10 פיגועי האק הכי מפחידים מכובע שחור 2014

השנה הייתה הכובע השחור יומיים עזים של תדריכים, שכן חוקרי אבטחה הדגימו כמה קל לפרוץ למכוניות, תרמוסטטים, תקשורת לוויינית ומלונות. במקביל, היו המון שיחות כיצד להרגיע את הבטיחות. עשר הצעות המדיניות מנאום המסמך המרכזי של דן גייר התמקדו בהפיכת העולם למקום טוב יותר על ידי שיפור הגישה שלנו לאבטחת מידע. בין הבעיות בהן התמודדה היו מרוץ זרועות הפגיעות הנוכחי, תוכנה מיושנת והצורך להתייחס לאבטחת מידע כמקצוע. כולנו התרחקנו וראשינו שוחים עם עובדות, רעיונות חדשים, ובעיקר דאגות. כל כך הרבה חששות.

אחד הדברים שתמיד תוכלו לסמוך עליהם בכובע השחור הוא לשמוע על פגיעויות בדברים שלא חשבתם אפילו שיכולים להיות תחת מתקפה. זה מרגיע לדעת שההפגנות הללו אקדמיות בעיקרן, וכי הנושאים האלה לא מנוצלים כרגע בטבע. אבל באותה מידה, זה מפחיד להבין שאם המגישים של Black Hat מצאו את הפגמים, מי יאמר שמישהו אחר עם כוונות זדוניות בהרבה (ואולי מימון טוב יותר) לא - או לא?

קחו בחשבון זאת: שמענו על פריצת כספומטים בכובע השחור לפני שלוש שנים, ופושעים החלו סוף סוף לבזבז כספומטים באירופה בדיוק השנה. השנה היו לפחות שלושה מפגשים בנושא כיצד ניתן לפרוץ מסופי נקודת מכירה לכרטיסי שבב ו- PIN. אם לא נקשיב ולאבטח את תשתית התשלומים שלנו, בעוד שלוש שנים, האם נראה עוד הפרה של פרופורציות כמו יעד באמצעות כרטיסי שבב ו- PIN? זו מחשבה מפחידה באמת.

הכובע השחור של 2014 אולי נגמר, אבל נדבר על הדברים המזעזעים שראינו שם די הרבה זמן. אני מקווה שזה יהיה כשיעורים שהובילו לפתרונות מיושמים, ולא כהחמצות שהובילו לפשעים נוראים.

להלן ביקורת הביטחון על הדברים שראינו בכובע השחור שישאירו אותנו בלילה.

1 1. אינטרנט של כישלונות

הגנת המחשב או הטלפון שלך די קלה; פשוט עקוב אחר כמה טיפים לשכל הישר והתקן תוכנת אבטחה וכדאי לך ללכת. אבל מה עם האינטרנט של הדברים? בפגישה אחר מפגש הראו החוקרים כי נגישים בקלות למכשירים קריטיים המחוברים לאינטרנט. הצוות שפרץ את התרמוסטט החכם של קן הוריד את ההתקפה שלהם ל -15 שניות, וכעת הם עובדים קשה במתקפה מעל האוויר. בילי ריוס מצא סיסמאות ברירת מחדל המקודדות למכונות הסריקה המוטלות לשימוש במחסומי TSA ברחבי הארץ. אנו עדיין נדהמים מההאקר של 15 השניות.

• 2 2. פריצת מטוסים, אוניות ועוד!

  בנושא דלתות אחוריות, גם המכשירים שאוניות, מטוסים, עיתונאים ואולי הצבא מסתמכים עליהם לתקשר אינם מאובטחים כמו שחשבנו. רובן סנטמרטה של ​​IOActive הדגים כי לרבות ממערכות אלה יש דלתות אחוריות, לכאורה לצורך תחזוקה או שחזור סיסמא. למרות שכביכול כמה מהדלתות האחוריות היו מאובטחות, הוא הצליח לעקוף את אמצעי ההגנה. ההתקפה שפגעה קרוב לבית הייתה, באופן לא מפתיע, טענתו של סנטמרטה שהוא יכול לפרוץ מטוסים באמצעות Wi-Fi נטול זיקה. הוא היה ברור שזה לא יאפשר לו "להתרסק מטוסים", אך הוא גם ציין כי תקשורת ביקורתית עוברת באותה מערכת זו. בשיחתו הוא פרץ משואת מצוקה ימית כדי להציג מכונת חריץ וידאו במקום SOS. קחו למשל את אותו סוג של גרזן במטוס הג'מבו שלכם, ותקבלו את הרעיון עד כמה זה מדאיג.



3. גניבת סיסמאות באמצעות Google Glass, שעונים חכמים, טלפונים חכמים ומצלמות וידיאו

ישנן דרכים רבות לגנוב סיסמא, אולם גישה רומן אחת מאפשרת לרעים (או סוכנות ממשלתית) להבחין בהקלות שלך מבלי לראות את המסך שלך או להתקין תוכנות זדוניות. מגיש אחד ב- Black Hat הציג את המערכת החדשה שלו שקוראת אוטומטית סיסמאות ברמת דיוק של 90 אחוז. זה עובד אפילו כשהיעד נמצא ברמת הרחוב והתוקף ארבע קומות למעלה ומעבר לרחוב. השיטה עובדת בצורה הטובה ביותר עם מצלמות וידיאו דיגיטליות, אך הצוות מצא כי ניתן להשתמש בסמארטפונים, בשעונים חכמים ואפילו בגוגל גלאס בכדי לצלם וידיאו שמיש בטווח הקצר. חורים, אכן!

תמונה באמצעות משתמש פליקר טד איתן



4. שכח את MasterKey, פגש מזהה מזויף

ג'ף פורריסל סובב את ראשו בשנה שעברה כאשר חשף את הפגיעות שנקראה MasterKey שעלולה לאפשר לאפליקציות זדוניות לעבור מעצמן כלגיטימיות. השנה הוא חזר עם Fake ID שמנצל את הפגמים הבסיסיים בארכיטקטורת האבטחה של אנדרואיד. באופן ספציפי, כיצד אפליקציות חותמות על אישורים וכיצד Android מעבד את האישורים הללו. התוצאה המעשית היא שאפליקציה זדונית אחת שאינה דורשת הרשאות מיוחדות, פורליסט הצליחה להזרים קוד זדוני לחמש אפליקציות לגיטימיות בטלפון. משם הייתה לו גישה עמוקה ותובנה לגבי מה שעוסק הטלפון הנגוע.

תמונה באמצעות משתמש פליקר JD Hancock



5. USB רשע עלול להשתלט על המחשב האישי שלך

שמעת שכונני USB יכולים להיות מסוכנים אם לא תשבית את ההפעלה האוטומטית. האיום האחרון מבוסס USB הוא גרוע בהרבה. על ידי פריצת קושחת כונן USB, זוג חוקרים ניהלו מגוון רחב של פריצות במכונות חלונות ולינוקס, כולל המקבילה לנגיף מגזר האתחול. כונן ה- USB הגימוני שלהם הדמה מקלדת USB ופיקד על מערכת בדיקה אחת להוריד תוכנות זדוניות. הוא הציע רכזת Ethernet מזויפת במבחן אחר, כך שכאשר הקורבן ביקר ב- PayPal בדפדפן הוא הלך למעשה לאתר גניבת סיסמה של PayPal. זה לא היה תרגיל תיאורטי גרידא; הם הדגימו פריצות אלה ואחרות על הבמה. לעולם לא נראה שוב מכשיר USB באותה דרך!

תמונה באמצעות משתמש פליקר ווינדל אוסקיי



6 6. האם יש לו רדיו? בואו לפרוץ את זה!

רדיו אולי נראה כמו טכנולוגיה מיושנת בעידן האינטרנט, אך זו עדיין הדרך הטובה ביותר עבור מכשירים כמו צגי תינוקות, מערכות אבטחה ביתיות ומתחילי רכב מרוחקים להעברת מידע באופן אלחוטי. וזה הופך אותו למטרה ראשונה עבור האקרים. באחת השיחות הראה סילביו צ'זארה כיצד הביס את כל אלה בתורו באמצעות רדיו מוגדר על ידי תוכנה וקצת להט חובב. הוא לא היה השיחה היחידה ברדיו שהוגדרה על ידי תוכנה. באלינט זייבר סיפר לקהל כיצד הצליח להאזין בכלי הרדאר של התנועה האווירית ולעקוב אחר חפצים הקרובים לגובה הקרקע. לא ממש מפחיד, אבל מאוד מאוד מגניב.

תמונה באמצעות משתמש פליקר מרטין פיש



7. לא נוכל להפסיק תוכנות זדוניות ממשלתיות

שמעת על תולעת Stuxnet בחסות הממשלה, שהחבלה בתוכנית הגרעין של איראן, על הגנרלים הסיניים שתובעת ממשלתנו בגין פריצה ועוד. קצין המחקר הראשי של F-Secure, מיקו היפונן, הזהיר כי תוכנות זדוניות בחסות הממשלה קיימות זמן רב מכפי שאתה מבין ורק יגדל עם הזמן. עם המשאבים של מדינת לאום מאחוריהם, ניתן כמעט לחסום התקפות אלה. שמא תחשוב שממשלתנו לא הייתה מתכופפת כל כך נמוכה, הוא דפדף באוסף של הודעות עבודה על ידי קבלנים צבאיים שחיפש ספציפית תוכנות זדוניות וניצול סופרים.

תמונה באמצעות משתמש Flcikr קווין בורקט



8 8. קורז כרטיסי אשראי אחד

לאחר הפרצות הקמעונאיות של 2013 ו -2014, כולם מדברים על ההפצה הנוכחית של כרטיסי שבב ו- PIN. מתברר כי אלא אם נשנה את אופן פעולת עיבוד התשלומים, אנו פשוט נסחרים קבוצה אחת של בעיות לאחרות. ראינו גם כיצד ניתן להתפשר על מכשירי נקודת מכירה ניידים המטפלים בכרטיסי שבב ו- PIN באמצעות כרטיסים מעוצבים באופן זדוני. התוקפים יכולים פשוט להחליף כרטיס לקורא ולהעמיס טרויאני הקורא מספרי PIN על הקורא עצמו. לאחר מכן, כרטיס נוכל שני מעתיק את הקובץ המכיל את המידע שנקטף. הכרטיס השני יכול אפילו למחוק את הטרויאני, והקמעונאי לעולם לא היה מודע להפרה! די בכך בכדי לגרום לנו לרצות לחזור לחברה מבוססת מזומנים.

תמונה באמצעות משתמש פליקר שון מק'נטיי



9 9. כונן הרשת שלך מרגל עליך

מיקדנו לאחרונה הרבה תשומת לב בנתבים ביתיים ואיך התוקפים מתפשרים עליהם. מסתבר שמכשירי אחסון המחוברים לרשת הם בעייתיים באותה מידה, אם לא ביתר שאת, על פי ג'ייקוב הולקוב ממעריכי אבטחה עצמאיים. הוא בחן מכשירי NAS מעשרה יצרנים - אסוסטור, TRENDnet, QNAP, Seagate, Netgear, D-Link, Lenovo, Buffalo, Western Digital ו- ZyXEL - ומצא נקודות תורפה בכולן. הבעיות הינן פגמים נפוצים, כגון הזרקת פקודה, זיוף בקשות חוצה-אתרים, הצפת מאגר, עקיפות וכישלונות אימות, גילוי מידע, חשבונות לדלת האחורית, ניהול מושבים גרוע ומעבר במדריך. על ידי שילוב של כמה מהבעיות הללו, התוקפים יכולים לקבל שליטה מלאה על המכשירים. מה נמצא ב- NAS שלך?

תמונה באמצעות משתמשי Flickr wonderferret



10 10. התקפות על מכשירים רפואיים: עניין של חיים ומוות

איש בענף אבטחת המידע לא צחק מהידיעה כי הרופאים של סגן הנשיא לשעבר, דיק צ'ייני, מודאגים מכך שקוצב הלב שלו ייפרץ. השולחן העגול המכשור הרפואי ב"כובע השחור "בדק כיצד לאזן בין בריאות המטופל לבין ביטחון. הדבר האחרון שאנחנו רוצים הוא ביטחון שמאט את הבריאות, שם שניות יכולות להיות ההבדל בין חיים למוות, ציין המנחה ג'יי רדקליף. ההבנה המפוכחת שאיננו יכולים פשוט להשתמש בשיטות עבודה מומלצות עם אבטחה תקינה עבור מכשירים רפואיים, עקבה אחרינו ל- DEF CON, שם דנו חוקרים מ- SecMedic בפרויקט שבדק פגיעויות בכל מיני מכשירים, כולל דפיברילטורים . החלק הכי מפחיד? רבים מהליקויים הללו נמצאו תוך שעה תוך שימוש בכלי קוד פתוח. עכשיו אתה באמת לא רוצה ללכת לבית חולים, נכון?

באמצעות משתמש פליקר Phalinn Ooi