Huis Nieuws & analyse De goede en de angstaanjagende dingen op Black Hat 2016

De goede en de angstaanjagende dingen op Black Hat 2016

Video: Black Hat 2016 wrap-up: Same stuff, different year? (December 2024)

Video: Black Hat 2016 wrap-up: Same stuff, different year? (December 2024)
Anonim

Black Hat is een bijeenkomst van beveiligingsonderzoekers, hackers en de industrie die in Las Vegas bijeenkomt om drie dingen te doen: de nieuwste bedreigingen schetsen, laten zien hoe de good guys en de bad guys kunnen worden verslagen en aanvallen uitvoeren op de aanwezigen. Dit jaar waren er tal van enge aanvallen, waaronder een tegen showbezoekers, samen met auto-hacks, nieuwe manieren om contant geld van geldautomaten te stelen en waarom slimme gloeilampen misschien niet zo veilig zijn als we dachten. Maar we zagen ook veel reden om te hopen, zoals machines leren gevaarlijke servers te herkennen, Dungeons and Dragons gebruiken om werknemers te trainen in het omgaan met beveiligingsbedreigingen en hoe Apple omgaat met de beveiliging van uw iPhone. Het was, alles gezegd, een behoorlijk geestverruimend jaar.

De goede

Ja, Apple kondigde een bug bounty-programma aan bij Black Hat. Maar dat was slechts de laatste 10 minuten van een presentatie door Ivan Krstic, hoofd van Apple voor beveiligingstechniek en architectuur. Gedurende de voorafgaande 40 minuten bood hij een ongekende diepgaande duik in de manieren waarop Apple de apparaten en gegevens van gebruikers beschermt, zowel tegen kwaadaardige factoren als tegen zichzelf. En ja, het gaat om het gebruik van een eerlijk-naar-God-blender.

Naarmate apparaten van Internet of Things steeds populairder worden, maken beveiligingsprofessionals zich steeds meer zorgen. Dit zijn tenslotte apparaten met microcomputers die op netwerken zijn aangesloten en volledig in staat zijn code uit te voeren. Dat is de droom van een aanvaller. Het goede nieuws is, tenminste in het geval van het Philip's Hue-systeem, dat het heel moeilijk is om een ​​worm te maken die van gloeilamp naar gloeilamp springt. Het slechte nieuws? Het is blijkbaar heel eenvoudig om Hue-systemen te misleiden om toe te treden tot het netwerk van een aanvaller.

Elke beveiligingstraining in elk bedrijf bevat de waarschuwing dat werknemers nooit op links in e-mails van onbekende bronnen moeten klikken. En werknemers worden er nog steeds voor bedrogen om erop te klikken. Dr. Zinaida Benenson, van de Universiteit van Erlangen-Neurenberg, concludeerde dat het gewoon niet redelijk is om van werknemers te verwachten dat ze nieuwsgierigheid en andere motivaties weerstaan. Als je wilt dat ze James Bond zijn, moet je dat in de functiebeschrijving vermelden en dienovereenkomstig betalen.

Veel beveiligingsonderzoek en -uitvoering kan geestdodend saai zijn, maar nieuwe technieken in machine learning kunnen binnenkort leiden tot een veiliger internet. Onderzoekers gedetailleerd hun inspanningen op het leren van machines om botnet command en controle servers te identificeren, waarmee de slechteriken honderdduizenden (zo niet miljoenen) geïnfecteerde computers kunnen besturen. De tool zou kunnen helpen om zulke snode activiteiten in de gaten te houden, maar het was niet allemaal zwaar onderzoek. Om hun sessie af te sluiten, toonden onderzoekers aan hoe machine learning-systemen konden worden gebruikt om een ​​redelijk Taylor Swift-nummer te genereren.

Het who-know hotelnetwerk is misschien goed voor een conferentie over dierenbenodigdheden, maar niet voor Black Hat. De conferentie heeft zijn eigen volledig gescheiden netwerk en een indrukwekkend Network Operations Center om het te beheren. Bezoekers kunnen door de glazen wand naar binnen kijken bij de vele gloeiende schermen, hackerfilms en langdurige veiligheidsexperts in het NOC, dat volledig wordt ingepakt en de hele wereld over gaat naar de volgende Black Hat-conferentie.

IT-beveiligingsproblemen en white-hat hackers kunnen gewoon niet genoeg krijgen van beveiligingstrainingen, maar zij zijn niet degenen die ze echt nodig hebben. Het verkooppersoneel, het HR-team en de medewerkers van het callcenter begrijpen of waarderen beveiligingstrainingen niet per se, en toch hebt u ze echt nodig om hun beveiligingsspel op te voeren. Onderzoeker Tiphaine Romand Latapie stelde voor de beveiligingstraining te herwerken als een rollenspel. Ze ontdekte dat het volledig werkte en zorgde voor een significante nieuwe betrokkenheid tussen het beveiligingsteam en de rest van het personeel. Kerkers en draken, iemand?

Zwendel telefoontje is een groot probleem. IRS-oplichting overtuigen nietsvermoedende Amerikanen om contant geld te betalen. Wachtwoord opnieuw instellen oplichting misleiden callcenters in het weggeven van klantgegevens. Professor Judith Tabron, een forensisch taalkundige, analyseerde echte zwendeloproepen en bedacht een tweedelige test om u te helpen deze te herkennen. Lees dit en leer, OK? Het is een eenvoudige en waardevolle techniek.

Het beangstigend

Pwnie Express bouwt apparaten die het netwerkluchtruim controleren op iets ongewoons, en het is ook een goede zaak, omdat het bedrijf dit jaar een enorme Man-in-the-Middle-aanval op Black Hat heeft ontdekt. In dit geval veranderde een kwaadaardig toegangspunt zijn SSID om telefoons en apparaten voor de gek te houden en toe te treden tot het netwerk, omdat het dacht dat het een veilig, vriendelijk netwerk was dat het apparaat eerder had gezien. Daarbij hebben de aanvallers ongeveer 35.000 mensen misleid. Hoewel het geweldig is dat het bedrijf de aanval heeft kunnen herkennen, herinnert het feit dat het zo enorm was, aan hoe succesvol deze aanvallen kunnen zijn.

Vorig jaar presenteerden Charlie Miller en Chris Valasek wat velen aannamen als het toppunt van hun carrière bij het hacken van auto's. Ze kwamen dit jaar terug met nog meer gedurfde aanvallen, die in staat zijn om de remmen in te schakelen of controle over het stuur te krijgen wanneer de auto op elke snelheid rijdt. Eerdere aanvallen konden alleen worden uitgevoerd als de auto met 5 km / u of lager rijdt. Deze nieuwe aanvallen kunnen een groot risico vormen voor bestuurders en zullen hopelijk snel worden hersteld door autofabrikanten. Valasek en Miller van hun kant zeiden dat ze klaar waren met het hacken van auto's, maar moedigden anderen aan om in hun voetsporen te treden.

Als je Mr. Robot bekijkt, weet je dat het mogelijk is om de computer van een slachtoffer te infecteren door USB-schijven rond de parkeerplaats te strooien. Maar werkt het echt? Elie Bursztein, onderzoek naar fraudebestrijding en misbruik bij Google, presenteerde een tweedelige lezing over dit onderwerp. Het eerste deel gedetailleerd een studie die duidelijk liet zien dat het werkt (en parkeerplaatsen zijn beter dan gangen). Het tweede deel legde heel gedetailleerd uit hoe je een USB-drive bouwt die elke computer volledig zou overnemen. Heb je aantekeningen gemaakt?

Drones waren een hot item afgelopen vakantie winkelen seizoen, en misschien niet alleen voor nerds. Een presentatie liet zien hoe de DJI Phantom 4 kon worden gebruikt om industriële draadloze netwerken te storen, werknemers te bespioneren en erger. De truc is dat veel kritieke, industriële sites een zogenaamde "luchtgat" gebruiken om gevoelige computers te beschermen. Kortom, dit zijn netwerken en apparaten die geïsoleerd zijn van het externe internet. Maar in plaats daarvan kunnen kleine, manoeuvreerbare drones het internet brengen.

Machine learning staat op het punt een revolutie teweeg te brengen in een groot aantal technologische industrieën, en dat geldt ook voor oplichters. Onderzoekers van Black Hat hebben aangetoond hoe machines ook kunnen worden geleerd om zeer effectieve spear phishing-berichten te produceren. Hun tool bepaalt waardevolle doelen en doorzoekt vervolgens de tweets van het slachtoffer om een ​​bericht te maken dat zowel relevant als onweerstaanbaar klikbaar is. Het team heeft niets kwaadaardigs verspreid met hun spam-bot, maar het is niet moeilijk om je voor te stellen dat oplichters deze technieken overnemen.

Je verwacht gratis wifi in een hotel en je bent misschien slim genoeg om te beseffen dat het niet noodzakelijkerwijs veilig is. Maar een Airbnb of andere kortetermijnverhuur, beveiliging kan mogelijk de slechtste beveiliging ooit hebben. Waarom? Omdat gasten vóór u fysieke toegang hadden tot de router, wat betekent dat ze deze volledig konden bezitten. Jeremy Galloway's toespraak gedetailleerd wat een hacker kan doen (het is slecht!), Wat je kunt doen om veilig te blijven en wat de eigenaar kan doen om dergelijke aanvallen af ​​te schrikken. Het is een probleem dat niet weggaat.

In een van de meest uitgebreide gesprekken op Black Hat heeft Rapid7 Senior Pentester Weton Hecker aangetoond wat een nieuw model voor fraude zou kunnen zijn. Zijn visie omvat een enorm netwerk van gecompromitteerde geldautomaten, verkoopautomaten (zoals in de supermarkt) en benzinepompen. Deze kunnen de betalingsinformatie van het slachtoffer in realtime stelen en vervolgens snel invoeren met behulp van een gemotoriseerd pincode-apparaat. Het gesprek eindigde met een geldautomaat die geld uitspuwde en een toekomstvisie waarbij oplichters geen creditcardgegevens van individuen kopen, maar toegang tot een enorm realtime netwerk van oplichting.

Dat was niet de enige presentatie bij Black Hat om aanvallen op betalingssystemen te detailleren. Een andere groep onderzoekers liet zien hoe ze met een Raspberry Pi en een beetje moeite heel veel persoonlijke informatie van chipkaarttransacties konden onderscheppen. Dat is vooral opmerkelijk, niet alleen omdat chipkaarten (AKA EMV-kaarten) als veiliger worden beschouwd dan magswipe-kaarten, maar omdat de VS net is begonnen met het uitrollen van chipkaarten in eigen land.

Volgend jaar brengt nieuw onderzoek, nieuwe hacks en nieuwe aanvallen. Maar Black Hat 2016 heeft de toon gezet voor het jaar, waaruit blijkt dat het werk van een hacker (of het nu wit of zwart is) nooit echt klaar is. Als u ons wilt excuseren, gaan we onze creditcards versnipperen en gaan we in een kooi van Faraday in het bos wonen.

De goede en de angstaanjagende dingen op Black Hat 2016