Černý klobouk 2019: nejbláznivější a nejděsivější věci, které jsme viděli

Slunce v Las Vegas zapadlo na další černý klobouk a nesčetné množství hacků, útoků a zranitelností, které přináší. Letos jsme měli velká očekávání a nebyli jsme zklamáni. Byli jsme dokonce občas překvapeni. Tady jsou všechny skvělé a děsivé věci, které jsme viděli.

Jeff Moss 'Shoes

Skutečnou hvězdou zahajovacího ceremoniálu byla třpytivá obuv zakladatele Black Hat Jeffa Mossa. Také známý jako Dark Tangent, Moss sported pár šumivých, třpytivé tenisky; jeho „jiskřivé boty“, jak řekl na pódiu. "Pokud mě lasery zasáhnou právě správně, možná budu schopen oslepit jednoho nebo dva z vás."



Phony Phones

Tyto telefony vypadají skvěle, ale ve skutečnosti jde o levné padělky z Číny. Každý stojí asi 50 $ a je dodáván s předinstalovaným malwarem bez dalších poplatků! Falešný iPhone je obzvláště působivý. Spouští vysoce upravenou verzi Androidu, která je mrtvým vyzváněním pro iOS. Má dokonce pečlivě vytvořenou falešnou kompasovou aplikaci, i když tu, která vždy ukazuje. Děkujeme Afilii za to, že jste nám ukázali tato podivná zařízení.



Rakety pro Malware

Výzkumník bezpečnosti Mikko Hypponen ve své prezentaci v Black Hat přemýšlel o důsledcích toho, že se kybernetická válka stane skutečnou střeleckou válkou. Je to důležitý problém v tomto věku hackerů sponzorovaných státem a ruských volebních vměšování. Také představil divákům nejlepší způsob, jak popsat práci bezpečnostního odborníka: „To, co děláme, je jako Tetris. Až budete úspěšní, zmizí.



Šíření v softwaru

Kolik způsobů může škodlivý software infikovat jiný kód? Pojďme si spočítat způsoby! Ne, opravdu je spočítat. To udělali někteří vědci. Očekávali, že najdou hrst způsobů, ale místo toho přišli s 20 plus variantami.



Na GPS se příliš nespoléhejte

GPS je skvělý; pomáhá vám dostat se tam, kam potřebujete, a už nemusíte mít v autě zatuchlý atlas. Globální navigační satelitní systémy (GNSS), jako je GPS, jsou však snadno podvrženy, a to je problém, pokud navrhujete autonomní vozidlo, které se na GNSS příliš spoléhá. V této přednášce Black Hat jsme viděli, jak strašidelné, drzé věci se stávají autu bez řidiče, když si pohráváte s navigačními signály.



Spectre of Spectre With SwapGS

Pamatujete Spectre a Meltdown? Jednalo se o velké děsivé zranitelnosti, které vědci našli před několika lety v CPU a které po několik týdnů získaly titulky. Nyní badatelé Bitdefenderu našli podobnou zranitelnost ve všech moderních čipech Intel.



Průmysl vlastního významu

Žárlíte někdy na svého přítele, který má na Instagramu nevysvětlitelně tisíce dalších následovníků? Nebuď, protože je pravděpodobně koupili. Ale odkud pocházejí ti falešní následovníci a kdo to vlastně je? To je otázka, kterou se vědci GoSecure Masarah Paquet-Clouston (na obrázku) a Olivier Bilodeau pokusili odpovědět ve svém rozhovoru o Black Hat. Odhalili obrovský ekosystém prodejců a prostředníků postavený na páteři falešných IP adres a zařízení IoT infikovaných malwarem. Ti falešní rádi nemají za to všechno cenu.



5G je (většinou) bezpečný

5G je opravdu cool a opravdu rychlý a v podstatě vyřeší všechny naše problémy navždy, včetně některých nepříjemných bezpečnostních nedostatků, které přetrvávají v bezdrátových standardech. Vědci však našli v 5G několik jedinečných vtípků, které jim umožnily identifikovat zařízení, omezit jejich internetovou rychlost a vybít baterii zařízení IoT.



Pwned by Text

Tu a tam uvidíte příběh o bezpečnostní společnosti nebo vládě, která má super tajnou zranitelnost pro iPhone, kterou používá pro takovou nebezpečnou činnost. Jeden výzkumník zabezpečení Google přemýšlel, jestli by takové věci skutečně mohly existovat, a našel v tomto procesu 10 chyb. Nakonec ona a její kolega dokázali extrahovat soubory a částečně převzít kontrolu nad iPhone pouhým zasláním textových zpráv.



Velký Boeing 787 Hack Fight z roku 2019

Moderátoři Black Hat nemají vždy útulný vztah se společnostmi a organizacemi, které vyšetřují. Tento rok byl domovem, když Ruben Santamarta odhalil své potenciální útoky na síť Boeing 787. Věří, že je možné dosáhnout citlivých systémů prostřednictvím různých vstupních bodů, ale Boeing říká, že je to všechno falešné. Těžko říci, komu věřit v tento příběh, ale Max Eddy poukazuje na to, že Santamarta svou práci plně předvedl.



Kult mrtvé krávy

Kdo by napsal knihu o klucích, kteří byli slavní před 20 lety? Joe Menn, novinář a autor, to je kdo. Jeho kniha má název Kult mrtvé krávy: Jak může originální hackerská superskupina zachránit svět . Skupina byla kdysi anonymní, chodila za kliky jako Deth Veggie, Dildog a Mudge. S vydáním knihy poprvé promluvili u Black Hat pod jejich skutečnými jmény. Neil to ještě nečetl, ale skupina určitě houpala tento černý klobouk; setkal se s nimi tři dny v řadě.

V úterý večer skočil do kabiny se skupinou před sebou, která se ukázala jako Deth Veggie a gang. Ve středu se Neil dostal do obědového panelu, jenž byl pozván pouze k pozvání, mimo jiné s Deth Veggie, autorem Joe Menn, Dug Song of Duo Security a Heather Adkins, v současnosti senior ředitelem bezpečnosti společnosti Google. Joe provedl rozhovor s Mudgeem, Dildogem a Deth Veggie a bylo tam mnoho radosti.

Přes tuto skupinu prošla kavalérie skvělých hackerů. Většina z nich je v současné době zaměstnána v bezpečnostních společnostech nebo vládních agenturách. Jeden dokonce kandiduje na prezidenta. Neil se těší na čtení historie této inspirativní partie hacktivistů.



Detekce deepfakes pomocí náustku

Nikdo nepoužil hluboce falešné video, aby se pokusil ovlivnit veřejné mínění. Myslíme. Ale Matt Price a Mark Price (bez vztahu) si myslí, že se to může stát kdykoli. Proto se rozhodli prozkoumat, jak jsou hluboce vytvořeny, jak mohou být detekovány a jak je lépe detekovat. V tomto posledním bodě vytvořili nástroj, který se dívá na ústa, aby se pokusil vymýtit padělky. Fungovalo to o něco lépe než 50 procent času, což se, doufejme, dobře hodí pro budoucnost.

Pokud nás Mouthnet nezachrání, možná to mohou myši! Vědci se dívají na to, jak vyškolení myši rozlišují různé vzorce řeči. Jejich malé mozky by mohly držet klíč k detekci hluboce falešných videí, doufejme, že dříve, než opatrně vydané falešné video způsobí nějaké skutečné poškození. (ALEXANDRA ROBINSON / AFP / Getty Images)



Ruská zpravodajská služba je sama ve válce

Když hovoříme o rušení ruských voleb nebo ruských trolích, domníváme se, že zpravodajské agentury Matky Ruska jsou v pohotovosti a jednají jako součást jediného, ​​mazaného plánu. Podle jednoho výzkumníka to nemohlo být dále od pravdy. Rusko má spíše abecední polévku zpravodajských agentur, které se snaží prosadit zdroje a prestiž a jsou zcela ochotné hrát špinavě, aby se dostaly vpřed. Někdy jsou důsledky hrozné.



Zbraňování internetu

V rámci zasedání o ruském temném webu vědci zkoumali, jak nedávné ruské zákony ztěžují policejní činnost v této zemi. Rusko nyní staví jakýsi interní internet navržený tak, aby fungoval, i když byl odříznut od mezinárodního webu. To má „nezamýšlený“ důsledek, protože je mnohem těžší dostat se na ruské stránky, které provádějí nezákonnou činnost.



Kdo sleduje předinstalované aplikace?

Nikdo nemá rád bloatware, ale kdo zajistí, že předinstalované aplikace nejsou vlci zabalení do vlněných převlek? Odpověď je Google. Senior Security Engineer Maddie Stone popsal problémy při identifikaci škodlivých aplikací mezi předinstalovanými aplikacemi. Jeden problém: předinstalované aplikace mají vyšší oprávnění a podivné chování, protože jsou předinstalovány, což ztěžuje nalezení nebezpečných.



Získejte Penthouse s hacknutým Bluetooth klíčem

Zámky s podporou Bluetooth, které otevřete pomocí aplikace, musí být bezpečnější než nudné kovové špendlíky a stavítka, že? Ne u Black Hat. S trochou know-how a nějakého levného hardwaru mohli dva vědci otevřít dveře a získat všechny druhy užitečných informací. Možná bychom se měli držet kostlivých klíčů.



Dokonce i čínští hackeři potřebují vedlejší koncerty

Řekněme, že jste hacker a vyděláváte pro svou místní vládu docela dobré peníze. Co vás zastaví před měsíčním svitem a vyděláte trochu peněz navíc, řekněme infiltrací dodavatelského řetězce pro vývojáře videoher? Zdá se, že nic, pokud se má věřit výzkumu FireEye. Vzhledem k tomu, že dotyční hackeři pracují pro čínskou vládu, je trochu překvapivé vidět skupinu, která se obohacuje. To by mohl být první bezpečnostní průzkum, který dostal hackera do potíží se svým šéfem.