Video: Solo Bushcraft: Camping Alone in the Woods (Oktober 2024)
Black Hat er en samling af sikkerhedsforskere, hackere og industri, der mødes i Las Vegas for at gøre tre ting: skitsere de seneste trusler, vise hvordan de gode fyre og de onde fyre kan besejres og lancere angreb på de deltagende. I år var der masser af skræmmende angreb, inklusive en mod udstillingsdeltagere, sammen med biler, nye måder at stjæle kontanter fra pengeautomater, og hvorfor smarte lyspærer måske ikke er så sikre, som vi troede. Men vi så også mange grunde til at håbe, som at undervise maskiner til at se farlige servere, bruge Dungeons og Dragons til at uddanne medarbejdere i håndtering af sikkerhedstrusler, og hvordan Apple håndterer sikkerheden på din iPhone. Det var alt sammen et smukt bøjningsår.
Den gode
Ja, Apple annoncerede et bug-bounty-program på Black Hat. Men det var bare de sidste 10 minutter af en præsentation af Ivan Krstic, Apples chef for sikkerhedsteknik og arkitektur. I løbet af de foregående 40 minutter tilbød han et hidtil uset dyb dykke efter måderne Apple beskytter brugernes enheder og data på, både mod malefaktorer og fra sig selv. Og ja, det involverer brug af en ærlig-til-Gud-blender.
Efterhånden som Internet of Things-enheder bliver mere og mere populære, bliver sikkerhedsfagfolk mere og mere bekymrede. Dette er trods alt enheder med mikrocomputere, der er forbundet til netværk og fuldt i stand til at køre kode. Det er en angribers drøm. Den gode nyhed er, i det mindste i tilfælde af Philip's Hue-system, at det er meget vanskeligt at skabe en orm til at hoppe fra lyspære til lyspære. Den dårlige nyhed? Det er tilsyneladende meget simpelt at narre Hue-systemer til at tilslutte sig en angriberens netværk.
Hver sikkerhedstræning i enhver virksomhed inkluderer formaningen om, at medarbejdere aldrig skal klikke på links i e-mails fra ukendte kilder. Og medarbejderne fortsætter med at blive dyppet til at klikke på dem uanset. Dr. Zinaida Benenson fra universitetet i Erlangen-Nuremberg konkluderede, at det simpelthen ikke er rimeligt at forvente, at medarbejderne modstår nysgerrighed og andre motiveringer. Hvis du vil have dem til at være James Bond, skal du placere det i jobbeskrivelsen og betale dem i overensstemmelse hermed.
En masse sikkerhedsundersøgelser og -udførelse kan være sindssygende kedelige, men nye teknikker inden for maskinlæring kan snart føre til et mere sikkert internet. Forskere detaljerede deres bestræbelser på at undervise maskiner til at identificere botnet-kommando- og kontrolservere, som tillader de onde at kontrollere hundretusinder (hvis ikke millioner) inficerede computere. Værktøjet kunne hjælpe med at holde et låg på en sådan uærlig aktivitet, men det var ikke alt sammen tunge undersøgelser. For at afslutte deres session demonstrerede forskere, hvordan maskinindlæringssystemer kunne bruges til at generere en acceptabel Taylor Swift-sang.
Det hotel-kendte hotelnetværk kan være fint til et konference om kæledyr, men ikke for Black Hat. Konferencen har sit eget helt separate netværk og et imponerende Network Operations Center til at styre det. Besøgende kan kigge ind gennem glasvæggen på de mange glødende skærme, hackerfilm og langsigtede sikkerhedseksperter i NOC, som bliver pakket sammen i sin helhed og flyttes rundt i verden til den næste Black Hat-konference.
IT-sikkerhedsvindere og hackere med hvid hat kan bare ikke få nok af sikkerhedstræner, men det er ikke dem, der virkelig har brug for dem. Salgspersonalet, HR-teamet og callcenter-teamet forstår ikke nødvendigvis eller værdsætter sikkerhedstræning, og alligevel har du virkelig brug for dem til at intensivere deres sikkerhedspil. Forsker Tiphaine Romand Latapie foreslog omarbejdning af sikkerhedstræning som et rollespil. Hun fandt ud af, at det virkede fuldstændigt, og producerede et betydeligt nyt engagement mellem sikkerhedsteamet og resten af personalet. Fangehuller og drager, nogen?
Svindel-telefonopkald er et enormt problem. IRS-svindel overbeviser intetanende amerikanere om at gaffel over kontanter. Nulstilling af kodeord svindler callcentre til at give kundedata væk. Professor Judith Tabron, en retsmedicinsk sprogforsker analyserede ægte falske opkald og udtænkte en todelt test for at hjælpe dig med at få øje på dem. Læs dette og lær, OK? Det er en enkel og værdifuld teknik.
Den skræmmende
Pwnie Express bygger enheder, der overvåger netværkets luftrum for noget uhensigtsmæssigt, og det er også en god ting, fordi virksomheden opdagede et massivt Man-in-the-Middle-angreb på Black Hat i år. I dette tilfælde ændrede et ondsindet adgangspunkt sin SSID for at narre telefoner og enheder til at blive tilsluttet netværket og troede, at det var et sikkert, venligt netværk, som enheden havde set før. Dermed narrede angribere omkring 35.000 mennesker. Selvom det er fantastisk, at virksomheden kunne se angrebet, er det faktum, at det var så massivt, en påmindelse om, hvor succesrige disse angreb kan være.
Sidste år præsenterede Charlie Miller og Chris Valasek, hvad mange antog var højdepunktet i deres bilhackingkarriere. De vendte tilbage i år med endnu mere dristige angreb, dem, der er i stand til at anvende bremser eller nab-kontrol på rattet, når bilen bevæger sig i en hvilken som helst hastighed. Tidligere angreb kunne kun udføres, når bilen kører ved 5 km / h eller lavere. Disse nye angreb kan udgøre en stor risiko for chauffører og vil forhåbentlig hurtigt blive rettet af bilproducenter. For deres del sagde Valasek og Miller, at de er færdige med at hacke biler, men opfordrede andre til at følge i deres fodspor.
Hvis du ser Mr. Robot, ved du, at det er muligt at inficere et offer's computer ved at trække USB-drev rundt om parkeringspladsen. Men fungerer det virkelig? Elie Bursztein, leder af antisvindel og misbrug inden for Google, holdt en todelt tale om emnet. Den første del detaljerede en undersøgelse, der tydeligt viste, at den fungerer (og parkeringspladser er bedre end gange). Den anden del forklarede meget detaljeret, hvordan man bygger et USB-drev, der fuldstændigt ville overtage enhver computer. Har du noteret?
Droner var en varm genstand sidste sæson for ferieshopping, og måske ikke kun for nørder. En præsentation viste, hvordan DJI Phantom 4 kunne bruges til at fastklemme industrielle trådløse netværk, spionere på medarbejdere og værre. Kunsten er, at mange kritiske, industrielle websteder bruger det, der kaldes et "luftspalte" til at beskytte følsomme computere. Grundlæggende er dette netværk og enheder, der er isoleret fra det udvendige Internet. Men små, manøvrerbare droner kan bringe Internettet til dem i stedet.
Maskinlæring er i centrum af at revolutionere adskillige tech-industrier, og det inkluderer svindlere. Forskere ved Black Hat demonstrerede, hvordan maskiner også kunne læres at producere meget effektive spyd phishing-beskeder. Deres værktøj fastlægger mål med høj værdi og slører derefter offerets tweets for at skabe en meddelelse, der både er relevant og uimodståelig at klikke på. Holdet sprede ikke noget ondsindet med deres spam-bot, men det er ikke svært at forestille sig svindlere, der anvender disse teknikker.
Du forventer gratis trådløs internetadgang på et hotel, og du kan være klar nok til at indse, at det ikke nødvendigvis er sikkert. Men en Airbnb eller anden korttidsudlejning, sikkerhed kan potentielt have den værste sikkerhed nogensinde. Hvorfor? Fordi gæster før du havde fysisk adgang til routeren, hvilket betyder, at de helt kunne eje den. Jeremy Galloways tale detaljerede, hvad en hacker kan gøre (det er dårligt!), Hvad du kan gøre for at forblive i sikkerhed, og hvad ejeren af ejendommen kan gøre for at afskrække sådanne angreb. Det er et problem, der ikke går væk.
I en af de mest omfattende samtaler på Black Hat demonstrerede Rapid7s senior Pentester Weton Hecker, hvad der kunne være en ny model for svig. Hans vision inkluderer et massivt netværk af kompromitterede pengeautomater, salgssteder (som i købmandsforretningen) og gaspumper. Disse kunne stjæle offerets betalingsoplysninger i realtid og derefter hurtigt indtaste dem ved hjælp af en motoriseret PIN-skubbenhed. Foredraget sluttede med en pengeautomat, der sprøjter kontanter og en vision for fremtiden, hvor svindlere ikke køber enkeltpersoners kreditkortoplysninger, men adgang til et massivt realtidsnetværk af betalingssvindel.
Det var ikke den eneste præsentation på Black Hat, der detaljerede angreb på betalingssystemer. En anden gruppe forskere viste frem, hvordan de med en Raspberry Pi og en lille indsats var i stand til at opfange masser af personlige oplysninger fra chipkorttransaktioner. Det er især bemærkelsesværdigt ikke kun fordi chipkort (AKA EMV-kort) betragtes som mere sikre end magswipe-kort, men fordi USA netop er begyndt at udrulle chipkort indenlandske.
Næste år bringer ny forskning, nye hacks og nye angreb. Men Black Hat 2016 har sat tonen for året, hvilket viser, at en hacker's arbejde (hvad enten det er hvid- eller sorthated) aldrig rigtig er færdig. Hvis du nu undskylder os, vil vi makulere vores kreditkort og tage afsted for at bo i et Faraday-bur i skoven.
