Inhoudsopgave:
- 1 Groter en groter
- 2 Slachtoffer van succes
- 3 Uitdaging van de beveiligingsgemeenschap
- 4 Ultrasone pistoolaanvallen Drones, Hoverboards
- 5 Zijn bubbels de toekomst van hacken?
- 6 Bug Bounties en bier
- 7 Aanvallende windparken
- 8 Pwnie Express On Guard
- 9 Vertrouw uw printer niet
- 10 Super Collider
- 11 Een Tesla hacken (alweer)
- 12 Apple Pay hacken op het web
- 13 Industriële robots besturen van ver
- 14 Wat is de volgende stap?
Video: What Happens When Hacker From Anonymous Meets FBI Agent In Interview... (November 2024)
De Black Hat-conferentie is een kans voor onderzoekers, hackers en iedereen in de wereld van beveiliging om elkaar te ontmoeten en van elkaar te leren. Het is een week van sessies, training en - onvermijdelijk - een aantal slechte beslissingen in het grotere gebied van Las Vegas.
In zijn 20e jaar begon Black Hat 2017 op een reflecterende toon. Alex Stamos, de CSO van Facebook, blikte terug op zijn vroege dagen op de conferentie. Voor hem was het een plek om geaccepteerd te worden en om van de gemeenschap te leren. Hij daagde diezelfde gemeenschap uit om empathischer te zijn en zich voor te bereiden op de volgende generatie hackers door meer diversiteit te verwelkomen.
De Black Hat-sessies zijn altijd de plek geweest om verrassende en soms gruwelijke voorbeelden van beveiligingsonderzoek te zien. Dit jaar hebben we gezien hoe we de webinterface van Apple Pay voor de gek kunnen houden, hoe we een hoverboard omver kunnen werpen met ulstrasound, en hebben we geleerd hoe kwetsbaar windparken kunnen zijn voor een cyberaanval.
Een sessie zag de terugkeer van een trio van Tesla Model S hackers, die nieuwe aanvallen lieten zien. Hun onderzoek zal zeker doorgaan naarmate voertuigen meer verbonden worden. Ook een groot hackerdoel? Printers.
Een ander opmerkelijk gesprek ging over het aanvallen van industriële infrastructuur. Met twee succesvolle aanvallen op het Oekraïense elektriciteitsnet vorig jaar is het beveiligen van kritieke infrastructuur zoals energiecentrales en fabrieken een groot probleem. Deze keer zagen we hoe bubbels - ja, gewone bubbels - kunnen worden gebruikt als een kwaadaardige lading om dure, kritieke pompen te vernietigen.
Misschien was de meest opmerkelijke prestatie van de show van dit jaar op het gebied van cryptoanalyse. Met behulp van geavanceerde technieken kon een team de eerste SHA-1-hashbotsing creëren. Als je niet zeker weet wat dat betekent, lees dan verder omdat het erg cool is.
Na 20 jaar is Black Hat nog steeds het belangrijkste podium voor hackers. Maar de toekomst is onzeker. Cyberaanvallen in natiestaten zijn van zeldzaamheid tot een regelmatig verschijnsel gegaan en de inzet is groter dan ooit. Hoe we daarmee omgaan is nog steeds niet duidelijk; misschien heeft Black Hat 2018 de antwoorden. Tot die tijd, bekijk hieronder enkele van de meer opvallende momenten uit de Black Hat van dit jaar.
1 Groter en groter
Voor het 20-jarig jubileum van de show werd de keynote gehouden in een enorm stadion in plaats van alleen een grote conferentieruimte. De show is de laatste paar jaar enorm gegroeid.
2 Slachtoffer van succes
Congestie in de gangen was een probleem op de show van dit jaar, en situaties zoals die hierboven waren niet ongewoon.
3 Uitdaging van de beveiligingsgemeenschap
Facebook-CSO Alex Stamos hield de Black Hat-keynote van 2017 in een toespraak die gelijkluidend was voor de familiale sfeer van vroeger van de beveiligingsgemeenschap en een uitdaging om het beter te doen. Hij riep het publiek op minder elitair te zijn en te erkennen dat de inzet van digitale beveiliging is toegenomen, onder verwijzing naar de rol van hacking en informatie-aanvallen bij de Amerikaanse verkiezingen van 2016.
4 Ultrasone pistoolaanvallen Drones, Hoverboards
Apparaten gebruiken sensoren om de wereld om hen heen te begrijpen, maar sommige van deze sensoren kunnen worden geknoeid. Eén onderzoeksteam liet zien hoe ze echografie konden gebruiken om drones te laten schommelen, hoverboards omvallen en VR-systemen ongecontroleerd draaien. De aanval is voorlopig beperkt, de applicaties kunnen verreikend zijn.
5 Zijn bubbels de toekomst van hacken?
Waarschijnlijk niet, maar Marina Krotofil toonde aan hoe het aanvallen van het klepsysteem in een waterpomp kon worden gebruikt om bubbels te creëren die de efficiëntie van de waterpomp verminderden en na verloop van tijd fysieke schade veroorzaken die tot uitval van de pomp leidde. Met haar presentatie wilde Krotofil aantonen dat onveilige apparaten, zoals kleppen, veilige apparaten, zoals pompen, met nieuwe middelen konden aanvallen. Er is tenslotte geen antivirus voor bubbels.
6 Bug Bounties en bier
In de afgelopen jaren zijn de programma's voor bug bounty uitgebreid, waarbij bedrijven onderzoekers, penetratietesters en hackers een geldbedrag betalen voor het melden van bugs. Onderzoeker James Kettle vertelde het publiek tijdens zijn sessie hoe hij een methode verzamelde om 50.000 websites tegelijkertijd te testen. Hij had onderweg wat tegenslagen, maar verdiende meer dan $ 30.000. Hij zei dat zijn baas aanvankelijk aandrong op het uitgeven van geld dat hij verdiende in de geautomatiseerde poging tot bier, maar in het licht van het succes van Kettle, kozen ze ervoor om de meerderheid aan goede doelen te schenken en slechts een klein beetje aan bier uit te geven.
7 Aanvallende windparken
Onderzoeker Jason Staggs leidde een uitgebreide veiligheidsevaluatie van windparken, die zijn team leidde tot verschillende spinnende krachtcentrales van 300 voet. De fysieke beveiliging was niet alleen zwak (soms slechts een hangslot), maar digitale beveiliging was zelfs nog zwakker. Zijn team ontwikkelde verschillende aanvallen die windmolenparken los konden houden en zelfs fysieke schade konden veroorzaken. Denk aan Stuxnet, maar dan voor enorme, wervelende doodshoofden.
8 Pwnie Express On Guard
Vorig jaar bracht Pwnie Express zijn netwerkbewakingsapparatuur en ontdekte een enorme kwaadaardige toegangspuntaanval die was geconfigureerd om een netwerk te imiteren dat vriendelijk is voor passerende apparaten en hen uitnodigt om verbinding te maken. Dit jaar werkte Pwnie met het netwerkbeveiligingsteam van Black Hat, maar ontdekte niets zo groot als de aanval van vorig jaar - althans niets dat geen deel uitmaakte van een trainingsoefening in een Black Hat-sessie. Deze Pwn Pro-sensor was een van de vele in de hele conferentie geplaatst om netwerkactiviteit te controleren.
Bij
9 Vertrouw uw printer niet
Netwerkprinters worden door onderzoekers al lang als belangrijkste doelen gezien. Ze zijn alomtegenwoordig, verbonden met internet en hebben vaak geen basisbeveiliging. Maar Jens Müller liet zien dat het van binnen telt. Door de protocollen te gebruiken die door bijna elke printer worden gebruikt om bestanden om te zetten in gedrukt materiaal, kon hij een aantal aanvallen uitvoeren. Hij kon eerdere afdruktaken extraheren en zelfs tekst of afbeeldingen op documenten over elkaar leggen. De aanvallen die hij heeft geschetst zullen blijven bestaan totdat iemand eindelijk van deze decennia oude protocollen afkomt.
10 Super Collider
Hash-functies zijn overal, maar bijna onzichtbaar. Ze worden gebruikt om contracten te verifiëren, software digitaal te ondertekenen en zelfs wachtwoorden te beveiligen. Een hash-functie, zoals SHA-1, converteert bestanden naar een reeks cijfers en letters, en geen twee worden verondersteld hetzelfde te zijn. Maar onderzoeker Elie Bursztein en zijn team bedachten een manier waarop twee verschillende bestanden met dezelfde hash eindigen. Dit wordt een botsing genoemd en dit betekent dat SHA-1 zo dood is als een deurnagel.
11 Een Tesla hacken (alweer)
In 2016 liet een trio van onderzoekers zien hoe ze controle konden krijgen over een Tesla Model S. Dit jaar keerden de onderzoekers van Tencent KeenLab terug om stap voor stap hun aanval te doorlopen. Maar het was niet allemaal een samenvatting: ze onderzochten ook Tesla's verzachting van hun aanvankelijke aanval en presenteerden hun nieuwe aanvallen; het team pronkte met een paar auto's die hun lichten flitsten en haar deuren op tijd openden voor muziek.
12 Apple Pay hacken op het web
Toen het voor het eerst werd gelanceerd, schreef ik uitgebreid over Apple Pay en prees de tokenisatie van creditcardgegevens en hoe Apple uw aankopen niet kon volgen. Maar Timur Yunusov was niet overtuigd. Hij ontdekte dat het mogelijk was om inloggegevens te achterhalen en een herhalingsaanval uit te voeren met Apple Pay op internet. Houd die creditcardrekeningen maar beter in de gaten.
13 Industriële robots besturen van ver
Een trio van onderzoekers, die een team van Politecnico di Milano en Trend Micro vertegenwoordigen, presenteerden hun bevindingen over de beveiliging van robots. Niet je vriendelijke Roombas, maar de hardwerkende en krachtige industriële robots in fabrieken. Ze ontdekten verschillende kritieke zwakke punten waardoor een aanvaller de controle over een robot kon krijgen, defecten in productieprocessen kon introduceren en zelfs menselijke operators kon schaden. Meer verontrustend is de ontdekking dat er vele duizenden industriële robots op internet zijn aangesloten.
14 Wat is de volgende stap?
Black Hat is nog een jaar klaar, maar met digitale beveiliging zichtbaarder en waardevoller dan ooit, zal het komende jaar zeker een aantal interessante verrassingen hebben.
