الأشياء الجيدة والمرعبة في القبعة السوداء 2016

إن Black Hat عبارة عن تجمع للباحثين والمتطفلين في مجال الأمن والصناعة الذين يجتمعون في لاس فيجاس للقيام بثلاثة أشياء: حدد الخطوط العريضة لأحدث التهديدات ، وأظهر كيف يمكن إلحاق الهزيمة بالرجال الطيبين والأشرار ، وشن هجمات على الحاضرين. شهد هذا العام الكثير من الهجمات المرعبة ، بما في ذلك الهجوم ضد الحاضرين ، إلى جانب اختراقات السيارات ، وطرق جديدة لسرقة الأموال من أجهزة الصراف الآلي ، ولماذا قد لا تكون المصابيح الذكية آمنة كما اعتقدنا. لكننا رأينا أيضًا الكثير من الأسباب للأمل ، مثل تعليم الأجهزة لتحديد الخوادم الخطرة ، واستخدام Dungeons و Dragons لتدريب الموظفين على التعامل مع التهديدات الأمنية ، وكيفية تعامل Apple مع أمان جهاز iPhone الخاص بك. لقد كان ، كما قيل ، عامًا رائعًا.

الخير

نعم ، أعلنت شركة Apple عن برنامج مكافآت الأخطاء في Black Hat. لكن تلك كانت آخر 10 دقائق من العرض التقديمي الذي قدمه إيفان كرستيتش ، رئيس هندسة الأمن والهندسة المعمارية لشركة آبل. خلال الأربعين دقيقة السابقة ، قدم عرضًا عميقًا لم يسبق له مثيل في الطرق التي تحمي بها Apple أجهزة المستخدمين وبياناتهم ، سواء من المصانع أو من نفسه. ونعم ، فإنه ينطوي على استخدام خلاط صادقة إلى الله.

مع تزايد شعبية أجهزة Internet of Things ، أصبح المتخصصون في مجال الأمن أكثر وأكثر قلقًا. هذه هي ، في نهاية المطاف ، أجهزة مزودة بحواسيب صغيرة متصلة بالشبكات وقادرة تمامًا على تشغيل الكود. هذا حلم المهاجم. الخبر السار هو ، على الأقل في حالة نظام Philue's Hue ، من الصعب جدًا إنشاء دودة للقفز من المصباح إلى المصباح. الأخبار السيئة؟ يبدو من السهل جدًا خداع أنظمة Hue للانضمام إلى شبكة المهاجمين.

يتضمن كل تدريب أمني في كل نشاط تجاري تحذيرًا بأنه يجب على الموظفين عدم النقر على الروابط في رسائل البريد الإلكتروني من مصادر غير معروفة. ويواصل الموظفون خداعهم في النقر عليهم بغض النظر. خلصت الدكتورة زينة بننسون ، من جامعة إرلانجن-نورمبرغ ، إلى أنه ليس من المعقول توقع أن يقاوم الموظفون الفضول وغيرها من الدوافع. إذا كنت ترغب في أن يكونوا جيمس بوند ، يجب عليك وضع ذلك في الوصف الوظيفي ودفع لهم وفقا لذلك.

يمكن أن يكون الكثير من الأبحاث والتنفيذ في مجال الأمن شاقة للغاية ، لكن التقنيات الجديدة في التعلم الآلي قد تؤدي قريبًا إلى إنترنت أكثر أمانًا. قام الباحثون بتفصيل جهودهم في الأجهزة التعليمية لتحديد خوادم التحكم والتحكم في botnet ، والتي تسمح للأشرار بالسيطرة على مئات الآلاف (إن لم يكن الملايين) من أجهزة الكمبيوتر المصابة. يمكن أن تساعد الأداة في الحفاظ على غطاء لمثل هذا النشاط الشرير ، ولكن لم يكن كل البحوث الثقيلة. في ختام جلستهم ، أوضح الباحثون كيف يمكن استخدام أنظمة التعلم الآلي لإنشاء أغنية Taylor Swift مقبولة.

قد تكون شبكة الفنادق التي تعرف جيدًا في مؤتمر مستلزمات الحيوانات الأليفة ، ولكن ليس من أجل Black Hat. يحتوي المؤتمر على شبكة منفصلة بالكامل ومركز عمليات شبكة مثير للإعجاب لإدارته. يمكن للزوار الدخول من خلال الجدار الزجاجي في العديد من الشاشات المتوهجة ، وأفلام المتسللين ، وخبراء الأمن على المدى الطويل في NOC ، والتي يتم تجميعها بالكامل ونقلها حول العالم إلى مؤتمر Black Hat التالي.

لا يمكن للفائزين في أمن تكنولوجيا المعلومات والمتسللين ذوي القبعة البيضاء الحصول على ما يكفي من التدريبات الأمنية ، لكنهم ليسوا هم الذين يحتاجون إليها حقًا. لا يفهم موظفو المبيعات وفريق الموارد البشرية وطاقم مركز الاتصال بالضرورة التدريبات الأمنية أو يقدرونها ، ومع ذلك ، فأنت بحاجة إليها حقًا لتكثيف لعبتهم الأمنية. اقترح الباحث Tiphaine Romand Latapie إعادة صياغة التدريب الأمني ​​باعتباره لعبة لعب الأدوار. لقد وجدت أنها ناجحة تمامًا ، وأسفرت عن مشاركة جديدة مهمة بين فريق الأمن وبقية الموظفين. الأبراج المحصنة والتنين ، أي شخص؟

احتيال مكالمة هاتفية مشكلة كبيرة. الحيل مصلحة الضرائب تقنع الأميركيين المطمئنين إلى مفترق نقدا. إعادة تعيين كلمة المرور الحيل خداع مراكز الاتصال في التخلي عن بيانات العملاء. قامت الأستاذة جوديث تابرون ، عالمة الطب الشرعي ، بتحليل مكالمات الاحتيال الحقيقية واستنبطت اختبارًا من جزأين لمساعدتك على اكتشافهم. قراءة هذا وتعلم ، حسنا؟ إنها تقنية بسيطة وجديرة بالاهتمام.

المخيف

تقوم Pwnie Express بتصنيع أجهزة تراقب المجال الجوي للشبكة بحثًا عن أي شيء غير مرغوب فيه ، وهذا شيء جيد أيضًا ، لأن الشركة اكتشفت هجومًا كبيرًا للرجل في Black Hat هذا العام. في هذه الحالة ، غيرت نقطة وصول ضارة SSID الخاص بها من أجل خداع الهواتف والأجهزة في الانضمام إلى الشبكة ، معتقدًا أنها شبكة آمنة وودية كان الجهاز قد شاهدها من قبل. وبذلك ، خدع المهاجمون حوالي 35000 شخص. على الرغم من أنه من الرائع أن تكون الشركة قادرة على اكتشاف الهجوم ، إلا أن كونها ضخمة جدًا هو تذكير بمدى نجاح هذه الهجمات.

في العام الماضي ، قدم تشارلي ميلر وكريس فالاسيك ما افترض الكثيرون أنه كان قمة مهن اختراقهم لسياراتهم. عادوا هذا العام بهجمات أكثر جرأة ، تلك التي هي قادرة على تطبيق الفرامل أو السيطرة على عجلة القيادة عندما تكون السيارة تتحرك في أي سرعة. يمكن تنفيذ الهجمات السابقة فقط عندما تكون السيارة تسير بسرعة 5 ميل في الساعة أو أقل. قد تشكل هذه الهجمات الجديدة خطراً كبيراً على السائقين ، ونأمل أن يتم تصحيحها بسرعة من قبل شركات صناعة السيارات. من جانبهم ، قال Valasek و Miller إنهم انتهوا من اختراق السيارات ، لكنهم شجعوا الآخرين على اتباع خطواتهم.

إذا كنت تشاهد Mr. Robot ، فأنت تعلم أنه من الممكن إصابة جهاز الكمبيوتر الخاص بالضحية من خلال طرح محركات أقراص USB حول ساحة انتظار السيارات. ولكن هل حقا العمل؟ قدمت إيلي بورزتين ، قائدة أبحاث مكافحة الغش وإساءة الاستخدام في Google ، محادثة من جزأين حول هذا الموضوع. الجزء الأول بالتفصيل دراسة أظهرت بوضوح أنها تعمل (ومواقف السيارات أفضل من الممرات). أوضح الجزء الثاني ، بتفصيل كبير ، كيفية إنشاء محرك أقراص USB يستحوذ تمامًا على أي جهاز كمبيوتر. هل تدون الملاحظات؟

كانت الطائرات بدون طيار عنصرًا ساخنًا في موسم التسوق في العطلة الأخيرة ، وربما ليس فقط للمهوسين. أظهر عرض تقديمي كيف يمكن استخدام DJI Phantom 4 للتشويش على الشبكات اللاسلكية الصناعية والتجسس على الموظفين والأسوأ من ذلك. الحيلة هي أن العديد من المواقع الصناعية الحرجة تستخدم ما يسمى "فجوة الهواء" لحماية أجهزة الكمبيوتر الحساسة. في الأساس ، هذه شبكات وأجهزة معزولة عن الإنترنت الخارجي. لكن الطائرات الصغيرة بدون طيار يمكن أن تجلب الإنترنت إليها بدلاً من ذلك.

التعلم الآلي هو على أعتاب ثورة العديد من الصناعات التقنية ، والتي تشمل المحتالين. أظهر الباحثون في Black Hat كيف يمكن أيضًا تعليم الآلات لإنتاج رسائل تصيد رمح فعالة للغاية. تحدد أداتهم أهدافًا ذات قيمة عالية ، ثم تجوب تغريدة الضحية من أجل صياغة رسالة ذات صلة ويمكن النقر عليها بشكل لا يقاوم. لم ينشر الفريق أي شيء ضار مع روبوته غير المرغوب فيه ، ولكن ليس من الصعب تخيل المحتالين الذين يتبنون هذه التقنيات.

تتوقع خدمة الواي فاي المجانية في أحد الفنادق ، وقد تكون ذكيًا بما يكفي لإدراك أنها ليست آمنة بالضرورة. لكن Airbnb أو غير ذلك من الإيجار على المدى القصير ، يمكن أن يكون الأمن أسوأ الأمن على الإطلاق. لماذا ا؟ نظرًا لأن الضيوف قبل وصولك الفعلي إلى جهاز التوجيه ، يعني هذا أنه يمكنهم امتلاكه تمامًا. تحدث جيريمي جالواي بالتفصيل عن ما يمكن أن يفعله المتسلل (إنه أمر سيء!) ، وما يمكنك فعله للبقاء في أمان ، وما يمكن لمالك العقار فعله لردع مثل هذه الهجمات. إنها مشكلة لن تختفي.

في واحدة من أكثر المحادثات شمولاً في Black Hat ، أوضح كبير البنتستر ويتون هيكر من Rapid7 ما قد يكون نموذجًا جديدًا للاحتيال. تتضمن رؤيته شبكة ضخمة من أجهزة الصراف الآلي المعرضة للخطر ، وآلات نقاط البيع (كما هو الحال في متجر البقالة) ، ومضخات الغاز. يمكن أن يسرق هؤلاء معلومات الدفع الخاصة بالضحية في الوقت الفعلي ومن ثم إدخالها بسرعة بمساعدة جهاز دفع PIN الآلية. انتهى الحديث عن صرف أموال من أجهزة الصراف الآلي ، ورؤية للمستقبل حيث لا يشتري المحتالون معلومات بطاقة الائتمان الخاصة بالأفراد ، بل يمكنهم الوصول إلى شبكة ضخمة من عمليات الاحتيال في الوقت الفعلي.

لم يكن هذا هو العرض التقديمي الوحيد في Black Hat لتفاصيل الهجمات على أنظمة الدفع. أظهرت مجموعة أخرى من الباحثين كيف ، مع Raspberry Pi والجهد القليل ، تمكنوا من اعتراض oodles من المعلومات الشخصية من المعاملات بطاقة رقاقة. هذا ملحوظ بشكل خاص ليس فقط لأن بطاقات الرقائق (بطاقات AKA EMV) تعتبر أكثر أمانًا من بطاقات magswipe ، ولكن لأن الولايات المتحدة بدأت للتو في طرح بطاقات الرقائق محليًا.

في العام المقبل سوف تجلب البحوث الجديدة ، والخارقة الجديدة ، وهجمات جديدة. لكن Black Hat 2016 حددت لهجة العام ، مما يدل على أن عمل القراصنة (سواء أكانوا أبيض أو أسود) لم يتم فعله أبدًا. الآن إذا كنت ستعذرنا ، فسوف نقوم بتمزيق بطاقاتنا الائتمانية ونذهب للعيش في فاراداي كيج في الغابة.