بيت المميزات قبعة سوداء 2017: أفضل (وأكثر رعبا) الخارقة

قبعة سوداء 2017: أفضل (وأكثر رعبا) الخارقة

جدول المحتويات:

فيديو: سكس نار Video (شهر نوفمبر 2024)

فيديو: سكس نار Video (شهر نوفمبر 2024)
Anonim

يمثل مؤتمر القبعة السوداء فرصة للباحثين والمتسللين وأي شخص قريب من عالم الأمن للتجمع والتعلم من بعضهم البعض. إنه أسبوع من الجلسات والتدريب ، ولا محالة ، بعض القرارات الضعيفة في منطقة لاس فيغاس الكبرى.

في عامها العشرين ، بدأت Black Hat 2017 بشكل عاكس. نظر أليكس ستاموس ، ممثل منظمات المجتمع المدني على Facebook ، إلى الوراء في أيامه الأولى في المؤتمر. بالنسبة له ، كان مكانًا مقبولًا وللتعلم من المجتمع. تحدى هذا المجتمع نفسه ليكون أكثر تعاطفا ، والاستعداد للجيل القادم من المتسللين من خلال الترحيب بمزيد من التنوع.

كانت جلسات القبعة السوداء دائمًا المكان المناسب لرؤية أمثلة مفاجئة ، وأحيانًا مرعبة ، لأبحاث الأمن. لقد رأينا هذا العام كيفية خداع واجهة الويب الخاصة بـ Apple Pay ، وكيفية إسقاط لوح hoverboard باستخدام ulstrasound ، وتعلمنا مدى تعرض مزارع الرياح للهجوم السيبراني.

شهدت إحدى الجلسات عودة ثلاثة من المتسللين من Tesla Model S ، الذين تعرضوا لهجمات جديدة. من المؤكد أن تستمر أبحاثهم مع زيادة ارتباط السيارات. أيضا هدف كبير القراصنة؟ الطابعات.

بحث آخر ملحوظ في مهاجمة البنية التحتية الصناعية. مع هجومين ناجحين على شبكة الطاقة الأوكرانية العام الماضي ، فإن تأمين البنية التحتية الحيوية مثل محطات الطاقة والمصانع يمثل مشكلة رئيسية. هذه المرة ، رأينا كيف يمكن استخدام الفقاعات - نعم ، الفقاعات العادية - كحمولة خبيثة لتدمير المضخات البالغة الأهمية والمكلفة.

ربما كان أبرز الإنجازات التي حققها معرض هذا العام في مجال تحليل التشفير. باستخدام تقنيات متطورة ، تمكن فريق من إنشاء أول تصادم للتجزئة SHA-1. إذا لم تكن متأكدًا مما يعنيه ذلك ، فاقرأ لأنه رائع جدًا.

بعد 20 عامًا ، ما زالت Black Hat هي المرحلة الأولى للمتسللين. لكن المستقبل غير مؤكد. لقد تحولت الهجمات الإلكترونية للدولة القومية من نادرة إلى حدوث منتظم ، والمخاطر أكبر من أي وقت مضى. كيف سنتعامل مع ذلك لا يزال غير واضح ؛ ربما ستحصل Black Hat 2018 على الإجابات. حتى ذلك الحين ، تحقق من بعض اللحظات الجذابة من Black Hat لهذا العام أدناه.

    1 أكبر وأكبر

    للاحتفال بالذكرى العشرين للمعرض ، عُقدت الكلمة الرئيسية في ملعب ضخم بدلاً من قاعة مؤتمرات كبيرة. نما المعرض على قدم وساق في السنوات القليلة الماضية.

    2 ضحية النجاح

    كان الازدحام في الممرات مشكلة في معرض هذا العام ، ولم تكن حالات مثل الحالة المذكورة أعلاه غير شائعة.

    3 تحدي مجتمع الأمن

    ألقى Alex Stamos على Facebook CSO الكلمة الرئيسية لـ Black Hat لعام 2017 في خطاب كان بمثابة ثناء على أجزاء من الجو المشابه لعائلة الأمان في مجتمع الأمن وتحدي القيام بعمل أفضل. ودعا الجمهور إلى أن يكون أقل نخبوية ، وأن يدرك أن مخاطر الأمن الرقمي قد ارتفعت ، مشيرًا إلى دور هجمات القرصنة والمعلومات في انتخابات الولايات المتحدة عام 2016.

    4 طائرات هجوم بالموجات فوق الصوتية الطائرات بدون طيار ، Hoverboards

    تستخدم الأجهزة أجهزة استشعار لفهم العالم المحيط بها ، لكن بعض هذه المستشعرات عرضة للتلاعب. أوضح أحد فريق البحث كيف يمكنهم استخدام الموجات فوق الصوتية للتسبب في تذبذب الطائرات بدون طيار ، وإزاحة hoverboards وأنظمة VR تدور بشكل لا يمكن السيطرة عليه. الهجوم محدود الآن ، وقد تكون التطبيقات بعيدة المدى.

    5 هل فقاعات مستقبل القرصنة؟

    ربما لا ، لكن مارينا كروتوفيل أوضحت كيف يمكن استخدام مهاجمة نظام الصمام في مضخة مياه لإنشاء فقاعات تقلل من كفاءة مضخة المياه وتسبب بمرور الوقت في أضرار مادية تؤدي إلى فشل المضخة. مع عرضها التقديمي ، سعت Krotofil إلى إثبات أن الأجهزة غير الآمنة ، مثل الصمامات ، يمكن أن تهاجم الأجهزة الآمنة ، مثل المضخات ، من خلال وسائل جديدة. بعد كل شيء ، لا يوجد مكافحة الفيروسات للفقاعات.

    6 فضل علة والبيرة

    شهدت السنوات الأخيرة توسعًا في برامج مكافآت الأخطاء ، حيث تدفع الشركات للباحثين ، واختبار الاختراق ، والمتسللين مكافأة نقدية للإبلاغ عن الأخطاء. أخبر الباحث جيمس كيتل الحشود في جلسته كيف جمع طريقة لاختبار 50000 موقع في وقت واحد. كان لديه بعض المغامرات على طول الطريق ، لكنه كسب أكثر من 30،000 دولار في هذه العملية. وقال إن رئيسه أصر في البداية على إنفاق أي أموال يتم كسبها في المسعى الآلي على البيرة ، لكن في ضوء نجاح Kettle ، اختاروا التبرع بالأغلبية للجمعيات الخيرية وإنفاق القليل على البيرة.

    7 مهاجمة مزارع الرياح

    قاد الباحث جيسون ستاجز تقييمًا أمنيًا شاملاً لمزارع الرياح ، مما أدى بفريقه إلى إنشاء العديد من محطات توليد الطاقة التي تبلغ مساحتها 300 قدم. لم يكن الأمن المادي ضعيفًا فقط (أحيانًا مجرد قفل) ، ولكن الأمان الرقمي كان أضعف. طور فريقه العديد من الهجمات التي يمكن أن تعقد فدية مزارع الرياح وحتى التسبب في أضرار مادية. فكر في Stuxnet ، ولكن لشفرات الموت الهائلة الضخمة.

    8 Pwnie Express On Guard

    في العام الماضي ، أحضر Pwnie Express معداته الخاصة بمراقبة الشبكة واكتشف هجومًا كبيرًا على نقطة الوصول الشريرة تم تكوينه لتقليد شبكة صديقة للأجهزة المارة ودعوتهم للاتصال. هذا العام ، عملت Pwnie مع فريق أمان شبكة Black Hat ، لكنها لم تكتشف أي شيء كبير مثل هجوم العام الماضي - على الأقل ، لا شيء لم يكن جزءًا من تمرين تدريبي في جلسة Black Hat. كان مستشعر Pwn Pro واحدًا من عدة مستودعات وضعت طوال المؤتمر لمراقبة نشاط الشبكة.

    في

    9 لا تثق في الطابعة

    لطالما نظر الباحثون إلى طابعات الشبكات كأهداف رئيسية. إنها منتشرة في كل مكان ومتصلة بالإنترنت ، وغالبًا ما تفتقر إلى الأمن الأساسي. لكن جينس مولر أظهر أنه ما يهم في الداخل. باستخدام البروتوكولات التي تستخدمها كل طابعة تقريبًا لتحويل الملفات إلى مواد مطبوعة ، كان قادرًا على تنفيذ عدد من الهجمات. يمكنه استخراج مهام الطباعة السابقة ، وحتى تراكب النص أو الصور على المستندات. ستظل الهجمات التي حددها موجودة حتى يتخلص شخص ما في النهاية من هذه البروتوكولات القديمة.

    10 سوبر المصادم

    وظائف التجزئة موجودة في كل مكان ، ولكنها غير مرئية تقريبًا. يتم استخدامها للتحقق من العقود وتوقيع البرامج رقميًا وحتى تأمين كلمات المرور. تعمل دالة هاش ، مثل SHA-1 ، على تحويل الملفات إلى سلسلة من الأرقام والحروف ، وليس من المفترض أن يكون الرقمان متشابهان. لكن الباحث إيلي بورزتين وفريقه ابتكروا طريقة حيث ينتهي ملفان مختلفان بالعلامة نفسها. وهذا ما يسمى تصادم ، وهذا يعني أن SHA-1 ميت مثل مسمار الباب.

    11 القرصنة تسلا (مرة أخرى)

    في عام 2016 ، أظهر ثلاثة من الباحثين كيف تمكنوا من السيطرة على نموذج تسلا. هذا العام ، عاد الباحثون من تينسنت كينلاب للمشي من خلال هجومهم خطوة بخطوة. لكن الأمر لم يكن كل شيء: لقد درسوا أيضًا تخفيف تسلا لهجومهم الأولي وقدموا هجماتهم الجديدة ؛ عرض الفريق على زوج من السيارات وميض أضواءه وفتح أبوابه في الوقت المناسب للموسيقى.

    12 اختراق أبل الدفع على شبكة الإنترنت

    عندما أطلقت لأول مرة ، كتبت بشكل مكثف عن Apple Pay ، مشيدةً بتميزها في بيانات بطاقة الائتمان وكيف لم تتمكن Apple من تتبع مشترياتك. لكن تيمور يونس لم يكن مقتنعا. اكتشف أنه كان من الممكن الحصول على أوراق اعتماد وتنفيذ هجوم إعادة التشغيل باستخدام Apple Pay على الويب. من الأفضل أن تراقب فواتير بطاقات الائتمان هذه.

    13 السيطرة على الروبوتات الصناعية من عفار

    قدم ثلاثة من الباحثين ، يمثلون فريقًا من Politecnico di Milano و Trend Micro ، نتائجهم حول أمن الروبوتات. ليس لديك Roombas ودية ، ولكن الروبوتات الصناعية المجتهدة وقوية وجدت في المصانع. لقد وجدوا العديد من نقاط الضعف الحرجة التي قد تسمح للمهاجمين بالسيطرة على الروبوت ، وإدخال العيوب في عمليات التصنيع ، وحتى إلحاق الضرر بشركات التشغيل البشرية. الأمر الأكثر إثارة للقلق هو اكتشاف وجود الآلاف من الروبوتات الصناعية المتصلة بالإنترنت.

    14 ما التالي؟

    تم عمل Black Hat لمدة عام آخر ، ولكن مع وجود أمان رقمي أكثر وضوحًا وقيمة من أي وقت مضى ، فمن المؤكد أن السنة القادمة ستشهد بعض المفاجآت المثيرة للاهتمام.

قبعة سوداء 2017: أفضل (وأكثر رعبا) الخارقة