قبعة سوداء 2018: ما يمكن توقعه

مع ارتفاع درجات الحرارة في فصل الصيف ، يتوجه باحثو الأمن والحراس السياسيون ونخبة الصناعة إلى لاس فيغاس لحضور مؤتمر القبعة السوداء ، يليه على الفور السلف الأكثر طوابقًا ، وهو DefCon.

إنه احتفال مدته أسبوع كامل لكل ما يتعلق بـ infosec ، حيث يحاول الباحثون ربط بعضهم البعض مع بعضهم البعض بعروض تقديمية حول أحدث نقاط الضعف الأكثر رعبا. بعد حلول الظلام ، تتحول الحفلات المذهلة إلى أشخاص يقذفون عرضًا بعبارات مثل "لقد اجتاحنا مجال أجهزة الاستماع ووجدنا ثلاثة!" في خضم كل هذا ، سيكون كل من مراسلي PCMag المتواضعين هما Max Eddy و Neil Rubenking ، متمسكين بإحكام بالمشروبات المظلية الورقية حيث تهمس الأسرار الأمنية في آذانهم.

تشتهر Black Hat ببراعة أزياءها بقدر أبحاثها. لقد شهدت السنوات السابقة بنادق Linux التي تم اختراقها ، وصرف أجهزة الصراف الآلي بقيمة 100 دولار ، وهواتف تعمل بالأقمار الصناعية غير آمنة ، وسيارات "ذكية" عالية التقنية يقودها الباحثون.

إليك ما نتطلع إليه في Black Hat's 21st ، ونراقب SecurityWatch للأحدث من Black Hat 2018.

جوجل في دائرة الضوء

سيتم تسليم الكلمة الرئيسية لهذا العام من قبل باريسا تبريز ، مديرة الهندسة في Google. سيركز حديث تبريز على تبني أفكار جديدة للأمان حتى عند العمل على نطاق هائل ، ومن المؤكد أنه سيتطرق إلى عملها مع متصفح Chrome.



اختراق السيارات يعود (نوع من)

بعد هجومهم الذي استحوذ على العناوين الرئيسية والذي دفع حرفي سيارة جيب بعيدًا عن الطريق ، قال تشارلي ميلر وكريس فالاسيك إنهم أداروا مفاتيح اختراق سياراتهم للأبد. هذا هو ، حتى تورطوا في المركبات ذاتية القيادة. من المؤكد أن الحديث عن مخاطر السيارات ذاتية الحكم التي يرأسها ملوك هجمات السيارات من المؤكد أن يجذب الانتباه.



القرصنة البشر

هناك نكتة شائعة (إذا تم رفضها) بين المتخصصين في مجال الأمن تقول "أكبر ثغرة أمنية في أي نظام هي بين الكرسي والكمبيوتر." يتم خداع الناس بسهولة مثل أجهزة الكمبيوتر (ربما أكثر سهولة) ، ومن المؤكد أن الهندسة الاجتماعية ستكون موضوعًا رئيسيًا. هذا صحيح بشكل خاص لأن المزيد من المنظمات تواجه الحرج من الخضوع لهجمات التصيد. لا أحد يريد أن يكون اللجنة الوطنية الديمقراطية حوالي عام 2016 ، ويتم رش وصفات الاقتتال والريزوتو على شبكة الإنترنت.



التشفير و VPNs

بالحديث عن التجربة ، تعد الشبكات الافتراضية الخاصة (VPN) سلعة ساخنة في صناعة الأمن. أدت الاضطرابات العالمية والرغبة في الوصول إلى مقاطع الفيديو المجانية عبر الإنترنت إلى زيادة شعبية هذه الأداة الأمنية التي كانت في يوم من الأيام مُغفل عنها. نظرًا لشعبيتها الحديثة وشفافية الشركات المعنية ، نتوقع من المتسللين التركيز على خدمات VPN.

وبالمثل ، فإن التشفير هو التكنولوجيا التي تجعل كل شيء يعمل عبر الإنترنت ، من الحفاظ على الأسرار سرية للتحقق من هوية الأفراد. إنها أداة قوية وأيضًا هدف مثير. من المؤكد أن الباحثين في المؤتمر سيقدمون عملًا حول كيفية فك التشفير أو إضعافه أو التحايل عليه بطريقة أخرى. لا نتوقع أي شيء جديد مثل تصادم تجزئة SHA-1 ، ولكن الحديث عن هجوم على قناة جانبية لسرقة مفاتيح التشفير من أجهزة التوجيه يبدو مثيراً.



كسر (أو استخدام) Blockchain

Cryptocur العملات هي أعزاء العالم السفلي على الإنترنت وكذلك مستثمري التكنولوجيا. تجعل قيمتها النقدية ووجودها الرقمي أهدافًا سهلة للمتسللين ، وهو موضوع بضع جلسات هذا العام. ولكن استخدام تقنية blockchain الأساسية كوسيلة لتخزين المعلومات وإقامة الثقة عبر الإنترنت قد ينتج عنه البحث الأكثر إثارة للاهتمام. ستركز بعض الجلسات على كيفية مهاجمة أسس التشفير ، للأغراض الشائنة.



هاك التصويت

المحاولات الروسية للتأثير على انتخابات الولايات المتحدة لعام 2016 هي حقيقة واقعة ، وفقًا لوكالة الاستخبارات الأمريكية وتطبيق القانون. إنها أكبر قصة لأمن المعلومات منذ تسريب سنودن ، وما زالت مستمرة. على الرغم من أننا لم نر الكثير حول هذا الموضوع في العام الماضي ، فإن أجهزة اختراق القرصنة وأجهزة التصويت الضعيفة هي مواضيع دائمة في Black Hat ، لذلك توقعها هذا العام أيضًا. تبحث إحدى الجلسات البارزة في كيفية استخدام الرسم البياني الاجتماعي الحالي لكشف رموز برامج Twitter الروسية.



المصادقة الثنائية: Godsend أم لعنة؟

قامت Google مؤخرًا بعمليات التصيد الاحتيالي باستخدام الأجهزة المادية ثنائية العوامل ، وأدخلت خط مفاتيح الأمان الخاص بها في مؤتمرها التالي. لكن كل حل لمشكلة أمنية يمثل فرصة جديدة للباحث للتباهي بها. نحن متأكدون من رؤية بعض الهجمات على أنظمة 2FA.



القرصنة في القرن 21st

تعد Black Hat و DefCon أكبر أحداث العام للمحترفين الأمنيين والمتسللين للهوايات ، لذا فقد حان الوقت لإلقاء نظرة على المجتمع ككل. على الرغم من الجهود التي بذلت لجعل أمن المعلومات والمؤتمرات أكثر ملاءمة للنساء والأشخاص ذوي الإعاقة والمعاقين وغيرهم من الفئات المهمشة غالبًا في مجال التكنولوجيا ، فإن هذه الفعاليات هي المكان الذي يلتقي فيه المطاط بالطريق. سيكون هناك أكثر من لقاءات قليلة من مجموعات مختلفة وجلسات تتناول كيفية جعل infosec أكثر ترحيباً. تتناول عدة جلسات قضايا الاكتئاب واضطراب ما بعد الصدمة في مجتمع القرصنة ، وهو موضوع لم تتم مناقشته في كثير من الأحيان.



كيفية اختراق محطة توليد كهرباء (أو محطة لمعالجة المياه ، أو مصنع ، أو شبكة كهرباء)

معظم المتسللين يخرجون للتو للحصول على ربح سريع ، لكن بعض المهاجمين (والجهات الفاعلة في الدولة القومية) يراقبون أعظم الجوائز: البنية التحتية. شهدت السنوات السابقة جلسات حول كيفية تدمير مصنع بالفقاعات والتكتيكات حول كيفية التخلص من الأنظمة المربكة والمفصلة التي تشكل معظم المجمعات الصناعية.