Відео: When I try to make fan art of black hat (Листопад 2024)
ГОЛОВНЕ ВСІ ФОТО В ГАЛЕРЕЇ
Оскільки дані порушують частину типового циклу новин, а Едвард Сноуден зараз є домашньою назвою, широка громадськість має глибокий інтерес до цифрової безпеки. А найбільше шоу наступальної безпеки - це Чорна Шапочка, конференція, на якій хакери потирають лікті промисловими та урядовими діячами, щоб показати останні хаки, напади та вразливості.
Зламати все
Раніше це були лише комп’ютери, підключені до Інтернету. На сьогоднішній день у кожного є принаймні один підключений пристрій (телефон чи планшет). Всі ми звикли до необхідності антивірусного та захисного програмного забезпечення на ПК, але велика кількість споживачів просто не може обернути голову навколо потреби в мобільному захисті та антивірусному програмному забезпеченні. Хоча настільні та сервери все ще є бажаною мішенню для хакерів у Black Hat, мобільні пристрої стають все більшою і більшою частиною шоу.
Один сеанс Black Hat описує нову методику отримання кореневого доступу до будь-якого пристрою Android. Інша розшириться щодо вже оприлюдненого експлуатування Stagefright, який може дозволити зловмисникам зламати ваш телефон текстовим повідомленням. Смартфони протягом багатьох років представляють особливий інтерес для хакерів через всю їх повсюдність і через те, що вони поєднують мобільний комп'ютер з кількома бездротовими радіостанціями. Насправді мережеві можливості телефонів часом цікавіші, ніж сам телефон. Один сеанс підняття брів у Black Hat пропонує використовувати старий функціональний телефон для збору електромагнітної інформації на сусідніх комп'ютерах.
Погіршується. Інтернет є всьому у ці дні: машини, дверні замки, холодильники, навіть лампочки. І багато постачальників у цьому новому віці Internet of Things не замислюються про безпеку. Минулого року розумні хакери показали, як за лічені секунди взяти під контроль термостат Nest. Вони використовували зламаний пристрій для запуску анімованих фонів, але інші атаки можуть бути не такими приємними.
Можна вбудувати безпеку в мікропрограмне забезпечення, але ця практика ще не є загальною. Щонайменше дві презентації в Black Hat продемонструють методики управління контролем автомобіля, який працює в Інтернеті. Ще одна вказує на вразливості в Інтернет-програмованих логічних контролерах (PLC), які використовуються на заводах. Серед інших жертв - зчитувач кредитних карток Square, бензонасоси та навіть гвинтівка, що працює на Linux. Інтелектуальні картки та теги для введення RFID, безконтактні платіжні термінали NFC, SIM-картки - всі ці технології створені штучно, а значить, і недосконалі. Експерти з питань безпеки представлять свої відкриття щодо вразливості у всіх цих сферах.
Чорна Шапочка - це те, де почуття розчулення є нормою, а бути параноїком - це надбання. Де б ще не взяли на себе зловмисне програмне забезпечення Mac OS X, шахрайські фемтоелементи та атаки, спрямовані на супутниковий зв’язок? Незважаючи на те, що існує більше сеансів, присвячених мобільному та Інтернету речей, Black Hat залишається місцем для вивчення вразливих місць на нульовий день. І цього року будуть розкриті 32 різні нульові дні за різними технологіями, включаючи мобільні та промислові системи управління, розповів eWEEK генеральний менеджер Black Hat Стів Вілі.
Наземні пристрої - не єдині цілі. Минулого року ми побачили вражаючі хаки авіа- та супутникового зв'язку. В одній демонстрації дослідник взяв під контроль супутникове радіо та перетворив його на ігровий автомат.
До Black Hat 2015 авіаперевезення авіакомпанії знову були в новинах, а ведучі обіцяють напади, зосереджені також на супутниках. Хоча напади на повсякденні розумні пристрої викликають велике занепокоєння у майбутньому, дорогі та найважливіші частини цифрової інфраструктури зараз перебувають на орбіті, і вони також можуть бути під загрозою.
Вітрина арсеналу інструментів безпеки, як правило, не викликає уваги (або натовпу) сценічних презентацій, але вона пропонує зазирнути в дивовижні інструменти: Рамка SpeedPhishing, щоб включити можливості фішингу електронної пошти як частина тесту на проникнення, тестове середовище від OWASP, попередньо заповнене вразливими програмами, і спосіб перегляду шкідливих навантажень у файлах PDF. Час оновити цей інструментарій безпеки!
Поза Кібер
Спільнота прихильників безпеки та прихильників значно зросла за останні роки. Це набагато професійніше, і якщо цьогорічна Чорна Шапочка є будь-якою ознакою, набагато більше політичної. Це може бути лише питанням поточних подій - кібербезпека - це врешті-решт тема на Капітолійському пагорбі - або це може відображати зростаючий потяг громади до активізму та підвищення обізнаності. У нас є засідання уряду, в тому числі Акшан Солтані, головний технолог Федеральної комісії з торгівлі, та Леонард Бейлі з Міністерства юстиції.
Але досі є багато антиурядових настроїв, наприклад, сесія з критикою методів FTC щодо регулювання кібербезпеки, огляд портфоліо інструментів Національного агентства безпеки та панельна дискусія щодо домовленості Вассенаар, міжнародного договору, який регулює конвенціональні та кіберзброя.
- Віддалене злому автомобіля зараз реальність Віддалене злому автомобіля зараз реальність
- Щодо «Stagefright» ти (майже) нічого не можеш зробити, то з «Stagefright» ти нічого не можеш зробити
- Смарт-снайперська гвинтівка, вразлива для хакі Разумна снайперська гвинтівка, вразлива для хаків
Хоча витоки Едварда Сноудена показали, наскільки насправді відкрита наша сучасна інформаційна культура, його відкриття, здається, помітно відсутні у цьогорічних панелях та дискусіях. Лише один сеанс, оформлений як дискусія, безпосередньо стосуватиметься цього питання. Це означає, що Сноуден був спалахом у сковороді? Далеко від цього. Сесії будуть охоплювати зловмисне програмне забезпечення та кібер-зброю національних держав, призначені для нападу на інфраструктуру. Ці сесії можуть статися навіть у тому випадку, якщо Сноуден мовчав, але його витоки додають великої актуальності цим темам.
Стільки, як Black Hat є майданчиком для прояву хакерів, саме там уряд, промисловість та люди діляться ідеями, що формують цифрову безпеку. І хоча деякі відкриття, які дебютують у Black Hat, можуть просто захоплювати заголовки, інші можуть спонукати компанії та приватних осіб до більш ретельного продумування цифрового світу, у якому вони хочуть жити.