Fekete kalap 2018: mire számíthatunk

Ahogy a nyár melegszik, a biztonsági kutatók, a kormányzati szkriptek és az iparág elitje elindul Las Vegasba a Black Hat konferenciára, amelyet azonnal követ a magasabb szintű progenorta, a DefCon.

Ez egy hétre kiterjedő ünnepség, amely minden dolgot megfertőz, amikor a kutatók megpróbálják egyesíteni egymást a legújabb, legfélelmetesebb sebezhetőségek bemutatásával. Sötét után csillogó partik zajlanak olyan emberekkel, akik véletlenül dobognak olyan mondatok körül, mint például "söpörtük a helyet a hallgatókészülékekhez, és hármat találtunk!" Mindezen ágy alatt a szerény PCMag újságírók, Max Eddy és Neil Rubenking fognak szorosan ragaszkodni a papír esernyő italokhoz, mivel a biztonsági titkok suttognak a fülükben.

A Black Hat ismert a kivitelezéséről, valamint kutatásáról. A korábbi években csapkodott Linux puskákat, 100 dolláros bankjegyeket ATM-eket, bizonytalan műholdas telefonokat és csúcstechnológiájú "intelligens" autókat vezettek a kutatók.

Íme, amit várunk a Black Hat 21. évében, és tartsa szemmel a SecurityWatch-et a legújabb Black Hat 2018-ból.

A Google a reflektorfényben

Az idei vitaindítót Parisa Tabriz, a Google mérnöki igazgatója adja ki. Tabriz beszéde az új biztonsági ötletek átfogására összpontosít, még ha óriási léptékű is, és biztosan megérinti a Chrome böngészővel végzett munkáját.



Az autóhakkolás visszatért (egyfajta)

Charlie Miller és Chris Valasek azt mondták, hogy a címsorral megragadott támadásuk után, amely szó szerint egy Jeep-t indított el az útról, jó fordult az autó-hackerek kulcsához. Vagyis addig, amíg be nem vettek részt az önjáró járművekben. A gépjármű-támadások királyai által vezetett autonóm autók veszélyeiről való beszélgetés minden bizonnyal felhívja a figyelmet.



Az emberek csapkodása

A biztonsági szakemberek körében gyakori (ha elutasító) vicc mondja, hogy "bármely rendszer legnagyobb sebezhetősége a szék és a számítógép között van." Az embereket ugyanolyan könnyen becsapják, mint a számítógépeket (talán könnyebben), és a társadalomtechnika minden bizonnyal fontos téma. Ez különösen igaz, mivel egyre több szervezet szembesül az adathalász támadások engedelmeskedéssel. Senki sem akarja a 2016-os kb. Demokratikus Nemzeti Bizottság tagja lenni, és a becsapódó és rizottó receptjeiket az interneten át lehet szórni.



Titkosítás és VPN-k

A tapasztalatok alapján a VPN-k forró árucikk a biztonsági iparban. A globális nyugtalanság és az online streaming videohoz való hozzáférés iránti vágy vezette az egyszer álmos és figyelmen kívül hagyott biztonsági eszköz népszerűségét. Tekintettel a közelmúltbeli népszerűségükre és az érintett vállalatok átláthatatlanságára, várják el, hogy a hackerek a VPN-szolgáltatásokra összpontosítsanak.

Hasonlóképpen, a titkosítás az a technológia, amely minden működik online, a titkok titokban tartásától az egyének személyazonosságának ellenőrzéséig. Ez egy nagy teljesítményű eszköz és izgalmas célpont. Az egyezmény kutatói biztosan bemutatják a titkosítás megválasztásának, gyengítésének vagy más módon történő kijátszásának munkáját. Nem várunk semmi olyan úttörést, mint a SHA-1 hash ütközés, de egy beszélgetés egy oldalcsatornás támadástól, hogy titkosítási kulcsokat lopjanak el az útválasztóktól, izgalmasnak tűnik.



Blokklánc megszakítása (vagy használata)

A kriptovaluták az online alvilág és a technológiai befektetők drágái. Pénzügyi értékük és digitális létezésük révén könnyen megcélozhatják őket a hackerek számára, ami ebben az évben néhány ülés tárgyát képezi. A legérdekesebb kutatást azonban a mögöttes blokklánc-technológia használata az információk tárolására és az online bizalom létrehozására szolgálja. Néhány ülés arra összpontosít, hogy hogyan lehet megtámadni a kriptográfia alapjait, a rossz célok érdekében.



Hack a Szavazás

Az amerikai hírszerző és bűnüldöző szervek szerint tényleges kérdés az orosz kísérlet a 2016. évi amerikai választások befolyásolására. Ez a legnagyobb információbiztonsági történet, mióta a Snowden szivárog, és ez továbbra is folytatódik. Míg tavaly nem látottunk túl sokat a témában, a választási hackelés és a sebezhető szavazógépek sokéves témák a Black Hat-on, ezért ebben az évben is számítsanak rájuk. Az egyik figyelemre méltó munkamenet azt vizsgálja, hogyan lehet a meglévő társadalmi gráfot felhasználni az orosz Twitter botok lefedésére.



Két tényezős hitelesítés: Isten áldása vagy átka?

A Google a közelmúltban fizikai kéttényezős eszközök használatával szétzúzta az adathalászatot, és a NEXT konferencián bemutatta saját biztonsági kulcsát. A biztonsági problémák minden megoldása azonban új lehetőséget kínál a kutatók számára a bemutatásra. Biztosan látunk néhány támadást a 2FA rendszerek ellen.



Hackelés a 21. században

A Black Hat és a DefCon az év legnagyobb eseményei a biztonsági szakemberek és a hobbi-hackerek számára, tehát ideje áttekinteni a közösséget is. Bár erőfeszítéseket tettek az információbiztonság és a konferenciák barátságosabbá tételére a nők, a színes emberek, a fogyatékkal élők és más csoportok számára, amelyek gyakran marginalizálódtak a tech biz-ban, ezekben az eseményekben a gumi találkozik az úttal. Nem csak néhány, a csoportok és ülések alkalmával rendezendő találkozók kerülnek megrendezésre, amelyek arról szólnak, hogyan lehet az infosec barátságosabbá tenni. Számos ülés a depresszió és a PTSD kérdéseivel foglalkozik a hackerek közösségében, amelyet gyakran nem tárgyalnak.



Egy erőmű (vagy egy vízkezelő üzem, vagy gyár, vagy elektromos hálózat) feltörése

A legtöbb hackerek csak arra készültek, hogy gyors pénzt szerezzenek, de néhány támadó (és a nemzetállami szereplők) a nagyobb nyereményekre gondolnak: az infrastruktúrára. Az elmúlt években olyan ülések zajlottak, amelyekben egy gyárat elpusztítanak buborékokkal és taktikákkal, hogyan lehet levenni a legtöbb ipari komplexumot alkotó zavaró, testreszabott rendszereket.