15 nejděsivějších věcí na černém klobouku 2015

4 Ukradení souborů z cloudu

Služby cloudového úložiště, jako jsou Dropbox a Disk Google, se rychle staly základními nástroji pro práci. Proto je nový útok vědců z Impervy, který dokáže ukrást všechny vaše soubory z cloudu, tak chladivý. Horší je, že Imperva říká, že útok nelze detekovat pomocí obvodových obran a tradičními nástroji koncového zabezpečení.

Chytrá část tohoto útoku spočívá v tom, že se vyhýbá problémům s odcizením pověření potenciální oběti nebo ohrožení samotné cloudové platformy. Útočník místo toho obětuje, aby nainstaloval malware, který přesměruje lokálně uloženou kopii cloudových souborů na jiný server, na který váš počítač šťastně doručí všechny důležité soubory.

5 Ovládnutí telefonu Android

Trojské koně pro vzdálený přístup (RAT) umožňují útočníkovi vzdáleně přistupovat k vašemu telefonu nebo počítači, jako by seděli před ním. Mohou vidět, co vidíte, a dokonce i fotografovat, poslouchat mikrofon nebo natáčet video, aniž byste to věděli. Je to jeden z nejděsivějších druhů malwaru a vědci říkají, že našli způsob, jak získat tento druh přístupu na milionech zařízení Android.

Potíž je v tom, že někteří výrobci Androidu zahrnují speciální plug-iny, které normálně sedí v klidu, dokud se vzdálená podpora, jako je LogMeIn nebo TeamViewer, nedotkne. Poté se plug-in zapne a umožní společnosti přistupovat k zařízení Android, jako by agent podpory, kde používá telefon. Výzkumníci Check Point Ohad Bobrov a Avi Bashan objevili, jak tyto pluginy používat pro zlo a nechat je převzít kontrolu nad telefony Android. Nejhorší část? Protože tyto pluginy jsou instalovány výrobci, nemůžete udělat nic, abyste se chránili.

6 Stagefright Ukradne show

Stagefright, zveřejněný před Black Hat výzkumníkem společnosti Zimperium Joshem Drakeem, je v Androidu novou velkou hrozivou zranitelností. Jak velký? Má se za to, že ovlivňuje 95 procent všech zařízení Android. Jak děsivé? Drake ukázal, že dokázal přimět telefony Android, aby spustily kód pouhým odesláním textové zprávy. Ve spojení se správným druhem útoku by to mohlo být zničující.

Drake byl po ruce u Black Hat, aby mluvil o Stagefrightovi, odkud pochází a co objevil, když ho zkoumal. Velkou záležitostí bylo, že kódová základna Androidu je obrovská a vyžaduje větší pozornost. „To pravděpodobně není jediný kód, který byl napsán ve spěchu, “ řekl Drake.

Na Black Hat se také podílel šéf bezpečnosti Google pro Android, Adrian Ludwig (na obrázku výše). Uznal rozsah působnosti Stagefright, ale oznámil, že Google a její partneři vyvíjejí stejně velké úsilí na ochranu Androidu před zneužitím Stagefright. Ludwig také zdůraznil práci, kterou Google již udělal, aby udržel Android v bezpečí. Tváří v tvář četným útokům řekl, že Android je stále silný.

7 Hackování pušky založené na Linuxu

Internet věcí bude brzy všude kolem nás. Vlastně již je (při pohledu na vaše chytré televizory a směrovače!). Existují však i místa, kde se technologie připojená k internetu teprve začala vyrábět, jako jsou střelné zbraně. Runa Sandvik a její spoluřešitel Michael Auger kupovali, roztrhávali a úspěšně hackovali inteligentní pušku Tracking Point. Za normálních okolností vám tato puška pomůže pokaždé zasáhnout vaši značku. Pod kontrolou hackerů může být uzamčen, nucen vynechat cíle a přimět zasáhnout jiné cíle.

Jedna věc, která byla z práce Sandvika a Augera zřejmá, bylo, že hackování pušky nebylo snadné. Vzali si čas, aby poukázali na mnoho věcí, které Tracking Point udělal správně, a navrhli průmyslu, jak mohou vylepšit zařízení IOT. Snad hacknutí této pušky jednoho dne povede k světu s bezpečnějšími hriankovači.

8 hackerů může připojit váš domov otevřený

Domácí automatizační systém ZigBee umožňuje snadné ovládání vašich zámků dveří, světel a termostatu, ale může se také rozšířit na hackery. V dramatické prezentaci vědci Tobias Zillner a Sebastian Strobl demonstrovali, jak by mohli převzít kontrolu nad systémy založenými na ZigBee.

Zdá se, že chyba nespočívá na ZigBee, ale na prodejcích, kteří používají svůj komunikační systém. ZigBee nabízí řadu bezpečnostních nástrojů, které zajišťují, že se zařízeními mluví pouze správný člověk. Dodavatelé tyto nástroje jednoduše nepoužívají, místo toho se spoléhají na méně bezpečný záložní systém. Naštěstí je to ošidný útok, který se musí stáhnout, ale výrobci zařízení musí zvýšit svou kolektivní hru.

9 Jak bezpečný je váš otisk prstu?

Stále více mobilních zařízení zahrnuje senzory otisku prstu a v budoucnu můžeme očekávat i exotičtější druhy biometrické autentizace. Data o otiscích prstů však nemusí být v telefonu bezpečně uložena a samotný čtenář může být napaden hackerem. Vědci FireEye Tao Wei a Yulong Zhang představili čtyři útoky, které by mohly ukrást vaše údaje o otiscích prstů. To není příliš velká dohoda, pokud vám nedojde prsty.

Ze čtyř útoků, které Zhang představil, byly dva obzvláště zajímavé. První ukázal, jak by útočník mohl pomocí správných nástrojů jednoduše odfouknout odemknutou obrazovku, aby přiměl oběť k tomu, aby si prstem na skeneru strčil prst. Jednoduchý! Další, mnohem komplikovanější útok mohl získat přístup k datům ze snímače otisků prstů, aniž by se musel vloupat do zabezpečeného segmentu TrustZone zařízení Android. Ačkoli zranitelnosti, které Zhang a Wei našli, byly opraveny, je pravděpodobné, že jich bude ještě mnoho objeveno. (Obrázek )

10 Hackování chemické továrny je opravdu těžké

V jedné z nejsložitějších prezentací v Black Hat Marina Krotofil popsala, jak by útočníci mohli přinést chemickou rostlinu na kolena pro zábavu a zisk. No, většinou zisk. Tento proces je plný jedinečných výzev, z nichž největší je vymyslet, jak porozumět složitým vnitřním funkcím závodu, kde se plyny a kapaliny pohybují podivnými způsoby, které nelze snadno sledovat pomocí elektronických zařízení dostupných hackerům. A pak se musí vypořádat s otravnou fyzikou továrny. Příliš mnoho snižte tlak vody a kyselina by mohla dosáhnout kritické teploty a upozorněte na svůj útok.

Nejděsivější součástí prezentace Krotofilu byla určitě skutečnost, že hackeři již v minulosti úspěšně vydírali peníze z utilit a rostlin, ale tyto informace nebyly vědcům k dispozici. (Obrázek )

11 Budoucí bezpečná společnost

Během hlavní řeči slavná právnička Jennifer Granick popsala, jak se hackerský étos sociálního pokroku prostřednictvím technologie ztratil kvůli spokojenosti, vládní kontrole a zájmům společnosti. Sen, říkala, o svobodném a otevřeném internetu, který umožnil bezproblémové poznání a komunikaci a narušil rasismus, klasicismus a diskriminaci pohlaví, nebyl nikdy plně realizován a rychle mizel.

Popsala svůj strach, že informační technologie vytvoří svět, ve kterém se analýza dat používá pro všechno. To by posílilo existující mocenské struktury, řekla, a nejvíce by to bolelo okrajové případy. Varovala také před vládami, které používají bezpečnost jako způsob, jak promítat sílu, vytvářet bezpečí a bezpečnost. Strašidelné věci.

12 Jak nezatknout

Jedním z nejdiskutovanějších setkání mezi účastníky Black Hat byla hostovaná ministerstvem spravedlnosti. Pro průměrného člověka to asi znělo nudně, ale tato živá relace se snažila vychovávat publikum a vysvětlit, jak hackeři mohli pokračovat ve své práci bez toho, aby porušili zákon.

Leonard Bailey, zvláštní poradce DOJ pro národní bezpečnost v sekci Agentura pro počítačové zločiny a duševní vlastnictví, vysvětlil účastníkům, jak mohou bezpečně provádět kontroly zranitelnosti a penetrační testy. Ale co je důležitější, je úsilí DOJ zajistit, aby vymáhání práva nemělo chladivý účinek na výzkum bezpečnosti.

13 útočníků v síti

Nevěřte síti Black Hat. V síti je spousta lidí a mnoho účastníků využívá příležitost vyzkoušet si nové triky a techniky, které se během týdne naučili. Fortinet letos řídil bezpečnostní operační středisko pro Black Hat a monitoroval veškerou aktivitu na kabelových i bezdrátových sítích na místě. Zatímco tam bylo spousta obrazovek ukazujících, jaké aplikace běží, většinu analýz provedl dobrovolný tým bezpečnostních profesionálů. Jedna třída, která se naučila pokročilé techniky útoku na webové penetrace, se trochu unesla a vyzvala ISP, aby zavolal operační tým, aby jim řekl, aby přestali.

14 Ukončení robotických volání

Tohle nebylo v Black Hat, ale DEF CON. Humanity Strikes Back je soutěž FTC na DEF CON, kde hackeři vytvořili anti-robocall software. Záměrem bylo vytvořit nástroj, který by analyzoval zvuk hovoru a pokud byl hovor určen jako robocall, zablokovat jej od koncového uživatele a předat hovor honeypotu. Dva finalisté předvedli svůj software na konferenčním stolku během DEF CON, zatímco tento robot vesele nabídl bezplatné výletní prázdniny, pokud stisknete 1.

15 Jak se stát hackerem

Nyní, když víte, jak se nechat zatknout kvůli bezpečnostnímu výzkumu, možná máte zájem hrát si s některými vlastními hackerskými nástroji? Zadejte Kali Linux, přizpůsobitelnou platformu, která vám umožní zažít spoustu zábavy.

Kali Linux má být snadný, ale co je důležitější, měl by být flexibilní. Můžete přidat nebo odebrat nástroje pro testování malwaru, testování sítě, testování penetrace - pojmenujete to. Můžete dokonce nainstalovat nástroje na Raspberry Pi pro testování bezpečnosti na cestách.