15 الأكثر رعبا في قبعة سوداء 2015

4 سرقة الملفات من السحابة

سرعان ما أصبحت خدمات التخزين السحابية مثل Dropbox و Google Drive أدوات أساسية لإنجاز العمل. هذا هو السبب في أن هجومًا جديدًا من قبل باحثين في Imperva يمكنه سرقة جميع ملفاتك من السحابة أمر مرعب للغاية. الأسوأ من ذلك هو أن Imperva يقول إن الهجوم لا يمكن اكتشافه من خلال الدفاعات المحيطة وأدوات الأمان التقليدية لنقطة النهاية.

الجزء الذكي من هذا الهجوم هو أنه يتجنب مشاكل الاضطرار إلى سرقة بيانات اعتماد الضحية المحتملة أو المساس بمنصة السحابة نفسها. بدلاً من ذلك ، يحيل المهاجم الضحية إلى تثبيت برامج ضارة تعيد توجيه النسخة المخزنة محليًا من الملفات السحابية إلى خادم مختلف ، يقوم الكمبيوتر الخاص بك بتسليم جميع ملفاتك المهمة بسعادة.

5 السيطرة على الهاتف الروبوت الخاص بك

أحصنة طروادة للوصول عن بُعد ، أو RATs ، اسمح للمهاجم بالوصول عن بُعد إلى الهاتف أو الكمبيوتر كما لو كانوا يجلسون أمامه. يمكنهم مشاهدة ما تراه ، وحتى التقاط الصور ، والاستماع باستخدام الميكروفون ، أو تصوير الفيديو دون علمك. إنه من بين أكثر أنواع البرامج الضارة رعباً ، ويقول الباحثون إنهم وجدوا طريقة للوصول إلى هذا النوع من الوصول إلى ملايين أجهزة Android.

المشكلة هي أن بعض الشركات المصنعة أندرويد تشمل المكونات الإضافية الخاصة التي عادة ما تكون نائمة حتى يتم الاتصال بخدمة الدعم عن بعد مثل LogMeIn أو TeamViewer. ثم يتم تشغيل المكون الإضافي ويسمح للشركة بالوصول إلى جهاز Android كما لو كان وكيل الدعم حيث يستخدم الهاتف. اكتشف باحثو Check Point Ohad Bobrov و Avi Bashan كيفية استخدام هذه المكونات الإضافية من أجل الشر ، مما أتاح لهم التحكم في هواتف Android. أسوأ جزء؟ لأن هذه المكونات الإضافية مثبتة من قبل الشركات المصنعة ، لا يوجد شيء يمكنك القيام به لحماية نفسك.

6 Stagefright يسرق المعرض

تم الكشف عن Stagefright قبل الكشف عن Black Hat من قِبل باحث Zimperium Josh Drake ، وهو ثغرة جديدة مخيفة كبيرة في نظام Android. كم حجم؟ يُعتقد أنه يؤثر على 95 بالمائة من جميع أجهزة Android. كيف مخيف؟ أظهر دريك أنه قادر على جعل هواتف أندرويد تنفذ الشفرة فقط عن طريق إرسال رسالة نصية. إلى جانب النوع الصحيح من الهجوم ، فإن هذا يمكن أن يكون مدمرا.

كان دريك في متناول اليد في Black Hat للحديث عن Stagefright ومن أين جاء وما اكتشفه أثناء البحث. وكانت إحدى الوجبات الكبيرة هي أن قاعدة كود أندرويد هائلة وتحتاج إلى مزيد من الاهتمام. وقال دريك "ربما لا يكون هذا هو الكود الوحيد الذي كتب على عجل".

كان يحضر أيضًا Black Hat رئيس أمن Google في Google ، أدريان لودفيج (في الصورة أعلاه). أقر بنطاق Stagefright ، لكنه أعلن أن Google وشركائها كانوا يبذلون مجهودًا كبيرًا بنفس القدر لحماية Android من استغلال Stagefright. كما أبرز لودفيج العمل الذي قامت به Google بالفعل للحفاظ على أمان Android. في مواجهة العديد من الهجمات ، وقال أن الروبوت لا يزال قويا.

7 التقطيع بندقية تعمل بالطاقة لينكس

قريبًا ، ستكون إنترنت الأشياء حولنا. في الواقع ، إنه بالفعل (ينظر إلى أجهزة التلفزيون وأجهزة التوجيه الذكية الخاصة بك!). ولكن هناك بعض الأماكن التي بدأت فيها التكنولوجيا المتصلة بالإنترنت للتو في التقدم ، مثل الأسلحة النارية. اشترت رونا ساندفيك وباحثها المشارك مايكل أوجر ، وهزمت ، واختراق بنجاح بندقية ذكية تتبع. في ظل الظروف العادية ، تساعدك هذه البندقية في ضرب بصمتك في كل مرة. تحت سيطرة المتسلل ، يمكن قفله ، وجعله يفوت الأهداف ، وحفزه على ضرب أهداف أخرى.

شيء واحد كان واضحا من عمل ساندفيك وأوجر هو أن اختراق البندقية لم يكن بالأمر السهل. لقد استغرقوا بعض الوقت لتوضيح الأشياء العديدة التي قامت بها Tracking Point بشكل صحيح ، وتقديم اقتراحات للصناعة حول كيفية تحسين أجهزة IOT. ربما سيؤدي اختراق هذه البندقية في يوم من الأيام إلى عالم به محامص أكثر أمانًا.

يمكن للمتسللين 8 تمثال منزلك متصلة مفتوحة على مصراعيها

يتيح لك نظام ZigBee للتشغيل الآلي للمنزل التحكم في أقفال الأبواب والمصابيح وترموستات الباب بسهولة ، ولكنه قد يمتد هذا التحكم أيضًا إلى المتسللين. في عرض تقديمي دراماتيكي ، أوضح الباحثان توبياس زيلنر وسيباستيان ستروبل كيف يمكنهم السيطرة على الأنظمة القائمة على ZigBee.

يبدو أن الخطأ لا يقع على عاتق ZigBee ولكن مع البائعين الذين يستخدمون نظام الاتصال الخاص به. يوفر ZigBee العديد من أدوات الأمان لضمان أن الأشخاص المناسبين فقط هم الذين يتحدثون مع الأجهزة. لكن البائعين ببساطة لا يستخدمون هذه الأدوات ، بدلاً من ذلك يعتمدون على نظام نسخ احتياطي أقل أمانًا. لحسن الحظ ، إنه هجوم صعب يجب عليك الانسحاب منه ، لكن الشركات المصنعة للأجهزة تحتاج إلى زيادة لعبتها الجماعية.

9 ما مدى أمان بصمة إصبعك؟

تشمل المزيد والمزيد من الأجهزة المحمولة أجهزة استشعار بصمات الأصابع ، وفي المستقبل يمكننا أن نتوقع المزيد من الأنواع الغريبة من المصادقة البيومترية أيضًا. ولكن قد لا يتم تخزين بيانات بصمة الإصبع الخاصة بك بأمان على هاتفك ، وقد يتعرض القارئ نفسه لهجوم من قراصنة الكمبيوتر. قدم باحثو FireEye Tao Wei و Yulong Zhang أربع هجمات يمكن أن تسرق بيانات بصمتك. هذه ليست صفقة كبيرة ، شريطة ألا تنفد أصابعك.

من بين الهجمات الأربعة التي قدمها تشانغ ، كان هجومان مثيران للاهتمام بشكل خاص. الأول أظهر كيف يمكن للمهاجم ، باستخدام الأدوات الصحيحة ، محاكاة ساخرة ببساطة لإلغاء قفل الشاشة من أجل خداع الضحية في تمرير إصبعه على الماسح الضوئي. بسيط! يمكن للهجوم الآخر الأكثر تعقيدًا الوصول إلى البيانات من الماسح الضوئي لبصمات الأصابع دون الحاجة إلى اقتحام قطاع TrustZone الآمن بجهاز Android. على الرغم من أنه تم تصحيح الثغرات التي وجدها Zhang و Wei ، إلا أنه من المحتمل أن يتم اكتشاف الكثير منها. (صورة )

10 من الصعب حقا اختراق 10 مصنع كيميائي

في واحدة من أكثر العروض التقديمية تعقيدًا في بلاك هات ، وصفت مارينا كروتوفيل كيف يمكن للمهاجمين إحضار مصنع كيميائي إلى ركبتيه من أجل المتعة والربح. حسنا ، الربح في الغالب. العملية مليئة بالتحديات الفريدة ، وأكبرها هو معرفة كيفية فهم الأعمال الداخلية المعقدة للمصنع ، حيث تتحرك الغازات والسوائل بطرق غريبة لا يمكن تتبعها بسهولة بواسطة الأجهزة الإلكترونية المتاحة للقراصنة. ثم هناك حاجة للتعامل مع الفيزياء المزعجة للمصنع. قم بخفض ضغط الماء بدرجة كبيرة وقد يصل الحمض إلى درجة حرارة حرجة ، واجذب الانتباه إلى الهجوم.

كان الجزء الأكثر رعبا من عرض Krotofil هو حقيقة أن المتسللين قاموا بالفعل بابتزاز الأموال من المرافق والنباتات في الماضي ، ولكن تلك المعلومات لم تكن متاحة للباحثين. (صورة )

11 جمعية المستقبل الآمنة

خلال خطابها الرئيسي ، وصفت المحامية الشهيرة جنيفر غرانيك كيف فقدت روح الهاكر الخاصة بالتقدم الاجتماعي من خلال التكنولوجيا بسبب الرضا عن النفس والرقابة الحكومية ومصالح الشركات. وقالت إن الحلم المتمثل في وجود إنترنت مجاني ومفتوح يجعل المعرفة والتواصل سلسًا وتآكلًا العنصرية والكلاسيكية والتمييز بين الجنسين لم يتحقق بالكامل ويتلاشى سريعًا.

ووصفت خوفها من أن تكنولوجيا المعلومات ستخلق عالما يستخدم فيه تحليل البيانات في كل شيء. وقالت إن هذا من شأنه أن يعزز هياكل السلطة القائمة ويؤذي الحالات الهامشية أكثر من غيرها. كما حذرت من استخدام الحكومات للأمن كوسيلة لإسقاط السلطة ، وخلق أصحاب الأمن والأمان. أشياء مخيفة.

12 كيف لا يتم القبض عليك

واحدة من أكثر الجلسات التي تحدث حولها بين الحاضرين في Black Hat كانت إحدى الدورات التي استضافتها وزارة العدل. بالنسبة للشخص العادي ، بدا الأمر باهتًا ، لكن هذه الجلسة الحيوية سعت إلى تثقيف الجمهور وتوضيح كيف يمكن للمتسللين مواصلة عملهم دون خرق القانون.

أوضح ليونارد بيلي ، المستشار الخاص للأمن القومي التابع لوزارة العدل في قسم جرائم الحاسوب والملكية الفكرية بالوكالة ، للحضور كيف يمكنهم إجراء عمليات فحص الضعف واختبارات الاختراق بأمان. لكن الأهم من ذلك هو الجهود التي تبذلها وزارة العدل للتأكد من أن إنفاذ القانون ليس له تأثير تقشعر له الأبدان في البحوث الأمنية.

13 المهاجمين على الشبكة

لا تثق في شبكة القبعة السوداء. هناك الكثير من الأشخاص حول الشبكة ويستخدم العديد من الحاضرين الفرصة لتجربة الحيل والتقنيات الجديدة التي تعلموها خلال الأسبوع. قامت Fortinet بإدارة مركز العمليات الأمنية لـ Black Hat هذا العام ورصدت جميع الأنشطة على كل من الشبكات السلكية واللاسلكية في الموقع. على الرغم من وجود الكثير من الشاشات التي توضح التطبيقات قيد التشغيل ، إلا أن الجزء الأكبر من التحليل قام به فريق من المتطوعين المتخصصين في مجال الأمن. حصل فصل واحد ، يتعلم تقنيات هجوم اختراق الويب المتقدمة ، على بعض الشيء ، مما دفع مزود خدمة الإنترنت إلى استدعاء فريق العمليات لإعلامهم بالتوقف.

14 إيقاف مكالمات روبو

لم يكن هذا في القبعة السوداء ، ولكن DEF CON. Humanity Strikes Back هي مسابقة FTC في DEF CON حيث قام المتسللون بإنشاء برامج مكافحة robocall. كانت الفكرة هي إنشاء أداة لتحليل صوت المكالمة وإذا تم تحديد أن المكالمة عبارة عن مكالمة آلية ، لحظرها من المستخدم النهائي وإعادة توجيه المكالمة إلى مصيدة مخترقة الشبكات. أظهر اثنان من المتسابقين النهائيين برنامجهما في مكتب السياق خلال DEF CON ، بينما قدم هذا الروبوت بفرح عطلات الرحلات البحرية المجانية إذا ضغطت على 1.

15 كيف تصبح هاكر

الآن بعد أن عرفت كيف لا يتم القبض عليك لأغراض البحث الأمني ​​، فربما تكون مهتمًا باللعب ببعض أدوات الاختراق الخاصة بك؟ أدخل Kali Linux ، منصة قابلة للتخصيص تتيح لك الاستمتاع بجميع أنواع المرح.

يُقصد بـ Kali Linux أن يكون سهلاً ، لكن الأهم من ذلك هو أن تكون مرنًا. يمكنك إضافة أو إزالة أدوات لاختبار البرامج الضارة ، واختبار الشبكة ، واختبار الاختراق - سمها ما شئت. يمكنك حتى تثبيت الأدوات على Raspberry Pi لاختبار الأمان أثناء التنقل.