Lar Recursos Black hat 2017: os melhores (e mais assustadores) hacks

Black hat 2017: os melhores (e mais assustadores) hacks

Índice:

Vídeo: Black Hat World Rewind: The Shape of 2017 | #BHWRewind (Novembro 2024)

Vídeo: Black Hat World Rewind: The Shape of 2017 | #BHWRewind (Novembro 2024)
Anonim

A conferência Black Hat é uma chance para pesquisadores, hackers e qualquer pessoa próxima ao mundo da segurança se reunir e aprender uns com os outros. É uma semana de sessões, treinamento e - inevitavelmente - alguma má tomada de decisão na área da grande Las Vegas.

Em seus 20 anos, o Black Hat 2017 começou com uma nota reflexiva. Alex Stamos, CSO do Facebook, relembrou seus primeiros dias na conferência. Para ele, era um lugar para ser aceito e aprender com a comunidade. Ele desafiou a mesma comunidade a ser mais empática e a se preparar para a próxima geração de hackers ao receber mais diversidade.

As sessões do Black Hat sempre foram o lugar para ver exemplos surpreendentes e às vezes horripilantes de pesquisa de segurança. Este ano, vimos como enganar a interface da Web do Apple Pay, como derrubar um hoverboard usando ultra-som e aprendemos como os parques eólicos vulneráveis ​​poderiam ser um ataque cibernético.

Uma sessão viu o retorno de um trio de hackers do Tesla Model S, que exibiram novos ataques. A pesquisa deles certamente continuará à medida que os veículos se tornarem mais conectados. Também é um grande alvo de hackers? Impressoras.

Outra palestra notável analisou o ataque à infraestrutura industrial. Com dois ataques bem-sucedidos contra a rede elétrica ucraniana no ano passado, garantir uma infraestrutura crítica como usinas e fábricas é uma questão importante. Dessa vez, vimos como as bolhas - sim, bolhas regulares - podem ser usadas como carga maliciosa para destruir bombas caras e críticas.

Talvez a conquista mais marcante do show deste ano tenha sido no campo da criptoanálise. Usando técnicas sofisticadas, uma equipe conseguiu criar a primeira colisão de hash SHA-1. Se você não tem certeza do que isso significa, continue lendo porque é muito legal.

Após 20 anos, o Black Hat ainda é o principal palco para hackers. Mas o futuro é incerto. Os ataques cibernéticos no estado nacional deixaram de ser uma raridade para uma ocorrência regular, e os riscos são maiores do que nunca. Como vamos lidar com isso ainda não está claro; talvez o Black Hat 2018 tenha as respostas. Até então, confira alguns dos momentos mais atraentes do Black Hat deste ano abaixo.

    1 Maior e Maior

    No vigésimo aniversário do show, a palestra foi realizada em um estádio enorme, em vez de apenas uma grande sala de conferências. O show cresceu aos trancos e barrancos nos últimos anos.

    2 Vítima de Sucesso

    O congestionamento nos corredores foi um problema no show deste ano, e situações como a acima não eram incomuns.

    3 Desafiando a comunidade de segurança

    O CSO do Facebook, Alex Stamos, proferiu a palestra de 2017 da Black Hat em um discurso que foi um elogio em partes iguais para a atmosfera familiar da comunidade de segurança de outrora e um desafio para fazer melhor. Ele pediu à audiência que seja menos elitista e reconheça que os riscos da segurança digital aumentaram, citando o papel dos ataques de hackers e informações nas eleições de 2016 nos EUA.

    4 Ultrasonic Gun Attones Drones, Hoverboards

    Os dispositivos usam sensores para entender o mundo ao seu redor, mas alguns desses sensores estão sujeitos a adulteração. Uma equipe de pesquisa demonstrou como eles poderiam usar o ultrassom para fazer os drones oscilarem, os hoverboards tombarem e os sistemas de realidade virtual girarem incontrolavelmente. O ataque é limitado por enquanto, os aplicativos podem ser de grande alcance.

    5 O Bubbles é o futuro dos hackers?

    Provavelmente não, mas Marina Krotofil demonstrou como atacar o sistema de válvulas em uma bomba de água poderia ser usado para criar bolhas que reduzissem a eficiência da bomba de água e, com o tempo, causassem danos físicos, resultando em falha da bomba. Com sua apresentação, Krotofil procurou demonstrar que dispositivos inseguros, como válvulas, podiam atacar dispositivos seguros, como bombas, por novos meios. Afinal, não há antivírus para bolhas.

    6 recompensas de insetos e cerveja

    Nos últimos anos, houve a expansão dos programas de recompensas por bugs, em que as empresas pagam a pesquisadores, testadores de penetração e hackers uma recompensa em dinheiro por reportar bugs. O pesquisador James Kettle disse à multidão em sua sessão como ele montou um método para testar 50.000 sites simultaneamente. Ele teve algumas desventuras ao longo do caminho, mas ganhou mais de US $ 30.000 no processo. Ele disse que seu chefe inicialmente insistiu em gastar qualquer dinheiro ganho no esforço automatizado de cerveja, mas, à luz do sucesso da Kettle, eles optaram por doar a maioria para caridade e gastar apenas um pouco de cerveja.

    7 parques eólicos atacantes

    O pesquisador Jason Staggs liderou uma avaliação abrangente de segurança dos parques eólicos, o que levou sua equipe a subir várias usinas de fiação de 300 pés. Não apenas a segurança física era fraca (às vezes, apenas um cadeado), mas a segurança digital era ainda mais fraca. Sua equipe desenvolveu vários ataques que poderiam reter os parques eólicos e até causar danos físicos. Pense no Stuxnet, exceto pelas enormes lâminas giratórias da morte.

    8 Pwnie Express em guarda

    No ano passado, a Pwnie Express trouxe seu equipamento de monitoramento de rede e descobriu um ataque maciço ao ponto de acesso, configurado para imitar uma rede amigável aos dispositivos que passavam e convidá-los a se conectarem. Este ano, Pwnie trabalhou com a equipe de segurança de rede da Black Hat, mas não detectou nada tão grande quanto o ataque do ano passado - pelo menos, nada que não fazia parte de um exercício de treinamento em uma sessão do Black Hat. Esse sensor Pwn Pro foi um dos vários colocados ao longo da conferência para monitorar a atividade da rede.

    às

    9 Não confie na sua impressora

    As impressoras de rede há muito são vistas pelos pesquisadores como alvos principais. Eles são onipresentes, conectados à Internet e geralmente carecem de segurança básica. Mas Jens Müller mostrou que é isso que conta. Ao usar os protocolos usados ​​por quase todas as impressoras para converter arquivos em material impresso, ele conseguiu realizar vários ataques. Ele poderia extrair trabalhos de impressão anteriores e até sobrepor texto ou imagens em documentos. Os ataques que ele delineou existirão até que alguém finalmente se livre desses protocolos de décadas.

    10 Super Collider

    As funções de hash estão por toda parte, mas quase invisíveis. Eles são usados ​​para verificar contratos, assinar digitalmente software e até proteger senhas. Uma função de hash, como SHA-1, converte arquivos em uma sequência de números e letras, e dois não devem ser iguais. Mas o pesquisador Elie Bursztein e sua equipe criaram uma maneira pela qual dois arquivos diferentes terminam com o mesmo hash. Isso é chamado de colisão e significa que o SHA-1 está tão morto quanto um prego na porta.

    11 Hackeando um Tesla (Novamente)

    Em 2016, um trio de pesquisadores mostrou como eles foram capazes de assumir o controle de um Tesla Model S. Este ano, os pesquisadores da Tencent KeenLab voltaram a percorrer seu ataque passo a passo. Mas não foi só uma recapitulação: eles também examinaram a mitigação de Tesla de seu ataque inicial e apresentaram seus novos ataques; a equipe mostrou um par de carros piscando suas luzes e abrindo suas portas a tempo de ouvir música.

    12 hackear o Apple Pay na Web

    Quando foi lançado, escrevi bastante sobre o Apple Pay, elogiando sua tokenização dos dados do cartão de crédito e como a Apple não conseguiu acompanhar suas compras. Mas Timur Yunusov não estava convencido. Ele descobriu que era possível obter credenciais e realizar um ataque de repetição usando o Apple Pay na web. Melhor ficar de olho nessas contas de cartão de crédito.

    13 controlando robôs industriais de longe

    Um trio de pesquisadores, representando uma equipe do Politecnico di Milano e Trend Micro, apresentou suas descobertas sobre a segurança dos robôs. Não é o seu Roombas amigável, mas os robustos e poderosos robôs industriais encontrados nas fábricas. Eles descobriram várias fraquezas críticas que poderiam permitir que um invasor assumisse o controle de um robô, introduzisse defeitos nos processos de fabricação e até prejudicasse potencialmente os operadores humanos. Mais preocupante é a descoberta de que existem muitos milhares de robôs industriais conectados à Internet.

    14 O que vem a seguir?

    O Black Hat está pronto por mais um ano, mas com a segurança digital mais visível e valiosa do que nunca, o próximo ano certamente terá surpresas interessantes.

Black hat 2017: os melhores (e mais assustadores) hacks