Video: Black Hat USA 2013 - Lessons from Surviving a 300Gbps Denial of Service Attack (November 2024)
Black Hat adalah pengumpul penyelidik keselamatan, penggodam, dan industri yang bermesyuarat di Las Vegas untuk melakukan tiga perkara: menggariskan ancaman terkini, menunjukkan bagaimana orang baik dan orang jahat dapat dikalahkan, dan melancarkan serangan terhadap peserta. Tahun ini menyaksikan banyak serangan yang menakutkan, termasuk salah satu daripada peserta pameran, bersama dengan hacks kereta, cara baru untuk mencuri wang tunai dari ATM, dan mengapa lampu suluh pintar mungkin tidak selamat seperti yang kita fikirkan. Tetapi kami juga melihat banyak alasan untuk berharap, seperti mesin pengajar untuk melihat pelayan berbahaya, menggunakan Dungeons and Dragons untuk melatih pekerja mengendalikan ancaman keselamatan, dan bagaimana Apple mengendalikan keselamatan iPhone anda. Ia adalah, semua diberitahu, tahun yang cukup fikiran.
Yang Baik
Ya, Apple mengumumkan program karunia bug di Black Hat. Tetapi itu hanya 10 minit terakhir persembahan oleh Ivan Krstic, ketua kejuruteraan dan seni bina keselamatan Apple. Semasa 40 minit yang lalu, beliau menawarkan menyelam yang tidak pernah berlaku sebelum ini ke dalam cara Apple melindungi peranti dan data pengguna, baik dari penjenayah dan dari dirinya sendiri. Dan ya, ia melibatkan penggunaan pengadun jujur kepada Tuhan.
Sebagai Internet peranti Perkara menjadi lebih dan lebih popular, profesional keselamatan menjadi lebih dan lebih prihatin. Ini adalah, selepas semua, peranti dengan mikrokomputer disambungkan ke rangkaian dan sepenuhnya mampu menjalankan kod. Itulah mimpi penyerang. Berita baiknya, sekurang-kurangnya dalam hal sistem Hue Philip, membuat cacing untuk melompat dari bola lampu ke bola lampu sangat sukar. Berita buruk? Nampaknya sangat mudah untuk menipu sistem Hue ke dalam rangkaian penyerang.
Setiap latihan keselamatan dalam setiap perniagaan termasuk peringatan bahawa pekerja tidak boleh klik pautan dalam e-mel daripada sumber yang tidak diketahui. Dan pekerja terus ditipu untuk mengklik mereka tanpa mengira. Dr. Zinaida Benenson, dari Universiti Erlangen-Nuremberg, menyimpulkan bahawa tidak semestinya wajar untuk mengharapkan pekerja untuk menentang rasa ingin tahu dan motivasi lain. Jika anda mahu mereka menjadi James Bond, anda harus meletakkannya dalam penerangan kerja dan membayarnya dengan sewajarnya.
Banyak penyelidikan dan pelaksanaan keselamatan boleh menjadi sangat membosankan, tetapi teknik baru dalam pembelajaran mesin mungkin akan membawa kepada Internet yang lebih selamat. Para penyelidik terperinci usaha mereka di mesin pengajar untuk mengenal pasti arahan botnet dan pelayan kawalan, yang membolehkan orang jahat mengawal beratus-ratus ribu (jika tidak berjuta-juta) komputer yang dijangkiti. Alat ini boleh membantu mengekang aktiviti jahat seperti itu, tetapi bukan semua penyelidikan berat. Untuk menyimpulkan sesi mereka, para penyelidik menunjukkan bagaimana sistem pembelajaran mesin dapat digunakan untuk menghasilkan lagu Taylor Swift yang boleh dilalui.
Rangkaian hotel yang mengenali mungkin baik untuk persidangan bekalan haiwan, tetapi bukan untuk Black Hat. Persidangan ini mempunyai rangkaian tersendiri dan Pusat Operasi Rangkaian yang mengagumkan untuk menguruskannya. Pengunjung dapat melihat melalui dinding kaca di skrin yang banyak bersinar, filem penggodam, dan pakar keselamatan jangka panjang di NOC, yang akan dibungkus secara keseluruhan dan bergerak ke seluruh dunia ke persidangan Black Hat seterusnya.
Pemenang keselamatan IT dan penggodam topi putih hanya tidak dapat mendapatkan latihan keselamatan yang mencukupi, tetapi mereka bukan orang yang benar-benar memerlukannya. Kakitangan jualan, pasukan HR, dan kru pusat panggilan tidak semestinya memahami atau menghargai latihan keselamatan, namun anda benar-benar memerlukan mereka untuk meningkatkan permainan keselamatan mereka. Penyelidik Tiphaine Romand Latapie mencadangkan latihan keselamatan sebagai latihan permainan. Dia mendapati bahawa ia benar-benar bekerja, dan menghasilkan keterlibatan baru yang signifikan di antara pasukan keselamatan dan kakitangan lain. Dungeon dan naga, siapa?
Panggilan telefon scam adalah masalah besar. Penipuan IRS meyakinkan orang Amerika yang tidak curiga untuk mengeluarkan wang tunai. Penetapan semula kata laluan penipuan menipu pusat panggilan ke dalam memberikan data pelanggan. Profesor Judith Tabron, pakar bahasa forensik menganalisis panggilan penipuan sebenar dan membuat ujian dua bahagian untuk membantu anda melihatnya. Bacalah ini dan pelajari, OK? Ia teknik yang mudah dan berguna.
Yang menakutkan
Pwnie Express membina peranti yang memantau ruang udara rangkaian untuk apa-apa yang tidak diingini, dan ia adalah perkara yang baik, kerana syarikat itu telah menemui serangan Man-in-the-Middle yang besar di Black Hat tahun ini. Dalam kes ini, titik akses jahat telah mengubah SSIDnya untuk menipu telefon dan peranti ke dalam rangkaian, memikirkannya sebagai rangkaian yang selamat dan mesra peranti yang pernah dilihat sebelumnya. Dengan berbuat demikian, penyerang menipu kira-kira 35, 000 orang. Walaupun sangat bagus bahawa syarikat dapat melihat serangan itu, hakikat bahawa ia begitu besar adalah peringatan tentang bagaimana berjaya serangan ini.
Tahun lepas, Charlie Miller dan Chris Valasek mempersembahkan apa yang diandaikan oleh ramai orang adalah kemunculan kerjaya penggodam kereta mereka. Mereka kembali tahun ini dengan lebih banyak serangan yang berani, yang mampu memakai brek atau mengawal roda stereng ketika kereta bergerak pada kelajuan apa pun. Serangan sebelumnya hanya dapat dilakukan apabila kereta bergerak pada 5Mph atau lebih rendah. Serangan baru ini boleh menimbulkan risiko yang besar kepada pemandu, dan semoga dengan cepat ditegak oleh pengeluar kereta. Untuk bahagian mereka, Valasek dan Miller berkata mereka telah melakukan kereta hacking, tetapi menggalakkan orang lain untuk mengikuti jejak mereka.
Jika anda menonton Encik Robot, anda tahu bahawa mungkin untuk menjangkiti komputer mangsa dengan menyusun cakera USB di tempat letak kereta. Tetapi adakah ia berfungsi? Elie Bursztein, penyelidikan penyelidikan anti-penipuan dan penyalahgunaan di Google, menyampaikan ceramah dua bahagian mengenai subjek itu. Bahagian pertama menyusun satu kajian yang jelas menunjukkan ia berfungsi (dan tempat letak kereta lebih baik daripada lorong). Bahagian kedua menjelaskan, dengan terperinci, bagaimana untuk membina pemacu USB yang akan mengambil alih sepenuhnya mana-mana komputer. Adakah anda mengambil nota?
Drone adalah item panas musim belanja percutian terakhir, dan mungkin bukan hanya untuk geeks. Penyampaian menunjukkan bagaimana DJI Phantom 4 dapat digunakan untuk menjejaki rangkaian tanpa wayar industri, pengintip pekerja, dan lebih buruk. Caranya ialah banyak laman web kritikal yang menggunakan apa yang disebut "jurang udara" untuk melindungi komputer sensitif. Pada dasarnya, ini adalah rangkaian dan peranti yang terpencil dari Internet luar. Tetapi drone yang kecil dan mudah dibawa boleh membawa Internet kepada mereka.
Pembelajaran mesin adalah pada puncaknya merevolusi industri teknologi banyak, dan itu termasuk penipu. Penyelidik di Black Hat menunjukkan bagaimana mesin juga boleh diajar untuk menghasilkan mesej pancingan data yang sangat berkesan. Alat mereka menentukan sasaran bernilai tinggi, dan kemudian menjejaki tweet korban untuk membuat mesej yang relevan dan tidak dapat dinafikan. Pasukan ini tidak menyebarkan apa-apa yang berniat jahat dengan bot spam mereka, tetapi tidak sukar untuk membayangkan penipu menggunakan teknik ini.
Anda mengharapkan Wi-Fi percuma di hotel, dan anda mungkin cukup pandai untuk menyedari ia tidak semestinya selamat. Tetapi Airbnb atau sewa jangka pendek lain, keselamatan berpotensi mempunyai keselamatan yang paling teruk. Mengapa? Kerana tetamu sebelum anda mempunyai akses fizikal ke penghala, bermakna mereka boleh memilikinya sepenuhnya. Perbincangan Jeremy Galloway terperinci tentang apa yang dapat dilakukan oleh penggodam (itu buruk!), Apa yang boleh anda lakukan untuk tetap selamat, dan apa yang dapat dilakukan pemilik harta untuk menghalang serangan tersebut. Ia masalah yang tidak akan pergi.
Dalam salah satu ceramah yang paling komprehensif di Black Hat, Penternak Senior Rapid7, Weton Hecker menunjukkan apa yang mungkin menjadi model baru untuk penipuan. Visi beliau termasuk rangkaian besar ATM yang terjejas, mesin jualan titik (seperti di kedai runcit), dan pam gas. Ini boleh mencuri maklumat pembayaran mangsa dalam masa nyata dan kemudian dengan cepat memasukkannya dengan bantuan peranti PIN-push yang bermotor. Ceramah itu berakhir dengan ATM memuntahkan tunai, dan visi masa depan di mana penipu tidak membeli maklumat kad kredit individu, tetapi akses kepada penipuan pembayaran rangkaian masa nyata yang besar.
Bukan itu satu-satunya pembentangan di Black Hat untuk melihat serangan terhadap sistem bayaran. Satu lagi kumpulan penyelidik menunjukkan bagaimana, dengan Ras Raspberry Pi dan sedikit usaha, mereka dapat memintas maklumat peribadi dari transaksi kad cip. Itu amat ketara bukan sahaja kerana kad cip (kad AKA EMV) dianggap lebih selamat daripada kad magswipe, tetapi kerana AS baru sahaja mula melancarkan kad cip dalam negara.
Tahun depan akan membawa penyelidikan baru, hacks baru, dan serangan baru. Tetapi Black Hat 2016 telah menetapkan nada untuk tahun ini, menunjukkan bahawa kerja penggodam (sama ada putih atau hitam-hatted) tidak pernah dilakukan dengan benar. Kini jika anda akan memberi alasan kepada kami, kami akan merosakkan kad kredit kami dan pergi untuk tinggal di Faraday Cage di dalam hutan.
