Ek het gedink dit sou wonderlik wees om gebeurtenisse van internasionale konferensies te dek. En nie net in 'n algemene oorsig nie, maar om oor die interessantste verslae te praat. Ek bring die eerste warm tien onder jou aandag.
1. Wag vir 'n vriendelike tandem van IoT-aanvalle en losprysware
In 2016 het ons 'n vinnige toename in ransomwari-aanvalle gesien. Ons het nog nie van hierdie aanvalle herstel toe 'n nuwe golf DDoS-aanvalle met behulp van IoT ons getref het nie. In hierdie verslag gee die skrywer 'n stap-vir-stap beskrywing van hoe 'n ransomware-aanval plaasvind. Hoe die ransomware werk, en wat die navorser in elke stadium moet doen om die ransomware teë te werk.
Sodoende maak hy staat op bewese metodes. Dan werp die spreker lig op hoe IoT by DDoS-aanvalle betrokke is: hy vertel watter rol die bykomende wanware speel in die uitvoering van hierdie aanvalle (vir daaropvolgende bystand van sy kant om 'n DDoS-aanval deur die IoT-weermag uit te voer). Dit praat ook oor hoe die tandem van losprysware en IoT-aanvalle 'n groot bedreiging in die komende jare kan word. Die spreker is die skrywer van die boeke "Malware, Rootkits & Botnets: a Beginner's Guide", "Advanced Malware Analysis", "Hacking Exposed: Malware & Rootkits Secrets & Solutions" - so hy doen verslag met kennis van die saak.
2. "Maak jou mond oop, sê 0x41414141": Aanval op mediese kuberinfrastruktuur
Internet-gekoppelde mediese toerusting is 'n alomteenwoordige kliniese werklikheid. Sulke toerusting is 'n waardevolle hulpmiddel vir mediese personeel, aangesien dit 'n beduidende deel van die roetine outomatiseer. Hierdie toerusting bevat egter baie kwesbaarhede (beide sagteware en hardeware), wat 'n wye aktiwiteitsveld vir 'n potensiële aanvaller oopmaak. In die verslag deel die spreker sy persoonlike ervaring van die uitvoer van pentests vir mediese kuberinfrastruktuur; en praat ook oor hoe aanvallers mediese toerusting in gevaar stel.
Die spreker beskryf: 1) hoe aanvallers eie kommunikasieprotokolle ontgin, 2) hoe hulle na kwesbaarhede in netwerkdienste soek, 3) hoe hulle lewensondersteuningstelsels in gevaar stel, 4) hoe hulle hardeware-ontfoutingskoppelvlakke en die stelseldatabus ontgin; 5) hoe hulle basiese draadlose koppelvlakke en spesifieke eie draadlose tegnologieë aanval; 6) hoe hulle mediese inligtingstelsels binnedring, en dan lees en redigeer: persoonlike inligting oor die pasiënt se gesondheid; amptelike mediese rekords, waarvan die inhoud gewoonlik selfs vir die pasiënt versteek word; 7) hoe die kommunikasiestelsel wat mediese toerusting gebruik om inligting en diensbevele uit te ruil, ontwrig word; 8) hoe mediese personeel se toegang tot toerusting beperk word; of blokkeer dit heeltemal.
Tydens sy pentestente het die spreker baie probleme met mediese toerusting ontdek. Onder hulle: 1) swak kriptografie, 2) die moontlikheid van datamanipulasie; 3) die moontlikheid van afstandsvervanging van toerusting, 3) kwesbaarhede in eie protokolle, 4) die moontlikheid van ongemagtigde toegang tot databasisse, 5) hardgekodeerde, onveranderlike logins/wagwoorde. Sowel as ander sensitiewe inligting gestoor óf in die toerusting firmware of in stelsel binaries; 6) vatbaarheid van mediese toerusting vir afgeleë DoS-aanvalle.
Na die lees van die verslag, word dit duidelik dat kuberveiligheid in die mediese sektor vandag 'n kliniese geval is en intensiewe sorg benodig.
3. 'n Stewige uitbuiting aan die punt van die kontekstuele advertensiespit
Elke dag gaan miljoene mense na sosiale netwerke: vir werk, vir vermaak, of net omdat. Onder die kap van sosiale netwerke is advertensieplatforms wat onsigbaar is vir die gemiddelde besoeker en verantwoordelik is vir die lewering van relevante kontekstuele advertensies aan sosiale netwerkbesoekers. Advertensieplatforms is maklik om te gebruik en baie effektief. Daarom is hulle in aanvraag onder adverteerders.
Benewens die vermoë om 'n wye gehoor te bereik, wat baie voordelig is vir besigheid, laat advertensieplatforms jou ook toe om jou teikening tot een spesifieke persoon te beperk. Boonop laat die funksionaliteit van moderne advertensieplatforms jou selfs toe om te kies op watter van die talle gadgets van hierdie spesifieke persoon om advertensies te vertoon.
Daardie. moderne advertensieplatforms laat die adverteerder toe om enige persoon, enige plek in die wêreld te bereik. Maar hierdie geleentheid kan ook deur aanvallers gebruik word – as 'n poort na die netwerk waarin hul beoogde slagoffer funksioneer. Die spreker demonstreer hoe 'n kwaadwillige adverteerder die advertensieplatform kan gebruik om hul uitvissingsveldtog presies te teiken om 'n gepersonaliseerde uitbuiting aan een spesifieke persoon te lewer.
4. Hoe regte kuberkrakers geteikende advertensies ontwyk
Ons gebruik baie verskillende gerekenariseerde dienste in ons daaglikse lewe. En dit is vir ons moeilik om op te gee op hulle, selfs wanneer ons skielik uitvind dat hulle totale toesig oor ons hou. So totaal dat hulle ons elke liggaamsbeweging en elke vingerdruk volg.
Die spreker verduidelik duidelik hoe moderne bemarkers 'n wye verskeidenheid esoteriese teikenmetodes gebruik. Ons oor mobiele paranoia, oor totale toesig. En baie lesers het wat geskryf is as 'n onskadelike grap beskou, maar uit die aangebied verslag is dit duidelik dat moderne bemarkers reeds sulke tegnologieë ten volle gebruik om ons op te spoor.
Wat kan jy doen, die kontekstuele advertensiebedryf, wat hierdie totale toesig aanvuur, beweeg met rasse skrede. Tot die punt dat moderne advertensieplatforms nie net 'n persoon se netwerkaktiwiteit (toetsaanslagen, muiswyserbewegings, ens.) kan naspoor nie, maar ook sy fisiologiese eienskappe (hoe ons sleutels druk en die muis beweeg). Daardie. moderne opsporingsinstrumente van advertensieplatforms, ingebou in dienste waarsonder ons ons nie die lewe kan voorstel nie, kruip nie net onder ons onderklere nie, maar selfs onder ons vel in. As ons nie die vermoë het om te onttrek van hierdie oormatige oplettende dienste nie, waarom dan nie ten minste probeer om hulle met nuttelose inligting te bombardeer nie?
Die verslag het die outeur se toestel (sagteware en hardeware bot) gedemonstreer wat die volgende moontlik maak: 1) die inspuit van Bluetooth-bakens; 2) die data wat vanaf die voertuig se boordsensors ingesamel is, geraas; 3) die identifikasieparameters van 'n selfoon vervals; 4) maak geraas in die wyse van vingerklikke (op die sleutelbord, muis en sensor). Dit is bekend dat al hierdie inligting gebruik word om advertensies op mobiele toestelle te teiken.
Die demonstrasie wys dat na die bekendstelling van die skrywer se toestel, die opsporingstelsel mal raak; dat die inligting wat dit insamel so raserig en onakkuraat word dat dit nie meer van enige nut vir ons waarnemers sal wees nie. As 'n goeie grap demonstreer die spreker hoe, danksy die aangebied toestel, die "opsporingstelsel" 'n 32-jarige hacker begin waarneem as 'n 12-jarige meisie wat dolverlief is op perde.
5. 20 jaar van MMORPG-inbraak: koeler grafika, dieselfde wedervaringe
Die onderwerp van inbraak MMORPG's word al 20 jaar by DEF CON bespreek. Met hulde aan die herdenking beskryf die spreker die belangrikste oomblikke uit hierdie besprekings. Boonop gesels hy oor sy avonture op die gebied van stropery aanlyn speelgoed. Sedert Ultima Online (in 1997). En daaropvolgende jare: Dark Age of Camelot, Anarchy Online, Asherons Call 2, ShadowBane, Lineage II, Final Fantasy XI/XIV, World of Warcraft. Insluitend verskeie nuwe verteenwoordigers: Guild Wars 2 en Elder Scrolls Online. En dit is nie die hele rekord van die spreker nie!
Die verslag verskaf tegniese besonderhede oor die skep van ontdekkings vir MMORPG's wat jou help om virtuele geld in die hande te kry, en wat relevant is vir byna elke MMORPG. Die spreker praat kortliks oor die ewige konfrontasie tussen stropers (vervaardigers van misbruik) en “visbeheer”; en oor die huidige tegniese stand van hierdie wapenwedloop.
Verduidelik die metode van gedetailleerde pakketanalise en hoe om uitbuitings op te stel sodat stropery nie aan die bedienerkant opgespoor word nie. Insluitend die aanbieding van die jongste uitbuiting, wat ten tyde van die verslag 'n voorsprong bo die "vis-inspeksie" in die wapenwedloop gehad het.
6. Kom ons hack die robotte voor Skynet kom
Robotte is deesdae in die woede. In die nabye toekoms sal hulle oral wees: op militêre missies, in chirurgiese operasies, in die bou van wolkekrabbers; winkelassistente in winkels; hospitaalpersoneel; besigheidsassistente, seksmaats; huiskokke en volle lede van die gesin.
Namate die robot-ekosisteem uitbrei en die invloed van robotte in ons samelewing en ekonomie vinnig groei, begin hulle 'n wesenlike bedreiging vir mense, diere en besighede inhou. In hul kern is robotte rekenaars met arms, bene en wiele. En gegewe die moderne realiteite van kuberveiligheid, is dit kwesbare rekenaars met arms, bene en wiele.
Sagteware en hardeware kwesbaarhede van moderne robotte laat 'n aanvaller toe om die fisiese vermoëns van die robot te gebruik om eiendom of finansiële skade te veroorsaak; of selfs per ongeluk of opsetlik menselewens in gevaar stel. Die potensiële bedreigings vir enigiets in die omgewing van robotte neem eksponensieel toe met verloop van tyd. Boonop neem hulle toe in kontekste wat die gevestigde rekenaarsekuriteitsbedryf nog nooit tevore gesien het nie.
In sy onlangse navorsing het die spreker baie kritieke kwesbaarhede in huis-, korporatiewe en industriële robotte ontdek – van bekende vervaardigers. In die verslag onthul hy die tegniese besonderhede van huidige bedreigings en verduidelik presies hoe aanvallers verskeie komponente van die robot-ekosisteem kan kompromitteer. Met demonstrasie van werkende uitbuiting.
Van die probleme wat deur die spreker in die robot-ekosisteem ontdek is: 1) onseker kommunikasie; 2) die moontlikheid van geheueskade; 3) kwesbaarhede wat afgeleë kode uitvoering (RCE) toelaat; 4) die moontlikheid om die integriteit van die lêerstelsel te skend; 5) probleme met magtiging; en in sommige gevalle die afwesigheid daarvan enigsins; 6) swak kriptografie; 7) probleme met die opdatering van die firmware; 8) probleme met die versekering van vertroulikheid; 8) ongedokumenteerde vermoëns (ook kwesbaar vir RCE, ens.); 9) swak verstek konfigurasie; 10) kwesbare oopbron "raamwerke vir die beheer van robotte" en sagteware biblioteke.
Die spreker verskaf regstreekse demonstrasies van 'n verskeidenheid inbraak-scenario's wat verband hou met kuberspioenasie, binnebedreigings, skade aan eiendom, ens. Met 'n beskrywing van realistiese scenario's wat in die natuur waargeneem kan word, verduidelik die spreker hoe die onsekerheid van moderne robottegnologie tot inbraak kan lei. Verduidelik waarom gekapte robotte selfs gevaarliker is as enige ander gekompromitteerde tegnologie.
Die spreker vestig ook die aandag daarop dat kru navorsingsprojekte in produksie gaan voordat veiligheidskwessies opgelos word. Bemarking wen soos altyd. Hierdie ongesonde toedrag van sake moet dringend reggestel word. Tot Skynet gekom het. Alhoewel ... Die volgende berig dui daarop dat Skynet reeds opgedaag het.
7. Militarisering van masjienleer
Met die risiko om as 'n mal wetenskaplike gebrandmerk te word, word die spreker steeds geraak deur sy "nuwe duiwel se skepping", wat DeepHack met trots bekendstel: 'n open source hacker AI. Hierdie bot is 'n selflerende webtoepassing-haker. Dit is gebaseer op 'n neurale netwerk wat leer deur proef en fout. Terselfdertyd hanteer DeepHack die moontlike gevolge vir 'n persoon van hierdie proewe en foute met skrikwekkende minagting.
Deur net een universele algoritme te gebruik, leer dit om verskillende soorte kwesbaarhede te ontgin. DeepHack maak die deur oop na die ryk van hacker AI, waarvan baie reeds in die nabye toekoms verwag kan word. In hierdie verband tipeer die spreker sy bot met trots as "die begin van die einde."
Die spreker glo dat KI-gebaseerde inbraakinstrumente, wat binnekort na DeepHack sal verskyn, 'n fundamenteel nuwe tegnologie is wat kuberverdedigers en kuberaanvallers nog moet aanneem. Die spreker waarborg dat elkeen van ons in die volgende jaar óf self masjienleer-inbraakinstrumente sal skryf, óf ons desperaat sal probeer om onsself daarteen te beskerm. Daar is geen derde nie.
Ook, hetsy grappenderwys of ernstig, sê die spreker: “Nie meer die prerogatief van diaboliese genieë nie, die onvermydelike distopie van KI is vandag reeds vir almal beskikbaar. Sluit dus by ons aan en ons sal jou wys hoe jy kan deelneem aan die vernietiging van die mensdom deur jou eie gemilitariseerde masjienleerstelsel te skep. Natuurlik, as gaste uit die toekoms ons nie verhinder om dit te doen nie.”
8. Onthou alles: om wagwoorde in kognitiewe geheue in te plant
Wat is kognitiewe geheue? Hoe kan jy 'n wagwoord daar "inplant"? Is dit selfs veilig? En hoekom enigsins sulke truuks? Die idee is dat jy met hierdie benadering nie jou wagwoorde sal kan mors nie, selfs onder dwang; terwyl u die vermoë behou om by die stelsel aan te meld.
Die praatjie begin met 'n verduideliking van wat kognitiewe geheue is. Dit verduidelik dan hoe eksplisiete en implisiete geheue verskil. Vervolgens word die begrippe bewuste en onbewuste bespreek. En dit verduidelik ook watter soort essensie dit is – bewussyn. Beskryf hoe ons geheue inligting kodeer, berg en herwin. Die beperkings van menslike geheue word beskryf. En ook hoe ons geheue leer. En die verslag eindig met 'n storie oor moderne navorsing oor menslike kognitiewe geheue, in die konteks van hoe om wagwoorde daarin te implementeer.
Die spreker het natuurlik nie die ambisieuse stelling wat in die titel van sy aanbieding gemaak is tot 'n volledige oplossing gebring nie, maar hy het terselfdertyd verskeie interessante studies aangehaal wat oor die benaderings tot die oplossing van die probleem handel. In die besonder navorsing van Stanford Universiteit, waarvan die onderwerp dieselfde onderwerp is. En 'n projek om 'n mens-masjien-koppelvlak vir gesiggestremde mense te ontwikkel - met 'n direkte verbinding met die brein. Die spreker verwys ook na 'n studie deur Duitse wetenskaplikes wat daarin geslaag het om 'n algoritmiese verband tussen elektriese seine van die brein en verbale frases te maak; Die toestel wat hulle ontwikkel het, laat jou toe om teks te tik net deur daaroor te dink. Nog 'n interessante studie waarna die spreker verwys, is die neurofoon, 'n koppelvlak tussen die brein en 'n selfoon, via 'n draadlose EEG-koptelefoon (Dartmouth College, VSA).
Soos reeds opgemerk, het die spreker nie die ambisieuse stelling wat in die titel van sy voorlegging gemaak is tot 'n volledige oplossing gebring nie. Die spreker merk egter op dat ondanks die feit dat daar nog geen tegnologie is om 'n wagwoord in kognitiewe geheue in te plant nie, wanware wat dit daarvandaan probeer onttrek, reeds bestaan.
9. En die kleintjie het gevra: “Dink jy regtig dat slegs regeringkrakers kuberaanvalle op die kragnetwerk kan uitvoer?”
Die gladde funksionering van elektrisiteit is van uiterste belang in ons daaglikse lewens. Ons afhanklikheid van elektrisiteit word veral duidelik wanneer dit afgeskakel word - selfs vir 'n kort tydjie. Vandag word algemeen aanvaar dat kuberaanvalle op die kragnetwerk uiters kompleks is en slegs vir regeringkrakers toeganklik is.
Die spreker daag hierdie konvensionele wysheid uit en gee 'n gedetailleerde beskrywing van 'n aanval op die kragnetwerk, waarvan die koste selfs vir nie-regeringskrakers aanvaarbaar is. Dit vertoon inligting wat vanaf die internet versamel is en wat nuttig sal wees in die modellering en ontleding van die teikenkragnetwerk. En dit verduidelik ook hoe hierdie inligting gebruik kan word om aanvalle op kragnetwerke regoor die wêreld te modelleer.
Die verslag demonstreer ook 'n kritieke kwesbaarheid wat deur die spreker in General Electric Multilin-produkte ontdek is, wat wyd in die energiesektor gebruik word. Die spreker beskryf hoe hy die enkripsiealgoritme wat in hierdie stelsels gebruik word, heeltemal gekompromitteer het. Hierdie algoritme word in General Electric Multilin-produkte gebruik vir veilige kommunikasie van interne substelsels, en vir die beheer van hierdie substelsels. Insluitend om gebruikers te magtig en toegang tot bevoorregte bedrywighede te verskaf.
Nadat hy die toegangskodes geleer het (as gevolg van die kompromie van die enkripsie-algoritme), kan die aanvaller die toestel heeltemal deaktiveer en die elektrisiteit in spesifieke sektore van die kragnetwerk afskakel; blokoperateurs. Daarbenewens demonstreer die spreker 'n tegniek om digitale spore op afstand te lees wat deur toerusting wat kwesbaar is vir kuberaanvalle gelaat word.
10. Die internet weet reeds dat ek swanger is
Vroue se gesondheid is 'n groot besigheid. Daar is 'n oorvloed Android-toepassings op die mark wat vroue help om hul maandelikse siklusse op te spoor, te weet wanneer hulle die meeste geneig is om swanger te raak, of om hul swangerskapstatus op te spoor. Hierdie toepassings moedig vroue aan om die mees intieme besonderhede van hul lewens aan te teken, soos bui, seksuele aktiwiteit, fisieke aktiwiteit, fisiese simptome, lengte, gewig en meer.
Maar hoe privaat is hierdie programme, en hoe veilig is hulle? Na alles, as 'n toepassing sulke intieme besonderhede oor ons persoonlike lewens stoor, sal dit lekker wees as dit nie hierdie data met iemand anders gedeel het nie; byvoorbeeld met 'n vriendelike maatskappy (wat betrokke is by geteikende advertensies, ens.) of met 'n kwaadwillige vennoot/ouer.
Die spreker bied die resultate van sy kuberveiligheidsontleding van meer as 'n dosyn toepassings aan wat die waarskynlikheid van bevrugting voorspel en die vordering van swangerskap dop. Hy het gevind dat die meeste van hierdie toepassings ernstige probleme met kuberveiligheid in die algemeen en privaatheid in die besonder het.
Bron: will.com