מכוניות פרוצות, רובים ועוד: למה לצפות בכובע השחור 2015

צפו בכל התמונות בגלריות

עם הפרות נתונים חלק ממעגל החדשות האופייני ואדוארד סנודן כיום שם בית, לקהל הרחב יש אינטרס עמוק בביטחון דיגיטלי. וההצגה הגדולה ביותר לביטחון פוגעני היא בלאק האט, הכנס שרואה האקרים משפשפים מרפקים עם אנשי התעשייה והממשלה כדי להשוויץ על הפריצות, ההתקפות האחרונות והפגיעויות האחרונות.

האק הכל

פעם זה היה רק ​​מחשבים המחוברים לאינטרנט. בימינו לכל אחד לפחות מכשיר אחד מחובר (טלפון או טאבלט). כולנו מורגלים בצורך בתוכנת אנטי-וירוס ואבטחה במחשבים אישיים, אך מספר לא מבוטל של צרכנים פשוט לא יכולים לעטוף את הראש סביב הצורך באבטחה לנייד ותוכנת אנטי-וירוס. למרות שמחשבים שולחניים ושרתים הם עדיין היעדים המועדפים על האקרים ב- Black Hat, מכשירים ניידים הופכים לחלק גדול יותר וגדול יותר של ההצגה.

מפגש Black Hat אחד מתאר טכניקה חדשה להשגת גישה שורשית לכל מכשיר אנדרואיד. אחר ירחיב על ניצול ה- Stagefright המתוקשר, שיכול לאפשר לתוקפים לפרוץ את הטלפון שלך באמצעות הודעת טקסט. טלפונים חכמים מעניינים במיוחד את ההאקרים במשך שנים בגלל הימצאותם הנפוצה ומכיוון שהם משלבים מחשב נייד עם מספר מכשירי רדיו אלחוטיים. למעשה, יכולות הרשת של הטלפונים לפעמים מעניינות יותר מהטלפון עצמו. סשן הרמת גבות אחת ב"ה Black Hat "מציע להשתמש בטלפון פיצ'ר ישן כדי לאסוף מידע אלקטרומגנטי במחשבים הסמוכים.

צפו בכל התמונות בגלריות

זה מחמיר. האינטרנט נמצא בכל דבר בימינו: מכוניות, מנעולי דלתות, מקררים, ואפילו נורות. וספקים רבים בעידן האינטרנט החדש הזה לא חושבים על אבטחה. בשנה שעברה, האקרים חכמים הראו כיצד להשתלט על תרמוסטט של קן תוך שניות. הם השתמשו במכשיר שנפרץ כדי להריץ רקעים מונפשים, אך יתכן והתקפות אחרות לא כל כך נחמדות.

אפשר לבנות אבטחה בקושחה, אך התרגול עדיין אינו נפוץ. לפחות שתי מצגות ב- Black Hat ידגימו טכניקות להשתלטות על מכונית המסוגלת לאינטרנט. אחר מציין נקודות תורפה בבקרי לוגיקה ניתנים לתכנות (PLC) המודעים לאינטרנט המשמשים במפעלים. קורבנות אחרים כוללים את קורא כרטיסי האשראי בכיכר, משאבות דלק ואפילו רובה המופעל על ידי לינוקס. כרטיסים חכמים ותגי כניסה RFID, מסופי תשלום NFC ללא מגע, כרטיסי SIM - כל הטכנולוגיות הללו מיוצרות מעשה ידי אדם, ומכאן שלא מושלמות. מומחי אבטחה יציגו את תגליותיהם לגבי פגיעויות בכל התחומים הללו.

הכובע השחור הוא המקום בו הרגשת חטופים היא הנורמה ולהיות פרנואידי זה נכס. איפה עוד יעלה הבמה תוכנות זדוניות של Mac OS X, תאי femt ותיקים והתקפות שמכוונות לתקשורת לוויינית? אמנם יש יותר פעילויות העוסקות במובייל ובאינטרנט של הדברים, אבל הכובע השחור נשאר היעד ללמוד על פגיעויות של יום אפס. והשנה, 32 ימי אפס שונים ייחשפו במגוון טכנולוגיות, כולל מערכות בקרה סלולריות ותעשייתיות, כך אמר ל- eWEEK סטיב ווילי, המנכ"ל של Black Hat.

מכשירים ארצי אדירים אינם היעדים היחידים. בשנה שעברה ראינו פריצות מרשימות של תקשורת תעופה ולוויינית. בהפגנה אחת, חוקר השתלט על רדיו לוויני והפך אותו למכונת מזל.

לפני ה- Black Hat 2015, פריצות התעופה שוב חזרו לחדשות והמגישים מבטיחים התקפות המתמקדות גם בלוויינים. בעוד שהתקפות על מכשירים חכמים יומיומיים מהווים חשש גדול לעתיד, פיסות יקרות וחיוניות של תשתית דיגיטלית נמצאות במסלול כרגע והן עשויות להיות גם בסיכון.

תצוגת כלי האבטחה של ארסנל בדרך כלל אינה מצווה על סוג תשומת הלב (או ההמונים) שמצגות הבמה עושות, אך היא כן מציעה הצצות לכמה כלים מדהימים: מסגרת SpeedPhishing לשילוב יכולות דיוג דוא"ל כחלק ממבחן חדירה, סביבת בדיקה מ- OWASP מאוכלסת מראש ביישומים פגיעים, ודרך להציג עומסים זדוניים בקבצי PDF. הגיע הזמן לעדכן את ערכת הכלים האבטחה ההיא!

מעבר לסייבר

קהילת החנונים והעובדים הביטחוניים גדלה מאוד בשנים האחרונות. זה הרבה יותר מקצועי, ואם השנה כובע שחור הוא אינדיקציה כלשהי, הרבה יותר פוליטי. זה יכול להיות רק עניין של אקטואליה - ביטחון ברשת הוא נושא חוזר בגבעת הקפיטול, אחרי הכל - או שזה עשוי לשקף את התיאבון הגובר של הקהילה לאקטיביזם ומודעות מוגברת. יש לנו מושבים מהממשלה, כולל אקשן סולטני, הטכנולוג הראשי של נציבות הסחר הפדרלית, ולאונרד ביילי ממשרד המשפטים.

אך עדיין יש המון רגשות אנטי-ממשלתיים, כמו מושב שמתח ביקורת על שיטות ה- FTC בוויסות סייבר, סקירה של תיק הכלים של הסוכנות לביטחון לאומי, ודיון בפאנל על הסדר ווסנאר, אמנה בינלאומית המסדירה קונבנציונאלי ו נשק סייבר.

• פריצה לרכב מרחוק היא עכשיו מציאות פריצה לרכב מרחוק היא עכשיו מציאות
• אין (כמעט) שום דבר שאתה יכול לעשות בקשר למאבק בימתיים (כמעט) שום דבר שאתה יכול לעשות בקשר למצב של חלליות
• רובה צלפים חכם הפגיע בפני פריצות רובה צלפים חכם הפגיע בפני פריצות

אף על פי שהדלפות אדוארד סנודן חשפו עד כמה באמת פתוחה תרבות המידע המודרנית שלנו, נראה שגילויים נעדרים ניכר מהפאנלים והדיונים השנה. רק מושב אחד, המעוצב כוויכוח, יתייחס ישירות לנושא. האם זה אומר ששלדן היה הבזק בתבנית? רחוק מזה. ישיבות יעסקו בכלי נשק וסייבר של מדינות המדינה המיועדות לתקוף תשתיות. המפגשים הללו אולי היו מתרחשים גם אם סנודן היה שותק, אך ההדלפות שלו מוסיפות דחיפות רבה לנושאים אלה.

ככל שהכובע השחור הוא מגרש משחקים להאקרים להשוויץ, זה גם המקום בו הממשלה, התעשייה ואנשים פרטיים חולקים את הרעיונות המעצבים את הביטחון הדיגיטלי. ובעוד שכמה מהתגליות שזכו לראשונה ב"כובע השחור "עשויות רק לתפוס כותרות, אחרות עשויות לעודד חברות ואנשים פרטיים לחשוב יותר טוב על העולם הדיגיטלי בו הם רוצים לחיות.