สารบัญ:
- Google ในสปอตไลท์
- การแฮ็กรถกลับมาแล้ว (ชนิด)
- แฮ็คมนุษย์
- การเข้ารหัสและ VPN
- การทำลาย (หรือการใช้) Blockchain
- แฮ็กโหวต
- การรับรองความถูกต้องด้วยสองปัจจัย: สวรรค์หรือคำสาป?
- แฮ็คในศตวรรษที่ 21
- วิธีแฮ็คโรงไฟฟ้า (หรือโรงบำบัดน้ำเสียหรือโรงงานหรือตารางพลังงาน)
วีดีโอ: Black Hat Asia 2018 Keynote: A Short Course in Cyber Warfare by The Grugq (กันยายน 2024)
เมื่อฤดูร้อนเริ่มร้อนแรงนักวิจัยด้านความปลอดภัยรัฐบาลสก็อตและชนชั้นสูงในอุตสาหกรรมมุ่งหน้าไปที่ลาสเวกัสสำหรับการประชุมแบล็กแฮทตามด้วย DefCon ผู้เป็นต้นเหตุ
เป็นการเฉลิมฉลองทุกสัปดาห์ของข้อมูลทุกสิ่งที่นักวิจัยพยายามที่จะรวมตัวกันด้วยการนำเสนอเกี่ยวกับช่องโหว่ล่าสุดที่น่ากลัวที่สุด หลังจากที่มืดมันเป็นปาร์ตี้ที่น่าดึงดูดใจกับผู้คนที่ตั้งใจโยนวลีเช่น "เรากวาดห้องฟังอุปกรณ์และพบสามคน!" ท่ามกลางความลำบากทั้งหมดนี้จะเป็นผู้สื่อข่าว PCMag ที่อ่อนน้อมถ่อมตนของคุณ Max Eddy และ Neil Rubenking ยึดติดกับเครื่องดื่มร่มกระดาษอย่างแน่นหนาเนื่องจากความลับด้านความปลอดภัยได้กระซิบในหูของพวกเขา
Black Hat เป็นที่รู้จักในเรื่องการแสดงให้มากที่สุดเท่าที่การวิจัย ปีที่ผ่านมาได้เห็นปืนไรเฟิล Linux ที่ถูกแฮ็กตู้เอทีเอ็มพ่นเงิน 100 ดอลลาร์โทรศัพท์ดาวเทียมที่ไม่ปลอดภัยและรถยนต์ "สมาร์ท" ที่ใช้เทคโนโลยีขั้นสูงขับรถออกจากถนนโดยนักวิจัย
นี่คือสิ่งที่เรารอคอยในปีที่ 21 ของ Black Hat และจับตา SecurityWatch สำหรับล่าสุดจาก Black Hat 2018
Google ในสปอตไลท์
ปาฐกถาพิเศษในปีนี้จัดทำโดย Parisa Tabriz ผู้อำนวยการฝ่ายวิศวกรรมของ Google การพูดคุยของ Tabriz จะเน้นไปที่การยอมรับแนวคิดใหม่ ๆ เพื่อความปลอดภัยแม้ในขณะที่ทำงานในระดับมหาศาลและจะได้สัมผัสกับงานของเธอกับเบราว์เซอร์ Chrome
การแฮ็กรถกลับมาแล้ว (ชนิด)
หลังจากการโจมตีแบบพาดหัวของพวกเขาที่ขับรถจี๊ปออกไปนอกถนนชาร์ลีมิลเลอร์และคริสวัลลาเซคกล่าวว่าพวกเขาได้หันไปใช้กุญแจแฮ็ครถที่ดี นั่นคือจนกว่าพวกเขาจะมีส่วนร่วมในยานพาหนะที่ขับเคลื่อนด้วยตนเอง การพูดคุยเกี่ยวกับอันตรายของรถยนต์ที่เป็นอิสระนำโดยกษัตริย์ของการโจมตียานยนต์เป็นที่ดึงดูดความสนใจ
แฮ็คมนุษย์
มีเรื่องตลกสามัญ (ถ้าไม่สนใจ) ในหมู่ผู้เชี่ยวชาญด้านความปลอดภัยที่กล่าวว่า "ช่องโหว่ที่ใหญ่ที่สุดในระบบใด ๆ อยู่ระหว่างเก้าอี้และคอมพิวเตอร์" ผู้คนถูกหลอกได้ง่ายเช่นเดียวกับคอมพิวเตอร์ (อาจจะง่ายกว่า) และวิศวกรรมสังคมก็เป็นหัวข้อที่สำคัญ โดยเฉพาะอย่างยิ่งเนื่องจากองค์กรจำนวนมากต้องเผชิญกับความลำบากใจในการโจมตีแบบฟิชชิ่ง ไม่มีใครอยากเป็นคณะกรรมการประชาธิปไตยแห่งชาติในปี 2559 และมีสูตรการต่อสู้แบบประจัญบานและริซอตโต้ทั่วทั้งเว็บ
การเข้ารหัสและ VPN
จากประสบการณ์ VPN เป็นสิ่งสำคัญในอุตสาหกรรมความปลอดภัย ความไม่สงบในระดับโลกและความต้องการในการเข้าถึงวิดีโอสตรีมมิ่งออนไลน์ฟรีทำให้เกิดความนิยมในเครื่องมือรักษาความปลอดภัยที่ง่วงนอนและถูกมองข้าม เมื่อพิจารณาถึงความนิยมล่าสุดของพวกเขาและความโปร่งใสของ บริษัท ที่เกี่ยวข้องคาดว่าแฮ็กเกอร์จะมุ่งเน้นไปที่บริการ VPN
ในทำนองเดียวกันการเข้ารหัสเป็นเทคโนโลยีที่ทำให้ทุกอย่างทำงานออนไลน์ตั้งแต่การเก็บความลับไปจนถึงการยืนยันตัวตนของบุคคล มันเป็นเครื่องมือที่ทรงพลังและเป็นเป้าหมายที่น่าตื่นเต้น นักวิจัยในที่ประชุมจะต้องนำเสนอวิธีการแยกการทำให้อ่อนแอหรือหลีกเลี่ยงการเข้ารหัส เราไม่ได้คาดหวังอะไรเลยว่าจะเป็นเรื่องแปลกใหม่เหมือนการชนกันของ SHA-1 แต่การพูดคุยเกี่ยวกับการโจมตีช่องทางด้านข้างเพื่อขโมยกุญแจการเข้ารหัสจากเราเตอร์ฟังดูน่าตื่นเต้น
การทำลาย (หรือการใช้) Blockchain
Cryptocurrencies เป็นที่รักของโลกออนไลน์เช่นเดียวกับนักลงทุนด้านเทคโนโลยี มูลค่าทางการเงินและการมีอยู่ของดิจิทัลทำให้พวกเขาเป็นเป้าหมายได้ง่ายสำหรับแฮ็กเกอร์ซึ่งเป็นหัวข้อของการประชุมไม่กี่ครั้งในปีนี้ แต่มันคือการใช้เทคโนโลยีบล็อกเชนที่เป็นพื้นฐานในการเก็บข้อมูลและสร้างความเชื่อมั่นทางออนไลน์ที่อาจให้ผลการวิจัยที่น่าสนใจที่สุด บางเซสชั่นจะมุ่งเน้นไปที่วิธีการโจมตีรากฐานของการเข้ารหัสลับสำหรับสิ้นสุดสามานย์
แฮ็กโหวต
ความพยายามของรัสเซียที่มีอิทธิพลต่อการเลือกตั้งสหรัฐในปี 2559 นั้นเป็นเรื่องจริงตามข้อมูลจากหน่วยข่าวกรองสหรัฐและหน่วยงานบังคับใช้กฎหมาย มันเป็นเรื่องราวความปลอดภัยของข้อมูลที่ยิ่งใหญ่ที่สุดตั้งแต่ Snowden รั่วไหลและยังคงเกิดขึ้น ในขณะที่เราไม่ได้เห็นอะไรมากในปีที่ผ่านมาการแฮ็คการเลือกตั้งและเครื่องลงคะแนนเสี่ยงเป็นหัวข้อถาวรที่ Black Hat ดังนั้นคาดว่าปีนี้จะเป็นเช่นนั้น หนึ่งเซสชันที่น่าสังเกตดูวิธีการใช้กราฟสังคมที่มีอยู่เพื่อเปิดโปงบอท Twitter ของรัสเซีย
การรับรองความถูกต้องด้วยสองปัจจัย: สวรรค์หรือคำสาป?
Google เพิ่งฟิชชิ่งฟิชชิงด้วยการใช้อุปกรณ์สองปัจจัยทางกายภาพและเปิดตัวคีย์ความปลอดภัยของตนเองในการประชุม NEXT แต่การแก้ปัญหาด้านความปลอดภัยทุกครั้งเป็นโอกาสใหม่สำหรับนักวิจัยที่จะแสดงออก เรามั่นใจว่าจะเห็นการโจมตีในระบบ 2FA
แฮ็คในศตวรรษที่ 21
Black Hat และ DefCon เป็นเหตุการณ์ที่ยิ่งใหญ่ที่สุดของปีสำหรับผู้เชี่ยวชาญด้านความปลอดภัยและแฮกเกอร์อดิเรกดังนั้นจึงเป็นเวลาที่จะมองชุมชนโดยรวม แม้ว่าจะมีความพยายามที่จะทำให้การรักษาความปลอดภัยข้อมูลและการประชุมเป็นมิตรกับผู้หญิงคนที่มีสีคนพิการและกลุ่มอื่น ๆ มักจะด้อยโอกาสในงานเทคโนโลยี แต่เหตุการณ์เหล่านี้เป็นที่ที่ยางมาถึงถนน จะมีการพบปะกันไม่กี่ครั้งของกลุ่มและเซสชันที่แตกต่างกันซึ่งกล่าวถึงวิธีที่จะทำให้อินโฟเป็นที่ต้อนรับมากขึ้น การประชุมหลายครั้งแก้ไขปัญหาของภาวะซึมเศร้าและ PTSD ในชุมชนแฮ็คซึ่งเป็นหัวข้อที่ไม่ได้กล่าวถึงบ่อยครั้ง
วิธีแฮ็คโรงไฟฟ้า (หรือโรงบำบัดน้ำเสียหรือโรงงานหรือตารางพลังงาน)
แฮกเกอร์ส่วนใหญ่เพิ่งออกมาเพื่อทำเงินอย่างรวดเร็ว แต่ผู้โจมตีบางคน (และผู้ดำเนินการรัฐ) ได้จับตาดูรางวัลใหญ่กว่า: โครงสร้างพื้นฐาน หลายปีก่อนได้เห็นการประชุมเกี่ยวกับวิธีการทำลายโรงงานที่มีฟองอากาศและยุทธวิธีในการทำลายระบบที่สับสนและสับสนซึ่งประกอบไปด้วยคอมเพล็กซ์อุตสาหกรรมส่วนใหญ่
