10 الأكثر رعبا هجمات الاختراق من قبعة سوداء 2014

كان Black Hat هذا العام يومين من الإحاطات الإعلامية المكثفة ، حيث أظهر باحثو الأمن مدى سهولة اختراق السيارات ، والحرارة ، والاتصالات عبر الأقمار الصناعية ، والفنادق. في الوقت نفسه ، كان هناك الكثير من المحادثات حول كيفية تعزيز السلامة. ركزت المقترحات العشرة المتعلقة بالسياسة في خطاب Dan Geer الرئيسي على جعل العالم مكانًا أفضل من خلال تحسين نهجنا في أمن المعلومات. من بين المشاكل التي عالجتها سباق التسلح الحالي المتمثل في القابلية للتأثر ، والبرمجيات القديمة ، والحاجة إلى التعامل مع أمن المعلومات كمهنة. لقد ابتعدنا جميعًا مع رؤوسنا تسبح مع حقائق وأفكار جديدة وقبل كل شيء المخاوف. الكثير من المخاوف.

أحد الأشياء التي يمكنك الاعتماد عليها دائمًا في Black Hat هو سماع نقاط الضعف في الأشياء التي لم تعتقد حتى أنها تتعرض للهجوم. من المطمئن معرفة أن هذه المظاهرات أكاديمية في المقام الأول ، وأن هذه القضايا لا تُستغل حاليًا في البرية. ولكن ، على نفس المنوال ، من المخيف أن ندرك أنه إذا وجد مقدمو Black Hat عيوبًا ، فمن قال أن شخصًا آخر لديه نوايا أكثر خبثًا (وربما تمويل أفضل) لم يفعل - أم لا؟

فكر في هذا: لقد سمعنا عن اختراق أجهزة الصراف الآلي في Black Hat قبل ثلاث سنوات ، وبدأ المجرمون أخيرًا في نهب أجهزة الصراف الآلي في أوروبا هذا العام فقط. كانت هناك ثلاث جلسات على الأقل هذا العام حول كيفية اختراق نقاط البيع لبطاقات الشريحة والرقم السري. إذا لم نستمع ونؤمن البنية الأساسية للدفع الخاصة بنا ، خلال ثلاث سنوات ، هل سنرى خرقًا آخر للنسب الشبيهة بالهدف عبر بطاقات الشريحة والرقم السري؟ هذا فكر مخيف حقا.

قد يكون Black Hat 2014 قد انتهى ، لكننا سنتحدث عن الأشياء المروعة التي رأيناها هناك لبعض الوقت. نأمل أن تكون الدروس المستفادة هي التي أدت إلى تنفيذ الحلول وليس الفرص الضائعة التي أدت إلى جرائم فظيعة.

إليكم مشاهدة Security Watch للأشياء التي رأيناها في Black Hat والتي من شأنها أن تبقينا في الليل.

1 1. الإنترنت من الفشل

الدفاع عن جهاز الكمبيوتر الخاص بك أو هاتفك سهل للغاية ؛ ما عليك سوى اتباع بعض النصائح المنطقية وتثبيت برنامج الأمان وستكون جاهزًا للعمل. ولكن ماذا عن إنترنت الأشياء؟ في جلسة بعد جلسة ، أظهر الباحثون أنه من السهل الوصول إلى الأجهزة الهامة التي يتم توصيلها بالإنترنت. قام الفريق الذي قام باختراق جهاز ترموستات Nest الذكي بتخفيض هجومه إلى 15 ثانية ، وهو الآن يعمل بجد في هجوم على الهواء. عثر Billy Rios على كلمات مرور افتراضية مشفرة في أجهزة المسح المطلوبة لاستخدامها في نقاط تفتيش TSA في جميع أنحاء البلاد. ما زلنا مندهشين من اختراق 15 ثانية.

• 2 2. اختراق الطائرات والسفن وأكثر!

  فيما يتعلق بموضوع الخلفية ، فإن الأجهزة التي تشحن ، والطائرات ، والصحفيون (وربما) الجيش الذين يعتمدون على التواصل ليست آمنة كما اعتقدنا. لقد أوضح روبن سانتامارتا من IOActive أن العديد من هذه الأنظمة لها أجهزة خلفية ، ظاهريًا للصيانة أو استعادة كلمة المرور. على الرغم من أنه من المفترض أن بعض الأماكن الخلفية كانت محمية ، إلا أنه كان قادرًا على التحايل على الإجراءات الوقائية. الهجوم الذي وقع الأقرب إلى المنزل كان ، وبشكل غير مفاجئ ، ادعاء سانتامارتا بأنه قادر على اختراق الطائرات باستخدام شبكة Wi-Fi. لقد كان واضحًا أن هذا لن يسمح له بـ "تحطم الطائرات" ، لكنه أشار أيضًا إلى أن الاتصالات المهمة تمر عبر نفس النظام. في كلمته ، اخترق منارة استغاثة بحري لعرض جهاز فيديو للفتحة بدلاً من SOS. ضع في اعتبارك نفس النوع من الاختراق على متن طائرة ضخمة جداً ، وستحصل على فكرة عن مدى القلق الذي قد يحدثه هذا الأمر.



3 3. سرقة كلمات المرور باستخدام Google Glass و Smartwatches والهواتف الذكية وكاميرات الفيديو

هناك العديد من الطرق لسرقة كلمة مرور ، ولكن هناك طريقة جديدة تتيح للأشرار (أو وكالة حكومية) تمييز ضغطات المفاتيح دون رؤية الشاشة أو تثبيت البرامج الضارة. عرض أحد المقدمين في Black Hat نظامه الجديد الذي يقرأ كلمات المرور تلقائيًا بدقة 90 بالمائة. حتى أنه يعمل عندما يكون الهدف على مستوى الشارع والمهاجم أربعة طوابق لأعلى وعبر الشارع. تعمل الطريقة بشكل أفضل مع كاميرات الفيديو الرقمية ، ولكن وجد الفريق أنه يمكن استخدام الهواتف الذكية والساعات الذكية وحتى Google Glass لالتقاط مقاطع فيديو قابلة للاستخدام في المدى القصير. ثقوب الزجاج ، في الواقع!

الصورة عبر فليكر المستخدم تيد ايتان



4 4. نسيت برنامج ماستركي ، تعرف على هوية مزيفة

لقد تحول Jeff Forristal إلى رؤساء العام الماضي عندما كشف النقاب عن ثغرة ما يسمى MasterKey والتي قد تسمح للتطبيقات الخبيثة بتمريرها كتطبيقات شرعية. هذا العام ، عاد مع Fake ID ، الذي يستفيد من العيوب الأساسية في بنية أمان Android. على وجه التحديد ، كيف تقوم التطبيقات بتوقيع الشهادات وكيف يعالج Android تلك الشهادات. النتيجة العملية هي أنه مع تطبيق ضار واحد لا يتطلب أذونات خاصة ، كان Forristal قادرًا على ضخ تعليمات برمجية ضارة في خمسة تطبيقات شرعية على الهاتف. من هناك ، كان لديه وصول عميق ونظرة ثاقبة حول ما كان عليه الهاتف المصاب.

الصورة عبر مستخدم فليكر JD Hancock



5 5. يمكن أن يأخذ USB الشرير جهاز الكمبيوتر الخاص بك

لقد سمعت أن محركات أقراص USB يمكن أن تكون خطيرة إذا فشلت في تعطيل التشغيل التلقائي. أحدث تهديد قائم على USB أسوأ بكثير. من خلال اختراق البرامج الثابتة لمحرك أقراص USB ، تمكن زوج من الباحثين من إدارة مجموعة كبيرة من الاختراقات على أجهزة Windows و Linux ، بما في ذلك ما يعادل فيروس قطاع التمهيد. محاكاة محرك الأقراص USB gimmicked لوحة مفاتيح USB وأمر نظام اختبار واحد لتحميل البرامج الضارة. لقد قدمت لوحة وصل Ethernet وهمية في اختبار آخر ، لذلك عندما زار الضحية PayPal في المستعرض ، انتقل فعليًا إلى موقع PayPal محاكي سرقة كلمة المرور. لم يكن هذا مجرد تمرين نظري. أظهروا هذه وغيرها من الخارقة على خشبة المسرح. لن ننظر أبدًا إلى جهاز USB بنفس الطريقة مرة أخرى!

الصورة عبر فليكر المستخدم Windell Oskay



6 6. هل لديها راديو؟ هيا بنا!

قد يبدو الراديو كأنه تقنية قديمة في عصر الإنترنت ، لكنها لا تزال هي أفضل طريقة لأجهزة مثل أجهزة مراقبة الأطفال وأنظمة أمان المنزل وأجهزة بدء تشغيل السيارات عن بُعد لنقل المعلومات لاسلكيًا. وهذا يجعلها هدفًا رئيسيًا للمتسللين. في حديث واحد ، أوضح سيلفيو سيزار كيف هزم كل واحد من هؤلاء بدوره باستخدام راديو محدد بالبرمجيات وقليل من حماسة الهواة. لم يكن حديثه الوحيد على الراديو المحدد بالبرنامج. أخبر بالينت سيبر الحشود كيف استطاع الاستماع إلى أطباق رادار حركة المرور الجوية وتعقب الأجسام القريبة من مستوى سطح الأرض. ليس تماما مخيف ، ولكن جدا ، رائع جدا.

صورة عبر مستخدم فليكر Martin Fisch



7 7. لا يمكننا إيقاف البرامج الضارة للحكومة

لقد سمعت عن دودة Stuxnet التي ترعاها الحكومة والتي خربت البرنامج النووي الإيراني ، والجنرالات الصينيون الذين رفعوا دعوى قضائية ضد حكومتنا بسبب الاختراق ، وأكثر من ذلك. حذر رئيس قسم الأبحاث في F-Secure Mikko Hypponen من أن البرامج الضارة التي ترعاها الحكومة موجودة منذ فترة أطول مما تدرك وسوف تزيد مع مرور الوقت. مع موارد الدولة القومية التي تقف وراءها ، يمكن أن يكون من المستحيل تقريبًا إيقاف هذه الهجمات. خشية أن تعتقد أن حكومتنا لن تنحدر بشدة ، فقد انقلب على مجموعة من الوظائف الشاغرة من قبل المقاولين العسكريين الذين يبحثون على وجه التحديد عن البرامج الضارة واستغلال الكتاب.

الصورة عبر Flcikr المستخدم كيفن بوركيت



8 8. واحد انتقد المأجورون القراء بطاقة الائتمان

بعد خروقات البيع بالتجزئة في عامي 2013 و 2014 ، يتحدث الجميع عن الإصدار الحالي لبطاقات الرقائق والرقم السري. اتضح أنه ما لم نغير طريقة عمل طريقة الدفع ، فإننا نتداول فقط في مجموعة واحدة من المشاكل مع مجموعة أخرى. لقد رأينا أيضًا كيف يمكن اختراق أجهزة نقاط البيع المحمولة التي تتعامل مع بطاقات الشريحة ورمز PIN باستخدام البطاقات المصممة بشكل ضار. يمكن للمهاجمين فقط تمرير بطاقة في القارئ وتحميل حصان طروادة الذي يحصد أرقام التعريف الشخصية على القارئ نفسه. ثم تقوم البطاقة المارقة الثانية بنسخ الملف الذي يحتوي على المعلومات التي تم حصادها. يمكن أن تحذف البطاقة الثانية طروادة ، وقد لا يكون بائع التجزئة مدركًا للخرق! هذا يكفي لجعلنا نرغب في العودة إلى مجتمع قائم على النقد تقريبًا.

الصورة عبر مستخدم Flickr Sean MacEntee



9 9. محرك الشبكة لديك يتجسس عليك

لقد ركزنا كثيرًا من الاهتمام مؤخرًا على أجهزة التوجيه المنزلية وكيف يهاجمها المهاجمون. يتضح أن أجهزة التخزين المرفقة بالشبكة هي بنفس المشاكل ، إن لم تكن أكثر من ذلك ، وفقًا لجاكوب هولكومب من "مقيمي الأمن المستقلين". نظر إلى أجهزة NAS من 10 شركات مصنّعة - Asustor و TRENDnet و QNAP و Seagate و Netgear و D-Link و Lenovo و Buffalo و Western Digital و ZyXEL - ووجد ثغرات في جميع هذه الأجهزة. تتمثل المشكلات في العيوب الشائعة ، مثل حقن الأوامر وتزوير الطلبات عبر المواقع وتجاوزات المخزن المؤقت وتجاوزات المصادقة وإخفاقها والكشف عن المعلومات وحسابات الباب الخلفي وإدارة الجلسة الضعيفة وتوجيه الدليل. من خلال الجمع بين بعض هذه المشكلات ، يمكن للمهاجمين التحكم الكامل في الأجهزة. ما هو على NAS الخاص بك؟

الصورة عبر فليكر المستخدم wonderferret



10 10. الهجمات على الأجهزة الطبية: مسألة حياة أو موت

لم يضحك أحد في صناعة أمن المعلومات من أنباء أن أطباء نائب الرئيس السابق ديك تشيني يشعرون بالقلق من تعرض منظم ضربات القلب للقرصنة. نظرت الأجهزة الطبية المستديرة في بلاك هات في كيفية تحقيق التوازن بين صحة المريض والأمن. آخر شيء نريده هو الأمن الذي يبطئ الرعاية الصحية ، حيث يمكن أن تعني الثواني الفرق بين الحياة والموت ، كما أشار مدير الجلسة جاي رادكليف. إن الإدراك الرصين بأنه لا يمكننا استخدام أفضل ممارسات الأمان الطبيعية للأجهزة الطبية تابعنا إلى DEF CON ، حيث ناقش باحثون من SecMedic مشروعًا يبحث في نقاط الضعف في جميع أنواع الأجهزة ، بما في ذلك أجهزة تنظيم ضربات القلب . الجزء الأكثر رعبا؟ تم العثور على العديد من هذه العيوب في غضون ساعة ، وذلك باستخدام أدوات مفتوحة المصدر. الآن أنت حقاً لا تريد الذهاب إلى المستشفى ، أليس كذلك؟

عن طريق فليكر المستخدم فالين Ooi