15 perkara paling menakutkan pada topi hitam 2015

4 Mencuri Fail Daripada Awan

Perkhidmatan storan awan seperti Dropbox dan Google Drive telah menjadi alat penting untuk mendapatkan kerja. Itulah sebabnya serangan baru dari penyelidik Imperva yang boleh mencuri semua fail anda dari awan begitu menyejukkan. Apa yang lebih buruk adalah bahawa Imperva mengatakan bahawa serangan tidak dapat dikesan oleh pertahanan perimeter dan alat keselamatan endpoint tradisional.

Bahagian pintar serangan ini adalah bahawa ia mengelakkan masalah untuk mencuri kelayakan calon yang berpotensi atau berkompromi platform awan itu sendiri. Sebaliknya, penyerang menipu mangsa ke dalam memasang malware yang mengalihkan salinan fail awan yang disimpan secara setempat ke pelayan yang lain, di mana komputer anda dengan senang hati menyampaikan semua fail penting anda.

5 Menawan Kawalan Telefon Android anda

Trojans Akses Jauh, atau RAT, biarkan penyerang dari jauh mengakses telefon atau komputer anda seolah-olah mereka duduk di hadapannya. Mereka dapat melihat apa yang anda lihat, dan juga mengambil foto, mendengar dengan mikrofon, atau menangkap video tanpa anda mengetahui. Ia adalah antara jenis malware yang paling menakutkan, dan penyelidik mengatakan bahawa mereka telah menemui satu cara untuk mendapatkan akses semacam itu pada berjuta-juta peranti Android.

Masalahnya ialah beberapa pengeluar Android termasuk pemalam khas yang biasanya duduk tidak aktif sehingga perkhidmatan sokongan jauh seperti LogMeIn atau TeamViewer membuat kenalan. Kemudian plug-in dihidupkan dan membolehkan syarikat mengakses peranti Android seolah-olah ejen sokongan di mana menggunakan telefon. Check Point penyelidik Ohad Bobrov dan Avi Bashan mendapati bagaimana menggunakan pemalam ini untuk kejahatan, membiarkan mereka menguasai telefon Android. Bahagian terburuk? Oleh kerana plug-in ini dipasang oleh pengilang, tidak ada yang dapat anda lakukan untuk melindungi diri anda.

6 Stagefright Mencuri Tunjukkan

Dikabarkan sebelum Black Hat oleh penyelidik Zimperium Josh Drake, Stagefright adalah kelemahan baru, besar, menakutkan di Android. Betapa besar? Ia difikirkan untuk menjejaskan 95 peratus daripada semua peranti Android. Betapa menakutkan? Drake menunjukkan bahawa dia mampu membuat telefon Android melaksanakan kod hanya dengan menghantar mesej teks. Digabungkan dengan jenis serangan yang betul, ini boleh memudaratkan.

Drake berada di Black Hat untuk bercakap tentang Stagefright, dari mana ia datang, dan apa yang ditemui semasa menelitinya. Satu takeaway besar adalah bahawa asas Android adalah sangat besar dan memberi perhatian lebih. "Ini mungkin bukan satu-satunya kod yang ditulis dengan tergesa-gesa, " kata Drake.

Juga menghadiri Black Hat adalah kepala keamanan Android Google, Adrian Ludwig (gambar di atas). Beliau mengakui skop Stagefright, tetapi mengumumkan bahawa Google dan rakan-rakannya telah melakukan usaha yang sama besar untuk melindungi Android daripada eksploitasi Stagefright. Ludwig juga menyoroti kerja Google telah dilakukan untuk memastikan Android selamat. Dalam menghadapi pelbagai serangan, beliau berkata Android masih kukuh.

7 Menangkap Rifle Berfungsi Linux

Tidak lama lagi, Internet Perkara akan berada di sekeliling kita. Sebenarnya, sudah ada (melihat TV pintar dan router anda!). Tetapi terdapat beberapa tempat di mana teknologi yang berkaitan dengan Internet baru sahaja mula membuat serangan, seperti senjata api. Runa Sandvik dan penyelidiknya Michael Auger membeli, merobohkan, dan berjaya menggodam senapang pintar Tracking Point. Dalam keadaan biasa, senapang ini membantu anda memukul markah anda setiap kali. Di bawah kawalan penggodam, ia boleh dikunci, dibuat untuk sasaran yang tidak disengajakan, dan didorong untuk memukul sasaran lain.

Satu perkara yang jelas dari kerja Sandvik dan Auger adalah bahawa penggodaman senapang tidak mudah. Mereka mengambil masa untuk menunjukkan banyak perkara yang dilakukan Tracking Point, dan membuat cadangan kepada industri tentang bagaimana mereka dapat meningkatkan peranti IOT. Barangkali meretas senapang ini akan membawa kepada dunia yang mempunyai toaster yang lebih selamat.

8 Hacker Boleh Bust Rumah Terbuka Anda Terhubung Terbuka

Sistem automasi rumah ZigBee membolehkan anda mengawal kunci pintu, lampu, dan termostat dengan mudah, tetapi mungkin juga memperluas kawalan ke peretas juga. Dalam persembahan dramatik, penyelidik Tobias Zillner dan Sebastian Strobl menunjukkan bagaimana mereka dapat mengawal sistem berasaskan ZigBee.

Kesalahan itu, nampaknya, tidak terletak pada ZigBee tetapi dengan vendor yang menggunakan sistem komunikasinya. ZigBee menawarkan banyak alat keselamatan untuk memastikan bahawa hanya orang yang betul sedang bercakap dengan peranti. Tetapi vendor hanya tidak menggunakan alat tersebut, sebaliknya bergantung kepada sistem sandaran yang kurang selamat. Syukurlah, itu adalah serangan yang sukar untuk ditarik tetapi pengeluar peranti perlu meningkatkan permainan kolektif mereka.

9 Bagaimana Selamat Jari Cap Jari Anda?

Lebih banyak peranti mudah alih termasuk sensor cap jari, dan pada masa hadapan kita boleh mengharapkan lebih banyak jenis eksotik pengesahan biometrik juga. Tetapi data cap jari anda mungkin tidak disimpan dengan selamat di telefon anda, dan pembaca itu sendiri boleh diserang oleh penggodam. Penyelidik FireEye Tao Wei dan Yulong Zhang mempersembahkan empat serangan yang boleh mencuri data cap jari anda. Itulah perjanjian yang tidak terlalu besar, dengan syarat anda tidak kehabisan jari.

Daripada empat serangan yang dibentangkan oleh Zhang, dua sangat menarik. Yang pertama menunjukkan bagaimana, dengan alat yang betul, seorang penyerang hanya boleh memalsukan skrin buka kunci untuk menipu mangsa untuk menggeser jarinya ke pengimbas. Mudah! Satu lagi serangan yang lebih rumit boleh mengakses data dari pengimbas cap jari tanpa harus memasuki segmen TrustZone yang selamat dari peranti Android. Walaupun kelemahan Zhang dan Wei didapati telah ditambal, kemungkinan besar terdapat banyak lagi yang belum ditemui. (Imej )

10 Peretasan Bahan Kimia Benar Sangat Keras

Dalam salah satu persembahan yang paling kompleks di Black Hat, Marina Krotofil menggambarkan bagaimana penyerang boleh membawa tumbuhan kimia ke lutut untuk bersenang-senang dan mendapat keuntungan. Well, kebanyakannya keuntungan. Proses ini penuh dengan cabaran-cabaran yang unik, yang terbesar adalah memikirkan bagaimana untuk memahami kerja dalam kompleks loji, di mana gas dan cecair bergerak dengan cara yang pelik tidak mudah diikuti oleh alat elektronik yang tersedia untuk penggodam. Dan kemudian ada yang perlu berurusan dengan fizik pesky sebuah kilang. Menolak tekanan air terlalu banyak dan asid mungkin mencapai suhu kritis, dan menarik perhatian kepada serangan anda.

Sebahagian besar daripada penyampaian Krotofil adalah benar-benar hakikat bahawa penggodam telah berjaya memeras wang dari utiliti dan tumbuhan pada masa lalu, tetapi maklumat itu tidak tersedia untuk penyelidik. (Imej )

11 Masyarakat Selamat Masa Depan

Semasa ucapan utamanya, peguam terkenal Jennifer Granick menyifatkan betapa etos peretas kemajuan sosial menerusi teknologi telah hilang dengan kepuasan, kawalan kerajaan, dan kepentingan korporat. Mimpi itu, katanya, mengenai Internet yang bebas dan terbuka yang menjadikan ilmu pengetahuan dan komunikasi yang lancar dan merosakkan perkauman, klasifikasi, dan diskriminasi jantina tidak pernah terwujud sepenuhnya dan pudar cepat.

Dia menggambarkan ketakutannya bahawa teknologi maklumat akan mewujudkan dunia di mana analisis data digunakan untuk segala-galanya. Ini akan memperkukuh struktur kuasa sedia ada, katanya, dan menyakitkan kes-kes pinggiran yang paling banyak. Beliau juga memberi amaran kepada kerajaan yang menggunakan keselamatan sebagai cara untuk mengenakan kuasa, mewujudkan keamanan dan keamanan. Perkara yang menakutkan.

12 Cara Tidak Dapat Ditangkap

Salah satu sesi yang paling dibincangkan di kalangan peserta Black Hat adalah satu yang dianjurkan oleh Jabatan Kehakiman. Kepada orang biasa, ia mungkin terdengar membosankan, tetapi sesi meriah ini bertujuan untuk mendidik penonton dan menerangkan bagaimana penggodam dapat meneruskan kerja mereka tanpa berlanggar undang-undang.

Leonard Bailey, Penasihat Khas DOJ untuk Keselamatan Negara di Bahagian Jenayah Komputer & Harta Intelek agensi, menjelaskan kepada peserta bagaimana mereka boleh melakukan pemeriksaan kerentanan dan ujian penembusan dengan selamat. Tetapi apa yang lebih penting ialah usaha DOJ untuk memastikan bahawa penguatkuasa undang-undang tidak mempunyai kesan yang menyerlah dalam penyelidikan keselamatan.

13 Attackers on the Network

Jangan percaya rangkaian Black Hat. Terdapat banyak orang di sekitar rangkaian dan ramai peserta menggunakan peluang untuk mencuba teknik dan teknik baru yang mereka pelajari sepanjang minggu. Fortinet mengurus pusat operasi keselamatan untuk Black Hat tahun ini dan memantau semua aktiviti di kedua-dua rangkaian berwayar dan tanpa wayar di lokasi. Walaupun terdapat banyak skrin yang menunjukkan aplikasi apa yang sedang dijalankan, sebahagian besar analisis telah dilakukan oleh pasukan profesional sukarela semua sukarela. Satu kelas, mempelajari teknik serangan penembusan Web yang canggih, mendapat sedikit terbawa, mendorong ISP untuk memanggil pasukan operasi untuk memberitahu mereka untuk berhenti.

14 Menutup Robo-Panggilan

Ini bukan di Black Hat, tetapi DEF CON. Kemanusiaan Strikes Back adalah peraduan FTC di DEF CON di mana penggodam mencipta perisian anti-robocall. Idea ini adalah untuk membuat alat yang akan menganalisis audio panggilan dan jika panggilan itu ditentukan sebagai robocall, untuk menyekatnya dari pengguna akhir dan meneruskan panggilan ke honeypot. Dua finalis menunjukkan perisian mereka di meja konteks semasa DEF CON, manakala robot ini dengan riang menawarkan percutian pelayaran percuma jika anda menekan 1.

15 Bagaimana Menjadi Penggodam

Sekarang anda tahu bagaimana untuk tidak ditangkap untuk penyelidikan keselamatan, mungkin anda berminat bermain dengan beberapa alat hacking anda sendiri? Masukkan Kali Linux, platform yang disesuaikan yang membolehkan anda mempunyai semua jenis keseronokan.

Kali Linux dimaksudkan untuk menjadi mudah, tetapi yang paling penting adalah fleksibel. Anda boleh menambah atau mengalih keluar alat untuk ujian malware, ujian rangkaian, ujian penembusan-anda namakannya. Anda juga boleh memasang alat pada Raspberry Pi untuk ujian keselamatan di mana sahaja.