10 serangan hack paling menakutkan dari topi hitam 2014

Black Hat tahun ini adalah dua taklimat yang sengit, kerana para penyelidik keselamatan menunjukkan betapa mudahnya menggodam kereta, termostat, komunikasi satelit, dan hotel. Pada masa yang sama, terdapat banyak perbualan tentang cara meningkatkan keselamatan. Cadangan sepuluh dasar dari ucapan dasar Dan Geer memberi tumpuan kepada menjadikan dunia tempat yang lebih baik dengan meningkatkan pendekatan kami terhadap keselamatan maklumat. Antara masalah yang ditangani ialah perlumbaan senjata rentan semasa, perisian usang, dan keperluan untuk merawat keselamatan maklumat sebagai profesion. Kita semua berjalan kaki dengan kepala kita berenang dengan fakta-fakta, idea-idea baru, dan-atas semua kebimbangan. Begitu banyak kebimbangan.

Salah satu perkara yang anda boleh selalu bergantung pada Black Hat adalah mendengar mengenai kelemahan dalam perkara yang anda tidak fikir boleh diserang. Ia amat meyakinkan untuk mengetahui bahawa demonstrasi ini terutama akademik, dan isu-isu ini tidak dieksploitasi di alam liar. Tetapi, dengan tanda yang sama, adalah menakutkan untuk menyedari bahawa jika pembentang Black Hat telah menemui kekurangan itu, siapa yang mengatakan orang lain dengan niat jahat lagi (dan kemungkinan pembiayaan yang lebih baik) tidak-atau tidak?

Pertimbangkan ini: kita mendengar mengenai ATM hacking di Black Hat tiga tahun yang lalu, dan penjenayah akhirnya mula merampas ATM di Eropah hanya pada tahun ini. Terdapat sekurang-kurangnya tiga sesi tahun ini mengenai bagaimana titik jualan terminal untuk kad cip-dan-PIN boleh digodam. Jika kami tidak mendengar dan menjamin infrastruktur pembayaran kami, dalam masa tiga tahun, adakah kami akan melihat satu lagi pelanggaran bahagian seperti Sasaran melalui kad cip dan PIN? Itulah pemikiran yang benar-benar menakutkan.

Black Hat 2014 mungkin berakhir, tetapi kita akan bercakap tentang perkara-perkara yang mengejutkan yang kita lihat di sana selama beberapa waktu. Semoga ia menjadi seperti yang dipelajari yang membawa kepada penyelesaian yang dilaksanakan, dan bukan sebagai peluang yang tidak dijawab yang membawa kepada jenayah yang dahsyat.

Di sini adalah Watch Keselamatan mengambil perkara-perkara yang kita lihat di Black Hat yang akan menjaga kita pada waktu malam.

1 1. Internet gagal

Mempertahankan komputer atau telefon anda cukup mudah; hanya ikut tip amalan dan pasangkan perisian keselamatan dan awak baik. Tetapi bagaimana dengan Internet Perkara? Dalam sesi selepas sesi, penyelidik menunjukkan bahawa peranti penting yang disambungkan ke Internet mudah diakses. Pasukan yang menggodam termostat pintar Nest mendapat serangan mereka hingga 15 saat, dan mereka kini susah bekerja di atas serangan udara. Billy Rios menemui kata laluan lalai yang dikodkan ke mesin pengimbasan yang dimandatkan untuk digunakan di pusat pemeriksaan TSA di seluruh negara. Kami masih kagum dengan hack 15 saat.

• 2 2. Hacking Airliners, Ships, and More!

  Mengenai subjek di belakang, peranti yang kapal, kapal terbang, wartawan, dan (mungkin) tentera bergantung kepada berkomunikasi tidak selamat seperti yang kita fikirkan, sama ada. IOActive's Ruben Santamarta menunjukkan bahawa kebanyakan sistem ini mempunyai backdoors, seolah-olah untuk penyelenggaraan atau pemulihan kata laluan. Walaupun sesetengah tukang belakang dikatakan diamankan, dia dapat mengelakkan penjagaan. Serangan yang paling hampir ke rumah adalah, tidak mengejutkan, dakwaan Santamarta bahawa dia boleh menggodam pesawat menggunakan Wi-Fi. Dia jelas bahawa ini tidak akan membiarkan dia "kapal terbang nahas, " tetapi dia juga menegaskan bahawa komunikasi penting dijalankan melalui sistem yang sama. Dalam perbualannya, dia menggodam suar kecemasan nautika untuk memaparkan mesin slot video bukannya SOS. Pertimbangkan sejenis hack yang sama pada jet jumbo anda, dan anda mendapat idea betapa mengerikan ini.



3 3. Mencuri Kata Laluan Dengan Google Glass, Smartwatches, Smartphone, dan Camcorder

Terdapat banyak cara untuk mencuri kata laluan, tetapi satu pendekatan novel membolehkan orang jahat (atau agensi kerajaan) melihat ketukan kekunci anda tanpa melihat skrin anda atau memasang perisian hasad. Seorang penyampai di Black Hat menunjukkan sistem barunya yang secara automatik membaca kata laluan dengan ketepatan 90 peratus. Ia juga berfungsi apabila sasaran berada di paras jalanan dan penyerang empat cerita di atas dan di seberang jalan. Kaedah ini berfungsi dengan baik dengan kamera digital, tetapi pasukan mendapati bahawa telefon pintar, smartwatches, dan juga Google Glass boleh digunakan untuk menangkap video yang boleh digunakan pada jarak pendek. Glassholes, sememangnya!

Imej melalui pengguna Flickr Ted Eytan



4 4. Lupakan MasterKey, Temui ID Palsu

Jeff Forristal bertukar ketua tahun lepas apabila dia melancarkan kelemahan yang dipanggil MasterKey yang boleh membiarkan aplikasi berniat jahat melepaskan diri sebagai yang sah. Tahun ini, dia kembali dengan ID Palsu, yang mengambil kesempatan daripada kelemahan asas dalam seni bina keselamatan Android. Khususnya, bagaimana aplikasinya menandatangani sijil dan cara Android memproses sijil tersebut. Kesimpulan praktikal ialah dengan satu aplikasi berniat jahat yang tidak memerlukan keizinan khas, Forristal dapat menyuntik kod berniat jahat ke dalam lima aplikasi sah pada telefon. Dari sana, dia mempunyai akses mendalam dan wawasan tentang apa yang dijangkiti telefon.

Imej melalui pengguna Flickr JD Hancock



5 5. USB Maut Boleh Mengambil PC Anda

Anda telah mendengar bahawa pemacu USB boleh berbahaya jika anda gagal mematikan AutoPlay. Ancaman berasaskan USB terkini jauh lebih teruk. Dengan menggodam firmware pemacu USB, sepasang penyelidik mengendalikan pelbagai jenis hacks pada mesin Windows dan Linux, termasuk bersamaan dengan virus sektor boot. Pemacu USB gimmilik mereka mencontohkan papan kekunci USB dan mengarahkan satu sistem ujian untuk memuat turun perisian hasad. Ia menawarkan hub Ethernet palsu dalam ujian lain, jadi apabila mangsa melawat PayPal dalam pelayar ia sebenarnya pergi ke laman web gayanya yang mencuri kata laluan PayPal. Ini bukan hanya latihan teoretikal; mereka menunjukkan ini dan lain-lain hacks di atas pentas. Kami tidak akan pernah melihat peranti USB dengan cara yang sama sekali lagi!

Imej melalui pengguna Flickr Windell Oskay



6 6. Adakah Radio Ada? Mari kita Hack!

Radio mungkin kelihatan seperti teknologi kuno di era Internet, tetapi ia masih merupakan cara terbaik untuk peranti seperti monitor bayi, sistem keselamatan rumah, dan permulaan kereta jauh untuk menyampaikan maklumat tanpa wayar. Dan itu menjadikannya sasaran utama untuk penggodam. Dalam satu perbualan, Silvio Cesare memperlihatkan bagaimana dia mengalahkan masing-masing ini dengan menggunakan radio yang ditetapkan perisian dan sedikit semangat hobi. Dia bukan satu-satunya perbualan mengenai radio yang ditetapkan oleh perisian. Balint Seeber memberitahu orang ramai bagaimana dia dapat mendengar di radar lalu lintas udara dan mengesan objek yang dekat dengan paras tanah. Tidak cukup menakutkan, tetapi sangat, sangat sejuk.

Imej melalui pengguna Flickr Martin Fisch



7 7. Kami Tidak Boleh Menghentikan Malware Kerajaan

Anda telah mendengar tentang worm Stuxnet yang ditaja oleh kerajaan yang menyalahgunakan program nuklear Iran, jeneral Cina yang didakwa oleh kerajaan kita untuk menggodam, dan banyak lagi. Ketua Pegawai Penyelidik F-Secure Mikko Hypponen memberi amaran bahawa malware yang ditaja oleh kerajaan telah wujud lebih lama daripada yang anda sedar dan hanya akan bertambah dengan masa. Dengan sumber negara negara di belakang mereka, serangan ini hampir mustahil untuk dihalang. Sekiranya anda fikir kerajaan kita sendiri tidak akan membungkuk begitu rendah, dia membongkar koleksi pengumuman kerja oleh kontraktor tentera yang khusus mencari malware dan mengeksploitasi para penulis.

Imej melalui pengguna Flcikr Kevin Burkett



8 8. One Swipe Hacks Pembaca Kad Kredit

Selepas pelanggaran runcit 2013 dan 2014, semua orang bercakap mengenai pelancaran semasa kad cip dan PIN. Ternyata jika kami tidak mengubah cara pemprosesan pembayaran, kami hanya perdagangan satu set masalah untuk yang lain. Kami juga melihat bagaimana peranti mudah alih yang mengendalikan kad cip dan PIN boleh dikompromikan dengan menggunakan kad yang direka dengan maliciously. Penyerang hanya boleh mengetik kad ke pembaca dan memuatkan Trojan yang menuai PIN ke pembaca sendiri. Kad penyangak kedua kemudian menyalin fail yang mengandungi maklumat yang diperoleh. Kad kedua juga boleh memadamkan Trojan, dan peruncit mungkin tidak akan menyedari pelanggaran itu! Ini sudah cukup untuk menjadikan kita mahu kembali kepada masyarakat berasaskan tunai.

Imej melalui pengguna Flickr Sean MacEntee



9 9. Pemacu Rangkaian Anda Mengintip Anda

Kami telah menumpukan banyak perhatian baru pada router rumah dan bagaimana penyerang berkompromi dengannya. Menghidupkan peranti penyimpanan rangkaian yang dilampirkan sama seperti masalah, jika tidak lebih, menurut Jacob Holcomb dari Penilai Keselamatan Bebas. Beliau melihat peranti NAS dari 10 pengeluar-Asustor, TRENDnet, QNAP, Seagate, Netgear, D-Link, Lenovo, Buffalo, Western Digital, dan ZyXEL-dan mendapati kelemahan dalam semua. Isu-isu ini adalah kelemahan biasa, seperti suntikan arahan, pemalsuan permintaan silang tapak, limpahan penyangga, pintasan pengesahan dan kegagalan, pendedahan maklumat, akaun backdoor, pengurusan sesi yang buruk dan traversal direktori. Dengan menggabungkan beberapa isu ini, penyerang dapat mengawal sepenuhnya peranti tersebut. Apa yang ada di NAS anda?

Imej melalui wonderferret pengguna Flickr



10 10. Serangan ke atas Peranti Perubatan: Masalah Hidup dan Kematian

Tidak ada seorang pun dalam industri keselamatan maklumat yang tertawa pada berita bahawa bekas doktor naib presiden Dick Cheney bimbang tentang peretasnya yang digodam. Meja bulat peranti perubatan di Black Hat melihat bagaimana untuk mengimbangi kesihatan pesakit dengan keselamatan. Perkara terakhir yang kami mahukan ialah keselamatan yang melambatkan penjagaan kesihatan, di mana detik boleh bermakna perbezaan antara hidup dan mati, kata penyanyi Jay Radcliffe. Kesedaran yang sedih bahwa kita tidak dapat menggunakan praktik terbaik keamanan normal untuk perangkat medis mengikuti kami ke DEF CON, dimana para penyelidik dari SecMedic membahas proyek yang meneliti kerentanan dalam semua jenis perangkat, termasuk defibrillator . Bahagian paling menakutkan? Kebanyakan kelemahan ini dijumpai dalam masa satu jam, menggunakan alatan sumber terbuka. Sekarang anda tidak mahu pergi ke hospital, kan?

Melalui pengguna Flickr Phalinn Ooi