Rumah Berita & Analisis Hal-hal baik dan menakutkan di topi hitam 2016

Hal-hal baik dan menakutkan di topi hitam 2016

Video: 5 Youtuber yg merekam org2 misterius dan mengerikan (Desember 2024)

Video: 5 Youtuber yg merekam org2 misterius dan mengerikan (Desember 2024)
Anonim

Black Hat adalah kumpulan peneliti keamanan, peretas, dan industri yang bertemu di Las Vegas untuk melakukan tiga hal: menguraikan ancaman terbaru, menunjukkan bagaimana orang baik dan orang jahat dapat dikalahkan, dan meluncurkan serangan terhadap para peserta. Tahun ini melihat banyak serangan menakutkan, termasuk satu terhadap peserta acara, bersama dengan peretasan mobil, cara baru untuk mencuri uang tunai dari ATM, dan mengapa bola lampu pintar mungkin tidak seaman yang kami kira. Tapi kami juga melihat banyak alasan untuk berharap, seperti mesin pengajaran untuk mengenali server berbahaya, menggunakan Dungeons and Dragons untuk melatih karyawan dalam menangani ancaman keamanan, dan bagaimana Apple menangani keamanan iPhone Anda. Semua itu dikatakan, tahun yang cukup menggembirakan.

Yang baik

Ya, Apple mengumumkan program bug bug di Black Hat. Tapi itu hanya 10 menit terakhir dari presentasi oleh Ivan Krstic, kepala teknik dan arsitektur keamanan Apple. Selama 40 menit sebelumnya ia menawarkan penyelaman mendalam yang belum pernah terjadi sebelumnya ke dalam cara Apple melindungi perangkat dan data pengguna, baik dari faktor laki-laki maupun dari dirinya sendiri. Dan ya, itu melibatkan penggunaan blender yang jujur ​​kepada Tuhan.

Ketika perangkat Internet of Things menjadi semakin populer, para profesional keamanan menjadi semakin peduli. Lagi pula, ini adalah perangkat dengan mikrokomputer yang terhubung ke jaringan dan sepenuhnya mampu menjalankan kode. Itu impian penyerang. Kabar baiknya adalah, setidaknya dalam kasus sistem Hue Philip, membuat worm untuk melompat dari bola lampu ke bola lampu sangat sulit. Berita buruknya? Tampaknya sangat sederhana untuk mengelabui sistem Hue agar bergabung dengan jaringan penyerang.

Setiap pelatihan keamanan dalam setiap bisnis menyertakan peringatan bahwa karyawan tidak boleh mengklik tautan dalam email dari sumber yang tidak dikenal. Dan karyawan terus ditipu untuk mengkliknya. Zinaida Benenson, dari Universitas Erlangen-Nuremberg, menyimpulkan bahwa tidak masuk akal untuk mengharapkan karyawan menolak rasa ingin tahu dan motivasi lainnya. Jika Anda ingin mereka menjadi James Bond, Anda harus memasukkannya ke dalam deskripsi pekerjaan dan membayar sesuai dengan itu.

Banyak penelitian dan pelaksanaan keamanan bisa sangat melelahkan, tetapi teknik baru dalam pembelajaran mesin mungkin segera mengarah ke Internet yang lebih aman. Para peneliti merinci upaya mereka di mesin pengajaran untuk mengidentifikasi perintah botnet dan server kontrol, yang memungkinkan orang jahat untuk mengendalikan ratusan ribu (jika tidak jutaan) komputer yang terinfeksi. Alat itu bisa membantu menjaga aktivitas jahat seperti itu, tapi itu tidak semua penelitian berat. Untuk mengakhiri sesi mereka, para peneliti menunjukkan bagaimana sistem pembelajaran mesin dapat digunakan untuk menghasilkan lagu Taylor Swift yang lumayan.

Jaringan hotel yang tahu mungkin baik-baik saja untuk konferensi persediaan hewan peliharaan, tetapi tidak untuk Black Hat. Konferensi ini memiliki jaringannya sendiri yang sepenuhnya terpisah dan Pusat Operasi Jaringan yang mengesankan untuk mengelolanya. Pengunjung dapat mengintip melalui dinding kaca di banyak layar yang bersinar, film hacker, dan pakar keamanan jangka panjang di NOC, yang akan dikemas secara keseluruhan dan pindah ke seluruh dunia ke konferensi Black Hat berikutnya.

Orang-orang keamanan TI dan peretas tidak bisa mendapatkan cukup pelatihan keamanan, tetapi mereka bukan yang benar-benar membutuhkannya. Staf penjualan, tim SDM, dan kru pusat panggilan tidak perlu memahami atau menghargai pelatihan keamanan, namun Anda benar-benar membutuhkan mereka untuk meningkatkan permainan keamanan mereka. Peneliti Tiphaine Romand Latapie menyarankan pengerjaan ulang pelatihan keamanan sebagai permainan peran. Dia menemukan bahwa itu benar-benar berhasil, dan menghasilkan keterlibatan baru yang signifikan antara tim keamanan dan seluruh staf. Dungeon dan naga, ada yang?

Panggilan telepon penipuan adalah masalah besar. Penipuan IRS meyakinkan orang Amerika yang tidak curiga untuk membayar tunai. Penataan ulang kata sandi menipu pusat panggilan agar memberikan data pelanggan. Profesor Judith Tabron, ahli bahasa forensik menganalisis panggilan penipuan nyata dan menyusun tes dua bagian untuk membantu Anda menemukannya. Baca ini dan pelajari, oke? Ini adalah teknik yang sederhana dan bermanfaat.

Yang Menakutkan

Pwnie Express membangun perangkat yang memantau wilayah udara jaringan untuk apa pun yang tidak diinginkan, dan itu juga hal yang baik, karena perusahaan tersebut menemukan serangan besar-besaran di Black Hat tahun ini. Dalam hal ini, titik akses berbahaya mengubah SSID untuk menipu ponsel dan perangkat agar bergabung dengan jaringan, menganggapnya sebagai jaringan yang aman dan ramah yang pernah dilihat oleh perangkat. Dengan melakukan itu, para penyerang menipu sekitar 35.000 orang. Meskipun hebat bahwa perusahaan dapat mengenali serangan itu, fakta bahwa itu sangat besar adalah pengingat betapa suksesnya serangan-serangan ini.

Tahun lalu, Charlie Miller dan Chris Valasek mempresentasikan apa yang dianggap banyak orang sebagai puncak karier peretasan mobil mereka. Mereka kembali tahun ini dengan serangan yang bahkan lebih berani, yang dapat menerapkan kontrol rem atau nab pada setir saat mobil bergerak pada kecepatan berapa pun. Serangan sebelumnya hanya dapat dilakukan ketika mobil bepergian pada 5Mph atau lebih rendah. Serangan baru ini dapat menimbulkan risiko besar bagi pengemudi, dan mudah-mudahan akan segera ditambal oleh produsen mobil. Sementara itu, Valasek dan Miller mengatakan mereka sudah melakukan peretasan mobil, tetapi mendorong orang lain untuk mengikuti jejak mereka.

Jika Anda menonton Tn. Robot, Anda tahu bahwa mungkin menginfeksi komputer korban dengan menaburkan drive USB di sekitar tempat parkir. Tapi apakah itu benar-benar bekerja? Elie Bursztein, pemimpin penelitian anti-penipuan dan penyalahgunaan di Google, menyampaikan dua bagian pembicaraan tentang masalah ini. Bagian pertama merinci sebuah penelitian yang jelas menunjukkan itu berhasil (dan tempat parkir lebih baik daripada lorong). Bagian kedua menjelaskan, dengan sangat rinci, bagaimana tepatnya membangun drive USB yang benar-benar akan mengambil alih komputer mana pun. Apakah Anda mencatat?

Drone adalah item panas musim belanja liburan terakhir, dan mungkin bukan hanya untuk Geeks. Sebuah presentasi menunjukkan bagaimana DJI Phantom 4 dapat digunakan untuk memacetkan jaringan nirkabel industri, memata-matai karyawan, dan yang lebih buruk. Kuncinya adalah bahwa banyak situs industri yang kritis menggunakan apa yang disebut "celah udara" untuk melindungi komputer yang sensitif. Pada dasarnya, ini adalah jaringan dan perangkat yang terisolasi dari Internet luar. Tetapi drone yang kecil dan bermanuver dapat membawa Internet kepada mereka.

Pembelajaran mesin berada pada titik puncak untuk merevolusi banyak industri teknologi, dan itu termasuk scammers. Para peneliti di Black Hat menunjukkan bagaimana mesin juga dapat diajarkan untuk menghasilkan pesan phishing tombak yang sangat efektif. Alat mereka menentukan target bernilai tinggi, dan kemudian menjelajahi tweet korban untuk menyusun pesan yang relevan dan dapat diklik secara tak tertahankan. Tim tidak menyebarkan sesuatu yang berbahaya dengan bot spam mereka, tetapi tidak sulit untuk membayangkan scammer mengadopsi teknik ini.

Anda mengharapkan Wi-Fi gratis di hotel, dan Anda mungkin cukup cerdas untuk menyadari bahwa itu tidak selalu aman. Tetapi Airbnb atau rental jangka pendek lainnya, keamanan berpotensi memiliki keamanan terburuk yang pernah ada. Mengapa? Karena tamu sebelum Anda memiliki akses fisik ke router, artinya mereka dapat sepenuhnya memilikinya. Pembicaraan Jeremy Galloway merinci apa yang dapat dilakukan peretas (buruk!), Apa yang dapat Anda lakukan untuk tetap aman, dan apa yang dapat dilakukan pemilik properti untuk mencegah serangan semacam itu. Ini masalah yang tidak hilang begitu saja.

Dalam salah satu pembicaraan paling komprehensif di Black Hat, Pentester Senior Rapid7 Weton Hecker menunjukkan apa yang mungkin menjadi model baru untuk penipuan. Visinya mencakup jaringan ATM yang sangat besar, mesin penjualan point (seperti di toko grosir), dan pompa bensin. Ini dapat mencuri informasi pembayaran korban secara real-time dan kemudian dengan cepat memasukkannya dengan bantuan perangkat pendorong PIN bermotor. Pembicaraan berakhir dengan ATM yang memuntahkan uang tunai, dan visi masa depan di mana scammer tidak membeli informasi kartu kredit individu, tetapi akses ke jaringan besar penipuan pembayaran real-time.

Itu bukan satu-satunya presentasi di Black Hat yang merinci serangan pada sistem pembayaran. Kelompok peneliti lain menunjukkan bagaimana, dengan Raspberry Pi dan sedikit usaha, mereka dapat mencegat jumlah besar informasi pribadi dari transaksi kartu chip. Itu terutama penting bukan hanya karena kartu chip (kartu AKA EMV) dianggap lebih aman daripada kartu magswipe, tetapi karena AS baru saja mulai meluncurkan kartu chip di dalam negeri.

Tahun depan akan membawa penelitian baru, peretasan baru, dan serangan baru. Tapi Black Hat 2016 telah menetapkan nada untuk tahun ini, menunjukkan bahwa karya seorang peretas (baik putih atau hitam) tidak pernah benar-benar dilakukan. Sekarang jika Anda mengizinkan kami, kami akan merobek kartu kredit kami dan pergi untuk tinggal di Kandang Faraday di hutan.

Hal-hal baik dan menakutkan di topi hitam 2016