תוכן עניינים:
- 1 גדול וגדול יותר
- 2 קורבן ההצלחה
- 3 אתגר את קהילת הביטחון
- 4 אקדח אולטראסאונד תוקף מל"טים, רחפי רחף
- 5 האם הבועות הן העתיד של פריצה?
- 6 פרסי באגים ובירה
- 7 תקיפת חוות רוח
- 8 Pwnie Express בשמירה
- 9 אל תסמוך על המדפסת שלך
- 10 סופר קוליידר
- 11 פריצת טסלה (שוב)
- 12 פריצה של Apple Pay באינטרנט
- 13 שליטה ברובוטים תעשייתיים מעפר
- 14 מה הלאה?
וִידֵאוֹ: Exame FQA, 2017 1.ª Fase, Grupo I, Questões 1 e 2 (נוֹבֶמבֶּר 2024)
ועידת הכובע השחור מהווה סיכוי לחוקרים, האקרים וכל מי שקרוב לעולם הביטחון להתאסף וללמוד זה מזה. זה שבוע של מפגשים, אימונים, ובהכרח - קבלת החלטות לקויה באזור לאס וגאס הגדולה יותר.
בשנה העשרים שלה, כובע שחור 2017 התחיל בנימה מהורהרת. אלכס סטמוס, ארגון CSO של פייסבוק, הביט לאחור על ימיו הראשונים בכנס. עבורו זה היה מקום להתקבל בו, וללמוד מהקהילה. הוא תגר את אותה קהילה להיות אמפתית יותר, ולהתכונן לדור הבא של האקרים בכך שהוא מברך על גיוון רב יותר.
המפגשים של הכובע השחור היו תמיד המקום לראות דוגמאות מפתיעות ולעיתים מחרידות של מחקרי אבטחה. השנה, ראינו כיצד לשטות בממשק האינטרנט של אפל Pay, כיצד להפיל לוח-רחף באמצעות אולסטראסאונד ולמדנו עד כמה חוות רוח פגיעות יכולות להיות למתקפת סייבר.
בפגישה אחת נראתה שוב שלישיית האקרים של טסלה מודל S, שהציגה פיגועים חדשים. המחקר שלהם בטוח יימשך ככל שרכבים יתחברו יותר. גם יעד האקר גדול? מדפסות.
שיחה מדהימה נוספת הסתכלה על תקיפת תשתיות תעשייתיות. עם שתי התקפות מוצלחות נגד רשת הכוח האוקראינית בשנה שעברה, אבטחת תשתיות קריטיות כמו תחנות כוח ומפעלים היא נושא מרכזי. הפעם, ראינו כיצד בועות - כן, בועות רגילות - יכולות לשמש כמטען זדוני כדי להרוס משאבות יקרות, קריטיות.
אולי ההישג המדהים ביותר בתכנית השנה היה בתחום הקריפטואנליזה. באמצעות טכניקות מתוחכמות הצליח הצוות ליצור את ההתנגשות הראשונה עם חשיש SHA-1. אם אתה לא בטוח מה זה אומר, המשך לקרוא כי זה מגניב מאוד.
אחרי 20 שנה, הכובע השחור הוא עדיין הבמה הבכירה של האקרים. אולם העתיד אינו ודאי. התקפות סייבר של מדינות לאום עברו מלהיות נדיר להתרחשות קבועה, וההימור גדול יותר מתמיד. איך נתמודד עם זה עדיין לא ברור; אולי Black Hat 2018 ימצא את התשובות. עד אז, בדוק כמה מהרגעים היותר מושכי עין מהכובע השחור השנה שלמטה.
1 גדול וגדול יותר
לרגל חגיגות העשרים של התערוכה, נערך המרכזי היה באצטדיון מסיבי במקום רק בחדר ישיבות גדול. המופע צמח בקפיצות מדרגה רק בשנים האחרונות.
2 קורבן ההצלחה
גודש במסדרונות היווה בעיה בתכנית השנה, ומצבים כמו זה לעיל לא היו נדירים.
3 אתגר את קהילת הביטחון
סמנכ"ל המשרד בפייסבוק, אלכס סטמוס, נשא את מפתח התוקף של הכובע השחור ב -2017 בנאום שהיה שיבח חלקים שווים לאווירה המשפחתית של קהילת הביטחון, ואתגר להיטיב. הוא קרא לקהל להיות פחות אליטיסטי, ולהכיר בכך שההימור של הביטחון הדיגיטלי עלה, תוך שהוא מציין את תפקיד הפריצות והתקפות המידע בבחירות בארה"ב 2016.
4 אקדח אולטראסאונד תוקף מל"טים, רחפי רחף
מכשירים משתמשים בחיישנים בכדי להבין את העולם הסובב אותם, אך חלק מהחיישנים הללו נתונים להתעסקות. צוות מחקר אחד הדגים כיצד הם יכולים להשתמש באולטרסאונד בכדי לגרום למזל"טים להתנודד, לרחפות לרחף ולהפיל מערכות VR להסתובב ללא שליטה. ההתקפה מוגבלת לפי שעה, היישומים עשויים להיות מרחיקי לכת.
5 האם הבועות הן העתיד של פריצה?
ככל הנראה לא, אך מרינה קרוטופיל הדגימה כיצד ניתן להשתמש בתקיפת מערכת השסתומים במשאבת מים ליצירת בועות שהפחיתו את היעילות של משאבת המים וגרמו עם הזמן לנזק פיזי וכתוצאה מכך לכישלון המשאבה. עם הצגתה, ניסתה קרוטופיל להדגים שמכשירים חסרי ביטחון, כמו שסתומים, יכולים לתקוף מכשירים מאובטחים, כמו משאבות, באמצעים חדשים. אחרי הכל, אין אנטי-וירוס לבועות.
6 פרסי באגים ובירה
בשנים האחרונות חלה התרחבות של תוכניות לביצועי באג, שבהם חברות משלמות לחוקרים, בודקי חדירה והאקרים שכר מזומן בגין דיווח על באגים. החוקר ג'יימס קטל סיפר לקהל בפגישתו כיצד הרכיב שיטה לבדיקת 50, 000 אתרים בו זמנית. היו לו כמה הפרעות שגויות במהלך הדרך, אך הרוויח יותר מ -30, 000 $ בתהליך. לדבריו, הבוס שלו התעקש בתחילה להוציא כל כסף שהרוויח במאמץ האוטומטי על בירה, אך לאור ההצלחה של קטל, הם בחרו לתרום את הרוב לצדקה ולהוציא רק מעט על בירה.
7 תקיפת חוות רוח
החוקר ג'ייסון סטגס הוביל הערכת אבטחה מקיפה של חוות רוח, שהובילה את צוותו במעלה כמה תחנות כוח מסתובבות בגובה 300 מטרים. לא רק שהאבטחה הגופנית הייתה חלשה (לפעמים, רק מנעול), אלא שהאבטחה הדיגיטלית הייתה אפילו חלשה יותר. צוותו פיתח מספר פיגועים שיכולים להחזיק כופר בחוות הרוח ואף לגרום לנזק גופני. תחשוב Stuxnet, אבל עבור להבי מוות מסיביים, מסתחררים.
8 Pwnie Express בשמירה
בשנה שעברה הביאה פאוני אקספרס את ציוד ניטור הרשת שלה וגילתה מתקפת נקודת גישה רעה אדירה שהוגדרה לחקות רשת ידידותית למכשירים עוברים ולהזמין אותם להתחבר. השנה עבדה פאוני עם צוות האבטחה ברשת של Black Hat, אך לא גילתה שום דבר גדול כמו ההתקפה של השנה שעברה - לפחות שום דבר שלא היה חלק מתרגיל אימון בפגישה עם הכובע השחור. חיישן Pwn Pro זה היה אחד מכמה שהוצבו במהלך הכנס כדי לפקח על פעילות הרשת.
בשעה
9 אל תסמוך על המדפסת שלך
מדפסות רשת נתפסו זה מכבר על ידי החוקרים כיעדים עיקריים. הם נמצאים בכל מקום, מחוברים לאינטרנט ולעתים קרובות חסרים להם אבטחה בסיסית. אבל ג'נס מולר הראה שזה מה שבפנים זה סופר. על ידי שימוש בפרוטוקולים המשמשים כמעט כל מדפסת כדי להמיר קבצים לחומר מודפס, הוא הצליח לבצע מספר התקפות. הוא יכול לחלץ עבודות הדפסה קודמות, ואפילו להניח טקסט או תמונות על מסמכים. ההתקפות שצייר יתקיימו עד שמישהו ייפטר סופית מהפרוטוקולים הישנים האלה.
10 סופר קוליידר
פונקציות Hash הן בכל מקום, אך כמעט בלתי נראות. הם משמשים לאימות חוזים, לחתום דיגיטלי על תוכנה ואפילו סיסמאות מאובטחות. פונקציית hash, כמו SHA-1, ממירה קבצים למחרוזת של מספרים ואותיות, ושניים אינם אמורים להיות זהים. אולם החוקרת אלי בורשטיין וצוותו המציאו דרך שבה שני תיקים שונים מסתיימים באותו חשיש. זה נקרא התנגשות, וזה אומר שה- SHA-1 מת כמו מסמר דלת.
11 פריצת טסלה (שוב)
בשנת 2016 שלישיית חוקרים הראתה כיצד הם מצליחים להשתלט על דגם טסלה S. השנה, החוקרים מטנסנט קינללב חזרו לעבור את ההתקפה שלהם צעד אחר צעד. אך לא הכל נסכם: הם גם בדקו את הקלה של טסלה בהתקפה הראשונית שלהם והציגו את ההתקפות החדשות שלהם; הצוות הפגין זוג מכוניות שהבהבו באורות ופתחו את דלתותיה בזמן למוזיקה.
12 פריצה של Apple Pay באינטרנט
כאשר הושק לראשונה, כתבתי בהרחבה על Apple Pay, ושיבחתי את האסימון שלה לנתוני כרטיסי האשראי וכיצד Apple לא הצליחה לעקוב אחר הרכישות שלך. אבל טימור יונוסוב לא היה משוכנע. הוא גילה שאפשר ליתר אישורים ולבצע פיגוע חוזר באמצעות Apple Pay באינטרנט. עדיף לפקוח עין על חשבונות כרטיסי האשראי האלה.
13 שליטה ברובוטים תעשייתיים מעפר
שלישת חוקרים, המייצגת צוות מבית Politecnico di Milano ו- Trend Micro, הציגו את ממצאיהם בנושא אבטחת הרובוטים. לא הרומבה הידידותית שלך, אלא הרובוטים התעשייתיים הקשיחים והחזקים שנמצאים במפעלים. הם מצאו כמה חולשות קריטיות שיכולות לאפשר לתוקף לתפוס שליטה ברובוט, להכניס ליקויים בתהליכי ייצור ואף להזיק למפעילים אנושיים. מטרידה יותר היא הגילוי שיש אלפים רבים של רובוטים תעשייתיים המחוברים לאינטרנט.
14 מה הלאה?
הכובע השחור נעשה עוד שנה, אך עם אבטחה דיגיטלית גלויה וערכית מתמיד, השנה הקרובה בטח טומנת בחובה כמה הפתעות מעניינות.
