A 15 legfélelmetesebb dolog a fekete kalapban 2015-ben

4 Fájlok lopása a felhőből

Az olyan felhőalapú tárolási szolgáltatások, mint a Dropbox és a Google Drive, gyorsan váltak nélkülözhetetlen eszközökké a munka elvégzéséhez. Ezért olyan hűvös az Imperva kutatói új támadása, amely ellophatja az összes fájlt a felhőből. Ami még rosszabb, az Imperva szerint a támadást a kerületi védelem és a hagyományos végpontbiztonsági eszközök nem tudják észlelni.

A támadás okos része az, hogy elkerüli a potenciális áldozatok hitelesítő adatainak ellopására vagy a felhő-platform veszélyeztetésére vonatkozó problémákat. Ehelyett a támadó becsapja az áldozatot olyan rosszindulatú programok telepítésébe, amelyek átirányítják a felhőfájlok helyben tárolt másolatát egy másik szerverre, amelybe a számítógép boldogan eljuttatja az összes fontos fájlt.

5 Android-telefon ellenőrzése

A távoli elérésű trójaiak, vagy a RAT-ok lehetővé teszik, hogy a támadó távolról hozzáférjen a telefonjához vagy a számítógépéhez, mintha előtte ülnének. Láthatják, amit látnak, és akár fényképeket is készíthetnek, hallgathatnak a mikrofonnal, vagy videókat készíthetnek anélkül, hogy tudnák. Ez a legfélelõsebb rosszindulatú programok közül, és a kutatók szerint a milliók Android-eszközökön megtaláltak egy utat ilyen jellegû hozzáférés elérésére.

A probléma az, hogy néhány Android gyártó speciális plug-ineket tartalmaz, amelyek általában nem működnek, amíg egy távoli támogatási szolgáltatás, például a LogMeIn vagy a TeamViewer felveszi a kapcsolatot. Ezután bekapcsol a plug-in, és lehetővé teszi a vállalat számára az Android készülék elérését, mintha a támogatási ügynök lenne a telefon használatakor. A Check Point kutatói, Ohad Bobrov és Avi Bashan felfedezték, hogyan lehet ezeket a beépülő modulokat gonoszul felhasználni, lehetővé téve számukra, hogy átvegyék az Android telefonok irányítását. A legrosszabb rész? Mivel ezeket a plug-ineket a gyártók telepítették, semmit nem tehet megvédeni magát.

6 Stagefright ellopja a show-t

Josh Drake, a Zimperium kutatója, a Black Hat előtt közzétette, a Stagefright az Android új, nagy, félelmetes biztonsági rése. Milyen nagy? Úgy gondolják, hogy az összes Android-eszköz 95 százalékát érinti. Milyen ijesztő? Drake megmutatta, hogy képes volt az Android telefonokra kódot végrehajtani, csak szöveges üzenet küldésével. A megfelelő típusú támadásokkal együtt ez pusztító is lehet.

Drake a fekete kalapban volt, hogy megbeszélje a Stagefright-ot, honnan származik, és mit fedezett fel, miközben kutatta. Nagy előnye volt, hogy az Android kódja hatalmas, és nagyobb figyelmet igényel. "Valószínűleg nem ez az egyetlen kód, amelyet sietve írtak" - mondta Drake.

A Black Haton való részvétel mellett a Google Android biztonsági vezetője, Adrian Ludwig (a fenti képen) volt. Elismerte a Stagefright alkalmazhatóságát, de bejelentette, hogy a Google és partnerei ugyanolyan nagy erőfeszítéseket tesznek az Android védelmére a Stagefright kizsákmányolása ellen. Ludwig kiemelte a Google által az Android biztonságának megőrzése érdekében már elvégzett munkát. Számos támadás ellenére azt mondta, hogy az Android továbbra is erős.

7 Linux hajtású puska feltörése

Nagyon hamar a dolgok internete körülöttünk lesz. Valójában már így van (nézze meg okos TV-jét és útválasztóit!). Vannak olyan helyek, ahol az internethez csatlakoztatott technológia csak most kezd bejutni, például a lőfegyverek. Runa Sandvik és társalapítója, Michael Auger vásárolt, lerobbant és sikeresen csapott egy Tracking Point intelligens puskát. Normál körülmények között ez a puska segít, hogy minden alkalommal elérje a jelét. A hackerek ellenőrzése alatt lezárható, célokat elhagyhat, és más célok elérésére ösztönözheti.

A Sandvik és Auger munkájából egyértelmű volt, hogy a puska feltörése nem volt könnyű. Időbe telik, hogy rámutassanak a sok elemre, amelyeket a Tracking Point helyesen tett, és javaslatokat tegyenek az ipar számára, hogyan lehetne javítani az IOT-eszközöket. Lehet, hogy ennek a puskának a feltörése egy nap a biztonságosabb kenyérpirítókkal rendelkező világhoz vezet.

8 hackerek elzárhatják a csatlakoztatott otthont

A ZigBee otthoni automatizálási rendszer segítségével könnyedén vezérelheti az ajtózárakat, a lámpákat és a termosztátot, de kiterjesztheti ezt a vezérlést a hackerekre is. Drámai bemutatóban Tobias Zillner és Sebastian Strobl kutatók bemutatták, hogyan tudják átvenni a ZigBee-alapú rendszerek irányítását.

Úgy tűnik, hogy a hibát nem a ZigBee, hanem a kommunikációs rendszert használó gyártók viseli. A ZigBee számos biztonsági eszközt kínál annak biztosítására, hogy csak a megfelelő emberek beszéljenek eszközökkel. De a gyártók egyszerűen nem használják ezeket az eszközöket, hanem egy kevésbé biztonságos biztonsági mentési rendszerre támaszkodnak. Szerencsére trükkös támadás, de az eszközgyártóknak fokozniuk kell kollektív játékukat.

9 Mennyire biztonságos az ujjlenyomata?

Egyre több mobil eszköz tartalmazza az ujjlenyomat-érzékelőket, és a jövőben egzotikusabb típusú biometrikus hitelesítésre is számíthatunk. Ujjlenyomatadatait azonban nem lehet biztonságosan tárolni a telefonján, és maga az olvasót támadhatja meg egy hacker. Tao Wei és Yulong Zhang FireEye kutatói négy támadást mutattak be, amelyek ellophatják az ujjlenyomatadatait. Ez nem túl nagy üzlet, feltéve, hogy nem fogy el az ujjad.

A Zhang által bemutatott négy támadás közül kettő különösen érdekes. Az első azt mutatta, hogy a megfelelő eszközökkel a támadó egyszerűen csak el tudott hamisítani egy kinyitható képernyőt, hogy becsapja az áldozatot az ujjának a lapolvasón történő ellopásával. Egyszerű! Egy másik, sokkal bonyolultabb támadás az ujjlenyomat-leolvasó adataihoz férhet hozzá anélkül, hogy be kellett volna törni az Android-eszköz biztonságos TrustZone szegmensébe. Noha a Zhang és Wei által észlelt sebezhetőségeket már javították, valószínűleg még sok még felfedezésre vár. (Kép )

10 A vegyi üzem feltörése nagyon nehéz

A Black Hat egyik legbonyolultabb előadásakor Marina Krotofil ismertette, hogyan lehetnek a támadók egy vegyi üzemet térdre szórakoztatás és haszonszerzés céljából. Nos, többnyire profit. A folyamat tele van egyedi kihívásokkal, amelyek közül a legnagyobb az, hogy kitaláljuk, hogyan lehet megérteni egy növény komplex belső működését, ahol a gázok és a folyadékok furcsa módon mozognak, amelyet a hackerek számára elérhető elektronikus eszközök nem könnyű követni. És akkor foglalkoznia kell egy gyár bosszantó fizikájával. Túl nagy mértékben csökkentse a víznyomást, mert a sav elérheti a kritikus hőmérsékletet, és hívja fel a figyelmet a rohamra.

A Krotofil bemutató legfélelmetesebb része egyértelműen az volt, hogy a hackerek a múltban már sikeresen kivettek pénzt a közművekből és a növényekből, ám ezek az információk nem álltak a kutatók rendelkezésére. (Kép )

11 A biztonságos jövő társadalma

Jennifer Granick ünnepélyes beszédében az ünnepelt ügyvéd ismertette, hogy a technológián keresztüli társadalmi haladás hacker-etoszát elvesztette az önelégülés, a kormányzati ellenőrzés és a vállalati érdekek. Azt mondta, hogy egy ingyenes és nyílt internetről szóló álom, amely zökkenőmentesvé tette az ismereteket és a kommunikációt, erodálta a rasszizmust, a klasszizmust és a nemi alapú diszkriminációt, soha nem valósult meg teljesen és gyorsan elhalványult.

Leírta azt a félelmét, hogy az információs technológia olyan világot hoz létre, amelyben mindenre felhasználják az adatelemzést. Ez megerősítené a meglévő hatalmi struktúrákat - mondta -, és a leginkább a béren kívüli eseteket sérti. Arra is figyelmeztette a kormányokat, hogy a biztonságot a hatalom megtervezésének egyik módjaként használják, biztonsági szükségleteket és biztonsági meghatalmazásokat hozzanak létre. Ijesztő cucc.

12 Hogyan lehet letartóztatni?

A Black Hat résztvevőinek egyik legbeszéltebb ülése az Igazságügyi Minisztérium volt. Az átlagos ember számára valószínűleg unalmasnak hangzott, de ennek az élénk ülésnek a célja a közönség oktatása volt, és elmagyarázta, hogy a hackerek miként folytathatják munkájukat anélkül, hogy törvénybe ütköznének.

Leonard Bailey, az ügynökség Számítógépes bűncselekményekkel és szellemi tulajdonnal foglalkozó részlegének DOJ nemzetbiztonsági különleges tanácsadója elmagyarázta a résztvevőknek, hogyan tudják biztonságosan elvégezni a sebezhetőségi vizsgálatokat és a penetrációs teszteket. Ennél is fontosabb a DOJ erőfeszítései annak biztosítására, hogy a bűnüldözésnek ne legyen hideg hatása a biztonsági kutatásokra.

13 támadó a hálózaton

Ne bízzon a Black Hat hálózatban. Rengeteg ember működik a hálózat körül, és sok résztvevő használja ki a lehetőséget, hogy új trükköket és technikákat kipróbáljon a hét folyamán. A Fortinet ebben az évben irányította a Black Hat biztonsági műveleti központját, és felügyelte az összes tevékenységet mind a vezetékes, mind a vezeték nélküli hálózaton. Míg sok képernyő volt, amely megmutatta, hogy milyen alkalmazások futnak, az elemzés nagy részét a biztonsági szakemberek által végzett önkéntes csapat végezte. Az egyik osztály, a fejlett webes penetrációs támadási technikákat tanulva, kissé elkerülte magát, és arra késztette az internetszolgáltatót, hogy hívja fel a műveleti csoportot, és mondja meg, hogy álljon le.

14 A robo-hívások leállítása

Ez nem a Black Hat-ban volt, hanem a DEF CON-ban. A Humanity Strikes Back egy FTC verseny a DEF CON-n, ahol a hackerek robocall-ellenes szoftvereket hoztak létre. Az ötlet az volt, hogy hozzon létre egy eszközt, amely elemezni fogja a hívás hangját, és ha a hívást robocallnak ítélték meg, blokkolja azt a végfelhasználótól, és továbbítja a hívást egy mézeskaljba. Két döntős bejelentette szoftverét a kontextus asztalán a DEF CON során, miközben ez a robot vidáman ingyenes körutazási vakációt nyújtott, ha megnyomja az 1 gombot.

15 Hogyan lehet hackerekké válni

Most, hogy tudja, hogy ne tartóztassanak le biztonsági kutatások miatt, talán érdekli játszani valamilyen saját hackeres eszközzel? Lépjen be a Kali Linuxba, egy testreszabható platformba, amely mindenféle szórakozást lehetővé tesz.

A Kali Linuxnak egyszerűnek kell lennie, de ennél is fontosabb, hogy rugalmas legyen. Felvehet vagy eltávolíthat eszközöket a rosszindulatú programok teszteléséhez, a hálózati teszteléshez és a penetrációs tesztekhez - megnevezi. Még az eszközöket telepítheti egy Raspberry Pi-re a biztonságteszteléshez útközben.