สิ่งที่ดีและน่ากลัวในหมวกดำ 2016

Black Hat เป็นการรวมตัวกันของนักวิจัยด้านความปลอดภัยแฮกเกอร์และอุตสาหกรรมที่พบกันในลาสเวกัสเพื่อทำสามสิ่ง: ร่างการคุกคามล่าสุดแสดงให้เห็นว่าคนดีและคนเลวสามารถเอาชนะได้อย่างไรและโจมตีผู้เข้าร่วมประชุม ในปีนี้มีการโจมตีที่น่ากลัวมากมายรวมถึงผู้เข้าร่วมการแสดงหนึ่งคนพร้อมกับแฮ็ครถวิธีใหม่ในการขโมยเงินสดจากตู้เอทีเอ็มและทำไมหลอดไฟอัจฉริยะจึงไม่ปลอดภัยอย่างที่เราคิด แต่เราก็เห็นเหตุผลมากมายที่จะหวังเช่นเครื่องสอนในการหาเซิร์ฟเวอร์ที่อันตรายโดยใช้ Dungeons และ Dragons เพื่อฝึกอบรมพนักงานเกี่ยวกับการจัดการภัยคุกคามด้านความปลอดภัยและวิธีที่ Apple จัดการกับความปลอดภัยของ iPhone ของคุณ ทุกคนบอกว่าเป็นปีที่น่าเหลือเชื่อ

ดี

ใช่ Apple ประกาศโปรแกรมรางวัลบั๊กที่ Black Hat แต่นั่นเป็นเพียง 10 นาทีสุดท้ายของการนำเสนอโดย Ivan Krstic หัวหน้าฝ่ายวิศวกรรมความปลอดภัยและสถาปัตยกรรมของ Apple ในช่วง 40 นาทีก่อนหน้านี้เขาเสนอการดำน้ำลึกอย่างที่ไม่เคยมีมาก่อนเกี่ยวกับวิธีที่ Apple ปกป้องอุปกรณ์และข้อมูลของผู้ใช้ทั้งจากผู้ร้ายและจากตัวมันเอง และใช่มันเกี่ยวข้องกับการใช้เครื่องปั่นที่ซื่อสัตย์ต่อพระเจ้า

เมื่ออุปกรณ์ Internet of Things กลายเป็นที่นิยมมากขึ้นผู้เชี่ยวชาญด้านความปลอดภัยจึงเป็นห่วงมากขึ้นเรื่อย ๆ อุปกรณ์ทั้งหมดที่มีไมโครคอมพิวเตอร์เชื่อมต่อกับเครือข่ายและสามารถใช้งานโค้ดได้อย่างสมบูรณ์ นั่นคือความฝันของผู้โจมตี ข่าวดีคืออย่างน้อยในกรณีของระบบ Hue ของฟิลิปการสร้างเวิร์มเพื่อกระโดดจากหลอดไฟถึงหลอดไฟเป็นเรื่องยากมาก ข่าวร้าย? เห็นได้ชัดว่ามันง่ายมากที่จะหลอกระบบฮิวให้เข้าร่วมเครือข่ายของผู้โจมตี

การฝึกอบรมด้านความปลอดภัยในทุกธุรกิจรวมถึงคำเตือนที่พนักงานไม่ควรคลิกลิงก์ในอีเมลจากแหล่งที่ไม่รู้จัก และพนักงานยังคงถูกหลอกให้คลิกโดยไม่คำนึงถึง Dr. Zinaida Benenson จากมหาวิทยาลัย Erlangen-Nuremberg สรุปว่ามันไม่สมเหตุสมผลเลยที่จะคาดหวังให้พนักงานต่อต้านความอยากรู้อยากเห็นและแรงจูงใจอื่น ๆ หากคุณต้องการให้พวกเขาเป็นเจมส์บอนด์คุณควรระบุไว้ในรายละเอียดงานและจ่ายตามนั้น

การวิจัยและการรักษาความปลอดภัยจำนวนมากอาจเป็นเรื่องน่าเบื่อหน่าย แต่เทคนิคใหม่ในการเรียนรู้ของเครื่องอาจนำไปสู่อินเทอร์เน็ตที่ปลอดภัยยิ่งขึ้น นักวิจัยได้อธิบายถึงความพยายามของพวกเขาในการสอนเครื่องเพื่อระบุคำสั่ง botnet และเซิร์ฟเวอร์ควบคุมซึ่งทำให้คนเลวสามารถควบคุมคอมพิวเตอร์ที่ติดเชื้อนับแสน (ถ้าไม่ใช่ล้าน) เครื่องมือนี้สามารถช่วยปิดบังกิจกรรมที่ชั่วร้ายดังกล่าวได้ แต่มันก็ไม่ได้เป็นการวิจัยที่หนักหน่วง เพื่อสรุปเซสชั่นของพวกเขานักวิจัยแสดงให้เห็นว่าระบบการเรียนรู้ของเครื่องสามารถใช้ในการสร้างเพลง Taylor Swift ที่ผ่านการใช้งาน

เครือข่ายโรงแรมที่รู้จักดีอาจเหมาะสำหรับการจัดเลี้ยงสัตว์เลี้ยง แต่ไม่ใช่สำหรับ Black Hat การประชุมมีเครือข่ายแยกต่างหากทั้งหมดและศูนย์ปฏิบัติการเครือข่ายที่น่าประทับใจในการจัดการ ผู้เข้าชมสามารถมองผ่านกำแพงกระจกที่หน้าจอเรืองแสงภาพยนตร์แฮ็กเกอร์และผู้เชี่ยวชาญด้านความปลอดภัยระยะยาวใน NOC ซึ่งได้รับการบรรจุอย่างครบถ้วนและย้ายไปทั่วโลกเพื่อการประชุม Black Hat ครั้งต่อไป

ระบบรักษาความปลอดภัยด้านไอทีและแฮ็กเกอร์สีขาวไม่สามารถรับการฝึกอบรมด้านความปลอดภัยได้เพียงพอ แต่พวกเขาไม่ใช่คนที่ต้องการพวกเขาจริงๆ พนักงานขายทีมงานฝ่ายทรัพยากรบุคคลและทีมงานฝ่ายคอลเซ็นเตอร์ไม่จำเป็นต้องเข้าใจหรือชื่นชมการฝึกอบรมด้านความปลอดภัย แต่คุณต้องการให้พวกเขาพัฒนาเกมความปลอดภัย นักวิจัย Tiphaine Romand Latapie แนะนำการฝึกอบรมการรักษาความปลอดภัย reworking เป็นเกมเล่นตามบทบาท เธอพบว่ามันใช้งานได้อย่างสมบูรณ์และสร้างความผูกพันใหม่ที่สำคัญระหว่างทีมรักษาความปลอดภัยและพนักงานคนอื่น ๆ คุกใต้ดินและมังกรทุกคน?

การโทรศัพท์หลอกลวงเป็นปัญหาใหญ่ กรมสรรพากรหลอกลวงหลอกลวงให้ชาวอเมริกันที่ไม่สงสัยจะแยกเงินสด การรีเซ็ตรหัสผ่านหลอกลวงให้ศูนย์บริการแจ้งข้อมูลลูกค้า ศาสตราจารย์จูดิ ธ ททรอนนักภาษาศาสตร์นิติวิทยาศาสตร์วิเคราะห์การโทรหลอกลวงจริงและคิดค้นการทดสอบสองส่วนเพื่อช่วยให้คุณมองเห็นพวกมัน อ่านและเรียนรู้ตกลง มันเป็นเทคนิคที่ง่ายและคุ้มค่า

ความน่ากลัว

Pwnie Express สร้างอุปกรณ์ที่ตรวจสอบเครือข่ายน่านฟ้าเพื่ออะไรที่ไม่ดีและมันก็เป็นสิ่งที่ดีเช่นกันเพราะ บริษัท ได้ค้นพบการโจมตี Man-in-the-Middle ครั้งใหญ่ที่ Black Hat ในปีนี้ ในกรณีนี้จุดเชื่อมต่อที่เป็นอันตรายเปลี่ยน SSID เพื่อหลอกโทรศัพท์และอุปกรณ์ให้เข้าร่วมเครือข่ายโดยคิดว่าเป็นเครือข่ายที่ปลอดภัยและเป็นมิตรซึ่งอุปกรณ์ดังกล่าวเคยเห็นมาก่อน ในการทำเช่นนั้นผู้โจมตีหลอกคน 35, 000 คน ในขณะที่มันยอดเยี่ยมที่ บริษัท สามารถตรวจจับการโจมตีได้ แต่ความจริงที่ว่ามันมีขนาดใหญ่มากเป็นเครื่องเตือนใจว่าการโจมตีเหล่านี้ประสบความสำเร็จได้อย่างไร

ปีที่แล้ว Charlie Miller และ Chris Valasek นำเสนอสิ่งที่หลายคนคิดว่าเป็นจุดสุดยอดของอาชีพการแฮ็กรถของพวกเขา พวกเขากลับมาในปีนี้ด้วยการโจมตีที่กล้าหาญยิ่งขึ้นผู้ที่สามารถใช้ระบบเบรคหรือควบคุมพวงมาลัยได้เมื่อรถเคลื่อนที่ด้วยความเร็วใด ๆ การโจมตีก่อนหน้านี้สามารถทำได้เมื่อรถเดินทางที่ 5 ไมล์ต่อชั่วโมงหรือต่ำกว่า การโจมตีใหม่เหล่านี้อาจมีความเสี่ยงอย่างมากต่อผู้ขับขี่และหวังว่าจะได้รับการแก้ไขอย่างรวดเร็วจากผู้ผลิตรถยนต์ ในส่วนของพวกเขา Valasek และ Miller กล่าวว่าพวกเขาทำรถแฮ็คเสร็จแล้ว แต่สนับสนุนให้คนอื่นติดตามด้วยเสียงฝีเท้าของพวกเขา

หากคุณดู Mr. Robot คุณรู้ว่าเป็นไปได้ที่จะติดคอมพิวเตอร์ของเหยื่อโดยการดึงไดรฟ์ USB รอบที่จอดรถ แต่มันใช้งานได้จริงเหรอ? Elie Bursztein หัวหน้าฝ่ายวิจัยการต่อต้านการฉ้อโกงและการละเมิดที่ Google นำเสนอการพูดคุยสองส่วนในเรื่องนี้ ส่วนแรกให้รายละเอียดการศึกษาที่แสดงให้เห็นอย่างชัดเจนว่ามันใช้งานได้ (และที่จอดรถดีกว่าทางเดิน) ส่วนที่สองอธิบายอย่างละเอียดถึงวิธีการสร้างไดรฟ์ USB ที่จะเข้ายึดคอมพิวเตอร์ทั้งหมด คุณจดบันทึกหรือไม่?

ลูกกระจ๊อกเป็นรายการช้อปปิ้งวันหยุดฤดูร้อนที่ผ่านมาและอาจจะไม่เพียง แต่สำหรับ geeks งานนำเสนอแสดงให้เห็นว่า DJI Phantom 4 สามารถนำไปใช้กับเครือข่ายไร้สายอุตสาหกรรมติดขัดกับพนักงานได้อย่างไรและแย่ลง เคล็ดลับคือไซต์อุตสาหกรรมที่สำคัญหลายแห่งใช้สิ่งที่เรียกว่า "ช่องว่างอากาศ" เพื่อป้องกันคอมพิวเตอร์ที่มีความละเอียดอ่อน โดยพื้นฐานแล้วสิ่งเหล่านี้คือเครือข่ายและอุปกรณ์ที่แยกได้จากอินเทอร์เน็ตภายนอก แต่โดรนขนาดเล็กที่คล่องแคล่วสามารถนำอินเทอร์เน็ตมาให้พวกเขาแทน

การเรียนรู้ของเครื่องเป็นสิ่งสำคัญในการปฏิวัติอุตสาหกรรมเทคโนโลยีจำนวนมากและนั่นรวมถึงการหลอกลวง นักวิจัยที่ Black Hat แสดงให้เห็นว่าสามารถสอนเครื่องจักรให้ผลิตข้อความฟิชชิ่งหอกที่มีประสิทธิภาพสูงได้อย่างไร เครื่องมือของพวกเขากำหนดเป้าหมายที่มีมูลค่าสูงจากนั้นจึงทวีตทวีตของเหยื่อเพื่อสร้างข้อความที่สามารถคลิกและเกี่ยวข้องได้อย่างต้านทานไม่ได้ ทีมไม่ได้แพร่กระจายสิ่งที่เป็นอันตรายกับบอทสแปมของพวกเขา แต่ก็ไม่ยากที่จะจินตนาการว่านักหลอกลวงใช้เทคนิคเหล่านี้

คุณคาดหวัง Wi-Fi ฟรีในโรงแรมและคุณอาจจะฉลาดพอที่จะรู้ว่าไม่จำเป็นต้องมีความปลอดภัย แต่ Airbnb หรือการเช่าระยะสั้นอื่น ๆ ความปลอดภัยอาจมีความปลอดภัยที่เลวร้ายที่สุด ทำไม? เนื่องจากแขกก่อนที่คุณจะเข้าถึงเราเตอร์ ทางกายภาพ หมายความว่าพวกเขาสามารถเป็นเจ้าของได้ทั้งหมด การพูดคุยของ Jeremy Galloway มีรายละเอียดว่าแฮ็กเกอร์สามารถทำอะไรได้บ้าง (มันแย่มาก!) สิ่งที่คุณทำได้เพื่อรักษาความปลอดภัยและสิ่งที่เจ้าของทรัพย์สินสามารถทำได้เพื่อยับยั้งการโจมตีดังกล่าว มันเป็นปัญหาที่ไม่ได้หายไป

ในการพูดคุยที่ครอบคลุมมากที่สุดที่แบล็กแฮทเพนเทอร์เทอร์อาวุโสของแร๊ปเทอร์ 7 Weton Hecker แสดงให้เห็นว่าอะไรคือรูปแบบใหม่ของการฉ้อโกง วิสัยทัศน์ของเขารวมถึงเครือข่ายขนาดใหญ่ของตู้เอทีเอ็มที่ถูกบุกรุกจุดขายเครื่องจักร (เช่นในร้านขายของชำ) และปั๊มก๊าซ สิ่งเหล่านี้สามารถขโมยข้อมูลการชำระเงินของเหยื่อได้แบบเรียลไทม์จากนั้นป้อนพวกเขาอย่างรวดเร็วด้วยความช่วยเหลือของอุปกรณ์กด PIN แบบใช้มอเตอร์ การพูดคุยจบลงด้วยการใช้เงินสด ATM และวิสัยทัศน์แห่งอนาคตที่นักหลอกลวงไม่ได้ซื้อข้อมูลบัตรเครดิตของบุคคล แต่เป็นการเข้าถึงเครือข่ายการชำระเงินแบบเรียลไทม์ขนาดใหญ่

นั่นไม่ใช่งานนำเสนอเพียงอย่างเดียวที่ Black Hat เพื่อดูรายละเอียดการโจมตีในระบบการชำระเงิน นักวิจัยกลุ่มอื่นแสดงให้เห็นว่าด้วยราสเบอร์รี่ Pi และความพยายามเพียงเล็กน้อยพวกเขาสามารถดักข้อมูลส่วนตัวจากการทำธุรกรรมบัตรชิป ไม่เพียงเพราะชิพการ์ด (การ์ด AKA EMV) มีความปลอดภัยมากกว่าการ์ดแม็กซิเช็ด แต่เพราะสหรัฐฯเพิ่งเริ่มเปิดตัวชิปการ์ดในประเทศ

ปีหน้าจะนำการวิจัยใหม่แฮ็คใหม่และการโจมตีใหม่ แต่ Black Hat 2016 ได้กำหนดเสียงสำหรับปีแสดงให้เห็นว่างานของแฮ็กเกอร์ (ไม่ว่าจะเป็นสีขาวหรือสีดำ) ไม่เคยทำจริง ๆ ตอนนี้ถ้าคุณจะยกโทษให้เราเราจะทำลายบัตรเครดิตของเราและออกไปอยู่ในกรงฟาราเดย์ในป่า