Mũ đen 2018: những gì mong đợi

Khi mùa hè nóng lên, các nhà nghiên cứu bảo mật, chính phủ, và giới tinh hoa trong ngành tới Las Vegas tham dự hội nghị Black Hat, ngay sau đó là nhà tiên tri của nó, DefCon.

Đây là một lễ kỷ niệm kéo dài một tuần của tất cả mọi thứ infosec, nơi các nhà nghiên cứu cố gắng thực hiện lẫn nhau bằng các bài thuyết trình về các lỗ hổng mới nhất, đáng sợ nhất. Khi trời tối, đó là những bữa tiệc hào nhoáng với những người tình cờ tung ra những cụm từ như "chúng tôi quét phòng cho các thiết bị nghe và tìm thấy ba!" Trong tất cả các bedlam này sẽ là các phóng viên PCMag khiêm tốn của bạn Max Eddy và Neil Rubenking, bám chặt vào đồ uống ô dù khi bí mật an ninh được thì thầm bên tai họ.

Black Hat được biết đến với sự thể hiện nhiều như nghiên cứu của nó. Những năm trước đã chứng kiến ​​súng trường Linux bị hack, ATM phun ra hóa đơn 100 đô la, điện thoại vệ tinh không an toàn và xe hơi "thông minh" công nghệ cao được các nhà nghiên cứu điều khiển.

Đây là những gì chúng tôi mong đợi trong năm thứ 21 của Black Hat và để mắt đến SecurityWatch mới nhất từ ​​Black Hat 2018.

Google nổi bật

Bài phát biểu năm nay sẽ được gửi bởi Parisa Tabriz, giám đốc kỹ thuật của Google. Cuộc nói chuyện của Tabriz sẽ tập trung vào việc nắm bắt những ý tưởng mới để bảo mật ngay cả khi làm việc ở quy mô lớn và chắc chắn sẽ chạm vào công việc của cô với trình duyệt Chrome.



Hacking xe đã trở lại (Loại)

Sau cuộc tấn công giật tít của họ khiến chiếc xe Jeep lao ra khỏi đường, Charlie Miller và Chris Valasek nói rằng họ đã chuyển chìa khóa hack xe của họ mãi mãi. Đó là, cho đến khi họ tham gia vào các phương tiện tự lái. Một cuộc nói chuyện về sự nguy hiểm của những chiếc xe tự trị đứng đầu bởi các vị vua của các cuộc tấn công ô tô chắc chắn sẽ thu hút sự chú ý.



Hacking con người

Có một trò đùa phổ biến (nếu bác bỏ) giữa các chuyên gia bảo mật nói rằng "lỗ hổng lớn nhất trong bất kỳ hệ thống nào là giữa ghế và máy tính." Mọi người dễ bị lừa như máy tính (có lẽ dễ dàng hơn), và kỹ thuật xã hội chắc chắn là một chủ đề chính. Điều đó đặc biệt đúng khi ngày càng nhiều tổ chức phải đối mặt với sự bối rối của việc chống lại các cuộc tấn công lừa đảo. Không ai muốn trở thành Ủy ban Quốc gia Dân chủ vào khoảng năm 2016, và các công thức nấu ăn hấp dẫn và risotto của họ được rải khắp các trang web.



Mã hóa và VPN

Nói từ kinh nghiệm, VPN là một mặt hàng nóng trong ngành bảo mật. Tình trạng bất ổn toàn cầu và mong muốn truy cập video phát trực tuyến miễn phí đã thúc đẩy sự phổ biến của công cụ bảo mật đã từng buồn ngủ và bị bỏ qua này. Với sự phổ biến gần đây của họ và sự mờ nhạt của các công ty liên quan, hy vọng tin tặc sẽ tập trung vào các dịch vụ VPN.

Tương tự như vậy, mã hóa là công nghệ giúp mọi thứ hoạt động trực tuyến, từ giữ bí mật đến xác minh danh tính của các cá nhân. Đó là một công cụ mạnh mẽ và cũng là một mục tiêu thú vị. Các nhà nghiên cứu tại hội nghị chắc chắn sẽ trình bày công việc về cách tách, làm yếu hoặc phá vỡ mã hóa. Chúng tôi không mong đợi bất cứ điều gì đột phá như vụ va chạm băm SHA-1, nhưng một cuộc nói chuyện về một cuộc tấn công kênh bên để đánh cắp các khóa mã hóa từ các bộ định tuyến nghe có vẻ thú vị.



Phá vỡ (hoặc sử dụng) Blockchain

Tiền điện tử là con cưng của thế giới ngầm cũng như các nhà đầu tư công nghệ. Giá trị tiền tệ và sự tồn tại kỹ thuật số của chúng khiến chúng trở thành mục tiêu dễ dàng cho tin tặc, vốn là chủ đề của một vài phiên trong năm nay. Nhưng đó là việc sử dụng công nghệ blockchain cơ bản như một phương tiện để lưu trữ thông tin và thiết lập niềm tin trực tuyến có thể mang lại nghiên cứu thú vị nhất. Một số phiên sẽ tập trung vào cách tấn công nền tảng của tiền điện tử, cho những kết thúc bất chính.



Hack bình chọn

Các nỗ lực của Nga nhằm tác động đến cuộc bầu cử năm 2016 của Mỹ là một vấn đề thực tế, theo các cơ quan tình báo và thực thi pháp luật Hoa Kỳ. Đó là câu chuyện bảo mật thông tin lớn nhất kể từ khi Snowden bị rò rỉ, và nó vẫn đang diễn ra. Mặc dù chúng ta đã không nhìn thấy quá nhiều về chủ đề này năm ngoái, nhưng hack bầu cử và các máy bỏ phiếu dễ bị tổn thương là những chủ đề lâu năm tại Black Hat, do đó, cũng mong đợi chúng trong năm nay. Một phiên đáng chú ý xem xét cách sử dụng biểu đồ xã hội hiện có để vạch mặt các bot Twitter của Nga.



Xác thực hai yếu tố: Godsend hay Curse?

Google gần đây đã phung phí lừa đảo bằng việc sử dụng các thiết bị hai yếu tố vật lý và giới thiệu dòng khóa bảo mật của riêng mình tại hội nghị NEXT. Nhưng mọi giải pháp cho một vấn đề bảo mật là một cơ hội mới để một nhà nghiên cứu thể hiện. Chúng tôi chắc chắn sẽ thấy một số cuộc tấn công vào hệ thống 2FA.



Hack trong thế kỷ 21

Black Hat và DefCon là những sự kiện lớn nhất trong năm đối với các chuyên gia bảo mật và tin tặc sở thích, vì vậy đây cũng là lúc để xem xét toàn bộ cộng đồng. Mặc dù những nỗ lực đã được thực hiện để làm cho an ninh thông tin và hội nghị trở nên thân thiện hơn với phụ nữ, người da màu, người khuyết tật và các nhóm khác thường bị thiệt thòi trong giới công nghệ, những sự kiện này là nơi cao su gặp đường. Sẽ có nhiều hơn một vài cuộc họp của các nhóm và phiên khác nhau giải quyết làm thế nào để làm cho infosec được chào đón hơn. Một số phiên giải quyết các vấn đề về trầm cảm và PTSD trong cộng đồng hack, một chủ đề không thường được thảo luận.



Cách hack Nhà máy điện (hoặc Nhà máy xử lý nước, hoặc Nhà máy hoặc Lưới điện)

Hầu hết các tin tặc chỉ ra ngoài để kiếm tiền nhanh chóng, nhưng một số kẻ tấn công (và các diễn viên quốc gia) đã để mắt đến các giải thưởng lớn hơn: cơ sở hạ tầng. Những năm trước đã chứng kiến ​​các phiên về cách phá hủy một nhà máy bằng bong bóng và chiến thuật về cách hạ gục các hệ thống khó hiểu, tạo nên hầu hết các khu công nghiệp.