Black hat 2018: o que esperar

À medida que o verão esquenta, pesquisadores de segurança, espiões do governo e elites da indústria vão a Las Vegas para a conferência Black Hat, seguida imediatamente pelo seu progenitor mais famoso, DefCon.

É uma celebração de uma semana de todas as informações da infosec, onde os pesquisadores tentam se reunir com apresentações sobre as mais recentes e mais assustadoras vulnerabilidades. Depois do anoitecer, há festas chamativas com pessoas casualmente trocando frases como "nós varremos a sala para ouvir dispositivos e encontramos três!" Em meio a todo esse tumulto, estarão seus humildes repórteres do PCMag, Max Eddy e Neil Rubenking, agarrados firmemente a bebidas de papel-guarda-chuva enquanto segredos de segurança são sussurrados em seus ouvidos.

A Black Hat é conhecida por seu talento tanto quanto por sua pesquisa. Nos anos anteriores, havia visto rifles Linux hackeados, caixas eletrônicos lançando notas de 100 dólares, telefones via satélite inseguros e carros "inteligentes" de alta tecnologia saídos da estrada por pesquisadores.

Aqui está o que estamos ansiosos no 21º ano da Black Hat e fique de olho no SecurityWatch para obter as últimas novidades do Black Hat 2018.

Google em destaque

A palestra deste ano será entregue por Parisa Tabriz, diretora de engenharia do Google. A palestra de Tabriz se concentrará em adotar novas idéias de segurança, mesmo quando estiver trabalhando em grande escala, e certamente abordará seu trabalho com o navegador Chrome.



A invasão de carros está de volta (mais ou menos)

Após o ataque, que literalmente levou um jipe ​​para fora da estrada, Charlie Miller e Chris Valasek disseram que entregaram as chaves de hackers para sempre. Isto é, até eles se envolverem em veículos autônomos. Uma conversa sobre os perigos de carros autônomos liderados pelos reis de ataques automotivos certamente chamará a atenção.



Hacking Humans

Existe uma piada comum (embora desdenhosa) entre os profissionais de segurança que diz: "a maior vulnerabilidade em qualquer sistema é entre a cadeira e o computador". As pessoas são tão facilmente enganadas quanto os computadores (talvez mais facilmente), e a engenharia social certamente será um tópico importante. Isso é especialmente verdadeiro quando mais e mais organizações enfrentam o constrangimento de sucumbir a ataques de phishing. Ninguém quer ser o Comitê Nacional Democrata por volta de 2016 e ter suas receitas de brigas e risotos espalhadas pela web.



Criptografia e VPNs

Falando por experiência própria, as VPNs são uma mercadoria importante no setor de segurança. A agitação global e o desejo de acessar gratuitamente o streaming de vídeo on-line impulsionaram a popularidade dessa ferramenta de segurança que antes era adormecida e negligenciada. Dada a recente popularidade e a opacidade das empresas envolvidas, esperamos que os hackers se concentrem nos serviços de VPN.

Da mesma forma, a criptografia é a tecnologia que faz tudo funcionar on-line, desde manter segredos em segredo até verificar a identidade dos indivíduos. É uma ferramenta poderosa e também um objetivo emocionante. Os pesquisadores da convenção certamente apresentarão um trabalho sobre como separar, enfraquecer ou contornar a criptografia. Não esperamos nada tão inovador quanto a colisão de hash SHA-1, mas é emocionante falar sobre um ataque de canal lateral para roubar chaves de criptografia de roteadores.



Quebrando (ou usando) Blockchain

As criptomoedas são queridinhas do submundo on-line, bem como investidores em tecnologia. Seu valor monetário e existência digital os tornam alvos fáceis para hackers, que são alvo de algumas sessões este ano. Mas é o uso da tecnologia blockchain subjacente como um meio de armazenar informações e estabelecer confiança on-line que pode render a pesquisa mais interessante. Algumas sessões serão focadas em como atacar os fundamentos da criptografia, para fins nefastos.



Hack the Vote

As tentativas russas de influenciar as eleições nos EUA em 2016 são um fato, de acordo com agências de inteligência e policiais dos EUA. É a maior e única história de segurança da informação desde que o Snowden vaza e ainda está em andamento. Enquanto não vimos muito sobre o assunto no ano passado, hackers e máquinas de votação vulneráveis ​​são temas perenes na Black Hat, então espere que eles também este ano. Uma sessão notável analisa como usar o gráfico social existente para desmascarar bots russos no Twitter.



Autenticação de dois fatores: dádiva ou maldição de Deus?

O Google recentemente esmagou o phishing com o uso de dispositivos físicos de dois fatores e introduziu sua própria linha de chaves de segurança em sua conferência NEXT. Mas toda solução para um problema de segurança é uma nova oportunidade para um pesquisador se mostrar. Temos certeza de ver alguns ataques em sistemas 2FA.



Hacking no século XXI

O Black Hat e o DefCon são os maiores eventos do ano para profissionais de segurança e hackers, por isso é também um momento de olhar para a comunidade como um todo. Embora tenham sido feitos esforços para tornar a segurança da informação e as conferências mais amigáveis ​​para mulheres, pessoas de cor, pessoas com deficiência e outros grupos frequentemente marginalizados no setor de tecnologia, esses eventos são onde a borracha encontra a estrada. Haverá mais do que alguns encontros de diferentes grupos e sessões abordando como tornar o infosec mais acolhedor. Várias sessões abordam questões de depressão e TEPT na comunidade de hackers, um assunto pouco discutido.



Como invadir uma usina de energia (ou uma estação de tratamento de água, uma fábrica ou uma rede elétrica)

A maioria dos hackers está disposta a ganhar dinheiro rapidamente, mas alguns invasores (e atores do estado-nação) estão de olho em prêmios maiores: infraestrutura. Anos anteriores, assistimos a sessões sobre como destruir uma fábrica com bolhas e táticas sobre como derrubar os sistemas confusos e sob medida que compõem a maioria dos complexos industriais.