De 15 skræmmeste ting på sort hat 2015

4 stjæle filer ud af skyen

Cloudopbevaringstjenester som Dropbox og Google Drive er hurtigt blevet vigtige værktøjer til at få gjort arbejde. Derfor er et nyt angreb fra Imperva-forskere, der kan stjæle alle dine filer fra skyen, så koldt. Hvad der er værre er, at Imperva siger, at angrebet ikke kan påvises ved perimeterforsvar og traditionelle endepunktsikkerhedsværktøjer.

Den smarte del af dette angreb er, at det undgår problemerne med at skulle stjæle et potentielt offers legitimationsoplysninger eller gå på kompromis med selve skyplatformen. I stedet tricker angriberen offeret til at installere malware, der omdirigerer den lokalt lagrede kopi af skyfiler til en anden server, som din computer med glæde leverer alle dine vigtige filer til.

5 Grib kontrol over din Android-telefon

Trojanere med ekstern adgang eller RATs, lad en angriber fjernadgang til din telefon eller computer, som om de sad foran den. De kan se, hvad du ser, og endda klikke på fotos, lytte ind med mikrofonen eller skyde video, uden at du ved det. Det er blandt den mest uhyggelige slags malware, og forskere siger, at de har fundet en måde at få den slags adgang på millioner af Android-enheder.

Problemet er, at nogle Android-producenter inkluderer specielle plug-ins, der normalt sidder i dvale, indtil en fjernsupporttjeneste som LogMeIn eller TeamViewer tager kontakt. Derefter tændes plug-in og lader virksomheden få adgang til Android-enheden, som om supportagenten, hvor den bruger telefonen. Check Point-forskere Ohad Bobrov og Avi Bashan opdagede, hvordan man bruger disse plug-ins til det onde og lod dem tage kontrol over Android-telefoner. Den værste del? Da disse plug-ins er installeret af producenterne, er der intet, du kan gøre for at beskytte dig selv.

6 Stagefright stjæler showet

Stagefright er afsløret inden Black Hat af Zimperium-forsker Josh Drake, og er den nye, store, uhyggelige sårbarhed i Android. Hvor stor? Det antages at påvirke 95 procent af alle Android-enheder. Hvor skræmmende? Drake viste, at han var i stand til at få Android-telefoner til at udføre kode bare ved at sende en sms. Sammen med den rigtige angreb kan dette være ødelæggende.

Drake var ved hånden på Black Hat for at tale om Stagefright, hvor det kommer fra, og hvad han opdagede, mens han undersøgte det. En stor takeaway var, at Android's codebase er enorm og garanterer mere opmærksomhed. "Dette er sandsynligvis ikke den eneste kode, der blev skrevet i en fart, " sagde Drake.

Deltagende også på Black Hat var Googles chef for Android-sikkerhed, Adrian Ludwig (afbildet ovenfor). Han anerkendte omfanget af Stagefright, men meddelte, at Google og dets partnere iscenesatte en lige så stor indsats for at beskytte Android mod Stagefright-udnyttelse. Ludwig fremhævede også det arbejde, Google allerede havde gjort for at holde Android sikkert. I lyset af adskillige angreb sagde han, at Android stadig er stærk.

7 Hacking af en Linux-drevet rifle

Temmelig snart vil Internet of Things være rundt omkring os. Faktisk er det allerede (ser på dine smarte tv'er og routere!). Men der er nogle steder, hvor internetforbundet teknologi kun lige er begyndt at komme ind, som skydevåben. Runa Sandvik og hendes medforsker Michael Auger købte, rev ned og med succes hackede en Tracking Point smart rifle. Under normale omstændigheder hjælper denne rifle dig med at ramme dit mærke hver gang. Under hacker-kontrol kan det låses, gøres for at gå glip af mål og induceres til at ramme andre mål.

En ting, der var tydeligt fra Sandvik og Augers arbejde, var at det ikke var let at hacking med en rifle. De tog tid til at påpege de mange ting, som Tracking Point gjorde rigtigt, og fremsætte forslag til industrien om, hvordan de kan forbedre IOT-enheder. Måske vil hacking af denne rifle en dag føre til en verden med mere sikre brødristere.

8 hackere kan buste dit tilsluttede hjemmebane åbent

ZigBee-hjemmeautomatiseringssystem giver dig mulighed for let at kontrollere dine dørlåse, lys og termostat, men det udvider muligvis også denne kontrol til også hackere. I en dramatisk præsentation demonstrerede forskere Tobias Zillner og Sebastian Strobl, hvordan de kunne tage kontrol over ZigBee-baserede systemer.

Fejlen, synes det, ligger ikke hos ZigBee, men hos de leverandører, der bruger dens kommunikationssystem. ZigBee tilbyder adskillige sikkerhedsværktøjer til at sikre, at kun de rigtige mennesker taler med enheder. Men leverandører bruger simpelthen ikke disse værktøjer, men stoler i stedet på et mindre sikkert backup-system. Heldigvis er det et vanskeligt angreb at trække af, men enhedsproducenter skal øge deres kollektive spil.

9 Hvor sikker er dit fingeraftryk?

Flere og flere mobile enheder inkluderer fingeraftrykssensorer, og i fremtiden kan vi også forvente mere eksotiske former for biometrisk godkendelse. Men dine fingeraftryksdata gemmes muligvis ikke sikkert på din telefon, og læseren selv kan blive angrebet af en hacker. FireEye-forskerne Tao Wei og Yulong Zhang præsenterede fire angreb, der kunne stjæle dine fingeraftryksdata. Det er ikke en for stor aftale, forudsat at du ikke løber tør for fingrene.

Af de fire angreb, Zhang præsenterede, var to særligt interessante. Den første viste, hvordan en angriber med de rigtige værktøjer simpelthen kunne forfalske en oplåsningsskærm for at narre offeret til at skubbe fingeren på scanneren. Enkel! Et andet langt mere kompliceret angreb kunne få adgang til data fra fingeraftryksscanneren uden at skulle bryde ind i det sikre TrustZone-segment på Android-enheden. Selvom de fundne sårbarheder, Zhang og Wei blev fundet, er blevet lappet, er det sandsynligvis, at der er mange flere, der endnu er opdaget. (Billede )

10 Hacking af et kemisk anlæg er virkelig hårdt

I en af ​​de mest komplekse præsentationer på Black Hat beskrev Marina Krotofil, hvordan angribere kunne bringe et kemisk anlæg til knæ for sjov og fortjeneste. Nå, for det meste overskud. Processen er fuld af unikke udfordringer, hvoraf den største er at finde ud af, hvordan man forstå den komplekse indre funktion af en plante, hvor gasser og væsker bevæger sig på underlige måder, der ikke let kan spores af elektroniske enheder, der er tilgængelige for hackere. Og så er der nødt til at beskæftige sig med den irriterende fysik i en fabrik. Sænk vandtrykket for meget, og syren kan muligvis nå en kritisk temperatur, og opmærksom på dit angreb.

Den uhyggeligste del af Krotofils præsentation var bestemt det faktum, at hackere allerede med succes havde udpresset penge fra forsyningsselskaber og planter i fortiden, men denne information var ikke tilgængelig for forskere. (Billede )

11 The Future Secure Society

Under sin hovedtale beskrev den fejrede advokat Jennifer Granick, hvordan hackerethos af social fremgang gennem teknologi var gået tabt til selvtilfredshed, regerings kontrol og virksomhedsinteresser. Drømmen, sagde hun, om et gratis og åbent internet, der gjorde viden og kommunikation sømløs og udhulede racisme, klassisme og kønsdiskriminering blev aldrig fuldt ud realiseret og forsvandt hurtigt.

Hun beskrev sin frygt for, at informationsteknologi ville skabe en verden, hvor dataanalyse bruges til alt. Dette ville forstærke de eksisterende magtstrukturer, sagde hun, og såre kantprojekter mest. Hun advarede også om regeringer, der bruger sikkerhed som en måde at projicere magt, skabe sikkerhedskanaler og sikkerhedsmagasiner. Uhyggelige ting.

12 Hvordan man ikke bliver arresteret

En af de mest omtalte sessioner blandt deltagere af Black Hat var en af ​​Justitsministeriet. For den gennemsnitlige person lød det sandsynligvis kedeligt, men denne livlige session forsøgte at uddanne publikum og forklare, hvordan hackere kunne fortsætte deres arbejde uden at gå i stykker med loven.

Leonard Bailey, DOJ's særlige rådgiver for national sikkerhed i agenturets afdeling for computer kriminalitet og intellektuel ejendom, forklarede de deltagende, hvordan de kunne udføre sårbarhedsscanninger og penetrationstest sikkert. Men hvad der er vigtigere er DOJ's bestræbelser på at sikre, at retshåndhævelse ikke har en nedkøling effekt på sikkerhedsundersøgelser.

13 Angribere på netværket

Stol ikke på Black Hat-netværket. Der er masser af mennesker rundt om netværket, og mange af de deltagende bruger muligheden for at prøve nye tricks og teknikker, de lærte i løbet af ugen. Fortinet administrerede sikkerhedsoperationscentret for Black Hat i år og overvågede al aktiviteten på både kablede og trådløse netværk på stedet. Mens der var mange skærme, der viste, hvilke applikationer, der kørte, blev hovedparten af ​​analysen udført af et team, der var frivilligt, af sikkerhedsfolk. Én klasse, der lærte avancerede webpenetrationsangrebsteknikker, blev lidt bortført, hvilket fik ISP til at ringe til operationsteamet for at bede dem om at stoppe.

14 Luk Robo-opkald

Dette var ikke på Black Hat, men DEF CON. Humanity Strikes Back er en FTC-konkurrence på DEF CON, hvor hackere skabte anti-robocall-software. Ideen var at oprette et værktøj, der ville analysere opkaldslyden, og hvis opkaldet blev bestemt til at være et robocall, for at blokere det fra slutbrugeren og viderestille opkaldet til en honeypot. To finalister demonstrerede deres software ved context desk under DEF CON, mens denne robot muntert bød gratis krydstogtsrejser, hvis du trykker på 1.

15 Hvordan man bliver hacker

Nu hvor du ved, hvordan man ikke bliver arresteret for sikkerhedsundersøgelser, er du måske interesseret i at lege med nogle af dine egne hackingværktøjer? Gå ind i Kali Linux, en platform, der kan tilpasses, så du kan have alle slags sjov.

Kali Linux er beregnet til at være let, men vigtigere af alt er det meningen, at det skal være fleksibelt. Du kan tilføje eller fjerne værktøjer til malware-test, netværkstest, penetrationstest - du navngiver det. Du kan endda installere værktøjerne på en Raspberry Pi til sikkerhedstestning mens du er på farten.