10 engste hackaanvallen van Black Hat 2014

Black Hat was dit jaar twee intense dagen met briefings, toen beveiligingsonderzoekers aantoonden hoe gemakkelijk het was om auto's, thermostaten, satellietcommunicatie en hotels te hacken. Tegelijkertijd waren er veel gesprekken over het verbeteren van de veiligheid. De tien beleidsvoorstellen uit de keynote speech van Dan Geer waren gericht op het verbeteren van de wereld door onze benadering van informatiebeveiliging te verbeteren. Onder de problemen die werden aangepakt, waren de huidige kwetsbaarheidswapenwedloop, verouderde software en de noodzaak om informatiebeveiliging als een beroep te behandelen. We liepen allemaal weg met onze hoofden zwemmen met nieuwe feiten, ideeën en - vooral - zorgen. Zoveel zorgen.

Een van de dingen waar je bij Black Hat altijd op kunt rekenen, is horen over kwetsbaarheden in dingen waarvan je niet eens dacht dat ze aangevallen konden worden. Het is geruststellend te weten dat deze demonstraties voornamelijk academisch zijn en dat deze kwesties momenteel niet in het wild worden uitgebuit. Maar om dezelfde reden is het beangstigend om te beseffen dat als Black Hat-presentatoren de tekortkomingen hebben gevonden, wie iemand anders zegt met veel meer kwaadaardige bedoelingen (en mogelijk betere financiering), niet - of niet?

Overweeg dit: we hoorden drie jaar geleden over het hacken van geldautomaten bij Black Hat en criminelen zijn eindelijk dit jaar eindelijk begonnen met het plunderen van geldautomaten in Europa. Dit jaar waren er minstens drie sessies over hoe betaalautomaten voor chip- en PIN-kaarten kunnen worden gehackt. Als we niet luisteren en onze betalingsinfrastructuur beveiligen, zien we over drie jaar een nieuwe inbreuk op Target-achtige proporties via chip-en-PIN-kaarten? Dat is echt een beangstigende gedachte.

Black Hat 2014 is misschien voorbij, maar we zullen het hebben over de schokkende dingen die we daar al geruime tijd zagen. Hopelijk zijn het lessen die geleerd hebben die tot oplossingen hebben geleid, en niet als gemiste kansen die tot vreselijke misdaden hebben geleid.

Hier is Security Watch's kijk op de dingen die we bij Black Hat hebben gezien die ons 's nachts wakker zullen houden.

1 1. Internet of Fail

Je computer of je telefoon verdedigen is vrij eenvoudig; volg gewoon wat gezond verstandstips en installeer beveiligingssoftware en je bent klaar om te gaan. Maar hoe zit het met het internet der dingen? In sessie na sessie toonden onderzoekers aan dat kritieke apparaten die met internet waren verbonden, gemakkelijk toegankelijk waren. Het team dat de slimme thermostaat van Nest hackte, kreeg hun aanval terug tot 15 seconden en ze zijn nu druk bezig met een over-the-air-aanval. Billy Rios vond standaardwachtwoorden hardcoded in de scanmachines die verplicht waren voor gebruik bij TSA-controlepunten in het hele land. We zijn nog steeds verbaasd over de hack van 15 seconden.

• 2 2. Lijnvliegtuigen, schepen en meer hacken!

  Wat betreft achterdeuren zijn de apparaten waarop schepen, vliegtuigen, journalisten en (misschien) het leger vertrouwen om te communiceren ook niet zo veilig als we dachten. Ruben Santamarta van IOActive heeft aangetoond dat veel van deze systemen achterdeurtjes hebben, ogenschijnlijk voor onderhoud of wachtwoordherstel. Hoewel sommige achterdeuren zogenaamd waren beveiligd, kon hij de beveiligingen omzeilen. De aanval die het dichtst bij huis toesloeg, was niet verwonderlijk dat Santamarta beweerde dat hij vliegtuigen kon hacken met behulp van wifi aan boord. Hij was duidelijk dat dit hem niet zou laten "vliegtuigen neerstorten", maar hij wees er ook op dat kritieke communicatie door hetzelfde systeem loopt. In zijn toespraak hackte hij een nautisch noodbaken om een ​​videoslotmachine weer te geven in plaats van een SOS. Overweeg dezelfde soort hack op je jumbojet en je krijgt een idee hoe zorgelijk dit kan zijn.



3 3. Wachtwoorden stelen met Google Glass, smartwatches, smartphones en camcorders

Er zijn veel manieren om een ​​wachtwoord te stelen, maar één nieuwe aanpak laat slechteriken (of een overheidsinstantie) uw toetsaanslagen onderscheiden zonder uw scherm te zien of malware te installeren. Een presentator van Black Hat liet zijn nieuwe systeem zien dat automatisch wachtwoorden met een nauwkeurigheid van 90 procent leest. Het werkt zelfs als het doel op straatniveau is en de aanvaller vier verdiepingen omhoog en aan de overkant van de straat. De methode werkt het beste met digitale camcorders, maar het team ontdekte dat smartphones, smartwatches en zelfs Google Glass kunnen worden gebruikt om bruikbare video op korte afstand vast te leggen. Glasgaten, inderdaad!

Afbeelding via Flickr-gebruiker Ted Eytan



4 4. Vergeet MasterKey, ontmoet Fake ID

Jeff Forristal draaide vorig jaar de aandacht toen hij de zogenaamde MasterKey-kwetsbaarheid onthulde die kwaadwillende apps als legitieme apps kon laten verdwijnen. Dit jaar kwam hij terug met Fake ID, dat gebruik maakt van fundamentele fouten in de beveiligingsarchitectuur van Android. In het bijzonder, hoe apps certificaten ondertekenen en hoe Android die certificaten verwerkt. Het praktische resultaat is dat met één kwaadaardige app die geen speciale machtigingen vereist, Forristal kwaadaardige code in vijf legitieme apps op een telefoon kon injecteren. Van daaruit had hij diepe toegang en inzicht in wat de geïnfecteerde telefoon van plan was.

Afbeelding via Flickr-gebruiker JD Hancock



5 5. Een kwaadaardige USB kan uw pc overnemen

Je hebt gehoord dat USB-drives gevaarlijk kunnen zijn als je AutoPlay niet uitschakelt. De nieuwste op USB gebaseerde dreiging is enorm erger. Door USB-schijffirmware te hacken, hebben een paar onderzoekers een groot aantal verschillende hacks op Windows- en Linux-machines beheerd, waaronder het equivalent van een opstartsectorvirus. Hun gestoorde USB-schijf emuleerde een USB-toetsenbord en beval een testsysteem om malware te downloaden. Het bood een nep-Ethernet-hub in een andere test, dus toen het slachtoffer PayPal in de browser bezocht, ging het eigenlijk naar een wachtwoord-stelende PayPal-nabootssite. Dit was niet alleen een theoretische oefening; ze demonstreerden deze en andere hacks op het podium. We zullen nooit meer op dezelfde manier naar een USB-apparaat kijken!

Afbeelding via Flickr-gebruiker Windell Oskay



6 6. Heeft het een radio? Laten we het hacken!

Radio lijkt in het internettijdperk misschien verouderde technologie, maar het is nog steeds de beste manier voor apparaten zoals babyfoons, beveiligingssystemen voor thuis en starters op afstand om draadloos informatie te verzenden. En dat maakt het een uitstekend doelwit voor hackers. In één gesprek liet Silvio Cesare zien hoe hij elk van deze op zijn beurt versloeg met behulp van softwaregedefinieerde radio en een beetje hobbyistische ijver. Hij was niet het enige gesprek op software-gedefinieerde radio. Balint Seeber vertelde een menigte hoe hij in staat was om te luisteren op radarradarschotels in de lucht en objecten nabij het grondniveau te volgen. Niet zo eng, maar heel, heel cool.

Afbeelding via Flickr-gebruiker Martin Fisch



7 7. We Can't Stop Government Malware

Je hebt gehoord over de door de overheid gesponsorde Stuxnet-worm die het nucleaire programma van Iran heeft gesaboteerd, de Chinese generaals die door onze regering zijn aangeklaagd wegens hacking en meer. F-Secure's Chief Research Officer Mikko Hypponen waarschuwde dat door de overheid gesponsorde malware al langer bestaat dan je denkt en alleen maar zal toenemen met de tijd. Met de middelen van een natiestaat achter hen, kunnen deze aanvallen bijna onmogelijk te blokkeren zijn. Opdat je denkt dat onze eigen overheid niet zo laag zou buigen, bladerde hij door een verzameling vacatures door militaire aannemers die specifiek op zoek waren naar malware en schrijvers uitbuiten.

Afbeelding via Flcikr-gebruiker Kevin Burkett



8 8. One Swipe hackt creditcardlezers

Na de inbreuken op de detailhandel in 2013 en 2014 heeft iedereen het over de huidige uitrol van chipkaarten. Het blijkt dat we, tenzij we de manier wijzigen waarop de verwerking van betalingen werkt, alleen de ene reeks problemen inruilen voor een andere. We zagen ook hoe mobiele point-of-sale apparaten die chip- en PIN-kaarten verwerken, kunnen worden aangetast met behulp van kwaadwillig vervaardigde kaarten. Aanvallers kunnen gewoon een kaart in de lezer vegen en een trojan laden die pincodes op de lezer zelf oogst. Een tweede malafide kaart kopieert vervolgens het bestand met de geoogste informatie. De tweede kaart kan zelfs het Trojaanse paard verwijderen, en de detailhandelaar is zich misschien nooit bewust van de inbreuk! Dit is voldoende om ons bijna terug te laten keren naar een op geld gebaseerde samenleving.

Afbeelding via Flickr-gebruiker Sean MacEntee



9 9. Uw netwerkstation bespioneert u

We hebben de laatste tijd veel aandacht besteed aan thuisrouters en hoe aanvallers deze compromitteren. Blijkt netwerk-verbonden opslagapparaten zijn net zo problematisch, zo niet meer, volgens Jacob Holcomb van Independent Security Evaluators. Hij keek naar NAS-apparaten van 10 fabrikanten - Asustor, TRENDnet, QNAP, Seagate, Netgear, D-Link, Lenovo, Buffalo, Western Digital en ZyXEL - en vond in al deze kwetsbaarheden. De problemen zijn veelvoorkomende fouten, zoals opdrachtinjectie, vervalsing van aanvragen op meerdere locaties, bufferoverlopen, authenticatie-bypasses en -fouten, openbaarmaking van informatie, achterdeuraccounts, slecht sessiebeheer en directory-doorgang. Door enkele van deze problemen te combineren, krijgen aanvallers volledige controle over de apparaten. Wat staat er op uw NAS?

Afbeelding via Flickr-gebruiker wonderferret



10 10. Aanvallen op medische hulpmiddelen: een kwestie van leven en dood

Niemand in de informatiebeveiligingsindustrie lachte om het nieuws dat de artsen van voormalig vice-president Dick Cheney zich zorgen maakten over het feit dat zijn pacemaker werd gehackt. De rondetafel met medische hulpmiddelen bij Black Hat onderzocht hoe de gezondheid van de patiënt in evenwicht kan worden gebracht met de beveiliging. Het laatste wat we willen is beveiliging die de gezondheidszorg vertraagt, waarbij seconden het verschil tussen leven en dood kunnen betekenen, merkte moderator Jay Radcliffe op. Het nuchtere besef dat we niet zomaar normale beveiligingspraktijken voor medische apparaten kunnen gebruiken, volgde ons naar DEF CON, waar onderzoekers van SecMedic een project bespraken waarin kwetsbaarheden in allerlei apparaten, waaronder defibrillatoren , werden onderzocht. Het engste deel? Veel van deze fouten zijn binnen een uur gevonden met behulp van open source-tools. Nu wil je echt niet naar een ziekenhuis, toch?

Via Flickr-gebruiker Phalinn Ooi