Sommario:
- 1 sempre più grande
- 2 Vittima del successo
- 3 Sfidare la comunità della sicurezza
- 4 cannoni ad ultrasuoni attaccano droni, hoverboard
- 5 Le bolle sono il futuro dell'hacking?
- 6 Bug Bounties e birra
- 7 Attacchi ai parchi eolici
- 8 Pwnie Express in guardia
- 9 Non fidarti della tua stampante
- 10 Super Collider
- 11 Hacking a Tesla (Again)
- 12 Hacking di Apple Pay sul Web
- 13 Controllo dei robot industriali da lontano
- 14 Cosa c'è dopo?
Video: Blackhat 2017: Hacking with WebSockets (Novembre 2024)
La conferenza Black Hat è un'opportunità per ricercatori, hacker e chiunque sia vicino al mondo della sicurezza di riunirsi e imparare gli uni dagli altri. È una settimana di sessioni, allenamenti e, inevitabilmente, qualche povero processo decisionale nella grande area di Las Vegas.
Nel suo ventesimo anno, Black Hat 2017 ha iniziato con una nota riflessiva. Alex Stamos, CSO di Facebook, ha guardato indietro ai suoi primi giorni alla conferenza. Per lui, era un posto per essere accettato e per imparare dalla comunità. Ha sfidato quella stessa comunità a essere più empatica e a prepararsi per la prossima generazione di hacker accogliendo più diversità.
Le sessioni di Black Hat sono sempre state il luogo dove vedere esempi sorprendenti, e talvolta terrificanti, di ricerche sulla sicurezza. Quest'anno, abbiamo visto come ingannare l'interfaccia web di Apple Pay, come rovesciare un hoverboard usando ulstrasound e abbiamo appreso come i parchi eolici vulnerabili potrebbero essere un attacco informatico.
Una sessione ha visto il ritorno di un trio di hacker Tesla Model S, che ha mostrato nuovi attacchi. La loro ricerca continuerà sicuramente man mano che i veicoli diventano più connessi. Anche un grande bersaglio di un hacker? Stampanti.
Un altro discorso notevole ha riguardato l'attacco alle infrastrutture industriali. Con due attacchi riusciti contro la rete elettrica ucraina lo scorso anno, la protezione di infrastrutture critiche come centrali elettriche e fabbriche è un grosso problema. Questa volta, abbiamo visto come le bolle - sì, bolle regolari - possono essere utilizzate come payload dannoso per distruggere pompe costose e critiche.
Forse il risultato più notevole dello spettacolo di quest'anno è stato nel campo della criptoanalisi. Utilizzando tecniche sofisticate, un team è stato in grado di creare la prima collisione di hash SHA-1. Se non sei sicuro di cosa significhi, continua a leggere perché è molto bello.
Dopo 20 anni, Black Hat è ancora il palcoscenico principale per gli hacker. Ma il futuro è incerto. Gli attacchi informatici allo stato-nazione sono passati dall'essere una rarità a un evento regolare e la posta in gioco è più grande che mai. Come ci occuperemo di ciò non è ancora chiaro; forse Black Hat 2018 avrà le risposte. Fino ad allora, dai un'occhiata ad alcuni dei momenti più accattivanti del Black Hat di quest'anno qui sotto.
1 sempre più grande
Per il 20 ° anniversario dello spettacolo, il keynote si è tenuto in uno stadio enorme anziché in una grande sala conferenze. Lo spettacolo è cresciuto a passi da gigante solo negli ultimi anni.
2 Vittima del successo
La congestione nei corridoi è stata un problema allo spettacolo di quest'anno e situazioni come quella sopra non erano rare.
3 Sfidare la comunità della sicurezza
Il CSO di Facebook Alex Stamos ha pronunciato il keynote del Black Hat 2017 in un discorso che è stato in egual misura elogiato per l'atmosfera familiare della sicurezza e una sfida per fare meglio. Ha invitato il pubblico a essere meno elitario e a riconoscere che la posta in gioco della sicurezza digitale è aumentata, citando il ruolo dell'hacking e degli attacchi informativi nelle elezioni statunitensi del 2016.
4 cannoni ad ultrasuoni attaccano droni, hoverboard
I dispositivi utilizzano sensori per comprendere il mondo che li circonda, ma alcuni di questi sensori sono soggetti a manomissione. Un team di ricerca ha dimostrato come poter utilizzare gli ultrasuoni per far oscillare i droni, far cadere gli hoverboard e far girare i sistemi VR in modo incontrollato. L'attacco è limitato per ora, le applicazioni potrebbero essere di vasta portata.
5 Le bolle sono il futuro dell'hacking?
Probabilmente no, ma Marina Krotofil ha dimostrato come l'attacco al sistema di valvole in una pompa dell'acqua potrebbe essere usato per creare bolle che riducono l'efficienza della pompa dell'acqua e, con il tempo, causano danni fisici con conseguente guasto della pompa. Con la sua presentazione, Krotofil ha cercato di dimostrare che i dispositivi non sicuri, come le valvole, potevano attaccare i dispositivi sicuri, come le pompe, con mezzi nuovi. Dopo tutto, non esiste un antivirus per le bolle.
6 Bug Bounties e birra
Negli ultimi anni si è assistito all'espansione dei programmi di ricompensa dei bug, in cui le aziende pagano una ricompensa in denaro ai ricercatori, ai tester di penetrazione e agli hacker per aver segnalato bug. Il ricercatore James Kettle ha detto alla folla durante la sua sessione come ha assemblato un metodo per testare 50.000 siti Web contemporaneamente. Ha avuto alcune disavventure lungo la strada, ma ha guadagnato oltre $ 30.000 nel processo. Ha detto che il suo capo inizialmente ha insistito per spendere tutti i soldi guadagnati nello sforzo automatizzato per la birra, ma alla luce del successo di Kettle, hanno deciso di donare la maggior parte in beneficenza e spendere solo un po 'di birra.
7 Attacchi ai parchi eolici
Il ricercatore Jason Staggs ha condotto una valutazione completa della sicurezza dei parchi eolici, che ha portato il suo team a costruire diverse centrali elettriche rotanti da 300 piedi. Non solo la sicurezza fisica era debole (a volte, solo un lucchetto), ma la sicurezza digitale era ancora più debole. Il suo team ha sviluppato diversi attacchi che potrebbero trattenere il riscatto dei parchi eolici e persino causare danni fisici. Pensa a Stuxnet, ma per lame di morte massicce e vorticose.
8 Pwnie Express in guardia
L'anno scorso, Pwnie Express ha portato le sue apparecchiature di monitoraggio della rete e ha scoperto un massiccio attacco di access point malvagi che è stato configurato per imitare una rete amichevole ai dispositivi di passaggio e invitarli a connettersi. Quest'anno, Pwnie ha lavorato con il team di sicurezza della rete di Black Hat, ma non ha rilevato nulla di così grande come l'attacco dell'anno scorso, almeno nulla che non facesse parte di un allenamento in una sessione di Black Hat. Questo sensore Pwn Pro è stato uno dei numerosi posizionati durante la conferenza per monitorare l'attività di rete.
a9 Non fidarti della tua stampante
I tipografi sono stati a lungo visti dai ricercatori come obiettivi primari. Sono onnipresenti, collegati a Internet e spesso mancano di sicurezza di base. Ma Jens Müller ha dimostrato che è ciò che conta dentro. Utilizzando i protocolli utilizzati da quasi tutte le stampanti per convertire i file in materiale stampato, è stato in grado di eseguire numerosi attacchi. Poteva estrarre lavori di stampa precedenti e persino sovrapporre testo o immagini ai documenti. Gli attacchi che ha delineato esisteranno fino a quando qualcuno finalmente si sbarazzerà di questi protocolli vecchi di decenni.
10 Super Collider
Le funzioni hash sono ovunque, ma quasi invisibili. Vengono utilizzati per verificare contratti, firmare digitalmente software e persino proteggere password. Una funzione hash, come SHA-1, converte i file in una stringa di numeri e lettere e non si suppone che due siano uguali. Ma il ricercatore Elie Bursztein e il suo team hanno escogitato un modo in cui due file diversi finiscono con lo stesso hash. Questo si chiama collisione e significa che SHA-1 è morto come un chiodo della porta.
11 Hacking a Tesla (Again)
Nel 2016, un trio di ricercatori ha mostrato come sono stati in grado di assumere il controllo di un Tesla Model S. Quest'anno, i ricercatori di Tencent KeenLab sono tornati per affrontare l'attacco passo dopo passo. Ma non è stato tutto riassunto: hanno anche esaminato l'attenuazione di Tesla del loro attacco iniziale e presentato i loro nuovi attacchi; il team ha sfoggiato un paio di macchine che hanno acceso le luci e aperto le porte in tempo per la musica.
12 Hacking di Apple Pay sul Web
Quando è stato lanciato per la prima volta, ho scritto ampiamente su Apple Pay, elogiando la sua tokenizzazione dei dati della carta di credito e come Apple non è stata in grado di tracciare i tuoi acquisti. Ma Timur Yunusov non era convinto. Ha scoperto che era possibile impadronirsi delle credenziali ed eseguire un attacco replay utilizzando Apple Pay sul Web. Meglio tenere d'occhio quelle fatture con carta di credito.
13 Controllo dei robot industriali da lontano
Un trio di ricercatori, in rappresentanza di un team del Politecnico di Milano e Trend Micro, hanno presentato le loro scoperte sulla sicurezza dei robot. Non il tuo amichevole Roombas, ma i laboriosi e potenti robot industriali presenti nelle fabbriche. Hanno scoperto diverse debolezze critiche che potrebbero consentire a un utente malintenzionato di prendere il controllo di un robot, introdurre difetti nei processi di produzione e persino potenzialmente danneggiare gli operatori umani. Ancora più preoccupante è la scoperta che ci sono molte migliaia di robot industriali collegati a Internet.14 Cosa c'è dopo?
Black Hat viene realizzato per un altro anno, ma con la sicurezza digitale più visibile e preziosa che mai, il prossimo anno avrà sicuramente delle sorprese interessanti.