Black hat 2017: peretasan terbaik (dan paling menakutkan)

Konferensi Black Hat adalah kesempatan bagi para peneliti, peretas, dan siapa pun yang dekat dengan dunia keamanan untuk berkumpul dan belajar satu sama lain. Ini adalah satu minggu sesi, pelatihan, dan - tak terhindarkan - beberapa pengambilan keputusan yang buruk di wilayah Las Vegas yang lebih besar.

Pada tahun ke-20, Black Hat 2017 dimulai dengan catatan reflektif. Alex Stamos, CSO Facebook, mengingat kembali hari-hari awalnya di konferensi. Baginya, itu adalah tempat untuk diterima, dan belajar dari masyarakat. Dia menantang komunitas yang sama itu untuk menjadi lebih berempati, dan untuk mempersiapkan generasi peretas berikutnya dengan menyambut lebih banyak keanekaragaman.

Sesi Black Hat selalu menjadi tempat untuk melihat contoh-contoh penelitian keamanan yang mengejutkan, dan kadang-kadang mengerikan. Tahun ini, kami melihat bagaimana membodohi antarmuka web Apple Pay, bagaimana menumbangkan hoverboard menggunakan ulstrasound, dan mempelajari betapa rentannya ladang angin terhadap serangan dunia maya.

Satu sesi melihat kembalinya trio peretas Tesla Model S, yang memamerkan serangan baru. Penelitian mereka pasti akan berlanjut karena kendaraan menjadi lebih terhubung. Juga target hacker besar? Printer.

Pembicaraan lain yang luar biasa tampak menyerang infrastruktur industri. Dengan dua serangan yang berhasil terhadap jaringan listrik Ukraina tahun lalu, mengamankan infrastruktur penting seperti pembangkit listrik dan pabrik adalah masalah utama. Kali ini, kami melihat bagaimana gelembung - ya, gelembung biasa - dapat digunakan sebagai muatan berbahaya untuk menghancurkan pompa kritis yang mahal.

Mungkin pencapaian yang paling luar biasa dari pertunjukan tahun ini adalah di bidang cryptoanalysis. Dengan menggunakan teknik-teknik canggih, sebuah tim dapat membuat tabrakan hash SHA-1 pertama. Jika Anda tidak yakin apa artinya itu, baca terus karena itu sangat keren.

Setelah 20 tahun, Black Hat masih menjadi panggung utama bagi peretas. Tetapi masa depan tidak pasti. Serangan cyber negara-bangsa telah berubah dari jarang menjadi kejadian biasa, dan taruhannya lebih besar dari sebelumnya. Bagaimana kita akan menghadapinya masih belum jelas; mungkin Black Hat 2018 akan memiliki jawabannya. Sampai saat itu, lihat beberapa momen yang lebih menarik dari Black Hat tahun ini di bawah ini.

1 Lebih Besar dan Lebih Besar

Untuk peringatan 20 tahun pertunjukan, keynote diadakan di stadion besar bukan hanya ruang konferensi besar. Acara ini telah berkembang pesat hanya dalam beberapa tahun terakhir.



2 Korban Sukses

Kemacetan di lorong adalah masalah pada pertunjukan tahun ini, dan situasi seperti yang di atas tidak biasa.



3 Menantang Komunitas Keamanan

CSO Facebook Alex Stamos menyampaikan keynote Black Hat 2017 dalam pidatonya yang merupakan pujian yang setara untuk suasana keseharian yang seperti keluarga komunitas keamanan dan tantangan untuk berbuat lebih baik. Dia meminta para penonton untuk tidak terlalu elitis, dan untuk mengakui bahwa taruhan keamanan digital telah meningkat, mengutip peran peretasan dan serangan informasi dalam pemilu AS 2016.



4 Serangan Senjata Ultrasonik Drone, Hoverboards

Perangkat menggunakan sensor untuk memahami dunia di sekitar mereka, tetapi beberapa sensor ini mengalami gangguan. Satu tim peneliti mendemonstrasikan bagaimana mereka dapat menggunakan ultrasound untuk menyebabkan drone bergoyang, hoverboards jatuh, dan sistem VR berputar tanpa terkendali. Serangan terbatas untuk saat ini, aplikasi bisa jauh menjangkau.



5 Apakah Gelembung Masa Depan Peretasan?

Mungkin tidak, tetapi Marina Krotofil menunjukkan bagaimana menyerang sistem katup di pompa air dapat digunakan untuk membuat gelembung yang mengurangi efisiensi pompa air dan, seiring waktu, menyebabkan kerusakan fisik yang mengakibatkan kegagalan pompa. Dengan presentasinya, Krotofil berusaha menunjukkan bahwa perangkat yang tidak aman, seperti katup, dapat menyerang perangkat yang aman, seperti pompa, melalui cara-cara baru. Lagipula, tidak ada antivirus untuk gelembung.



6 Bug Bounties dan Bir

Beberapa tahun terakhir telah terlihat perluasan program karunia bug, di mana perusahaan membayar peneliti, penguji penetrasi, dan peretas hadiah uang tunai untuk melaporkan bug. Peneliti James Kettle mengatakan kepada orang banyak di sesi itu bagaimana ia mengumpulkan metode untuk menguji 50.000 situs web secara bersamaan. Dia memiliki beberapa kesalahan dalam perjalanan, tetapi memperoleh lebih dari $ 30.000 dalam prosesnya. Dia mengatakan bosnya awalnya bersikeras untuk menghabiskan uang yang diperoleh dalam upaya otomatis untuk bir, tetapi mengingat keberhasilan Kettle, mereka memilih untuk menyumbangkan mayoritas untuk amal dan hanya menghabiskan sedikit untuk bir.



7 Menyerang Wind Farms

Peneliti Jason Staggs memimpin penilaian keamanan komprehensif ladang angin, yang memimpin timnya beberapa pembangkit listrik berputar sepanjang 300 kaki. Tidak hanya keamanan fisik yang lemah (kadang-kadang, hanya gembok), tetapi keamanan digital bahkan lebih lemah. Timnya mengembangkan beberapa serangan yang dapat menahan tebusan ladang angin dan bahkan menyebabkan kerusakan fisik. Pikirkan Stuxnet, tetapi untuk pedang kematian yang berputar-putar.



8 Pwnie Express On Guard

Tahun lalu, Pwnie Express membawa peralatan pemantauan jaringannya dan menemukan serangan titik akses jahat besar yang dikonfigurasi untuk meniru jaringan yang ramah terhadap perangkat yang lewat dan mengundang mereka untuk terhubung. Tahun ini, Pwnie bekerja dengan tim keamanan jaringan Black Hat, tetapi tidak mendeteksi apa pun sebesar serangan tahun lalu - setidaknya, tidak ada yang bukan bagian dari latihan dalam sesi Black Hat. Sensor Pwn Pro ini adalah salah satu dari beberapa yang ditempatkan selama konferensi untuk memantau aktivitas jaringan.

di



9 Jangan Percayai Printer Anda

Printer jaringan telah lama dipandang oleh para peneliti sebagai target utama. Mereka ada di mana-mana, terhubung ke internet, dan seringkali tidak memiliki keamanan dasar. Tetapi Jens Müller menunjukkan bahwa yang penting di dalamnya adalah yang terpenting. Dengan menggunakan protokol yang digunakan oleh hampir setiap printer untuk mengubah file menjadi bahan cetakan, ia mampu melakukan sejumlah serangan. Dia bisa mengekstrak pekerjaan cetak sebelumnya, dan bahkan menindih teks atau gambar pada dokumen. Serangan yang digariskannya akan ada sampai seseorang akhirnya menyingkirkan protokol lama ini.



10 Super Collider

Fungsi hash ada di mana-mana, tetapi hampir tidak terlihat. Mereka digunakan untuk memverifikasi kontrak, menandatangani perangkat lunak secara digital, dan bahkan mengamankan kata sandi. Fungsi hash, seperti SHA-1, mengkonversi file menjadi serangkaian angka dan huruf, dan tidak ada dua yang seharusnya sama. Tetapi peneliti Elie Bursztein dan timnya menemukan cara di mana dua file berbeda berakhir dengan hash yang sama. Ini disebut tabrakan, dan itu artinya SHA-1 sama mati dengan paku pintu.



11 Meretas Tesla (Lagi)

Pada 2016, tiga peneliti menunjukkan bagaimana mereka dapat mengendalikan Tesla Model S. Tahun ini, para peneliti dari Tencent KeenLab kembali untuk berjalan melalui serangan mereka langkah demi langkah. Tapi itu tidak semua rekap: mereka juga memeriksa mitigasi Tesla atas serangan awal mereka dan menyajikan serangan baru mereka; tim memamerkan sepasang mobil yang memancarkan cahaya dan membuka pintunya tepat waktu untuk mendengarkan musik.



12 Meretas Bayar Apple di Web

Ketika pertama kali diluncurkan, saya banyak menulis tentang Apple Pay, memuji tokenisasi data kartu kredit dan bagaimana Apple tidak dapat melacak pembelian Anda. Tapi Timur Yunusov tidak yakin. Dia menemukan itu mungkin untuk merebut kredensial dan melakukan serangan replay menggunakan Apple Pay di web. Lebih baik perhatikan tagihan kartu kredit itu.



13 Mengontrol Robot Industri Dari Jauh

Trio peneliti, mewakili tim dari Politecnico di Milano dan Trend Micro, mempresentasikan temuan mereka tentang keamanan robot. Bukan Roombas Anda yang ramah, tetapi robot industri yang bekerja keras dan kuat ditemukan di pabrik. Mereka menemukan beberapa kelemahan kritis yang dapat memungkinkan penyerang untuk mengambil kendali robot, memperkenalkan cacat ke dalam proses pembuatan, dan bahkan berpotensi membahayakan operator manusia. Yang lebih meresahkan adalah penemuan bahwa ada ribuan robot industri yang terhubung ke internet.



14 Apa Selanjutnya?

Black Hat dilakukan untuk satu tahun lagi, tetapi dengan keamanan digital lebih terlihat dan berharga daripada sebelumnya, tahun mendatang pasti akan memiliki beberapa kejutan yang menarik.