Zwarte hoed 2018: wat te verwachten

Terwijl de zomer opwarmt, gaan beveiligingsonderzoekers, spooks van de overheid en industriële elites naar Las Vegas voor de Black Hat-conferentie, onmiddellijk gevolgd door zijn meer legendarische voorouder, DefCon.

Het is een week lang feest van alles wat infosec is, waar onderzoekers elkaar proberen te ontmoeten met presentaties over de nieuwste, engste kwetsbaarheden. In het donker zijn het blitse feestjes met mensen die nonchalant rond zinnen gooien als "we hebben de ruimte geveegd voor luisterapparaten en hebben er drie gevonden!" Temidden van al dit bedlam zullen uw bescheiden PCMag-verslaggevers Max Eddy en Neil Rubenking zijn, die zich stevig vastklampen aan papieren paraplu-drankjes terwijl veiligheidsgeheimen in hun oren worden gefluisterd.

Black Hat staat net zo bekend om zijn showmanship als zijn onderzoek. In voorgaande jaren hebben gehackte Linux-geweren, geldautomaten die $ 100 rekeningen spraken, onzekere satelliettelefoons en high-tech "slimme" auto's die door onderzoekers van de weg zijn gereden.

Dit is waar we naar uitkijken in het 21e jaar van Black Hat en houd SecurityWatch in de gaten voor het laatste nieuws van Black Hat 2018.

Google in de kijker

De keynote van dit jaar wordt verzorgd door Parisa Tabriz, directeur engineering bij Google. Tabriz's toespraak zal zich richten op het omarmen van nieuwe ideeën voor beveiliging, zelfs bij het werken op een enorme schaal, en zal zeker haar werk met de Chrome-browser raken.



Car Hacking is terug (soort van)

Na hun headline-grabbing aanval die letterlijk een Jeep van de weg dreef, zeiden Charlie Miller en Chris Valasek dat ze hun autosleutels voorgoed hadden ingeleverd. Dat wil zeggen totdat ze betrokken raakten bij zelfrijdende voertuigen. Een toespraak over de gevaren van autonome auto's onder leiding van de koningen van auto-aanvallen zal zeker de aandacht trekken.



Mensen hacken

Er is een veel voorkomende (als afwijzende) grap onder beveiligingsprofessionals die zegt: "De grootste kwetsbaarheid in elk systeem is tussen de stoel en de computer." Mensen worden net zo gemakkelijk misleid als computers (misschien gemakkelijker), en social engineering is zeker een belangrijk onderwerp. Dat is vooral het geval omdat steeds meer organisaties worden beschaamd om te bezwijken aan phishing-aanvallen. Niemand wil omstreeks 2016 het Democratische Nationale Comité zijn en hun strijd en risotto-recepten op het web laten spuiten.



Versleuteling en VPN's

Spreken uit ervaring, VPN's zijn een hot commodity in de beveiligingsindustrie. Wereldwijde onrust en de wens om gratis online streaming video te bekijken, heeft de populariteit van deze eens slaperige en over het hoofd gezien beveiligingshulpmiddel gedreven. Gezien hun recente populariteit en de ondoorzichtigheid van de betrokken bedrijven, verwachten hackers dat zij zich richten op VPN-services.

Op dezelfde manier is encryptie de technologie die alles online laat werken, van het geheim houden van geheimen tot het verifiëren van de identiteit van individuen. Het is een krachtig hulpmiddel en ook een opwindend doelwit. Onderzoekers van het congres zullen zeker werk presenteren over hoe codering uit elkaar te halen, te verzwakken of anderszins te omzeilen. We verwachten niets zo baanbrekend als de SHA-1 hashbotsing, maar een gesprek over een side-channel aanval om coderingssleutels van routers te stelen klinkt opwindend.



Blockchain breken (of gebruiken)

Cryptocurrencies zijn de lievelingen van de online onderwereld evenals tech-investeerders. Hun geldwaarde en digitale bestaan ​​maken ze tot gemakkelijke doelen voor hackers, waarover dit jaar enkele sessies worden gehouden. Maar het is het gebruik van de onderliggende blockchain-technologie als middel om informatie op te slaan en online vertrouwen op te bouwen dat het meest interessante onderzoek kan opleveren. Sommige sessies zullen zich richten op hoe je de fundamenten van crypto kunt aanvallen, voor snode doeleinden.



Hack the Vote

Russische pogingen om de Amerikaanse verkiezingen van 2016 te beïnvloeden zijn volgens Amerikaanse inlichtingen- en wetshandhavingsinstanties een feit. Het is het grootste verhaal over informatiebeveiliging sinds de Snowden lekt, en het gaat nog steeds door. Hoewel we vorig jaar niet al te veel hebben gezien over dit onderwerp, zijn verkiezingshacking en kwetsbare stemmachines vaste onderwerpen bij Black Hat, dus verwacht ze ook dit jaar. Een opmerkelijke sessie bekijkt hoe de bestaande sociale grafiek kan worden gebruikt om Russische Twitter-bots te ontmaskeren.



Two-Factor Authentication: Godsend of Curse?

Google heeft onlangs phishing geplet met het gebruik van fysieke tweefactoren en heeft tijdens zijn VOLGENDE conferentie zijn eigen lijn beveiligingssleutels geïntroduceerd. Maar elke oplossing voor een beveiligingsprobleem is een nieuwe kans voor een onderzoeker om te pronken. We zullen zeker enkele aanvallen op 2FA-systemen zien.



Hacken in de 21ste eeuw

Black Hat en DefCon zijn de grootste evenementen van het jaar voor beveiligingsprofessionals en hobbyhackers, dus het is ook een tijd om naar de gemeenschap als geheel te kijken. Hoewel er inspanningen zijn geleverd om informatiebeveiliging en conferenties vriendelijker te maken voor vrouwen, mensen van kleur, gehandicapten en andere groepen die vaak worden gemarginaliseerd in de technische wereld, zijn deze evenementen waar het rubber op de weg komt. Er zullen meer dan een paar meetups van verschillende groepen en sessies zijn over hoe infosec gastvrijer kan worden gemaakt. Verschillende sessies behandelen problemen van depressie en PTSS in de hackgemeenschap, een onderwerp dat niet vaak wordt besproken.



Hoe een elektriciteitscentrale (of een waterzuiveringsinstallatie of fabriek of een elektriciteitsnet) te hacken

De meeste hackers willen alleen snel geld verdienen, maar sommige aanvallers (en nationale actoren) hebben grotere prijzen in het oog: infrastructuur. In voorgaande jaren zijn sessies gehouden over het vernietigen van een fabriek met bubbels en tactieken over het verwijderen van de verwarrende, op maat gemaakte systemen die deel uitmaken van de meeste industriële complexen.