Vídeo: Black Hat 2016 wrap-up: Same stuff, different year? (Outubro 2024)
A Black Hat é uma reunião de pesquisadores de segurança, hackers e indústria que se reúne em Las Vegas para fazer três coisas: delinear as ameaças mais recentes, mostrar como os mocinhos e os bandidos podem ser derrotados e lançar ataques aos participantes. Este ano houve muitos ataques assustadores, incluindo um contra os participantes do programa, além de invasões de carros, novas maneiras de roubar dinheiro dos caixas eletrônicos e por que as lâmpadas inteligentes podem não ser tão seguras quanto pensávamos. Mas também vimos muitas razões para esperar, como ensinar máquinas a identificar servidores perigosos, usar Dungeons and Dragons para treinar funcionários a lidar com ameaças à segurança e como a Apple lida com a segurança do seu iPhone. Foi, no total, um ano bastante alucinante.
O bom
Sim, a Apple anunciou um programa de recompensas de bugs na Black Hat. Mas esses foram apenas os últimos 10 minutos de uma apresentação de Ivan Krstic, chefe de engenharia e arquitetura de segurança da Apple. Durante os 40 minutos anteriores, ele ofereceu um mergulho sem precedentes nas maneiras pelas quais a Apple protege os dispositivos e os dados dos usuários, tanto de malfeitores quanto de si mesma. E sim, envolve o uso de um liquidificador honesto com Deus.
À medida que os dispositivos da Internet das Coisas se tornam cada vez mais populares, os profissionais de segurança ficam cada vez mais preocupados. Afinal, são dispositivos com microcomputadores conectados a redes e totalmente capazes de executar código. Esse é o sonho de um atacante. A boa notícia é que, pelo menos no caso do sistema Philip's Hue, é muito difícil criar um worm para pular de lâmpada em lâmpada. As más notícias? Aparentemente, é muito simples induzir os sistemas Hue a ingressar na rede de um invasor.
Todo treinamento de segurança em todos os negócios inclui a advertência de que os funcionários nunca devem clicar em links em emails de fontes desconhecidas. E os funcionários continuam sendo enganados a clicar neles independentemente. A Dra. Zinaida Benenson, da Universidade de Erlangen-Nuremberg, concluiu que simplesmente não é razoável esperar que os funcionários resistam à curiosidade e outras motivações. Se você quer que eles sejam James Bond, você deve colocá-lo na descrição do trabalho e pagá-los de acordo.
Muitas pesquisas e execuções de segurança podem ser entediantes, mas novas técnicas de aprendizado de máquina podem em breve levar a uma Internet mais segura. Os pesquisadores detalharam seus esforços no ensino de máquinas para identificar servidores de comando e controle de botnet, que permitem que os bandidos controlem centenas de milhares (se não milhões) de computadores infectados. A ferramenta poderia ajudar a esconder uma atividade tão nefasta, mas nem tudo eram pesquisas pesadas. Para concluir a sessão, os pesquisadores demonstraram como os sistemas de aprendizado de máquina podem ser usados para gerar uma música aceitável de Taylor Swift.
A rede de hotéis que conhece pode ser boa para uma conferência de suprimentos para animais de estimação, mas não para a Black Hat. A conferência possui sua própria rede totalmente separada e um impressionante Centro de Operações de Rede para gerenciá-la. Os visitantes podem espiar pela parede de vidro as muitas telas brilhantes, filmes de hackers e especialistas em segurança de longo prazo do NOC, que são embalados por completo e transportados ao redor do mundo para a próxima conferência da Black Hat.
Os especialistas em segurança de TI e os hackers de chapéu branco simplesmente não conseguem o suficiente de treinamentos de segurança, mas não são eles que realmente precisam deles. A equipe de vendas, a equipe de RH e a equipe do call center não necessariamente entendem ou apreciam os treinamentos de segurança e, no entanto, você realmente precisa deles para intensificar seu jogo de segurança. O pesquisador Tiphaine Romand Latapie sugeriu refazer o treinamento de segurança como um jogo de interpretação de papéis. Ela descobriu que funcionou totalmente e produziu um novo e significativo envolvimento entre a equipe de segurança e o restante da equipe. Masmorras e dragões, alguém?
As chamadas telefônicas fraudulentas são um grande problema. Golpes de IRS convencem americanos inocentes a gastar dinheiro. A redefinição de senha engana os call centers a fornecer dados de clientes. A professora Judith Tabron, uma lingüista forense, analisou chamadas reais de fraude e criou um teste de duas partes para ajudá-lo a identificá-las. Leia isso e aprenda, ok? É uma técnica simples e que vale a pena.
O assustador
A Pwnie Express constrói dispositivos que monitoram o espaço aéreo da rede em busca de algo desagradável, e isso também é bom, porque a empresa descobriu um ataque massivo do tipo Man in the Middle na Black Hat este ano. Nesse caso, um ponto de acesso mal-intencionado alterou seu SSID para enganar telefones e dispositivos a entrar na rede, pensando que era uma rede segura e amigável que o dispositivo já havia visto antes. Ao fazer isso, os atacantes enganaram cerca de 35.000 pessoas. Embora seja ótimo que a empresa tenha conseguido identificar o ataque, o fato de ter sido tão massivo é um lembrete de quão bem-sucedidos esses ataques podem ser.
No ano passado, Charlie Miller e Chris Valasek apresentaram o que muitos supunham ser o auge de suas carreiras de hackers. Eles voltaram este ano com ataques ainda mais ousados, capazes de acionar os freios ou controlar o volante quando o carro está se movendo a qualquer velocidade. Ataques anteriores só poderiam ser realizados quando o carro estava viajando a 5 mph ou menos. Esses novos ataques podem representar um grande risco para os motoristas e, com sorte, serão rapidamente corrigidos pelos fabricantes de automóveis. Valasek e Miller, por sua vez, disseram que terminaram de invadir carros, mas incentivaram outras pessoas a seguir seus passos.
Se você assistir o Sr. Robot, sabe que é possível infectar o computador de uma vítima espalhando unidades USB pelo estacionamento. Mas isso realmente funciona? Elie Bursztein, líder de pesquisa antifraude e abuso no Google, apresentou uma palestra em duas partes sobre o assunto. A primeira parte detalhou um estudo que mostrou claramente que funciona (e os estacionamentos são melhores que os corredores). A segunda parte explicou, em detalhes, exatamente como construir uma unidade USB que dominaria totalmente qualquer computador. Você fez anotações?
Os drones eram um item quente no último feriado, e talvez não apenas para os geeks. Uma apresentação mostrou como o DJI Phantom 4 poderia ser usado para bloquear redes sem fio industriais, espionar funcionários e coisas piores. O truque é que muitos sites industriais críticos usam o que é chamado de "espaço aéreo" para proteger computadores sensíveis. Basicamente, são redes e dispositivos isolados da Internet externa. Mas pequenos drones manobráveis podem trazer a Internet para eles.
O aprendizado de máquina está prestes a revolucionar inúmeras indústrias de tecnologia, e isso inclui golpistas. Pesquisadores da Black Hat demonstraram como as máquinas também podem ser ensinadas a produzir mensagens de spear phishing altamente eficazes. Sua ferramenta determina alvos de alto valor e, em seguida, vasculha os tweets da vítima para criar uma mensagem que seja relevante e irresistivelmente clicável. A equipe não espalhou nada de mal-intencionado com seu bot de spam, mas não é difícil imaginar fraudadores adotando essas técnicas.
Você espera Wi-Fi gratuito em um hotel e pode ser esperto o suficiente para perceber que não é necessariamente seguro. Mas um Airbnb ou outro aluguel de curto prazo, a segurança pode ter a pior segurança de todos os tempos. Por quê? Como os convidados antes de você tinham acesso físico ao roteador, o que significa que eles podiam ser totalmente proprietários. A palestra de Jeremy Galloway detalhou o que um hacker pode fazer (é ruim!), O que você pode fazer para se manter seguro e o que o proprietário pode fazer para impedir esses ataques. É um problema que não vai desaparecer.
Em uma das palestras mais abrangentes da Black Hat, o penteado sênior do Rapid7, Weton Hecker, demonstrou o que pode ser um novo modelo de fraude. Sua visão inclui uma enorme rede de caixas eletrônicos comprometidos, máquinas de ponto de venda (como no supermercado) e bombas de gasolina. Isso poderia roubar as informações de pagamento da vítima em tempo real e, em seguida, inseri-las rapidamente com a ajuda de um dispositivo motorizado de inserção de PIN. A conversa terminou com um caixa eletrônico liberando dinheiro e uma visão do futuro em que os golpistas compram não as informações de cartão de crédito de indivíduos, mas o acesso a uma rede massiva de golpes de pagamento em tempo real.
Essa não foi a única apresentação na Black Hat para detalhar ataques a sistemas de pagamento. Outro grupo de pesquisadores mostrou como, com um Raspberry Pi e um pouco de esforço, eles conseguiram interceptar grande quantidade de informações pessoais das transações com cartões com chip. Isso é particularmente notável não apenas porque os cartões com chip (cartões AKA EMV) são considerados mais seguros que os cartões com magswipe, mas porque os EUA começaram a lançar cartões com chip no mercado interno.
O próximo ano trará novas pesquisas, novos hacks e novos ataques. Mas o Black Hat 2016 deu o tom para o ano, mostrando que o trabalho de um hacker (de chapéu branco ou preto) nunca é realmente feito. Agora, se você nos der licença, vamos destruir nossos cartões de crédito e morar em uma gaiola de Faraday na floresta.
