15 הדברים הכי מפחידים בכובע שחור 2015

4 גניבת קבצים מהענן

שירותי אחסון בענן כמו Dropbox ו- Google Drive הפכו במהרה לכלים חיוניים לביצוע העבודה. לכן התקפה חדשה של חוקרי אימפרבה שיכולה לגנוב את כל הקבצים מהענן כל כך מצמררת. מה שגרוע יותר הוא שאימפרבה אומרת שההתקפה אינה ניתנת לגילוי על ידי הגנות היקפיות וכלים מסורתיים של אבטחת נקודות קצה.

החלק החכם במתקפה זו הוא הימנעות מהבעיות הכרוכות בגניבה של אישורי הקורבן הפוטנציאלי או פגיעה במצע הענן עצמו. במקום זאת, התוקף מכשיל את הקורבן להתקין תוכנות זדוניות המפנות מחדש את העותק המאוחסן באופן מקומי של קבצי ענן לשרת אחר, אליו המחשב שלך משמח בשמחה את כל הקבצים החשובים שלך.

5 ניצול שליטה בטלפון אנדרואיד שלך

סוסים טרויאנים עם גישה מרחוק, או RATS, מאפשרים לתוקף לגשת מרחוק לטלפון או למחשב שלך כאילו הם יושבים מולו. הם יכולים לראות את מה שאתה רואה, ואפילו לצלם תמונות, להאזין למיקרופון או לצלם וידאו מבלי שאתה יודע. זה מהסוג הנפוץ ביותר של תוכנות זדוניות, והחוקרים אומרים שהם מצאו דרך להשיג גישה מסוג זה במיליוני מכשירי אנדרואיד.

הבעיה היא שכמה יצרני אנדרואיד כוללים תוספים מיוחדים שבדרך כלל יושבים רדומים עד ששירות תמיכה מרחוק כמו LogMeIn או TeamViewer יוצר קשר. ואז הפלאגין נדלק ומאפשר לחברה לגשת למכשיר האנדרואיד כאילו סוכן התמיכה בו הוא משתמש בטלפון. חוקרי צ'ק פוינט אוהד בוברוב ואבי בשן גילו כיצד להשתמש בתוספים האלה לרוע, ומאפשרים להם להשתלט על טלפונים אנדרואיד. החלק הכי גרוע? מכיוון שהתוספים האלה מותקנים על ידי היצרנים, אין שום דבר שאתה יכול לעשות כדי להגן על עצמך.

6 Stagefright גונב את ההצגה

נחשף לפני הכובע השחור על ידי חוקר הצימפריום ג'וש דרייק, Stagefright הוא הפגיעות החדשה, הגדולה והמפחידה באנדרואיד. כמה גדול? מעריכים כי הדבר ישפיע על 95 אחוז מכל מכשירי אנדרואיד. כמה מפחיד? דרייק הראה שהוא מסוגל לגרום לטלפונים של אנדרואיד לבצע קוד רק על ידי שליחת הודעת טקסט. יחד עם התקפה מהסוג הנכון, זה יכול להיות הרסני.

דרייק היה ליד הכובע השחור כדי לדבר על Stagefright, מאיפה זה מגיע, ומה שהוא גילה בזמן שהוא חקר אותו. שיא גדול היה כי בסיס הקוד של אנדרואיד הוא עצום ומעניק תשומת לב רבה יותר. "זה כנראה לא הקוד היחיד שנכתב בחיפזון", אמר דרייק.

בהשתתפות גם כובע שחור היה ראש אבטחת אנדרואיד של גוגל, אדריאן לודוויג (בתמונה למעלה). הוא הכיר בהיקף Stagefright, אך הודיע ​​כי גוגל ושותפיה מבצעים מאמץ גדול לא פחות להגן על אנדרואיד מפני ניצול Stagefright. לודוויג גם הדגיש את העבודה שגוגל כבר עשתה כדי לשמור על אנדרואיד. אל מול התקפות רבות, אמר כי אנדרואיד עדיין חזקה.

7 פריצת רובה מופעל על ידי לינוקס

די בקרוב, האינטרנט של הדברים יהיה סביבנו. למעשה, זה כבר (מסתכל על הטלוויזיות והנתבים החכמים שלך!). אבל יש כמה מקומות שבהם הטכנולוגיה המחוברת לאינטרנט רק התחילה לבצע דרכים, כמו כלי נשק. רונה סנדוויק והחוקר המשותף שלה, מייקל אוגר, קנו, קרעו ופרצו בהצלחה רובה חכם של Tracking Point. בנסיבות רגילות, הרובה הזה עוזר לכם להכות את חותמכם בכל פעם מחדש. תחת שליטת האקר, ניתן לנעול אותו, להחמיץ יעדים ולהביא לפגיעה ביעדים אחרים.

דבר אחד שהיה ברור מעבודתם של סנדוויק ואוג'ר היה כי פריצת רובה לא הייתה קלה. הם לקחו זמן להצביע על הדברים הרבים שנקודת המעקב עשתה נכון, ולהציע הצעות לתעשייה כיצד הם יכולים לשפר מכשירי IOT. אולי פריצה של הרובה הזה תוביל יום אחד לעולם עם טוסטרים בטוחים יותר.

8 האקרים יכולים לפרוץ את הבית המחובר שלך לרווחה

מערכת האוטומציה הביתית של ZigBee מאפשרת לך לשלוט בקלות על מנעולי הדלתות, האורות והתרמוסטט שלך, אך יתכן שהיא גם מרחיבה את השליטה גם להאקרים. במצגת דרמטית הדגימו החוקרים טוביאס זילנר וסבסטיאן סטרובל כיצד הם יכולים להשתלט על מערכות מבוססות זיגבי.

נראה כי התקלה אינה מוטלת על ZigBee אלא על הספקים המשתמשים במערכת התקשורת שלה. ZigBee מציעה כלי אבטחה רבים כדי להבטיח שרק האנשים הנכונים מדברים עם מכשירים. אבל הספקים פשוט לא משתמשים בכלים אלה, אלא מסתמכים על מערכת גיבוי פחות מאובטחת. למרבה המזל, מדובר בהתקפה מטריפה לסגת אך יצרני המכשירים צריכים להגביר את המשחק הקולקטיבי שלהם.

9 כמה בטוח טביעת האצבע שלך?

יותר ויותר מכשירים ניידים כוללים חיישני טביעות אצבע, ובעתיד אנו יכולים לצפות גם לסוגים אקזוטיים יותר של אימות ביומטרי. אך יתכן ונתוני טביעות האצבע שלך לא יאוחסנו בבטחה בטלפון שלך, והקורא עצמו יכול להיות מותקף על ידי האקר. חוקרי FireEye, טאו וויי ויולונג ג'אנג, הציגו ארבעה פיגועים שיכולים לגנוב את נתוני טביעות האצבע שלך. זה לא עניין גדול מדי, בתנאי שלא נגמר לך האצבעות.

מבין ארבע הפיגועים שגאנג הציג, שניים היו מעניינים במיוחד. הראשון הראה כיצד, עם הכלים הנכונים, תוקף יכול פשוט לזייף מסך נעילה כדי להערים את הקורבן לסחוב את אצבעו על הסורק. פשוט! התקפה נוספת ומסובכת בהרבה עלולה לגשת לנתונים מסורק טביעות האצבע מבלי שתצטרך לפרוץ לקטע TrustZone המאובטח של מכשיר אנדרואיד. אף על פי שהפגיעויות שג'אנג ווי וויי נמצאו טופלות, סביר להניח שיש עוד הרבה כאלה שטרם התגלו. (תמונה )

10 פריצת מפעל כימי קשה באמת

באחת המצגות המורכבות ביותר ב"כובע השחור ", מרינה קרוטופיל תיארה כיצד התוקפים יכולים להביא מפעל כימי על ברכיו לשם הכיף והרווח. ובכן, בעיקר רווח. התהליך מלא באתגרים ייחודיים שהגדול שבהם הוא להבין כיצד להבין את פעולתו הפנימית המורכבת של מפעל, שם גזים ונוזלים נעים בדרכים מוזרות שלא ניתן לעקוב אחריהם בקלות על ידי מכשירים אלקטרוניים העומדים לרשות האקרים. ואז צריך להתמודד עם הפיזיקה המציקה של מפעל. הורד את לחץ המים יתר על המידה והחומצה עשויה להגיע לטמפרטורה קריטית, ותשומת לב להתקפה שלך.

החלק המפחיד ביותר במצגתו של קרוטופיל היה ללא ספק העובדה שהאקרים כבר סחטו בהצלחה כסף מכלי שירות ומפעלים בעבר, אך מידע זה לא היה זמין לחוקרים. (תמונה )

האגודה המאובטחת העתידית

במהלך נאומה המרכזי שלה, תיארה עורכת הדין המהוללת ג'ניפר גרניק כיצד אתוס האקרים של קידום חברתי באמצעות טכנולוגיה אבד לשאננות, שליטת הממשלה ואינטרסים של חברות. החלום, היא אמרה, של אינטרנט חופשי ופתוח שהפך את הידע והתקשורת לחלק ושחיקה בגזענות, קלאסיזם ואפליה מגדרית מעולם לא התגשמה ונמוגה במהירות.

היא תיארה את החשש שלה שטכנולוגיית המידע תיצור עולם שבו נעשה שימוש בניתוח נתונים לכל דבר. זה יחזק את מבני הכוח הקיימים, אמרה, ופוגע במקרים הכי שוליים. היא גם הזהירה מפני ממשלות שמשתמשות בביטחון כדרך להקרין כוח, ליצירת חניכי ביטחון ותמונות ביטחון. דברים מפחידים.

כיצד לא להיעצר

אחד הישיבות המדוברות ביותר בקרב משתתפי הכובע השחור היה אחד שהתארח על ידי משרד המשפטים. לאדם הממוצע זה נשמע כנראה משעמם, אך הפגישה התוססת הזו ביקשה לחנך את הקהל ולהסביר כיצד האקרים יכולים להמשיך בעבודתם מבלי לפגוע בחוק.

לאונרד ביילי, היועץ המיוחד של DOJ לביטחון לאומי במחלקת פשיעה וקניין רוחני של הסוכנות, הסביר למשתתפים כיצד הם יכולים לבצע סריקות פגיעות ובדיקות חדירה בבטחה. אך מה שחשוב יותר הוא המאמצים של ה- DOJ לוודא כי לאכיפת החוק אין השפעה מצמררת על מחקרי האבטחה.

13 תוקפים ברשת

אל תבטח ברשת Black Hat. יש הרבה אנשים ברחבי הרשת ורבים מהמשתתפים מנצלים את ההזדמנות כדי לנסות טריקים וטכניקות חדשות שלמדו במהלך השבוע. פורטינט ניהל השנה את מרכז פעולות האבטחה של Black Hat ומעקב אחר כל הפעילות הן ברשתות החוטיות והן ברשתות האלחוטיות באתר. אמנם היו הרבה מסכים המראים אילו יישומים פועלים, אך עיקר הניתוח בוצע על ידי צוות מתנדבי כל אנשי מקצוע בתחום האבטחה. כיתה אחת, שלמדה טכניקות התקדמות חדירת רשת מתקדמות, נסחפה מעט, והובילה את ספק שירותי האינטרנט להתקשר לצוות הפעולות כדי לומר להם להפסיק.

14 כיבוי שיחות רובו

זה לא היה בכובע השחור, אלא DEF CON. Humanity Strikes Back היא תחרות FTC ב- DEF CON בה האקרים יצרו תוכנה נגד רובוקול. הרעיון היה ליצור כלי שינתח את שמע השיחה ואם נקבע שהשיחה תהיה רובוקול, לחסום אותו ממשתמש הקצה ולהעביר את השיחה להונוטה. שני מסיימי גמר הדגימו את התוכנה שלהם בדלפק ההקשר במהלך DEF CON, בעוד שרובוט זה הציע בעליז חופשות שייט בחינם אם תלחצו על 1.

כיצד להפוך להאקר

עכשיו כשאתה יודע איך לא להיעצר למחקרי אבטחה, אולי אתה מעוניין להסתובב בכלי פריצה משלך? היכנס לקאלי לינוקס, פלטפורמה הניתנת להתאמה אישית המאפשרת לך ליהנות מכל מיני סוגים של כיף.

Kali Linux נועדה להיות קלה, אך חשוב מכך היא אמורה להיות גמישה. אתה יכול להוסיף או להסיר כלים לבדיקת תוכנה זדונית, בדיקת רשת, בדיקת חדירה - אתה קורא לזה. אתה יכול אפילו להתקין את הכלים ב- Raspberry Pi לבדיקת אבטחה תוך כדי תנועה.