Відео: whatsaper ru ÐедеÑÑкие анекдоÑÑ Ð¿Ñо ÐовоÑÐºÑ (Вересень 2024)
Black Hat - це зібрання дослідників безпеки, хакерів та індустрії, які збираються в Лас-Вегасі, щоб зробити три речі: окреслити останні загрози, показати, як можна перемогти хороших хлопців та поганих хлопців та розпочати напади на присутніх. Цього року було багато страшних атак, серед яких одна проти відвідувачів шоу, разом із автокрадами, нові способи викрадання готівки з банкоматів, і чому розумні лампочки можуть бути не настільки безпечними, як ми думали. Але ми також бачили багато причин сподіватися, як навчальні машини для виявлення небезпечних серверів, використовуючи Dungeons і Dragons для навчання співробітників поводженню із загрозами безпеки та як Apple обробляє безпеку вашого iPhone. Все, що було сказано, був дуже гнучким розумом рік.
Добрий
Так, компанія Apple оголосила про програму Black Hat. Але це були лише останні 10 хвилин презентації Івана Крістіка, керівника Apple з питань інженерії та архітектури безпеки. Протягом попередніх 40 хвилин він запропонував безпрецедентне глибоке занурення в те, як Apple захищає пристрої та дані користувачів, як від зловмисників, так і від себе. І так, це означає використання чесного Блендера.
Оскільки пристрої Internet of Things стають все більш популярними, фахівці з безпеки стають все більш заклопотаними. Зрештою, це пристрої з мікрокомп'ютерами, підключеними до мереж і повністю здатними працювати з кодом. Це мрія нападника. Хороша новина - принаймні у випадку системи відтінку Філіпа, створити хробака, щоб перейти з лампочки на лампочку дуже важко. Погані новини? Мабуть, дуже просто підманути системи Hue приєднатися до мережі зловмисників.
Кожне навчання з безпеки у кожному бізнесі включає застереження, що працівники ніколи не повинні клацати посилання в електронних листах з невідомих джерел. І співробітники продовжують придушувати їх натискання незалежно. Доктор Зінаїда Бенесон з університету Ерланген-Нюрнберг зробила висновок, що очікувати, що працівники чинять опір цікавості та іншим мотиваціям, просто нерозумно. Якщо ви хочете, щоб вони були Джеймсом Бондом, вам слід помістити це в опис роботи та оплатити їх відповідно.
Чимало досліджень у галузі безпеки та їх виконання може бути втомлювальним, але нові методи машинного навчання незабаром можуть призвести до більш безпечного Інтернету. Дослідники детально описували свої зусилля в навчанні машин для виявлення серверів управління командами та управліннями ботнетів, які дозволяють поганим хлопцям контролювати сотні тисяч (якщо не мільйони) заражених комп'ютерів. Цей інструмент міг би допомогти утримати кришку такої шкідливої діяльності, але це були не всі важкі дослідження. На завершення сесії дослідники продемонстрували, як системи машинного навчання можуть використовуватися для створення прохідної пісні Тейлора Свіфта.
Хто знає готельну мережу, можливо, буде добре проводити конференцію з постачання домашніх тварин, але не для Black Hat. Конференція має власну повністю окрему мережу та вражаючий Центр мережевих операцій для управління нею. Відвідувачі можуть зазирнути через скляну стіну на безліч світиться екранів, хакерських фільмів та довготривалих експертів з безпеки в НОК, який повністю упаковується і рухається по всьому світу на наступну конференцію Black Hat.
ІТ-безпека підморгує та хакери з білими капелюшками просто не можуть отримати достатню кількість тренінгів з безпеки, але вони не ті, які їм справді потрібні. Торговий персонал, команда з персоналу та персонал кол-центру не обов'язково розуміють і не оцінюють тренінги з безпеки, і все ж вони вам справді потрібні, щоб активізувати свою безпеку. Дослідник Тіфейн Романд Латапі запропонував переробити навчання з безпеки як рольову гру. Вона виявила, що це повністю працює, і створила значну нову взаємодію між командою безпеки та рештою співробітників. Підземелля та дракони, хтось?
Шахрайський телефонний дзвінок - величезна проблема. Афери ІРС переконують американців, які не підозрюють, роздрібнювати готівку. Скидання пароля обманними фокусними центрами передачі даних про клієнтів. Професор Джудіт Таброн, судовий лінгвіст, проаналізував справжні виклики шахрайства та створив тест у двох частинах, щоб допомогти вам їх помітити. Прочитайте це та дізнайтеся, гаразд? Це проста і гідна техніка.
Страхітливий
Pwnie Express створює пристрої, які відстежують мережевий повітряний простір для будь-якого непередбачуваного, і це теж непогано, оскільки компанія виявила масштабну атаку "Людина в середині" на Black Hat цього року. У цьому випадку зловмисна точка доступу змінила свій SSID, щоб змусити телефони та пристрої приєднуватися до мережі, вважаючи це безпечною, доброзичливою мережею, яку пристрій бачив раніше. Роблячи це, нападники обдурили близько 35000 людей. Хоча це чудово, що компанія змогла помітити напад, той факт, що він настільки масований, нагадує, наскільки успішними можуть бути ці атаки.
Минулого року Чарлі Міллер та Кріс Валасек презентували те, що багато хто вважав, що є вершиною їхньої кар'єри. Цього року вони повернулися з ще сміливішими атаками, які здатні застосувати гальмо чи набій управління кермом, коли машина рухається з будь-якою швидкістю. Попередні атаки могли бути здійснені лише тоді, коли автомобіль їде з швидкістю 5 м / ч або нижче. Ці нові атаки можуть становити велику небезпеку для водіїв, і, сподіваємось, вони швидко зафіксують виробників авто. Зі свого боку, Валасек та Міллер заявили, що вони роблять злом автомобілів, але закликали інших йти слідами.
Якщо ви спостерігаєте за містером Роботом, то знаєте, що заразити комп’ютер жертви можна, ввівши накопичувачі USB навколо стоянки. Але чи справді це працює? Елі Бурштейн, керівник наукових досліджень щодо боротьби з шахрайством та зловживаннями в Google, виступила з розмовою на цю тему у двох частинах. Перша частина детально описувала дослідження, яке чітко показало, що воно працює (а парковки краще, ніж передпокої). Друга частина докладно пояснила, як саме побудувати USB-накопичувач, який би повністю зайняв будь-який комп'ютер. Ви робили нотатки?
Безпілотники були гарячим предметом минулого святкового сезону покупок, і, можливо, не лише для вундеркіндів. Презентація показала, як DJI Phantom 4 можна використовувати для заклинювання промислових бездротових мереж, шпигують за працівниками тощо. Хитрість полягає в тому, що багато критичних, промислових сайтів використовують те, що називається "повітряний проміжок" для захисту чутливих комп'ютерів. В основному це мережі та пристрої, які ізольовані від зовнішнього Інтернету. Але маленькі маневрені дрони можуть замість них принести Інтернет.
Машинне навчання спричинене революцією в численних галузях технологій, і це включає шахраїв. Дослідники Black Hat продемонстрували, як машини також можуть бути навчені виробляти високоефективні повідомлення про фішинг. Їх інструмент визначає цілі з високою цінністю, а потім перебирає твіти жертви, щоб скласти повідомлення, яке є релевантним і непереборно клікабельним. Команда не поширювала нічого шкідливого зі своїм спамом-ботом, але не важко уявити аферистів, які застосовують ці методи.
Ви очікуєте безкоштовного Wi-Fi в готелі, і, можливо, ви будете досить кмітливі, щоб зрозуміти, що це не обов'язково безпечно. Але Airbnb або інша короткострокова оренда, безпека потенційно може мати найгірший захист коли-небудь. Чому? Оскільки гості перед вами мали фізичний доступ до маршрутизатора, це означає, що вони могли ним повністю володіти. Джеремі Галлоуей детально розповідає, що може зробити хакер (це погано!), Що можна зробити, щоб залишатися в безпеці, і що власник майна може зробити для стримування таких атак. Це проблема, яка не минає.
В одному з найбільш всеосяжних переговорів у Black Hat старший пентестер Rapid7 Ветон Хекер продемонстрував, що може бути новою моделлю шахрайства. Його бачення включає велику мережу компрометованих банкоматів, торгових машин (наприклад, у продуктовому магазині) та бензонасосів. Вони могли вкрасти платіжну інформацію жертви в режимі реального часу, а потім швидко ввести їх за допомогою моторизованого PIN-коду. Розмова закінчилася грошовими коштами на банкоматах та баченням майбутнього, коли шахраї купують не інформацію про кредитні картки фізичних осіб, а доступ до масивної мережі афери платежів у реальному часі.
Це була не єдина презентація Black Hat, яка детально описувала напади на платіжні системи. Інша група дослідників показала, як за допомогою Raspberry Pi та доклавши трохи зусиль, вони змогли перехоплювати oodles особистої інформації від транзакцій з чіп-картками. Це особливо примітно не тільки тому, що чіпові карти (карти AKA EMV) вважаються більш безпечними, ніж карти magswipe, а й тому, що США тільки почали розкручувати чіп-карти на внутрішньому рівні.
Наступний рік принесе нові дослідження, нові хаки та нові атаки. Але Black Hat 2016 задав тон за рік, показавши, що робота хакера (будь то білокрила чи чорносота) ніколи насправді не робиться. Тепер, якщо ви пробачте нас, ми збираємося подрібнити наші кредитні картки та поїхати жити до Клітки Фарадея в лісі.
