен Сантамарта розкрив свої потенційні атаки на мережу Boeing 787. Він вважає, що можна дістатися до чутливих систем через різноманітні вхідні точки, але Боїнг каже, що це все хибно. Важко сказати, кому вірити в цю казку, але Макс Едді зазначає, що Сантамарта повністю показав свою роботу.
Культ мертвої корови
Хто б написав книгу про хлопців, які були знаменитими 20 років тому? Джо Менн, журналіст і автор, ось хто. Його книга має назву « Культ мертвої корови: як оригінальна хакерська супергрупа може просто врятувати світ» . Група раніше була напіванонімною, йшла за ручками, як Deth Veggie, Dildog та Mudge. З виходом книги вони вперше заговорили у Black Hat під своїми справжніми іменами. Ніл ще не читав цього, але група, безумовно, розгойдувала цю Чорну Шапочку; він стикався з ними три дні поспіль.
У вівторок ввечері він заскочив у кабіну з групою перед собою, яка виявилася Детом Веггі та бандою. У середу Ніл потрапив на панель обідів, що приймає лише запрошення, на якій представлені Дет Веггі, автор Джо Менн, Dug Song of Duo Security та Хізер Едкінс, в даний час старший директор служби безпеки Google. Джо взяв інтерв'ю у Мудж, Ділдога та Дета Веггі, і це було дуже радісно.
Кавалькад геніальних хакерів пройшов через цю групу. Більшість зараз працюють із охоронними компаніями чи державними установами. Один навіть балотується в президенти. Ніл з нетерпінням чекає читання історії цієї натхненної купки хактивістів.
Виявлення Deepfakes за допомогою Mouthnet
Ніхто не використовував глубоке відео, щоб спробувати заробити громадську думку. Ми думаємо. Але Метт Прайс і Марк Прайс (не має відношення) думають, що це може статися в будь-який час. Ось чому вони вирішили вивчити, як створюються глибокі фейки, як їх можна виявити та як їх краще виявити. На цьому останньому моменті вони створили інструмент, який дивиться в рот, щоб спробувати підробити підробки. Це працювало трохи краще, ніж 50 відсотків часу, що, сподіваємось, є корисним для майбутнього.
Якщо Mouthnet не врятує нас, можливо, миші можуть! Дослідники дивляться, як навчені миші розрізняють різні мовленнєві схеми. Їх маленькі мізки можуть стати ключем до виявлення відео з глубоких фейків, сподіваємось, перш ніж ретельно випущене фальшиве відео спричинить справжню шкоду. (ALEXANDRA ROBINSON / AFP / Getty Images)
Російська розвідка воює з собою
Коли ми говоримо про російське втручання у вибори чи російські ферми тролів, ми припускаємо, що розвідувальні органи "Матері Росія" перебувають у замку та діють як частина єдиного хитрого плану. На думку одного з дослідників, це не могло бути далі від істини. Швидше за все, Росія має алфавітний суп спецслужб, що борються за ресурси та престиж і повністю готові грати брудно, щоб вийти вперед. Іноді наслідки страшні.
Зброя Інтернету
У ході сесії про російську Темну павутину дослідники вивчали, як останні російські закони ускладнюють діяльність поліції в цій країні. Зараз Росія будує своєрідний внутрішній Інтернет, покликаний функціонувати навіть при відключенні від міжнародної мережі. Це має "ненавмисний" наслідок - це набагато складніше потрапляти на російські сайти, які здійснюють нелегальну діяльність.
Хто дивиться попередньо встановлені програми?
Ніхто не любить зловмисне програмне забезпечення, але хто гарантує, що попередньо встановлені додатки не є вовками, загорнутими у маскуючі маскування? Відповідь - Google. Старший інженер з безпеки Медді Стоун розповіла про проблеми виявлення шкідливих програм серед попередньо встановлених програм. Одна проблема: попередньо встановлені додатки мають більш високі привілеї та дивну поведінку через попередню інсталяцію, що робить пошук небезпечних зайвим.
Отримайте Пентхаус із зламаним ключем Bluetooth
Блоки із підтримкою Bluetooth, які ви відкриваєте за допомогою програми, мають бути більш безпечними, ніж нудні металеві штифти та перемикачі, правда? Не в Чорному капелюсі. Маючи трохи ноу-хау та трохи недорогих апаратних засобів, двоє дослідників змогли відкрити двері та витягти всіляку корисну інформацію. Можливо, нам варто просто приклеїти ключі скелета.
Навіть китайським хакерам потрібні бічні гіги
Скажімо, ви хакер, і ви заробляєте непогані гроші, працюючи на місцеву владу. Що заважає вам зайнятись місячним світлом і заробити трохи додаткових грошей, скажімо, проникнувши в ланцюжок поставок для розробників відеоігор? Мабуть, нічого, якщо вірити дослідженням FireEye. Враховуючи, що хакери, про які йдеться, працюють урядом Китаю, трохи дивно, коли група збагачується на стороні. Це може бути перше дослідження безпеки, яке вчинило хакеру проблеми з їхнім начальником.
