Černý klobouk 2018: co očekávat

Když se léto zahřívá, bezpečnostní vědci, vládní strašáci a průmyslové elity zamíří do Las Vegas na konferenci Black Hat, po níž okamžitě následuje jeho bouřlivější předchůdce DefCon.

Je to týdenní oslava všech věcí infosec, kde se vědci snaží navzájem spojit prezentace s nejnovějšími, nejděsivějšími zranitelnostmi. Po setmění jsou to bludné večírky s lidmi, kteří náhodně házejí fráze jako „my jsme zametli místnost pro poslech zařízení a našli tři!“ Uprostřed toho všeho bedmíru budou vaši skromní reportéři PCMag Max Eddy a Neil Rubenking, kteří se pevně drží papírových deštníkových nápojů, protože do uší jim zašeptá bezpečnostní tajemství.

Black Hat je známý pro své showmanship stejně jako jeho výzkum. V minulých letech došlo k hacknutým linuxovým puškám, bankomatům chrlícím 100 dolarů za účty, nejistým satelitním telefonům a high-tech „chytrým“ vozům vedeným vědci z cesty.

Těšíme se na 21. ročník Black Hat a sledujte SecurityWatch pro nejnovější z Black Hat 2018.

Google v centru pozornosti

Letošní hlavní přednášku představí Parisa Tabriz, ředitelka inženýrství společnosti Google. Tabrizův projev se zaměří na představení nových nápadů pro bezpečnost, i když pracuje v obrovském měřítku, a jistě se dotkne její práce s prohlížečem Chrome.



Hackování aut je zpět (druh)

Charlie Miller a Chris Valasek po svém útoku na hlavní titulek, který doslova odjel Jeepa z cesty, uvedli, že své klíče na hackování aut otočili navždy. To znamená, dokud se nezapojí do vozidel s vlastním pohonem. Jistě upoutá pozornost diskuse o nebezpečích autonomních automobilů v čele s králi automobilových útoků.



Hackování lidí

Mezi odborníky v oblasti bezpečnosti existuje obyčejný (i když odmítavý) vtip, který říká: „největší zranitelnost v každém systému je mezi židlí a počítačem.“ Lidé jsou stejně snadno podvedeni jako počítače (snadněji snadněji) a sociální inženýrství je určitě hlavním tématem. To platí zejména proto, že stále více organizací čelí rozpakům, že podlehnou phishingovým útokům. Nikdo nechce být demokratickým národním výborem přibližně v roce 2016 a nechat si na webu stříkat své bojové a rizoto recepty.



Šifrování a VPN

Pokud jde o zkušenosti, VPN jsou v odvětví bezpečnosti horkou komoditou. Globální nepokoje a touha po bezplatném streamování videa online vyvolala popularitu tohoto ospalého a přehlíženého bezpečnostního nástroje. Vzhledem k jejich nedávné popularitě a neprůhlednosti zúčastněných společností očekávají hackeři, že se zaměří na služby VPN.

Šifrování je také technologie, díky níž všechno funguje online, od utajení tajemství po ověření totožnosti jednotlivců. Je to mocný nástroj a také vzrušující cíl. Vědci na konferenci jistě představí práci na tom, jak vybrat šifrování odděleně, oslabit nebo jinak obejít. Neočekáváme nic průlomového, jako je srážka hash SHA-1, ale mluvení o útoku v bočním kanálu k ukradení šifrovacích klíčů ze směrovačů zní vzrušující.



Rozbití (nebo použití) blockchainu

Kryptoměny jsou miláčky online podsvětí i technologických investorů. Jejich peněžní hodnota a digitální existence z nich činí snadné cíle pro hackery, které jsou předmětem letošních několika sezení. Ale to je použití základní technologie blockchainu jako prostředku k ukládání informací a vytvoření důvěry online, což může přinést nejzajímavější výzkum. Některá zasedání se zaměří na to, jak zaútočit na základy krypta, a to pro zlověstné konce.



Hackujte hlas

Podle amerických zpravodajských a donucovacích agentur jsou ruské pokusy ovlivnit americké volby v roce 2016 skutečností. Je to jediný největší příběh o bezpečnosti informací od doby, kdy Snowden uniká, a stále se to děje. I když jsme na toto téma v loňském roce příliš neviděli, volební hackování a zranitelné hlasovací stroje jsou v Black Hat trvalými tématy, takže je čekejte i letos. Jedna pozoruhodná relace se zabývá tím, jak využít stávající sociální graf k odmaskování ruských Twitter robotů.



Ověřování dvou faktorů: Godsend nebo Curse?

Google nedávno rozdrtil phishing pomocí fyzických dvoufaktorových zařízení a na konferenci NEXT představil vlastní řadu bezpečnostních klíčů. Každé řešení bezpečnostního problému je však pro výzkumníka novou příležitostí k předvedení. Určitě vidíme nějaké útoky na systémy 2FA.



Hackování v 21. století

Black Hat a DefCon jsou největšími událostmi roku pro bezpečnostní profesionály a hobby hackery, takže je také čas podívat se na komunitu jako celek. Přestože bylo vyvinuto úsilí, aby byla informační bezpečnost a konference přátelštější pro ženy, lidi barvy, zdravotně postižené a další skupiny často marginalizované v tech biz, tyto události jsou místem, kde se guma setkává s cestou. Uskuteční se více než několik setkání různých skupin a relací, které se zabývají tím, jak učinit infosec příjemnějším. Několik relací se zabývá problematikou deprese a PTSD v hackerské komunitě, což není téma, o kterém se často diskutuje.



Jak nabourat elektrárnu (nebo úpravnu vody nebo továrnu nebo rozvodnou síť)

Většina hackerů je připravena rychle vydělat, ale někteří útočníci (a herci z národních států) mají oči na větší ceny: infrastruktura. V minulých letech se uskutečnily zasedání o tom, jak zničit továrnu bublinami a taktikou o tom, jak odstranit matoucí, zakázkové systémy, které tvoří většinu průmyslových komplexů.