Video: Blackhat Featurette - Locations (2015) - Chris Hemsworth Action Movie HD (Tháng Chín 2024)
Black Hat là tập hợp các nhà nghiên cứu bảo mật, tin tặc và ngành công nghiệp gặp nhau ở Las Vegas để thực hiện ba điều: phác thảo các mối đe dọa mới nhất, cho thấy những kẻ tốt và kẻ xấu có thể bị đánh bại và tiến hành các cuộc tấn công vào những người tham dự. Năm nay đã chứng kiến rất nhiều cuộc tấn công đáng sợ, bao gồm một cuộc tấn công chống lại những người tham dự chương trình, cùng với các vụ đột nhập xe hơi, những cách mới để đánh cắp tiền từ ATM và tại sao bóng đèn thông minh có thể không an toàn như chúng ta nghĩ. Nhưng chúng tôi cũng thấy nhiều lý do để hy vọng, như dạy máy móc phát hiện các máy chủ nguy hiểm, sử dụng Dungeons và Dragons để đào tạo nhân viên xử lý các mối đe dọa bảo mật và cách Apple xử lý bảo mật cho iPhone của bạn. Đó là, tất cả đã nói, một năm khá suy nghĩ.
Tốt
Vâng, Apple đã công bố một chương trình tiền thưởng lỗi tại Black Hat. Nhưng đó chỉ là 10 phút cuối của bài thuyết trình của Ivan Krstic, người đứng đầu bộ phận kỹ thuật và kiến trúc bảo mật của Apple. Trong 40 phút trước đó, ông đã đưa ra một cú lặn sâu chưa từng thấy vào cách Apple bảo vệ các thiết bị và dữ liệu của người dùng, cả từ các máy tính nam và từ chính nó. Và vâng, nó liên quan đến việc sử dụng máy xay sinh tố trung thực.
Khi các thiết bị Internet of Things ngày càng trở nên phổ biến, các chuyên gia bảo mật ngày càng quan tâm hơn. Cuối cùng, đây là những thiết bị có máy vi tính được kết nối với mạng và hoàn toàn có khả năng chạy mã. Đó là giấc mơ của kẻ tấn công. Tin tốt là, ít nhất là trong trường hợp hệ thống Huế của Philip, việc tạo ra một con sâu để nhảy từ bóng đèn sang bóng đèn là rất khó. Các tin xấu? Rõ ràng là rất đơn giản để lừa các hệ thống Huế tham gia vào mạng của kẻ tấn công.
Mỗi khóa đào tạo về bảo mật trong mọi doanh nghiệp đều bao gồm lời khuyên rằng nhân viên không bao giờ nên nhấp vào liên kết trong email từ các nguồn không xác định. Và nhân viên tiếp tục bị lừa khi nhấp vào chúng bất kể. Tiến sĩ Zinaida Benenson, từ Đại học Erlangen-Nieders, kết luận rằng đơn giản là không hợp lý khi mong đợi nhân viên chống lại sự tò mò và các động lực khác. Nếu bạn muốn họ là James Bond, bạn nên đưa nó vào phần mô tả công việc và trả lương cho họ.
Rất nhiều nghiên cứu và thực thi bảo mật có thể rất tẻ nhạt, nhưng các kỹ thuật mới trong học máy có thể sớm dẫn đến một Internet an toàn hơn. Các nhà nghiên cứu đã trình bày chi tiết những nỗ lực của họ tại các máy dạy học để xác định các máy chủ chỉ huy và điều khiển botnet, cho phép kẻ xấu kiểm soát hàng trăm ngàn (nếu không phải hàng triệu) máy tính bị nhiễm. Công cụ này có thể giúp che đậy hoạt động bất chính như vậy, nhưng đó không phải là nghiên cứu nặng nề. Để kết thúc phiên của họ, các nhà nghiên cứu đã chứng minh làm thế nào các hệ thống máy học có thể được sử dụng để tạo ra một bài hát Taylor Swift có thể qua được.
Mạng lưới khách sạn hiểu biết có thể tốt cho một hội nghị cung cấp thú cưng, nhưng không phải cho Black Hat. Hội nghị có mạng riêng hoàn toàn và Trung tâm điều hành mạng ấn tượng để quản lý. Du khách có thể nhìn xuyên qua bức tường kính tại nhiều màn hình phát sáng, phim về hacker và các chuyên gia bảo mật dài hạn trong NOC, được đóng gói toàn bộ và di chuyển khắp thế giới đến hội nghị Black Hat tiếp theo.
Chiến thuật bảo mật CNTT và tin tặc mũ trắng không thể có đủ các khóa đào tạo về bảo mật, nhưng chúng không phải là những thứ thực sự cần chúng. Nhân viên bán hàng, đội ngũ nhân sự và nhân viên trung tâm cuộc gọi không nhất thiết phải hiểu hoặc đánh giá cao các khóa đào tạo bảo mật, nhưng bạn thực sự cần họ để đẩy mạnh trò chơi bảo mật của họ. Nhà nghiên cứu Tiphaine Romand Latapie đề nghị làm lại đào tạo bảo mật như một trò chơi nhập vai. Cô thấy rằng nó hoàn toàn hiệu quả, và tạo ra sự gắn kết mới đáng kể giữa đội an ninh và các nhân viên còn lại. Dungeon và rồng, có ai không?
Cuộc gọi điện thoại lừa đảo là một vấn đề rất lớn. IRS lừa đảo thuyết phục người Mỹ không nghi ngờ trao đổi tiền mặt. Mật khẩu đặt lại lừa đảo lừa các trung tâm cuộc gọi để cung cấp dữ liệu khách hàng. Giáo sư Judith Tabron, một nhà ngôn ngữ học pháp y đã phân tích các cuộc gọi lừa đảo thực sự và nghĩ ra một bài kiểm tra hai phần để giúp bạn phát hiện ra chúng. Đọc cái này và học, OK? Đó là một kỹ thuật đơn giản và đáng giá.
Đáng sợ
Pwnie Express xây dựng các thiết bị theo dõi không phận mạng cho bất cứ điều gì không mong muốn, và đó cũng là một điều tốt, bởi vì công ty đã phát hiện ra một cuộc tấn công Man-in-the-Middle khổng lồ tại Black Hat năm nay. Trong trường hợp này, một điểm truy cập độc hại đã thay đổi SSID của nó để đánh lừa điện thoại và thiết bị tham gia mạng, nghĩ rằng đây là mạng an toàn, thân thiện mà thiết bị đã thấy trước đó. Khi làm như vậy, những kẻ tấn công đã lừa khoảng 35.000 người. Mặc dù thật tuyệt khi công ty có thể phát hiện ra cuộc tấn công, nhưng thực tế là nó rất lớn là một lời nhắc nhở về việc các cuộc tấn công này có thể thành công như thế nào.
Năm ngoái, Charlie Miller và Chris Valasek đã trình bày những gì nhiều người cho là đỉnh cao của sự nghiệp hack xe hơi của họ. Họ đã trở lại trong năm nay với những cuộc tấn công thậm chí còn táo bạo hơn, những cuộc tấn công có thể áp dụng hệ thống phanh hoặc nab của vô lăng khi xe đang di chuyển ở bất kỳ tốc độ nào. Các cuộc tấn công trước đây chỉ có thể được thực hiện khi xe đang di chuyển với tốc độ 5Mph hoặc thấp hơn. Những cuộc tấn công mới này có thể gây rủi ro lớn cho các trình điều khiển, và hy vọng sẽ được vá nhanh chóng bởi các nhà sản xuất ô tô. Về phần mình, Valasek và Miller cho biết họ đã thực hiện hack xe, nhưng khuyến khích những người khác đi theo bước chân của họ.
Nếu bạn xem Mr. Robot, bạn sẽ biết rằng có thể lây nhiễm máy tính của nạn nhân bằng cách ném các ổ USB xung quanh bãi đậu xe. Nhưng nó thực sự làm việc? Elie Bursztein, trưởng nhóm nghiên cứu chống gian lận và lạm dụng tại Google, đã trình bày một bài nói chuyện gồm hai phần về chủ đề này. Phần đầu tiên mô tả chi tiết một nghiên cứu cho thấy rõ ràng nó hoạt động (và bãi đỗ xe tốt hơn hành lang). Phần thứ hai giải thích, rất chi tiết, chính xác cách xây dựng ổ USB hoàn toàn chiếm lấy bất kỳ máy tính nào. Bạn đã ghi chép?
Máy bay không người lái là một mặt hàng nóng trong mùa mua sắm cuối năm, và có lẽ không chỉ dành cho các chuyên viên máy tính. Một bài thuyết trình cho thấy DJI Phantom 4 có thể được sử dụng để gây nhiễu mạng không dây công nghiệp, gián điệp nhân viên và tệ hơn thế. Bí quyết là nhiều trang web công nghiệp quan trọng sử dụng cái gọi là "khe hở không khí" để bảo vệ các máy tính nhạy cảm. Về cơ bản, đây là các mạng và thiết bị được cách ly với Internet bên ngoài. Nhưng máy bay không người lái nhỏ, cơ động có thể mang Internet đến cho họ.
Học máy là đỉnh cao của cuộc cách mạng trong nhiều ngành công nghiệp công nghệ, và bao gồm cả những kẻ lừa đảo. Các nhà nghiên cứu tại Black Hat đã chứng minh làm thế nào máy móc cũng có thể được dạy để tạo ra các thông điệp lừa đảo hiệu quả cao. Công cụ của họ xác định các mục tiêu có giá trị cao, sau đó quét các tweet của nạn nhân để tạo ra một thông điệp vừa có liên quan vừa có thể nhấp được. Nhóm đã không phát tán bất cứ thứ gì độc hại với bot spam của họ, nhưng không khó để tưởng tượng những kẻ lừa đảo áp dụng các kỹ thuật này.
Bạn mong đợi Wi-Fi miễn phí trong khách sạn và bạn có thể đủ hiểu biết để nhận ra rằng nó không nhất thiết phải an toàn. Nhưng một Airbnb hoặc cho thuê ngắn hạn khác, bảo mật có thể có khả năng bảo mật tồi tệ nhất. Tại sao? Bởi vì khách trước khi bạn có quyền truy cập vật lý vào bộ định tuyến, có nghĩa là họ hoàn toàn có thể sở hữu nó. Cuộc nói chuyện của Jeremy Galloway chi tiết những gì một hacker có thể làm (thật tệ!), Những gì bạn có thể làm để giữ an toàn và chủ sở hữu tài sản có thể làm gì để ngăn chặn các cuộc tấn công như vậy. Đó là một vấn đề sẽ không biến mất.
Trong một trong những cuộc nói chuyện toàn diện nhất tại Black Hat, Weton Hecker của Pent7 Senior đã chứng minh những gì có thể là một mô hình mới cho gian lận. Tầm nhìn của anh bao gồm một mạng lưới khổng lồ gồm các máy ATM bị xâm nhập, các máy bán điểm (như trong cửa hàng tạp hóa) và máy bơm xăng. Chúng có thể đánh cắp thông tin thanh toán của nạn nhân trong thời gian thực và sau đó nhanh chóng nhập chúng với sự trợ giúp của thiết bị đẩy mã PIN. Cuộc nói chuyện kết thúc với một ATM rút tiền mặt và tầm nhìn về tương lai nơi những kẻ lừa đảo mua không phải thông tin thẻ tín dụng của cá nhân, mà truy cập vào một mạng lưới lừa đảo thanh toán theo thời gian thực.
Đó không phải là bài thuyết trình duy nhất tại Black Hat để chi tiết các cuộc tấn công vào hệ thống thanh toán. Một nhóm các nhà nghiên cứu khác đã cho thấy làm thế nào, với Raspberry Pi và một chút nỗ lực, họ có thể chặn được vô số thông tin cá nhân từ các giao dịch thẻ chip. Điều đó đặc biệt đáng chú ý không chỉ vì thẻ chip (thẻ AKA EMV) được coi là an toàn hơn thẻ magswipe, mà bởi vì Hoa Kỳ mới bắt đầu tung ra thẻ chip trong nước.
Năm tới sẽ mang lại nghiên cứu mới, hack mới và các cuộc tấn công mới. Nhưng Black Hat 2016 đã thiết lập giai điệu cho năm nay, cho thấy rằng một công việc của hacker (dù là trắng hay đen) không bao giờ thực sự được thực hiện. Bây giờ nếu bạn tha thứ cho chúng tôi, chúng tôi sẽ xé thẻ tín dụng của chúng tôi và rời đi để sống trong một chiếc lồng Faraday trong rừng.
