כובע שחור 2019: הדברים הכי מטורפים, מפחידים שראינו

השמש של לאס וגאס שקעה על כובע שחור אחר, ועל שלל פריצות, התקפות ופגיעויות שהיא מביאה. היו לנו ציפיות גבוהות השנה ולא התאכזבנו. הופתענו אפילו מדי פעם. הנה כל הדברים הגדולים והמפחידים שראינו.

נעלי ג'ף מוס

הכוכב האמיתי בטקסי הפתיחה היה נעליו המנצנצות של מייסד Black Hat, ג'ף מוס. מוס הידוע גם בשם Dark Tangent, ספורט ספג זוג נעלי ספורט נוצצות ונוצצות; "הנעליים הנוצצות" שלו, כמו שאמר על הבמה. "אם הלייזרים יפגעו בי ממש, יכול להיות שאני אוכל לסנוור אחד או שניים מכם."



טלפונים מזויפים

הטלפונים האלה נראים נהדר, אבל הם למעשה זיופים בעלות נמוכה מסין. כל אחד מהם עולה כ 50 $, ומגיעים עם תוכנה זדונית ללא עלות נוספת! האייפון המזויף מרשים במיוחד. היא מריצה גרסה שונה מאוד של אנדרואיד שהיא צלצול מת עבור iOS. יש לו אפילו אפליקציית מצפן מזויפת שנעשתה בקפידה, אם כי כזו שתמיד מציגה. תודה לאפיליאס שהראה לנו את המכשירים המוזרים האלה.



טילים לתוכנות זדוניות

חוקר האבטחה מיקו היפונן הרהר בתוצאות של הפיכת קיברנט למלחמת יריות בפועל במצגתו ב"כובע השחור ". זה נושא חשוב בעידן הזה של האקרים בחסות המדינה והתערבות בחירות ברוסיה. הוא גם הציג לקהל את הדרך הטובה ביותר לתאר את תפקידו של מומחה אבטחה: "מה שאנחנו עושים זה כמו טטריס. כשאתה מצליח זה נעלם. כשאתה מפשלים זה נערם."



התפשטות בתוכנה

כמה דרכים יכולות תוכנה זדונית להדביק קוד אחר? בואו נספור את הדרכים! לא, באמת, ספר אותם. זה מה שחלק מהחוקרים עשו. הם ציפו למצוא קומץ דרכים, אך במקום זאת הגיעו עם וריאציות של 20 פלוס.



אל תסתמכו יותר מדי על GPS

GPS נהדר; זה עוזר לך להגיע לאן שאתה צריך ללכת ולא צריך להחזיק אטלס מעופש במכוניתך. אבל מערכות לוויין ניווט גלובליות (GNSS) כמו GPS מזייפות בקלות, וזו בעיה אם אתה מתכנן רכב אוטונומי שנשען בכבדות רבה מדי על GNSS. בשיחה הזו עם הכובע השחור ראינו דברים כאלה מפחידים ונמרצים שקורים למכונית נטולת נהג כשאתה מתעסק עם אותות ניווט.



ספקטרום של ספקטרום עם SwapGS

זוכר את ספקטר ומלטדאון? אלה היו הפגיעויות הגדולות והמפחידות שמצאו חוקרים במעבדי CPU לפני כמה שנים שתפסו כותרות במשך שבועות. כעת, חוקרי Bitdefender מצאו פגיעות דומה בכל שבבי אינטל המודרניים.



ענף של חשיבות עצמית

האם אי פעם קינא בחברך שבאופן בלתי מוסבר יש לו אלפי עוקבים נוספים באינסטגרם? אל תהיה, כי הם כנראה קנו אותם. אבל מאיפה מגיעים אותם עוקבים מזויפים, ומי הם באמת? זו השאלה שחוקרי GoSecure מסארה פקט-קלוסטון (בתמונה) ואוליבייה בילודו ניסו לענות בשיחת הכובע השחור שלהם. הם חשפו מערכת אקולוגית עצומה של משווקים ומתווכים הבנויים על עמוד שדרה של כתובות IP מזויפות ומכשירי IoT הנגועים בתוכנות זדוניות. אותם אוהבים מזויפים לא יכולים להיות שווים את כל זה.



5G הוא (בעיקר) מאובטח

5G ממש מגניב וממש מהיר וזה בעצם הולך לפתור את כל הבעיות שלנו לנצח, כולל כמה פגמי אבטחה מגעילים שנשארו בתקני האלחוט. עם זאת, החוקרים מצאו כמה מוזרויות ייחודיות ב- 5G שאיפשרו להם לזהות מכשירים, להצער את מהירות האינטרנט שלהם ולנקז את הסוללה של מכשירי IoT.



נוצר על ידי טקסט

מדי פעם תראה סיפור על חברת אבטחה או ממשלה שיש לה פגיעות סופר-סודית באייפון שהיא משתמשת בפעילות כה מזערה. חוקר אבטחה אחד של גוגל תהה אם דברים כאלה באמת יכולים להתקיים, ומצא 10 באגים בתהליך. בסופו של דבר היא ועמיתתה הצליחו לחלץ קבצים ולתפוס חלקית שליטה באייפון רק על ידי שליחת הודעות טקסט.



קרב האק הגדול של בואינג 787 משנת 2019

המגישים של הכובע השחור לא תמיד מקיימים את היחסים הנעימים עם החברות והארגונים שהם חוקרים, נקודה שהובילה הביתה השנה כאשר רובן סנטמרטה חשף את ההתקפות הפוטנציאליות שלו ברשת בואינג 787. הוא מאמין שאפשר להגיע למערכות רגישות דרך מגוון נקודות כניסה, אך בואינג אומר שהכל מזויף. קשה לומר למי להאמין בסיפור הזה, אבל מקס אדי מציין שסנטמרטה הציג במלואו את יצירתו.



פולחן הפרה המתה

מי היה כותב ספר על חבר'ה שהתפרסמו לפני 20 שנה? ג'ו מן, עיתונאי וסופר, זה מי. ספרו נקרא פולחן של הפרה המתה: כיצד ייתכן שהקבוצה העל-פורצת המקורית פשוט מצילה את העולם . הקבוצה הייתה בעבר אנונימית למחצה, עוברת על ידי ידיות כמו דטה ווגי, דילדוג ומודג '. עם צאת הספר הם דיברו בפעם הראשונה בכובע השחור תחת שמם האמיתי. ניל עוד לא קרא אותו, אבל הקבוצה בהחלט טלטלה את הכובע השחור הזה; הוא נתקל בהם שלושה ימים ברציפות.

ביום שלישי בערב הוא קפץ למונית עם הקבוצה לפניו, שהתברר שזה דט ווגי והחבורה. אתמול (רביעי) ניל הצטרף לפאנל ארוחות צהריים להזמנה בלבד, בו השתתפו דט ווגי, הסופר ג'ו מן, דוג שיר של הצמד הביטחון והיתר אדקינס, כיום מנהל הבטחון הבכיר של גוגל, בין היתר. ג'ו ראיין את Mudge, Dildog, Deth Veggie והייתה שמחה רבה.

חלל פרץ של האקרים מבריקים עבר בקבוצה זו. רובם מועסקים כיום בחברות אבטחה או סוכנויות ממשלתיות. האחת אפילו מתמודדת על הנשיא. ניל מצפה לקרוא את ההיסטוריה של חבורת ההאקיטיבים ההשראה הזו.



איתור שקיעות עמוקות באמצעות Mouthnet

איש לא השתמש בסרטון שקוף כדי לנסות ולהניע את דעת הקהל. אנחנו חושבים. אבל מאט פרייס ומארק פרייס (אין קשר) חושבים שזה יכול לקרות בכל עת. לכן הם התכוונו לבחון כיצד מבצעים זיופים עמוקים, כיצד ניתן לאתרם וכיצד לאתר אותם טוב יותר. באותה נקודה אחרונה, הם יצרו כלי שמסתכל על הפיות כדי לנסות להחליש זיופים. זה עבד קצת יותר טוב מחמישים אחוז מהזמן, אשר בתקווה מבשר טוב לעתיד.

אם Mouthnet לא יציל אותנו, אולי העכברים יכולים! חוקרים בודקים כיצד עכברים מאומנים מבחינים בדפוסי דיבור שונים. המוח הקטן שלהם עשוי להחזיק את המפתח לגילוי סרטוני זיוף עמוקים, בתקווה לפני שסרטון מזויף שפורסם בקפידה יגרם נזק ממשי. (אלכסנדרה רובינסון / AFP / Getty Images)



המודיעין הרוסי נמצא במלחמה עם עצמו

כשאנחנו מדברים על התערבות בחירות רוסיות או חוות טרולים רוסיות, אנו מניחים כי סוכנויות הביון של רוסיה האם נמצאות בפתח הדרך ופועלות כחלק מתכנית ערמומית יחידה. לדברי אחד החוקרים, זה לא יכול להיות רחוק יותר מהאמת. במקום זאת, ברוסיה יש מרק אלף-בית של סוכנויות מודיעין, המתמודד עם משאבים ויוקרה, ומוכנה לחלוטין לשחק מלוכלך כדי להתקדם. לפעמים, ההשלכות חמורות.



נשק באינטרנט

במסגרת מושב בנושא האינטרנט האפל הרוסי, בדקו החוקרים כיצד החוקים הרוסיים האחרונים מקשים על פעילות המשטרה במדינה זו. רוסיה בונה כעת סוג של אינטרנט פנימי, המיועד לתפקד גם כשהיא מנותקת מהאינטרנט הבינלאומי. יש לכך התוצאה "הבלתי מכוונת" של הקושי הרבה יותר להגיע לאתרים רוסיים המבצעים פעילות בלתי חוקית.



מי צופה באפליקציות המותקנות מראש?

אף אחד לא אוהב תוכנות סדקים, אבל מי מוודא שאפליקציות המותקנות מראש אינן זאבים עטופות בתחפושות צמרניות? התשובה היא גוגל. מהנדס האבטחה הבכיר מדדי סטון תיאר את האתגרים בזיהוי אפליקציות זדוניות בקרב אפליקציות שהותקנו מראש. בעיה אחת: לאפליקציות המותקנות מראש יש הרשאות גבוהות יותר והתנהגויות משונות מכוח ההתקנה שלהן, מה שהופך את מציאתן של המסוכנות לקשה במיוחד.



קבל את הפנטהאוז עם מפתח Bluetooth פרוץ

מנעולים המותאמים ל- Bluetooth שאתה פותח באמצעות אפליקציה חייבים להיות בטוחים יותר מאשר סיכות ומכופפים מתכתיים משעממים, נכון? לא בכובע השחור. עם מעט ידע וכמה חומרה בעלות נמוכה, שני חוקרים הצליחו לפתוח דלתות ולחלץ כל מיני מידע שימושי. אולי עלינו פשוט להיצמד למפתחות השלד.



אפילו האקרים סיניים זקוקים להופעות צדדיות

נניח שאתה האקר, ואתה מרוויח כסף טוב למדי בעבור השלטון המקומי שלך. מה מונע ממך להאיר ירח ולהרוויח קצת כסף נוסף על ידי, למשל, להסתנן לשרשרת האספקה ​​למפתחי משחקי וידאו? ככל הנראה שום דבר, אם להאמין במחקר של FireEye. בהתחשב בכך שההאקרים המדוברים עובדים עבור הממשלה הסינית, קצת מפתיע לראות את הקבוצה מעשירה את עצמה בצד. זה עשוי להיות מחקר האבטחה הראשון שקיבל האקר בבעיה עם הבוס שלהם.