וִידֵאוֹ: ХИТЫ 2016 ГОДА. ЧТО МЫ СЛУШАЛИ? MusNos: 2016 (נוֹבֶמבֶּר 2024)
"כובע שחור" הוא כינוס של חוקרי אבטחה, האקרים ותעשייה שנפגש בלאס וגאס כדי לעשות שלושה דברים: מתאר את האיומים האחרונים, מראה כיצד ניתן להביס את החבר'ה הטובים ואת הרעים ולהפעיל פיגועים על המשתתפים. השנה ראו שפע של התקפות מפחידות, כולל אחת נגד משתתפי התצוגה, יחד עם פריצות לרכב, דרכים חדשות לגנוב מזומנים מכספומטים, ולמה נורות חכמות אולי אינן בטוחות כמו שחשבנו. אבל ראינו גם המון סיבה לקוות, כמו מכונות הוראה לאתר שרתים מסוכנים, שימוש במרתפים ודרקונים כדי להכשיר עובדים בטיפול באיומי אבטחה, וכיצד Apple מטפלת באבטחת האייפון שלך. זו הייתה, לכולם, שנה די כופרת מחשבות.
הטוב
כן, אפל הכריזה על תוכנית השפל באגים ב- Black Hat. אבל זה היו רק 10 הדקות האחרונות של מצגת של איוון קרסטיץ ', ראש הנדסת האבטחה והאדריכלות של אפל. במהלך 40 הדקות שקדמו לו הוא הציע צלילה עמוקה חסרת תקדים בדרכים בהן אפל מגינה על מכשירי המשתמשים ועל הנתונים, הן מפני גורמים זדוניים והן מעצמה. וכן, זה כרוך בשימוש בבלנדר כנה לאלוהים.
ככל שמכשירי Internet of Things הופכים פופולריים יותר ויותר, אנשי אבטחה הופכים מודאגים יותר ויותר. אחרי הכל, מדובר במכשירים עם מחשבי מיקרו המחוברים לרשתות ומסוגלים להריץ קוד באופן מלא. זה החלום של התוקף. החדשות הטובות הן, לפחות במקרה של מערכת הגוון של פיליפ, יצירת תולעת לקפיצה מנורה לנורה קשה מאוד. החדשות הרעות? זה כנראה פשוט מאוד להערים מערכות Hue להצטרף לרשת של תוקף.
כל אימון אבטחה בכל עסק כולל את ההצהרה כי עובדים לעולם לא צריכים ללחוץ על קישורים בהודעות דוא"ל ממקורות לא ידועים. והעובדים ממשיכים להיעשות בלחיצה עליהם בלי קשר. ד"ר זיניידה בננסון, מאוניברסיטת ארלנגן-נירנברג, הגיעה למסקנה שפשוט לא סביר לצפות מהעובדים להתנגד לסקרנות ומוטיבציות אחרות. אם אתה רוצה שהם יהיו ג'יימס בונד, עליך להכניס זאת לתיאור התפקיד ולשלם להם בהתאם.
הרבה מחקר וביצוע אבטחה יכולים להיות מייגעים ללא תחושה, אך טכניקות חדשות בלימוד מכונות עשויות להוביל בקרוב לאינטרנט בטוח יותר. החוקרים פירטו את מאמציהם בהוראת מכונות לזיהוי שרתי פיקוד ובקרה של botnet, המאפשרים לרעים לשלוט במאות אלפי (אם לא מיליונים) מחשבים נגועים. הכלי יכול לעזור לשמור על מכסה על פעילות כה מזערה, אך לא הכל היה מחקר כבד. לסיום הפגישה, החוקרים הדגימו כיצד ניתן להשתמש במערכות למידת מכונות כדי ליצור שיר טיילור סוויפט בר-ביצוע.
רשת המלונות שיודעת אולי מתאימה לוועידת אספקת חיות מחמד, אך לא עבור הכובע השחור. לכנס רשת נפרדת לחלוטין משלה ומרכז מרשים להפעלת רשת לניהולו. המבקרים יכולים להציץ דרך קיר הזכוכית על המסכים הרבים הזוהרים, סרטי האקרים ומומחי אבטחה ארוכי טווח ב- NOC, שנארז במלואו ועבר ברחבי העולם לכנס הבא של Black Hat.
נוחות אבטחת IT והאקרים עם כובע לבן פשוט לא יכולים להשיג מספיק מאימוני אבטחה, אבל הם לא אלה שבאמת זקוקים להם. צוות המכירות, צוות ה- HR וצוות המוקד הטלפוני לא בהכרח מבינים או מעריכים אימוני אבטחה, ובכל זאת אתה באמת צריך אותם כדי להגביר את משחק האבטחה שלהם. החוקרת טיפאין רומנד לטאפיי הציעה לעבד מחדש את אימוני האבטחה כמשחק תפקידים. היא גילתה שזה עובד לחלוטין, והולידה מעורבות חדשה ומשמעותית בין צוות האבטחה לשאר הצוות. מבוכים ודרקונים, מישהו?
שיחות טלפון הונאות הן בעיה עצומה. הונאות מס הכנסה משכנעות אמריקנים חסרי החשד במזלג על מזומנים. איפוס סיסמה מעביר טריקות למוקדי הטלפון למסירת נתוני לקוחות. פרופסור ג'ודית טברון, בלשנית משפטית שניתחה קריאות הונאה אמיתיות ומציאה מבחן בן שני חלקים שיעזור לך לאתר אותם. קרא את זה ולמד, בסדר? זו טכניקה פשוטה וכדאית.
המפחיד
Pwnie Express בונה מכשירים המפקחים על מרחב האוויר של הרשת מכל דבר שהוא בלתי אפשרי, וטוב שכך, מכיוון שהחברה גילתה מתקפה מאנשי-באמצע-אמצעי בלאק-האט השנה. במקרה זה, נקודת גישה זדונית שינתה את ה- SSID שלה כדי להטעות טלפונים ומכשירים להצטרפות לרשת, מתוך מחשבה שזו רשת בטוחה וידידותית שהמכשיר ראה לפני כן. תוך כדי כך, התוקפים הרמו כ- 35, 000 איש. אמנם זה נהדר שהחברה הצליחה לאתר את הפיגוע, אך העובדה שהיא הייתה כה מסיבית היא תזכורת עד כמה התקפות אלה יכולות להיות מוצלחות.
בשנה שעברה הציגו צ'רלי מילר וכריס ולאסק את מה שרבים הניחו שיא קריירתם של פריצת רכבים. הם חזרו השנה בהתקפות נועזות עוד יותר, כאלה המסוגלים להפעיל את הבלמים או לשלוט על ההגה כאשר המכונית מתקדמת בכל מהירות שהיא. התקפות קודמות ניתן היה לבצע רק כאשר המכונית נוסעת במהירות 5 קמ"ש ומטה. התקפות חדשות אלה עלולות להוות סיכון גדול לנהגים, ובתקווה יתוקנו במהירות על ידי יצרני הרכב. וואלסק ומילר מצידם אמרו כי סיימו לפריץ מכוניות, אך עודדו אחרים ללכת בדרכם.
אם אתה צופה במר רובוט, אתה יודע שאפשר להדביק את מחשב הקורבן על ידי גרירת כונני USB סביב החניון. אבל האם זה באמת עובד? אלי בורשטיין, מוביל מחקר בנושא הונאה והתעללות ב- Google, הציג שיחה בת שני חלקים בנושא. החלק הראשון פירט מחקר שהראה בבירור שהוא עובד (וחניונים טובים יותר מאשר במסדרונות). החלק השני הסביר, בפרטי פרטים, בדיוק איך לבנות כונן USB שישתלט לחלוטין על כל מחשב. רשמתם הערות?
מזל"טים היו פריט חם בעונת הקניות בחג האחרון, ואולי לא רק לחנונים. במצגת הוצגה כיצד ניתן להשתמש ב- DJI Phantom 4 בכדי לחסוך רשתות אלחוטיות תעשייתיות, לרגל עובדים ולעשות זאת גרוע מכך. החוכמה היא שרבים מאתרים תעשייתיים קריטיים משתמשים במה שמכונה "פער אוויר" כדי להגן על מחשבים רגישים. בעיקרון, מדובר ברשתות ומכשירים המבודדים מהאינטרנט החיצוני. אך מל"טים קטנים וניתנים לתמרון יכולים להביא אליהם את האינטרנט במקום.
למידת מכונה עומדת על ידי מהפכה בתעשיות טכנולוגיות רבות, וזה כולל רמאים. חוקרים ב"כובע שחור "הדגימו כיצד ניתן ללמד מכונות גם להפיק הודעות דיוג חנית יעילות במיוחד. הכלי שלהם קובע יעדים בעלי ערך גבוה, ואז סורק את הציוצים של הקורבן על מנת ליצור הודעה שהיא גם רלוונטית וגם ניתנת ללחיצה על עצמם. הצוות לא הפיץ שום דבר זדוני עם בוט הספאם שלהם, אך לא קשה לדמיין רמאים המאמצים טכניקות אלה.
אתה מצפה לאינטרנט אלחוטי בחינם במלון, ואתה יכול להיות מספיק בקיא בכדי להבין שהוא לא בהכרח מאובטח. אבל חברת Airbnb או השכרה אחרת לטווח קצר, יכול להיות שהביטחון יכול להיות האבטחה הגרועה ביותר אי פעם. למה? מכיוון שלאורחים שלפניכם הייתה גישה פיזית לנתב, כלומר הם יכולים להחזיק אותו לחלוטין. שיחתו של ג'רמי גאלווי פירטה מה יכול האקר לעשות (זה רע!), מה אתה יכול לעשות כדי להישאר בטוח ומה יכול בעל הנכס לעשות כדי להרתיע התקפות כאלה. זו בעיה שלא נעלמת.
באחת השיחות המקיפות ביותר שנערכה ב"כובע השחור ", הפנטסטר הבכיר של ראפיד 7, ווטון הקר הדגים מה עשוי להיות מודל חדש להונאה. החזון שלו כולל רשת מסיבית של כספומטים נפגעים, מכונות נקודת מכירה (כמו במכולת) ומשאבות דלק. אלה עלולים לגנוב את פרטי התשלום של הקורבן בזמן אמת ואז להזין אותם במהירות בעזרת מכשיר דחוף באמצעות קוד PIN. השיחה הסתיימה בכספומט שיזרם מזומנים, וחזון לעתיד בו הרמאים קונים לא פרטי כרטיסי אשראי של אנשים, אלא גישה לרשת ענקית של הונאות תשלום בזמן אמת.
זו לא הייתה המצגת היחידה ב"כובע השחור "לפרט התקפות על מערכות תשלום. קבוצה אחרת של חוקרים הראתה כיצד בעזרת Raspberry Pi וקצת מאמץ הם הצליחו ליירט המון מידע אישי מעסקאות כרטיסי שבב. זה בולט במיוחד לא רק מכיוון שכרטיסי השבבים (כרטיסי ה- AKA EMV) נחשבים בטוחים יותר מכרטיסי מחיקה mags, אלא מכיוון שארצות הברית רק החלה לפרוס כרטיסי שבבים מבית.
בשנה הבאה יביא מחקר חדש, פריצות חדשות והתקפות חדשות. אולם "כובע שחור" 2016 קבע את הטון לשנה, ומראה שיצירת האקר (בין אם לבנה או כובע שחור) מעולם לא נעשית באמת. עכשיו אם תסלחו לנו, אנו נגרוס את כרטיסי האשראי שלנו ונלך לגור בכלוב פאראדיי ביער.