Video: Blackhat TRAILER 1 (2015) - Chris Hemsworth Action Movie HD (Listopad 2024)
Black Hat je shromáždění výzkumných pracovníků v oblasti bezpečnosti, hackerů a průmyslu, kteří se setkávají v Las Vegas, aby udělali tři věci: nastínili poslední hrozby, ukázali, jak mohou být dobří chlapci a padouchy poraženi, a zahájili útoky na účastníky. V letošním roce došlo k velkému počtu děsivých útoků, včetně jednoho proti účastníkům show, spolu s hacky aut, nových způsobů, jak ukrást peníze z bankomatů, a proč by inteligentní žárovky nemusely být tak bezpečné, jak jsme si mysleli. Ale také jsme viděli spoustu důvodů, jak doufat, jako jsou výukové stroje, které umisťují nebezpečné servery, pomocí Dungeonů a Dragonů školí zaměstnance v zacházení s bezpečnostními hrozbami a jak Apple zpracovává zabezpečení vašeho iPhone. Byl to, jak řekl, pěkný rok ohýbání mysli.
Dobrý
Ano, Apple oznámil program odměny za chyby v Black Hat. Ale to bylo jen posledních 10 minut prezentace Ivana Krstika, vedoucího bezpečnostního inženýrství a architektury Apple. Během předchozích 40 minut nabídl bezprecedentní hluboký ponor do způsobů, jak Apple chrání zařízení a data uživatelů, a to před malefaktory i před sebou. A ano, vyžaduje to použití mixéru čestného k Bohu.
S tím, jak se zařízení Internet of Things stává stále více populárnější, se bezpečnostní profesionálové stále více zajímají. Konec konců jsou to zařízení s mikropočítači připojenými k sítím a plně schopnými provozovat kód. To je sen útočníka. Dobrou zprávou je, přinejmenším v případě systému Philip's Hue, vytvoření červu pro skok z žárovky na žárovku je velmi obtížné. Špatné zprávy? Je evidentně velmi jednoduché přimět systémy Hue k připojení k síti útočníka.
Každé školení o bezpečnosti v každém podniku zahrnuje upozornění, že zaměstnanci by nikdy neměli klikat na odkazy v e-mailech z neznámých zdrojů. A zaměstnanci jsou i nadále podvedeni, aby na ně klikali bez ohledu na to. Dr. Zinaida Benenson z univerzity v Erlangenu v Norimberku dospěla k závěru, že jednoduše není rozumné očekávat, že zaměstnanci budou odolat zvědavosti a jiným motivacím. Pokud chcete, aby se stali Jamesem Bondem, měli byste to uvést v popisu práce a podle toho jim platit.
Mnoho bezpečnostních výzkumů a provádění může být zdlouhavě únavné, ale nové techniky strojového učení mohou brzy vést k bezpečnějšímu internetu. Vědci podrobně popsali své úsilí ve výuce strojů k identifikaci příkazových a řídicích serverů botnetů, které umožňují padouchům kontrolovat stovky tisíc (pokud ne miliony) infikovaných počítačů. Tento nástroj by mohl pomoci udržet víko na takovou nebezpečnou aktivitu, ale nebyl to jen těžký výzkum. Na závěr svého zasedání vědci ukázali, jak lze systémy strojového učení použít ke generování průchodné skladby Taylor Swift.
Ten, kdo ví, hotelová síť může být v pořádku na konferenci pro dodávky domácích zvířat, ale ne na Black Hat. Konference má vlastní zcela samostatnou síť a působivé síťové operační středisko, které ji spravuje. Návštěvníci se mohou dívat skrz skleněnou zeď na mnoha zářících obrazovkách, hackerských filmech a dlouhodobých bezpečnostních expertech v NOC, kteří jsou plně zabaleni a přesouváni po celém světě na další konferenci Black Hat.
IT zabezpečení winks a hackeři s bílým kloboukem prostě nemohou získat dostatek bezpečnostních školení, ale nejsou to ti, kdo je skutečně potřebují. Prodejní tým, tým HR a posádka call centra nemusí nutně rozumět nebo oceňovat bezpečnostní školení, a přesto je opravdu potřebujete, aby zintenzívnili svou bezpečnostní hru. Výzkumník Tiphaine Romand Latapie navrhl přepracování školení o bezpečnosti jako hry na hraní rolí. Zjistila, že to naprosto fungovalo, a vyvolala významné nové zapojení mezi bezpečnostním týmem a zbytkem personálu. Žaláři a draci, někdo?
Podvodní telefonní hovor je obrovský problém. Podvody IRS přesvědčují nic netušícího Američana, aby rozdával peníze. Heslo reset podvody trik call centra do rozdávání zákaznických dat. Profesorka Judith Tabronová, forenzní lingvistka, analyzovala skutečné podvodné hovory a navrhla dvoudílný test, který vám pomůže je najít. Přečtěte si to a učte se, dobře? Je to jednoduchá a užitečná technika.
Děsivé
Pwnie Express staví zařízení, která monitorují síťový vzdušný prostor na cokoli nevhodného, a je to také dobrá věc, protože společnost objevila v letošním roce na Black Hat obrovský útok typu Man-in-the-Middle. V tomto případě zlomyslný přístupový bod změnil své SSID, aby oklamal telefony a zařízení, aby se připojily k síti, a domníval se, že jde o bezpečnou a přátelskou síť, kterou zařízení dříve vidělo. Útočníci přitom podvedli asi 35 000 lidí. I když je skvělé, že společnost dokázala útok odhalit, skutečnost, že byla tak masivní, je připomínkou úspěšnosti těchto útoků.
V loňském roce Charlie Miller a Chris Valasek představili to, co mnozí předpokládali, že je vrchol jejich kariéry v hackování automobilů. Letos se vrátili s ještě odvážnějšími útoky, které jsou schopny zabrzdit nebo ovládat volant, když se vůz pohybuje jakoukoli rychlostí. Předchozí útoky mohly být provedeny pouze tehdy, když auto jede rychlostí 5 km / h nebo nižší. Tyto nové útoky by mohly představovat velké riziko pro řidiče a doufejme, že budou rychle opraveny výrobci automobilů. Valasek a Miller prohlásili, že udělali hackerská auta, ale povzbuzovali ostatní, aby šli po stopách.
Pokud se díváte na pana Robota, víte, že je možné infikovat počítač oběti tím, že natáhnete jednotky USB kolem parkoviště. Ale opravdu to funguje? Elie Bursztein, vedoucí výzkumu v oblasti boje proti podvodům a zneužívání, přednesla na toto téma dvoudílnou diskusi. V první části byla podrobně popsána studie, která jasně ukázala, že funguje (a parkoviště jsou lepší než chodby). Druhá část podrobně vysvětlila, jak přesně vytvořit jednotku USB, která by zcela převzala jakýkoli počítač. Zapisovali jste si poznámky?
Dronové byli poslední nákupní sezónou horkou položkou a možná nejen pro geeky. Prezentace ukázala, jak lze DJI Phantom 4 použít k zasekávání průmyslových bezdrátových sítí, špehování zaměstnanců a horšímu. Trik je v tom, že mnoho kritických průmyslových míst používá k ochraně citlivých počítačů tzv. „Vzduchovou mezeru“. V zásadě se jedná o sítě a zařízení, která jsou izolována od vnějšího internetu. Internet ale k nim mohou přivést i malé manévrovatelné drony.
Strojové učení je na vrcholu revoluce mnoha technologických odvětví, a to včetně podvodníků. Vědci v Black Hat ukázali, jak lze stroje učit také k produkci vysoce účinných phishingových zpráv. Jejich nástroj určuje cíle s vysokou hodnotou a poté zjišťuje tweety oběti, aby vytvořil zprávu, která je relevantní a neodolatelně na ni lze kliknout. Tým se svým spamovým robotem nerozšiřoval nic škodlivého, ale není těžké si představit podvodníky, kteří tyto techniky přijmou.
V hotelu očekáváte bezplatné Wi-Fi a můžete být dostatečně důvtipní, abyste si uvědomili, že to není nutně bezpečné. Ale Airbnb nebo jiný krátkodobý pronájem, zabezpečení může mít potenciálně nejhorší zabezpečení vůbec. Proč? Protože hosté dříve, než jste měli fyzický přístup k routeru, což znamená, že ho mohli zcela vlastnit. Hovor Jeremyho Gallowaye podrobně popisoval, co hacker může udělat (je to špatné!), Co můžete udělat, abyste zůstali v bezpečí a co vlastník nemovitosti může udělat, aby takové útoky odradil. Je to problém, který neodchází.
V jednom z nejkomplexnějších rozhovorů v Black Hat ukázal Senior7 Pentet Weton Hecker Rapid7, jaký by mohl být nový model podvodu. Jeho vize zahrnuje masivní síť kompromitovaných bankomatů, prodejní stroje (jako v obchodě s potravinami) a plynová čerpadla. Ty by mohly ukrást platební údaje oběti v reálném čase a poté je rychle zadat pomocí motorizovaného zařízení pro tlačení PIN. Diskuse skončila bankomatem chrlícím hotovost a vizí budoucnosti, kdy podvodníci kupují informace o kreditních kartách jednotlivců, ale přístup k obrovské síti platebních podvodů v reálném čase.
Nebyla to jediná prezentace na Black Hat, která podrobně popisovala útoky na platební systémy. Další skupina vědců předvedla, jak s Raspberry Pi a trochou úsilí dokázali zachytit oodles osobních údajů z transakcí na čipových kartách. To je pozoruhodné nejen proto, že čipové karty (karty AKA EMV) jsou považovány za bezpečnější než karty typu magswipe, ale také proto, že USA právě začaly s čipovými kartami na domácím trhu.
Příští rok přinese nový výzkum, nové hacky a nové útoky. Ale Black Hat 2016 nastavil tón pro tento rok, což ukazuje, že hackerova práce (ať už bílá nebo černá) je nikdy nedokončena. Teď, když nás omluvíte, budeme skartovat naše kreditní karty a půjdeme žít v Faradayově kleci do lesa.
