10 nejděsivějších hackerských útoků z black hat 2014

Black Hat letos byly dva intenzivní briefingy, protože výzkumníci v oblasti bezpečnosti demonstrovali, jak snadné bylo proniknout do aut, termostatů, satelitní komunikace a hotelů. Zároveň proběhlo mnoho rozhovorů o tom, jak zvýšit bezpečnost. Deset návrhů politik z klíčové řeči Dan Geera se zaměřilo na to, aby se svět zlepšil tím, že zlepší náš přístup k informační bezpečnosti. Mezi problémy, na které se tato zpráva zaměřila, patřily současné zranitelné závody ve zbrojení, zastaralý software a potřeba považovat informační bezpečnost za profesi. Všichni jsme odešli s plaváním našich hlav s novými fakty, nápady a - především - obavami. Tolik obav.

Jednou z věcí, na kterou se v Black Hat vždy můžete spolehnout, je slyšení zranitelností ve věcech, o kterých si ani nemyslíte, že by mohly být napadeny. Je uklidňující vědět, že tyto demonstrace jsou primárně akademické a že tyto problémy nejsou v současné době ve volné přírodě využívány. Ale ze stejného důvodu je děsivé uvědomit si, že pokud moderátoři Black Hat zjistili nedostatky, kdo má říct někoho jiného, ​​kdo má mnohem škodlivější úmysly (a možná lepší financování), nemá - nebo ne?

Zvažte to: slyšeli jsme o hackování bankomatů v Black Hat před třemi lety a zločinci konečně začali rabovat bankomaty v Evropě právě tento rok. Letos se uskutečnily nejméně tři sezení o tom, jak lze hacknout terminály prodejních míst pro čipové a PIN karty. Pokud nebudeme poslouchat a zabezpečovat naši platební infrastrukturu, uvidíme během tří let další porušení cílových rozměrů pomocí čipových a PIN karet? To je opravdu děsivá myšlenka.

Black Hat 2014 možná skončil, ale budeme mluvit o šokujících věcech, které jsme tam viděli už nějakou dobu. Doufejme, že to bude jako poučení, které vedlo k implementaci řešení, a ne jako zmeškané příležitosti, které vedly k hrozným zločinům.

Tady je Security Watch na to, co jsme viděli v Black Hat, který nás bude držet v noci.

1 1. Internet selhání

Obrana počítače nebo telefonu je docela snadná; postupujte podle několika tipů pro zdravý rozum a nainstalujte si bezpečnostní software a je dobré jít. Ale co internet věcí? V relaci po relaci vědci ukázali, že kritická zařízení připojená k internetu byla snadno přístupná. Tým, který hackuje inteligentní termostat Nest, dostal útok až na 15 sekund a nyní je těžké pracovat na útoku vzduchem. Billy Rios našel výchozí hesla pevně zakódovaná do skenovacích strojů povinných pro použití na kontrolních stanovištích TSA v celé zemi. Stále nás ohromuje 15sekundový hack.

• 2 2. Hacking Airliners, Ships and More!

  Co se týče zadních vrát, zařízení, která dodávají, letadla, novináři a (možná) armáda, na které se spoléhají při komunikaci, nejsou tak bezpečná, jak jsme si mysleli. Ruben Santamarta společnosti IOActive prokázal, že mnoho z těchto systémů má zadní vrátka, údajně pro údržbu nebo obnovení hesla. I když některé zadní vrátky byly údajně zabezpečené, dokázal obejít ochranné prvky. Útok, který zasáhl nejblíže k domovu, byl nepřesvědčivě Santamartovým tvrzením, že mohl hacknout letadla pomocí infračerveného Wi-Fi. Bylo jasné, že by mu to nedovolilo „havarovat letadla“, ale také zdůraznil, že kritická komunikace probíhá stejným systémem. Ve svém projevu napadl námořní tísňový maják, aby místo SOS zobrazil video automat. Vezměme si stejný druh hacku na jumbo jet a máte představu o tom, jak by to mohlo být znepokojivé.



3 3. Krást hesla pomocí Google Glass, smartwatches, smartphonů a videokamer

Existuje mnoho způsobů, jak ukrást heslo, ale jeden nový přístup umožňuje zločincům (nebo vládním agenturám) rozeznat vaše stisknutí kláves, aniž by viděli obrazovku nebo instalaci malwaru. Jeden moderátor Black Hat předvedl svůj nový systém, který automaticky čte hesla s přesností 90 procent. Funguje to dokonce, když je cíl na úrovni ulice a útočník čtyři příběhy nahoru a přes ulici. Metoda funguje nejlépe s digitálními videokamerami, ale tým zjistil, že chytré telefony, smartwatches a dokonce i Google Glass lze použít k zachycení použitelného videa v krátkém dosahu. Sklo, opravdu!

Obrázek přes uživatele Flickra Teda Eytana



4 4. Zapomeňte na MasterKey, Meet Fake ID

Jeff Forristal loni otočil hlavy, když odhalil takzvanou chybu zabezpečení MasterKey, která by mohla nechat škodlivé aplikace předat se jako legitimní. V letošním roce se vrátil s Fake ID, který využívá základní nedostatky v bezpečnostní architektuře Androidu. Konkrétně, jak aplikace podepisují certifikáty a jak Android tyto certifikáty zpracovává. Praktickým výsledkem je, že u jedné škodlivé aplikace, která nevyžaduje žádná zvláštní oprávnění, byla aplikace Forristal schopna vložit škodlivý kód do pěti legitimních aplikací v telefonu. Odtud měl hluboký přístup a nahlédl do toho, co infikovaný telefon dokázal.

Obrázek přes uživatele Flickr JD Hancock



5 5. Zlo USB může převzít váš počítač

Slyšeli jste, že jednotky USB mohou být nebezpečné, pokud se vám nepodaří vypnout automatické přehrávání. Nejnovější hrozba založená na USB je ohromně horší. Tím, že hackl firmware jednotky USB, pár výzkumníků spravoval širokou škálu hacků na počítačích Windows a Linux, včetně ekvivalentu viru zaváděcího sektoru. Jejich neobvyklá jednotka USB emulovala klávesnici USB a přikázala jednomu testovacímu systému stáhnout malware. V dalším testu nabídl falešný ethernetový rozbočovač, takže když oběť navštívila v prohlížeči PayPal, ve skutečnosti šla na mimikální web PayPal, který ukradl heslo. Nebylo to pouhé teoretické cvičení; demonstrovali tyto a další hacky na pódiu. Už nikdy se na zařízení USB nebudeme dívat stejným způsobem!

Obrázek prostřednictvím uživatele Flickr Windell Oskay



6 6. Má rádio? Pojďme to hacknout!

Rádio se v internetovém věku může zdát jako zastaralá technologie, ale stále je to nejlepší způsob, jak zařízení, jako jsou dětské monitory, domácí zabezpečovací systémy a vzdálené startéry do automobilů, bezdrátově přenášet informace. A to z něj dělá hlavní cíl pro hackery. V jedné přednášce Silvio Cesare ukázal, jak porazil každou z nich pomocí softwarově definovaného rádia a trochu nadšeného nadšení. Nebyl to jediný rozhovor na softwarově definovaném rádiu. Balint Seeber řekl davu, jak se mu podařilo poslouchat na radarových miskách a sledovat objekty blízko úrovně země. Ne tak děsivé, ale velmi, velmi cool.

Obrázek prostřednictvím uživatele Flickr Martin Fisch



7 7. Nemůžeme zastavit vládní malware

Slyšeli jste o červem Stuxnetem sponzorovaném vládě, který sabotoval íránský jaderný program, čínští generálové žalovaní naší vládou za hackování a další. Vedoucí výzkumu společnosti F-Secure Mikko Hypponen varoval, že malware podporovaný vládou existuje již déle, než si uvědomujete, a časem se bude zvyšovat. Se zdroji národního státu za nimi mohou být tyto útoky téměř nemožné blokovat. Aby si nemyslel, že by se naše vlastní vláda nezklonila tak nízko, listoval sbírkou pracovních pozic vojenských dodavatelů, kteří konkrétně hledali malware a využívali spisovatele.

Obrázek přes Flcikr uživatele Kevin Burkett



8 8. Jeden čtenář kreditní karty Hacks

Po narušení maloobchodního prodeje v letech 2013 a 2014 všichni mluví o aktuálním zavedení čipových a PIN karet. Ukazuje se, že pokud nezměníme, jak funguje zpracování plateb, obchodujeme pouze s jednou sadou problémů za druhou. Také jsme viděli, jak mohou být mobilní zařízení typu point-of-sale, která zpracovávají čipové a PIN karty, ohrožena pomocí špatně vytvořených karet. Útočníci mohou jednoduše přenést kartu do čtečky a načíst Trojan, který ukládá PINy do samotné čtečky. Druhá nepoctivá karta poté zkopíruje soubor obsahující získané informace. Druhá karta by mohla dokonce odstranit trojského koně a prodejce by si o porušení nikdy neměl být vědom! To stačí k tomu, abychom se téměř přáli vrátit se k společnosti založené na peněžních prostředcích.

Obrázek přes uživatele Flickr Sean MacEntee



9 9. Váš síťový disk na vás špionuje

Nedávno jsme se hodně zaměřili na domácí směrovače a na to, jak je útočníci ohrožují. Podle Jacoba Holcomba z Independent Security Evaluators se ukázalo, že úložná zařízení připojená k síti jsou stejně problematická, ne-li více. Podíval se na zařízení NAS od 10 výrobců - Asustor, TRENDnet, QNAP, Seagate, Netgear, D-Link, Lenovo, Buffalo, Western Digital a ZyXEL - a našel zranitelnost ve všech z nich. Problémy jsou běžné nedostatky, jako je injekce příkazů, padělání žádostí napříč stránkami, přetečení vyrovnávacích pamětí, obcházení a selhání ověřování, zveřejňování informací, backdoor účty, špatná správa relací a procházení adresářů. Spojením některých z těchto problémů mohou útočníci získat plnou kontrolu nad zařízeními. Co máš na NAS?

Obrázek přes Flickr uživatele wonderferret



10 10. Útoky na zdravotnické prostředky: záležitost života a smrti

Nikdo v odvětví informační bezpečnosti se nesmál zprávou, že lékaři bývalého viceprezidenta Dicka Cheneyho se obávali, že se jeho kardiostimulátor dostane do bezpečí. Kulatý stůl zdravotnických prostředků v Black Hat se podíval na to, jak vyvážit zdraví pacientů s bezpečností. Poslední věcí, kterou chceme, je bezpečnost, která zpomaluje zdravotní péči, kde vteřiny mohou znamenat rozdíl mezi životem a smrtí, poznamenal moderátor Jay Radcliffe. Střízlivé poznání, že nemůžeme použít běžné bezpečnostní postupy pro lékařské přístroje, nás následovalo do DEF CON, kde vědci ze společnosti SecMedic diskutovali o projektu zkoumajícím zranitelnost ve všech druzích zařízení, včetně defibrilátorů . Nejděsivější část? Mnoho z těchto nedostatků bylo nalezeno během hodiny pomocí nástrojů s otevřeným zdrojovým kódem. Teď opravdu nechceš jít do nemocnice, že?

Prostřednictvím uživatele Flickr Phalinn Ooi