Video: PARCHI GIOCHI ABBANDONATI PIÙ TERRIFICANTI AL MONDO (Novembre 2024)
Black Hat è un raduno di ricercatori sulla sicurezza, hacker e industria che si riunisce a Las Vegas per fare tre cose: delineare le ultime minacce, mostrare come i bravi ragazzi e i cattivi possono essere sconfitti e lanciare attacchi ai partecipanti. Quest'anno abbiamo assistito a numerosi attacchi spaventosi, tra cui uno contro i partecipanti allo spettacolo, insieme a attacchi di auto, nuovi modi per rubare denaro dagli sportelli automatici e perché le lampadine intelligenti potrebbero non essere sicure come pensavamo. Ma abbiamo anche visto molte ragioni per sperare, come insegnare alle macchine a individuare server pericolosi, usare Dungeons and Dragons per addestrare i dipendenti a gestire le minacce alla sicurezza e come Apple gestisce la sicurezza del tuo iPhone. È stato, tutto sommato, un anno davvero strabiliante.
Il bene
Sì, Apple ha annunciato un programma di ricompensa dei bug su Black Hat. Ma erano solo gli ultimi 10 minuti di una presentazione di Ivan Krstic, responsabile dell'ingegneria e dell'architettura della sicurezza di Apple. Nei 40 minuti precedenti ha offerto un approfondimento senza precedenti sui modi in cui Apple protegge i dispositivi e i dati degli utenti, sia dai malfattori che da se stesso. E sì, implica l'uso di un frullatore onesto a Dio.
Man mano che i dispositivi Internet of Things diventano sempre più popolari, i professionisti della sicurezza stanno diventando sempre più preoccupati. Dopotutto, si tratta di dispositivi con microcomputer collegati a reti e pienamente in grado di eseguire codice. Questo è il sogno di un aggressore. La buona notizia è, almeno nel caso del sistema Philip's Hue, creare un worm per saltare da una lampadina all'altra è molto difficile. Le cattive notizie? Apparentemente è molto semplice indurre i sistemi Hue a unirsi alla rete di un attaccante.
Ogni formazione sulla sicurezza in ogni azienda include l'ammonizione che i dipendenti non devono mai fare clic sui collegamenti nelle e-mail da fonti sconosciute. E i dipendenti continuano a essere ingannati nel fare clic su di essi, indipendentemente. La dott.ssa Zinaida Benenson, dell'Università di Erlangen-Norimberga, ha concluso che semplicemente non è ragionevole aspettarsi che i dipendenti resistano alla curiosità e ad altre motivazioni. Se vuoi che siano James Bond, dovresti inserirlo nella descrizione del lavoro e pagarli di conseguenza.
Molte ricerche ed esecuzioni sulla sicurezza possono essere noiosamente noiose, ma le nuove tecniche di apprendimento automatico potrebbero presto portare a una Internet più sicura. I ricercatori hanno dettagliato i loro sforzi per insegnare alle macchine a identificare i server di comando e controllo botnet, che consentono ai malintenzionati di controllare centinaia di migliaia (se non milioni) di computer infetti. Lo strumento potrebbe aiutare a mantenere un coperchio su tale attività nefasta, ma non è stata tutta una ricerca pesante. Per concludere la loro sessione, i ricercatori hanno dimostrato come i sistemi di apprendimento automatico potrebbero essere utilizzati per generare una canzone passabile di Taylor Swift.
La rete di hotel chissà potrebbe andare bene per una conferenza di fornitura di animali domestici, ma non per Black Hat. La conferenza ha una propria rete completamente separata e un impressionante Centro operativo di rete per gestirla. I visitatori possono scrutare attraverso la parete di vetro i numerosi schermi luminosi, i film di hacker e gli esperti di sicurezza a lungo termine nel NOC, che viene impacchettato nella sua interezza e trasferito in tutto il mondo alla prossima conferenza di Black Hat.
I truffatori della sicurezza IT e gli hacker non riescono a ottenere abbastanza corsi di formazione sulla sicurezza, ma non sono quelli che ne hanno davvero bisogno. Il personale di vendita, il team delle risorse umane e l'equipaggio del call center non necessariamente comprendono o apprezzano i corsi di formazione sulla sicurezza, eppure hai davvero bisogno di loro per intensificare il loro gioco di sicurezza. La ricercatrice Tiphaine Romand Latapie ha suggerito di rielaborare l'addestramento sulla sicurezza come gioco di ruolo. Ha scoperto che ha funzionato totalmente e ha prodotto un nuovo impegno significativo tra il team di sicurezza e il resto del personale. Sotterranei e draghi, chiunque?
La telefonata alla truffa è un grosso problema. Le truffe dell'IRS convincono gli americani ignari a sborsare denaro. Le truffe di reimpostazione della password ingannano i call center nel fornire i dati dei clienti. La professoressa Judith Tabron, una linguista forense, ha analizzato le chiamate di truffe reali e ha ideato un test in due parti per aiutarti a individuarle. Leggi questo e impara, ok? È una tecnica semplice e utile.
Lo spaventoso
Pwnie Express costruisce dispositivi che monitorano lo spazio aereo della rete per qualsiasi cosa spiacevole, ed è anche una buona cosa, perché l'azienda ha scoperto un massiccio attacco Man-in-the-Middle quest'anno a Black Hat. In questo caso, un punto di accesso dannoso ha cambiato il suo SSID al fine di ingannare telefoni e dispositivi per unirsi alla rete, pensando che fosse una rete sicura e amichevole che il dispositivo aveva visto prima. In tal modo, gli aggressori hanno ingannato circa 35.000 persone. Sebbene sia fantastico che la società sia stata in grado di individuare l'attacco, il fatto che sia stato così massiccio è un promemoria del successo di questi attacchi.
L'anno scorso, Charlie Miller e Chris Valasek hanno presentato quello che molti presumevano fosse l'apice della loro carriera di hacker automobilistico. Sono tornati quest'anno con attacchi ancora più audaci, quelli che sono in grado di applicare i freni o il controllo dello sterzo del volante quando l'auto si muove a qualsiasi velocità. Gli attacchi precedenti potevano essere effettuati solo quando la macchina viaggia a 5 miglia all'ora o meno. Questi nuovi attacchi potrebbero rappresentare un grande rischio per i conducenti e, si spera, saranno rapidamente riparati dai produttori di automobili. Da parte loro, Valasek e Miller hanno dichiarato di aver smesso di hackerare le auto, ma hanno incoraggiato gli altri a seguire le loro orme.
Se guardi Mr. Robot, sai che è possibile infettare il computer di una vittima sparpagliando unità USB nel parcheggio. Ma funziona veramente? Elie Bursztein, responsabile della ricerca antifrode e sugli abusi di Google, ha presentato un discorso in due parti sull'argomento. La prima parte ha dettagliato uno studio che mostra chiaramente che funziona (e i parcheggi sono migliori dei corridoi). La seconda parte ha spiegato, dettagliatamente, esattamente come costruire un'unità USB che avrebbe totalmente preso il controllo di qualsiasi computer. Hai preso appunti?
I droni sono stati uno degli articoli più belli della scorsa stagione di shopping natalizio e forse non solo per i fanatici. Una presentazione ha mostrato come DJI Phantom 4 potrebbe essere utilizzato per bloccare le reti wireless industriali, spiare i dipendenti e, peggio ancora. Il trucco è che molti siti industriali critici usano quello che viene chiamato "spazio aereo" per proteggere i computer sensibili. Fondamentalmente, si tratta di reti e dispositivi isolati da Internet esterno. Ma piccoli droni manovrabili possono invece portare a loro Internet.
L'apprendimento automatico è in procinto di rivoluzionare numerose industrie tecnologiche e questo include i truffatori. I ricercatori di Black Hat hanno dimostrato come si potrebbe insegnare anche alle macchine a produrre messaggi di spear phishing altamente efficaci. Il loro strumento determina obiettivi di alto valore e quindi analizza i tweet della vittima al fine di creare un messaggio che sia pertinente e irresistibilmente cliccabile. Il team non ha diffuso nulla di malevolo con il proprio bot spam, ma non è difficile immaginare che i truffatori adottino queste tecniche.
Ti aspetti la connessione Wi-Fi gratuita in un hotel e potresti essere abbastanza esperto da capire che non è necessariamente sicuro. Ma un Airbnb o un altro noleggio a breve termine, la sicurezza può potenzialmente avere la peggiore sicurezza di sempre. Perché? Perché gli ospiti prima di te avevano accesso fisico al router, il che significa che potevano possederlo totalmente. Il discorso di Jeremy Galloway ha spiegato in dettaglio cosa può fare un hacker (è un male!), Cosa puoi fare per stare al sicuro e cosa può fare il proprietario per scoraggiare tali attacchi. È un problema che non sta andando via.
In uno dei colloqui più completi a Black Hat, il Pentester Senior Wester Hecker di Rapid7 ha dimostrato quello che potrebbe essere un nuovo modello di frode. La sua visione comprende una vasta rete di sportelli bancomat compromessi, macchine per punti vendita (come nel negozio di alimentari) e pompe di benzina. Questi potrebbero rubare le informazioni di pagamento della vittima in tempo reale e quindi inserirle rapidamente con l'aiuto di un dispositivo motorizzato di invio del PIN. Il discorso si è concluso con un bancomat che ha speso denaro e una visione del futuro in cui i truffatori acquistano non le informazioni sulla carta di credito degli individui, ma l'accesso a una massiccia rete di truffe di pagamento in tempo reale.
Non è stata l'unica presentazione a Black Hat a dettagliare gli attacchi ai sistemi di pagamento. Un altro gruppo di ricercatori ha mostrato come, con un Raspberry Pi e un piccolo sforzo, sono stati in grado di intercettare una gran quantità di informazioni personali da transazioni con chip card. Ciò è particolarmente notevole non solo perché le chip card (carte AKA EMV) sono considerate più sicure delle carte magswipe, ma perché gli Stati Uniti hanno appena iniziato a distribuire chip card a livello nazionale.
Il prossimo anno porterà nuove ricerche, nuovi hack e nuovi attacchi. Ma Black Hat 2016 ha fissato il tono dell'anno, dimostrando che il lavoro di un hacker (che sia bianco o nero) non è mai realmente fatto. Ora, se ci scusate, distruggeremo le nostre carte di credito e andremo a vivere in una gabbia di Faraday nel bosco.