10 attacchi di hacking più spaventosi di black hat 2014

Quest'anno Black Hat è stato due giorni intensi di briefing, in quanto i ricercatori della sicurezza hanno dimostrato quanto sia stato facile hackerare auto, termostati, comunicazioni satellitari e hotel. Allo stesso tempo, ci sono state molte conversazioni su come rafforzare la sicurezza. Le dieci proposte politiche del discorso programmatico di Dan Geer si sono concentrate sul rendere il mondo un posto migliore migliorando il nostro approccio alla sicurezza delle informazioni. Tra i problemi affrontati c'erano l'attuale corsa agli armamenti delle vulnerabilità, software obsoleto e la necessità di trattare la sicurezza delle informazioni come una professione. Ci allontanammo tutti con la testa piena di nuovi fatti, idee e, soprattutto, preoccupazioni. Quindi molte preoccupazioni.

Una delle cose su cui puoi sempre contare su Black Hat è ascoltare le vulnerabilità in cose che non pensavi nemmeno di poter essere sotto attacco. È rassicurante sapere che queste dimostrazioni sono principalmente accademiche e che questi problemi non sono attualmente sfruttati allo stato brado. Ma, per lo stesso motivo, è spaventoso rendersi conto che se i presentatori di Black Hat hanno scoperto i difetti, chi può dire che qualcun altro con intenzioni molto più dannose (e forse un finanziamento migliore) non ha - o non lo farà?

Considera questo: abbiamo sentito parlare di hacking degli sportelli automatici al Black Hat tre anni fa e i criminali hanno finalmente iniziato a saccheggiare gli sportelli automatici in Europa proprio quest'anno. Quest'anno ci sono state almeno tre sessioni su come hackerare i terminali del punto vendita per le carte chip-and-PIN. Se non ascolteremo e garantiremo la nostra infrastruttura di pagamento, tra tre anni vedremo un'altra violazione delle proporzioni target-target tramite carte chip e PIN? È un pensiero davvero spaventoso.

Black Hat 2014 potrebbe essere finito, ma parleremo delle cose scioccanti che abbiamo visto lì da un po 'di tempo. Spero che sarà come le lezioni apprese che hanno portato a soluzioni implementate, e non come opportunità mancate che hanno portato a crimini terribili.

Ecco la visione di Security Watch sulle cose che abbiamo visto al Black Hat che ci terranno svegli di notte.

1 1. Internet di Fail

Difendere il tuo computer o il tuo telefono è abbastanza facile; basta seguire alcuni suggerimenti di buon senso e installare il software di sicurezza e sei a posto. Ma che dire dell'Internet of Things? Sessione dopo sessione, i ricercatori hanno dimostrato che i dispositivi critici connessi a Internet erano facilmente accessibili. Il team che ha hackerato il termostato intelligente Nest ha ridotto l'attacco a 15 secondi e ora è al lavoro per un attacco a cielo aperto. Billy Rios ha trovato le password predefinite codificate nelle macchine di scansione necessarie per l'uso nei punti di controllo TSA in tutto il paese. Siamo ancora stupiti dall'hack di 15 secondi.

• 2 2. Hacking Airliners, Ships e altro!

  In materia di backdoor, i dispositivi che spediscono, aeroplani, giornalisti e (forse) i militari si affidano per comunicare non sono così sicuri come pensavamo. Ruben Santamarta di IOActive ha dimostrato che molti di questi sistemi hanno backdoor, apparentemente per manutenzione o recupero della password. Anche se alcune delle backdoor sono state presumibilmente protette, è stato in grado di eludere le protezioni. L'attacco che colpì più vicino a casa fu, ovviamente, l'affermazione di Santamarta secondo cui poteva hackerare gli aeroplani usando il Wi-Fi in volo. Era chiaro che questo non gli avrebbe permesso di "schiantare gli aeroplani", ma ha anche sottolineato che le comunicazioni critiche passano attraverso questo stesso sistema. Nel suo discorso, ha hackerato un faro di soccorso nautico per visualizzare una video slot machine invece di un SOS. Considera lo stesso tipo di hack sul tuo jumbo jet e avrai l'idea di quanto possa essere preoccupante.



3 3. Rubare le password con Google Glass, Smartwatch, Smartphone e Videocamere

Esistono molti modi per rubare una password, ma un nuovo approccio consente ai cattivi (o ad un'agenzia governativa) di discernere i tasti premuti senza vedere lo schermo o installare malware. Un presentatore di Black Hat ha mostrato il suo nuovo sistema che legge automaticamente le password con una precisione del 90 percento. Funziona anche quando il bersaglio è a livello della strada e l'attaccante quattro piani su e attraverso la strada. Il metodo funziona meglio con le videocamere digitali, ma il team ha scoperto che smartphone, smartwatch e persino Google Glass potevano essere utilizzati per acquisire video utilizzabili a breve distanza. Glassholes, davvero!

Immagine tramite l'utente Fed Ted Eytan



4 4. Dimentica MasterKey, incontra l'ID falso

Jeff Forristal si è trasformato in capo l'anno scorso quando ha svelato la cosiddetta vulnerabilità di MasterKey che poteva lasciare che le app dannose si autodistruggessero come legittime. Quest'anno è tornato con ID falso, che sfrutta i difetti fondamentali dell'architettura di sicurezza di Android. In particolare, come le app firmano i certificati e come Android li elabora. Il risultato pratico è che con un'app dannosa che non richiede autorizzazioni speciali, Forristal è stato in grado di iniettare codice dannoso in cinque app legittime su un telefono. Da lì, ha avuto un accesso profondo e una visione di ciò che stava facendo il telefono infetto.

Immagine tramite l'utente Flickr JD Hancock



5 5. Un USB male potrebbe prendere il controllo del tuo PC

Hai sentito che le unità USB possono essere pericolose se non riesci a disabilitare AutoPlay. L'ultima minaccia basata su USB è di gran lunga peggiore. Attaccando il firmware dell'unità USB, una coppia di ricercatori ha gestito un'ampia varietà di hack su macchine Windows e Linux, incluso l'equivalente di un virus del settore di avvio. La loro strabiliante chiavetta USB emulava una tastiera USB e comandava a un sistema di test di scaricare malware. Ha offerto un hub Ethernet falso in un altro test, quindi quando la vittima ha visitato PayPal nel browser in realtà è andata a un sito di imitazione di PayPal che ruba la password. Questo non era un semplice esercizio teorico; hanno dimostrato questi e altri hack sul palco. Non vedremo mai più un dispositivo USB allo stesso modo!

Immagine tramite l'utente di Flickr Windell Oskay



6 6. Ha una radio? Facciamo un hack!

La radio può sembrare una tecnologia antiquata nell'era di Internet, ma è ancora il modo migliore per dispositivi come baby monitor, sistemi di sicurezza domestica e dispositivi di avviamento a distanza per trasmettere informazioni in modalità wireless. E questo lo rende un obiettivo primario per gli hacker. In un discorso, Silvio Cesare ha mostrato come ha sconfitto ognuno di questi a sua volta usando la radio definita da software e un po 'di zelo per hobby. Il suo non era il solo discorso sulla radio definita dal software. Balint Seeber ha raccontato alla folla come è stato in grado di ascoltare le antenne radar del traffico aereo e rintracciare oggetti vicini al livello del suolo. Non abbastanza spaventoso, ma molto, molto bello.

Immagine tramite l'utente Flickr Martin Fisch



7 7. Non possiamo fermare i malware governativi

Hai sentito parlare del worm Stuxnet sponsorizzato dal governo che ha sabotato il programma nucleare iraniano, i generali cinesi citati in giudizio dal nostro governo per l'hacking e altro ancora. Il responsabile della ricerca di F-Secure, Mikko Hypponen, ha avvertito che il malware sponsorizzato dal governo esiste da più tempo di quanto si pensi e aumenterà solo con il tempo. Con le risorse di uno stato-nazione alle spalle, questi attacchi possono essere quasi impossibili da bloccare. Per non pensare che il nostro governo non si pieghi così in basso, ha sfogliato una raccolta di offerte di lavoro di appaltatori militari in particolare alla ricerca di malware e exploit scrittori.

Immagine tramite l'utente Flcikr Kevin Burkett



8 8. Un colpo colpisce i lettori di carte di credito

Dopo le violazioni al dettaglio del 2013 e 2014, tutti parlano dell'attuale lancio di carte chip-and-PIN. Si scopre che, a meno che non cambiamo il modo in cui funziona l'elaborazione dei pagamenti, stiamo solo scambiando una serie di problemi con un'altra. Abbiamo anche visto come i dispositivi mobili point-of-sale che gestiscono le carte chip-and-PIN possono essere compromessi utilizzando carte maliziose. Gli aggressori possono semplicemente passare una carta nel lettore e caricare un Trojan che raccoglie i PIN sul lettore stesso. Una seconda carta canaglia quindi copia il file contenente le informazioni raccolte. La seconda carta potrebbe persino eliminare il Trojan e il rivenditore potrebbe non essere mai a conoscenza della violazione! Questo è abbastanza per farci desiderare di tornare in una società basata sul denaro.

Immagine tramite l'utente Fean Sean MacEntee



9 9. L'unità di rete ti sta spiando

Recentemente abbiamo concentrato molta attenzione sui router domestici e su come gli aggressori li compromettano. Risulta che i dispositivi di archiviazione collegati alla rete sono altrettanto problematici, se non di più, secondo Jacob Holcomb di Independent Security Evaluators. Ha esaminato i dispositivi NAS di 10 produttori - Asustor, TRENDnet, QNAP, Seagate, Netgear, D-Link, Lenovo, Buffalo, Western Digital e ZyXEL - e ha riscontrato vulnerabilità in tutti. I problemi sono difetti comuni, come l'inserimento di comandi, la falsificazione di richieste tra siti, overflow del buffer, bypass e errori di autenticazione, divulgazione di informazioni, account backdoor, gestione della sessione scadente e attraversamento delle directory. Combinando alcuni di questi problemi, gli aggressori possono ottenere il pieno controllo dei dispositivi. Cosa c'è sul tuo NAS?

Immagine tramite wonderferret dell'utente Flickr



10 10. Attacchi ai dispositivi medici: una questione di vita o di morte

Nessuno nel settore della sicurezza delle informazioni ha riso della notizia che i medici dell'ex vicepresidente Dick Cheney erano preoccupati per il fatto che il suo pacemaker fosse stato violato. La tavola rotonda sui dispositivi medici di Black Hat ha esaminato come bilanciare la salute dei pazienti con la sicurezza. L'ultima cosa che vogliamo è la sicurezza che rallenta l'assistenza sanitaria, dove secondi possono significare la differenza tra vita e morte, ha osservato il moderatore Jay Radcliffe. La sobria consapevolezza che non possiamo semplicemente usare le normali migliori pratiche di sicurezza per i dispositivi medici ci ha seguito al DEF CON, dove i ricercatori di SecMedic hanno discusso di un progetto che esaminava le vulnerabilità in tutti i tipi di dispositivi, compresi i defibrillatori . La parte più spaventosa? Molti di questi difetti sono stati trovati entro un'ora, utilizzando strumenti open source. Ora non vuoi davvero andare in ospedale, giusto?

Tramite l'utente Flickr Phalinn Ooi