สารบัญ:
- 1 ใหญ่กว่าและใหญ่กว่า
- 2 เหยื่อแห่งความสำเร็จ
- 3 การท้าทายชุมชนความปลอดภัย
- 4 ล้ำเสียงปืนโจมตี Drones, Hoverboards
- 5 ฟองสบู่คืออนาคตของการแฮ็ก?
- 6 บั๊กและเบียร์
- 7 โจมตีฟาร์มกังหันลม
- 8 Pwnie Express On Guard
- 9 อย่าเชื่อถือเครื่องพิมพ์ของคุณ
- 10 Super Collider
- 11 การแฮก Tesla (อีกครั้ง)
- 12 การแฮ็ค Apple Pay บนเว็บ
- 13 การควบคุมหุ่นยนต์อุตสาหกรรมจากระยะไกล
- 14 มีอะไรต่อไป
วีดีโอ: Inna - Amazing (ธันวาคม 2024)
การประชุม Black Hat เป็นโอกาสสำหรับนักวิจัยแฮกเกอร์และทุกคนที่อยู่ใกล้กับโลกแห่งความปลอดภัยในการรวบรวมและเรียนรู้จากกันและกัน มันเป็นสัปดาห์ของการประชุมการฝึกอบรมและ - อย่างหลีกเลี่ยงไม่ - การตัดสินใจที่ไม่ดีในพื้นที่ลาสเวกัส
ในปีที่ 20 ของมัน Black Hat 2017 เริ่มต้นด้วยการสะท้อนแสง Alex Stamos, CSO ของ Facebook มองย้อนกลับไปในวันแรกของการประชุม สำหรับเขามันเป็นสถานที่ที่จะได้รับการยอมรับและเรียนรู้จากชุมชน เขาท้าทายชุมชนเดียวกันนั้นให้มีความเห็นอกเห็นใจมากขึ้นและเตรียมความพร้อมสำหรับแฮ็กเกอร์รุ่นต่อไปด้วยการต้อนรับความหลากหลายที่มากขึ้น
การประชุม Black Hat เป็นสถานที่ที่น่าแปลกใจและบางครั้งก็น่ากลัวตัวอย่างของการวิจัยด้านความปลอดภัย ในปีนี้เราได้เห็นวิธีที่จะหลอกเว็บอินเตอร์เฟสของ Apple Pay วิธีการโค่นล้ม hoverboard โดยใช้ ulstrasound และเรียนรู้ว่าฟาร์มกังหันที่มีช่องโหว่นั้นอาจถูกโจมตีทางไซเบอร์ได้อย่างไร
หนึ่งเซสชันเห็นการกลับมาของแฮ็กเกอร์ Tesla Model S สามคนซึ่งแสดงการโจมตีใหม่ การวิจัยของพวกเขาจะดำเนินการต่อไปเมื่อยานพาหนะเชื่อมโยงกันมากขึ้น ยังเป็นเป้าหมายของแฮ็กเกอร์ขนาดใหญ่หรือไม่ เครื่องพิมพ์
การพูดคุยที่น่าทึ่งอีกเรื่องหนึ่งคือการโจมตีโครงสร้างพื้นฐานอุตสาหกรรม ด้วยการโจมตีที่ประสบความสำเร็จสองครั้งต่อตารางพลังงานของยูเครนเมื่อปีที่แล้วการรักษาความปลอดภัยโครงสร้างพื้นฐานที่สำคัญเช่นโรงไฟฟ้าและโรงงานเป็นประเด็นสำคัญ ครั้งนี้เราได้เห็นว่ามีฟอง - ใช่ฟองปกติ - สามารถใช้เป็นเพย์โหลดอันตรายเพื่อทำลายปั๊มที่มีราคาแพงและสำคัญ
บางทีความสำเร็จที่น่าทึ่งที่สุดของการแสดงในปีนี้ก็คือเรื่องของการเข้ารหัส ด้วยการใช้ tehniques ที่ซับซ้อนทีมก็สามารถสร้างการชนกันของแฮ็ก SHA-1 ได้เป็นครั้งแรก หากคุณไม่แน่ใจว่ามันหมายถึงอะไรให้อ่านต่อเพราะมันเจ๋งมาก
หลังจาก 20 ปีที่ Black Hat ยังคงเป็นเวทีชั้นนำสำหรับแฮกเกอร์ แต่อนาคตไม่แน่นอน การโจมตีทางไซเบอร์ในประเทศได้กลายเป็นสิ่งที่หายากไปสู่การเกิดขึ้นเป็นประจำและเงินเดิมพันนั้นใหญ่กว่าที่เคยเป็นมา วิธีที่เราจะจัดการกับสิ่งนั้นยังไม่ชัดเจน บางที Black Hat 2018 อาจมีคำตอบ ก่อนหน้านั้นลองดูช่วงเวลาที่น่าดึงดูดยิ่งขึ้นจาก Black Hat ของปีนี้ด้านล่าง
1 ใหญ่กว่าและใหญ่กว่า
สำหรับงานครบรอบ 20 ปีการแสดงปาฐกถาพิเศษจัดขึ้นที่สนามกีฬาขนาดใหญ่แทนที่จะเป็นเพียงห้องประชุมขนาดใหญ่ รายการเติบโตขึ้นอย่างก้าวกระโดดในไม่กี่ปีที่ผ่านมา
2 เหยื่อแห่งความสำเร็จ
ความแออัดในโถงทางเดินเป็นปัญหาในการแสดงในปีนี้และสถานการณ์เช่นเดียวกับข้างต้นนั้นไม่ใช่เรื่องแปลก
3 การท้าทายชุมชนความปลอดภัย
Facebook CSO Alex Stamos ส่งคำปราศรัย Black Hat ปี 2017 ในการกล่าวสุนทรพจน์ที่ได้รับการยกย่องอย่างเท่าเทียมกันในบรรยากาศที่เหมือนครอบครัวของชุมชนความปลอดภัยในสมัยก่อนและเป็นความท้าทายที่ต้องทำดีกว่า เขาเรียกร้องให้ผู้ชมเป็นคนชั้นนำน้อยลงและตระหนักว่าสัดส่วนของความปลอดภัยทางดิจิทัลเพิ่มสูงขึ้นโดยอ้างถึงบทบาทของการแฮ็คและการโจมตีข้อมูลในการเลือกตั้งสหรัฐปี 2559
4 ล้ำเสียงปืนโจมตี Drones, Hoverboards
อุปกรณ์ใช้เซ็นเซอร์เพื่อทำความเข้าใจโลกรอบตัว แต่เซ็นเซอร์เหล่านี้บางตัวอาจถูกดัดแปลง ทีมวิจัยหนึ่งแสดงให้เห็นว่าพวกเขาสามารถใช้อุลตร้าซาวด์เพื่อทำให้โดรนกระเด้งโยกเยกกระดานโต้คลื่นเพื่อโค่นล้มและระบบ VR เพื่อหมุนอย่างไม่สามารถควบคุมได้อย่างไร การโจมตีมี จำกัด ในขณะนี้แอปพลิเคชันอาจเข้าถึงได้ไกล
5 ฟองสบู่คืออนาคตของการแฮ็ก?
อาจไม่ใช่ แต่ Marina Krotofil แสดงให้เห็นว่าการโจมตีระบบวาล์วในปั๊มน้ำสามารถใช้ในการสร้างฟองอากาศที่ลดประสิทธิภาพของปั๊มน้ำและเวลาทำให้เกิดความเสียหายทางกายภาพทำให้ปั๊มล้มเหลว จากการนำเสนอของเธอ Krotofil พยายามแสดงให้เห็นว่าอุปกรณ์ที่ไม่ปลอดภัยเช่นวาล์วสามารถโจมตีอุปกรณ์ที่ปลอดภัยเช่นปั๊มผ่านวิธีการแปลกใหม่ ท้ายที่สุดไม่มีโปรแกรมป้องกันไวรัสสำหรับฟองอากาศ
6 บั๊กและเบียร์
ไม่กี่ปีที่ผ่านมาได้เห็นการขยายตัวของโปรแกรมค่าหัวบั๊กที่ บริษัท จ่ายนักวิจัยเจาะทดสอบและแฮ็กเกอร์เงินรางวัลสำหรับการรายงานข้อบกพร่อง นักวิจัย James Kettle บอกผู้ชมในเซสชั่นของเขาว่าเขารวบรวมวิธีการทดสอบ 50, 000 เว็บไซต์พร้อมกันได้อย่างไร เขามีความเข้าใจผิดบางอย่างไปพร้อมกัน แต่ได้รับมากกว่า $ 30, 000 ในกระบวนการ เขากล่าวว่าหัวหน้าของเขายืนยันว่าการใช้จ่ายเงินใด ๆ ที่ได้รับจากความพยายามอัตโนมัติเกี่ยวกับเบียร์ แต่ในแง่ของความสำเร็จของ Kettle พวกเขาเลือกที่จะบริจาคเงินส่วนใหญ่เพื่อการกุศลและใช้จ่ายเบียร์เพียงเล็กน้อย
7 โจมตีฟาร์มกังหันลม
Jason Staggs นักวิจัยนำการประเมินความปลอดภัยที่ครอบคลุมของฟาร์มกังหันลมซึ่งนำทีมของเขาขึ้นโรงไฟฟ้าปั่น 300 ฟุตหลายแห่ง ความปลอดภัยทางกายภาพไม่เพียง แต่อ่อนแอ (บางครั้งเป็นเพียงแม่กุญแจ) แต่ความปลอดภัยแบบดิจิทัลนั้นอ่อนแอกว่า ทีมของเขาพัฒนาการโจมตีหลายครั้งที่สามารถระงับค่าไถ่ฟาร์มลมและยังทำให้เกิดความเสียหายทางกายภาพ คิดว่า Stuxnet แต่สำหรับความตายอันยิ่งใหญ่
8 Pwnie Express On Guard
เมื่อปีที่แล้ว Pwnie Express นำอุปกรณ์ตรวจสอบเครือข่ายและค้นพบการโจมตีจุดเชื่อมต่อที่ชั่วร้ายขนาดใหญ่ที่ได้รับการกำหนดค่าให้เลียนแบบเครือข่ายที่เป็นมิตรกับอุปกรณ์ที่ส่งผ่านและเชิญพวกเขาให้เชื่อมต่อ ปีนี้ Pwnie ทำงานกับทีมรักษาความปลอดภัยเครือข่ายของ Black Hat แต่ไม่ได้ตรวจพบสิ่งใดที่ใหญ่เท่ากับการโจมตีเมื่อปีที่แล้ว - อย่างน้อยก็ไม่มีอะไรที่ไม่ได้เป็นส่วนหนึ่งของการฝึกซ้อมในการฝึกซ้อม Black Hat เซ็นเซอร์ Pwn Pro นี้เป็นหนึ่งในหลาย ๆ ที่ตลอดการประชุมเพื่อตรวจสอบกิจกรรมเครือข่าย
ที่
9 อย่าเชื่อถือเครื่องพิมพ์ของคุณ
นักวิจัยมองเครื่องพิมพ์เครือข่ายมานานแล้วว่าเป็นเป้าหมายสำคัญ พวกเขากำลังแพร่หลายเชื่อมต่อกับอินเทอร์เน็ตและมักจะขาดความปลอดภัยขั้นพื้นฐาน แต่ Jens Müllerแสดงให้เห็นว่ามันเป็นสิ่งที่อยู่ภายในนั้นนับ ด้วยการใช้โปรโตคอลที่เครื่องพิมพ์เกือบทุกเครื่องใช้ในการแปลงไฟล์เป็นสื่อสิ่งพิมพ์เขาจึงสามารถทำการโจมตีได้หลายครั้ง เขาสามารถแยกงานพิมพ์ก่อนหน้าและแม้แต่ข้อความหรือภาพซ้อนทับบนเอกสาร การโจมตีที่เค้าร่างจะมีอยู่จนกระทั่งในที่สุดบางคนก็กำจัดโปรโตคอลเก่าเหล่านี้มาหลายสิบปี
10 Super Collider
ฟังก์ชันแฮชมีอยู่ทั่วไป แต่แทบจะมองไม่เห็น พวกเขาจะใช้ในการตรวจสอบสัญญาซอฟต์แวร์ลงนามแบบดิจิทัลและแม้กระทั่งรหัสผ่านที่ปลอดภัย ฟังก์ชันแฮชเช่น SHA-1 แปลงไฟล์เป็นสตริงของตัวเลขและตัวอักษรและไม่ควรมีสองไฟล์เหมือนกัน แต่นักวิจัย Elie Bursztein และทีมของเขาคิดค้นวิธีที่ไฟล์สองไฟล์ที่แตกต่างกันจะมีแฮชเดียวกัน สิ่งนี้เรียกว่าการชนและหมายความว่า SHA-1 นั้นตายแล้วเหมือนเล็บประตู
11 การแฮก Tesla (อีกครั้ง)
ในปี 2559 นักวิจัยสามคนแสดงให้เห็นว่าพวกเขาสามารถควบคุม Tesla Model S ในปีนี้ได้อย่างไรนักวิจัยจาก Tencent KeenLab กลับมาเดินผ่านการโจมตีทีละขั้นตอน แต่มันไม่ได้สรุปทั้งหมด: พวกเขายังตรวจสอบการลดการโจมตีครั้งแรกของเทสลาและนำเสนอการโจมตีใหม่ของพวกเขา; ทีมแสดงรถสองคันกระพริบไฟและเปิดประตูเวลาดนตรี
12 การแฮ็ค Apple Pay บนเว็บ
เมื่อเปิดตัวครั้งแรกฉันเขียนเกี่ยวกับ Apple Pay อย่างกว้างขวางชื่นชมการโทเค็นข้อมูลบัตรเครดิตและวิธีที่ Apple ไม่สามารถติดตามการซื้อของคุณ แต่ Timur Yunusov ไม่มั่นใจ เขาค้นพบว่าเป็นไปได้ที่จะขัดขวางข้อมูลประจำตัวและทำการโจมตีซ้ำโดยใช้ Apple Pay บนเว็บ ดีกว่าจับตาดูค่าบัตรเครดิตเหล่านั้น
13 การควบคุมหุ่นยนต์อุตสาหกรรมจากระยะไกล
นักวิจัยสามคนซึ่งเป็นตัวแทนของทีมจาก Politecnico di Milano และ Trend Micro ได้นำเสนอผลการวิจัยเกี่ยวกับความปลอดภัยของหุ่นยนต์ ไม่ใช่ Roombas ที่เป็นมิตรของคุณ แต่เป็นหุ่นยนต์อุตสาหกรรมที่ทำงานหนักและมีประสิทธิภาพที่พบในโรงงาน พวกเขาพบจุดอ่อนที่สำคัญหลายประการที่ทำให้ผู้โจมตีสามารถควบคุมหุ่นยนต์แนะนำข้อบกพร่องในกระบวนการผลิตและอาจเป็นอันตรายต่อผู้ปฏิบัติงาน ปัญหาที่หนักใจมากขึ้นคือการค้นพบว่ามีหุ่นยนต์อุตสาหกรรมหลายพันตัวเชื่อมต่อกับอินเทอร์เน็ต
14 มีอะไรต่อไป
Black Hat เสร็จสิ้นไปอีกปีแล้ว แต่ด้วยความปลอดภัยของระบบดิจิตอลที่มองเห็นได้และมีค่ามากกว่าที่เคยเป็นมาในปีที่ผ่านมาจะต้องมีความประหลาดใจที่น่าสนใจ