Razmišljao sam da bi bilo sjajno popratiti događaje sa međunarodnih konferencija. I to ne samo u opštem pregledu, već da govorimo o najzanimljivijim izvještajima. Skrećem vam pažnju na prvu vruću desetku.
1. Čekamo prijateljski tandem IoT napada i ransomware-a
U 2016. vidjeli smo nagli porast ransomwari napada. Još se nismo oporavili od ovih napada kada nas je pogodio novi talas DDoS napada koji koriste IoT. U ovom izvještaju, autor daje korak po korak opis kako dolazi do napada ransomware-a. Kako radi ransomware i šta istraživač mora učiniti u svakoj fazi kako bi se suprotstavio ransomwareu.
Pri tome se oslanja na provjerene metode. Zatim govornik baca svjetlo na to kako je IoT uključen u DDoS napade: on govori kakvu ulogu pomoćni zlonamjerni softver igra u izvođenju ovih napada (za naknadnu pomoć u izvođenju DDoS napada od strane IoT vojske). Također govori o tome kako bi tandem ransomwarea i IoT napada mogao postati velika prijetnja u narednim godinama. Govornik je autor knjiga “Malware, Rootkits & Botneti: Vodič za početnike”, “Napredna analiza zlonamjernog softvera”, “Hacking Exposed: Malware & Rootkits Secrets & Solutions” - tako da izvještava sa znanjem o materiji.
2. “Otvori usta, reci 0x41414141”: Napad na medicinsku sajber infrastrukturu
Medicinska oprema povezana s internetom je sveprisutna klinička stvarnost. Takva oprema je dragocjena pomoć medicinskom osoblju, jer automatizira značajan dio rutine. Međutim, ova oprema sadrži mnoge ranjivosti (i softverske i hardverske) koje otvaraju široko polje aktivnosti potencijalnom napadaču. U izvještaju govornik iznosi svoje lično iskustvo vođenja pentestova za medicinsku sajber infrastrukturu; a također govori o tome kako napadači kompromituju medicinsku opremu.
Govornik opisuje: 1) kako napadači iskorištavaju vlasničke komunikacijske protokole, 2) kako traže ranjivosti u mrežnim uslugama, 3) kako kompromituju sisteme za održavanje života, 4) kako iskorištavaju interfejse za otklanjanje grešaka u hardveru i sistemsku sabirnicu podataka; 5) kako napadaju osnovne bežične interfejse i specifične vlasničke bežične tehnologije; 6) kako prodiru u medicinske informacione sisteme, a zatim čitaju i uređuju: lične podatke o zdravlju pacijenta; službena medicinska dokumentacija čiji je sadržaj obično skriven čak i od pacijenta; 7) na koji način je poremećen komunikacioni sistem koji medicinska oprema koristi za razmenu informacija i servisnih komandi; 8) kako je ograničen pristup medicinskom osoblju opremi; ili ga potpuno blokirati.
Tokom pentesta, govornik je otkrio mnoge probleme sa medicinskom opremom. Među njima: 1) slaba kriptografija, 2) mogućnost manipulacije podacima; 3) mogućnost daljinske zamjene opreme, 3) ranjivosti u vlasničkim protokolima, 4) mogućnost neovlaštenog pristupa bazama podataka, 5) tvrdo kodirani, nepromjenjivi login/lozinke. Kao i druge osjetljive informacije pohranjene u firmveru opreme ili u sistemskim binarnim datotekama; 6) podložnost medicinske opreme daljinskim DoS napadima.
Nakon čitanja izvještaja, postaje očigledno da je sajber sigurnost u medicinskom sektoru danas klinički slučaj i da mu je potrebna intenzivna njega.
3. Zubati podvig na vrhu ražnja za kontekstualno oglašavanje
Svaki dan milioni ljudi posećuju društvene mreže: zbog posla, zabave ili samo zato. Ispod haube društvenih mreža nalaze se Ads platforme koje su nevidljive prosječnom posjetitelju i odgovorne su za isporuku relevantnog kontekstualnog oglašavanja posjetiteljima društvenih mreža. Oglasne platforme su jednostavne za korištenje i vrlo efikasne. Stoga su traženi među oglašivačima.
Osim mogućnosti da dosegnete široku publiku, što je vrlo korisno za poslovanje, Ads platforme vam također omogućavaju da suzite ciljanje na jednu određenu osobu. Štoviše, funkcionalnost modernih Ads platformi čak vam omogućava da odaberete na kojem od brojnih gadgeta ove osobe želite prikazati oglašavanje.
To. Moderne Ads platforme omogućavaju oglašivaču da dođe do bilo koje osobe, bilo gdje u svijetu. Ali ovu priliku mogu iskoristiti i napadači - kao pristup mreži u kojoj radi njihova namjeravana žrtva. Govornik demonstrira kako zlonamjerni oglašivač može koristiti Ads platformu da precizno cilja svoju phishing kampanju kako bi isporučio personalizirani exploit jednoj određenoj osobi.
4. Kako pravi hakeri izbjegavaju ciljano oglašavanje
U svakodnevnom životu koristimo mnogo različitih kompjuteriziranih usluga. I teško nam je odustati od njih, čak i kada odjednom saznamo da nas potpuno prate. Toliko totalni da prate svaki naš pokret tijela i svaki pritisak prsta.
Govornik jasno objašnjava kako moderni trgovci koriste širok spektar ezoteričnih metoda ciljanja. Mi o mobilnoj paranoji, o totalnom nadzoru. I mnogi čitaoci su ovo što je napisano shvatili kao bezazlenu šalu, ali iz predstavljenog izvještaja jasno je da moderni trgovci već u potpunosti koriste takve tehnologije kako bi nas pratili.
Šta možete učiniti, industrija kontekstualnog oglašavanja, koja podstiče ovaj potpuni nadzor, kreće se velikim koracima. Do te mjere da moderne Ads platforme mogu pratiti ne samo mrežnu aktivnost osobe (pritisci na tipke, pokreti pokazivača miša, itd.), već i njegove fiziološke karakteristike (kako pritiskamo tipke i pomičemo miš). To. moderni alati za praćenje Ads platformi, ugrađeni u servise bez kojih ne možemo zamisliti život, ne samo da nam se zavlače pod donji veš, već i pod kožu. Ako nemamo mogućnost da se isključimo iz ovih pretjerano pažljivih usluga, zašto ih onda barem ne bismo pokušali bombardirati beskorisnim informacijama?
Izveštaj je demonstrirao autorski uređaj (softverski i hardverski bot) koji omogućava: 1) ubrizgavanje Bluetooth beacons-a; 2) šum podataka prikupljenih od senzora u vozilu; 3) falsifikuje identifikacione parametre mobilnog telefona; 4) praviti buku u vidu klikova prstima (na tastaturi, mišu i senzoru). Poznato je da se sve ove informacije koriste za ciljano oglašavanje na mobilnim uređajima.
Demonstracija pokazuje da nakon pokretanja autorovog uređaja, sistem za praćenje poludi; da informacije koje prikuplja postaju toliko bučne i netačne da više neće biti od koristi našim posmatračima. Kao dobru šalu, govornik demonstrira kako zahvaljujući predstavljenom uređaju „sistem za praćenje“ počinje da percipira 32-godišnjeg hakera kao 12-godišnju djevojku koja je ludo zaljubljena u konje.
5. 20 godina MMORPG hakovanja: hladnija grafika, isti eksploati
O temi hakovanja MMORPG-a se na DEF CON-u raspravlja već 20 godina. Odajući počast godišnjici, govornik opisuje najznačajnije momente iz ovih razgovora. Osim toga, on govori o svojim avanturama na polju krivolova online igračaka. Od Ultima Online (1997.). I naredne godine: Dark Age of Camelot, Anarchy Online, Asherons Call 2, ShadowBane, Lineage II, Final Fantasy XI/XIV, World of Warcraft. Uključujući nekoliko svježih predstavnika: Guild Wars 2 i Elder Scrolls Online. I ovo nije cijela evidencija govornika!
Izvještaj pruža tehničke detalje o kreiranju exploit-a za MMORPG-ove koji vam pomažu da dođete do virtuelnog novca, a koji su relevantni za gotovo svaki MMORPG. Govornik ukratko govori o vječitoj konfrontaciji između krivolovaca (proizvođača podviga) i „kontrole ribe“; i o trenutnom tehničkom stanju ove trke u naoružanju.
Objašnjava metodologiju za detaljnu analizu paketa i kako konfigurirati eksploatacije tako da krivolov ne bude otkriven na strani servera. Uključujući i predstavljanje najnovijeg podviga, koji je u vrijeme pisanja izvještaja bio u prednosti u odnosu na „ribu inspekciju“ u trci u naoružanju.
6. Hakirajmo robote prije nego dođe Skynet
Roboti su u modi ovih dana. U bliskoj budućnosti će ih biti svuda: u vojnim misijama, u hirurškim operacijama, u izgradnji nebodera; prodavači u trgovinama; bolničko osoblje; poslovni asistenti, seksualni partneri; domaći kuvari i punopravni članovi porodice.
Kako se ekosistem robota širi i utjecaj robota u našem društvu i ekonomiji ubrzano raste, oni počinju predstavljati značajnu prijetnju ljudima, životinjama i preduzećima. U svojoj srži, roboti su kompjuteri sa rukama, nogama i točkovima. A s obzirom na modernu realnost sajber-sigurnosti, ovo su ranjivi kompjuteri sa rukama, nogama i točkovima.
Softverske i hardverske ranjivosti modernih robota omogućavaju napadaču da iskoristi fizičke mogućnosti robota da izazove imovinsku ili finansijsku štetu; ili čak slučajno ili namjerno ugroziti ljudski život. Potencijalne prijetnje bilo čemu u blizini robota eksponencijalno se povećavaju tokom vremena. Štaviše, oni se povećavaju u kontekstima koje uspostavljena industrija kompjuterske bezbednosti nikada ranije nije videla.
U svom nedavnom istraživanju, govornik je otkrio mnoge kritične ranjivosti kod kućnih, korporativnih i industrijskih robota - od poznatih proizvođača. U izvještaju otkriva tehničke detalje trenutnih prijetnji i objašnjava kako tačno napadači mogu ugroziti različite komponente robotskog ekosistema. Uz demonstraciju radnih podviga.
Među problemima koje je govornik otkrio u robotskom ekosistemu: 1) nesigurna komunikacija; 2) mogućnost oštećenja memorije; 3) ranjivosti koje omogućavaju daljinsko izvršavanje koda (RCE); 4) mogućnost narušavanja integriteta sistema datoteka; 5) problemi sa autorizacijom; au nekim slučajevima i izostanak istog; 6) slaba kriptografija; 7) problemi sa ažuriranjem firmvera; 8) problemi sa obezbjeđivanjem povjerljivosti; 8) nedokumentovane sposobnosti (takođe ranjive na RCE, itd.); 9) slaba podrazumevana konfiguracija; 10) ranjivi Open Source “okviri za kontrolu robota” i softverske biblioteke.
Govornik pruža uživo demonstracije raznih scenarija hakovanja koji se odnose na sajber špijunažu, insajderske prijetnje, oštećenje imovine itd. Opisujući realistične scenarije koji se mogu posmatrati u divljini, govornik objašnjava kako nesigurnost moderne robotske tehnologije može dovesti do hakovanja. Objašnjava zašto su hakovani roboti još opasniji od bilo koje druge ugrožene tehnologije.
Govornik također skreće pažnju na činjenicu da sirovi istraživački projekti idu u proizvodnju prije nego što se riješe sigurnosni problemi. Marketing pobjeđuje kao i uvijek. Ovo nezdravo stanje treba hitno ispraviti. Dok nije došao Skynet. Iako... Sljedeći izvještaj sugerira da je Skynet već stigao.
7. Militarizacija mašinskog učenja
Rizikujući da bude označen kao ludi naučnik, govornik je i dalje dirnut svojom „novom đavoljom kreacijom“, ponosno predstavljajući DeepHack: hakersku veštačku inteligenciju otvorenog koda. Ovaj bot je haker za web aplikacije koji se samostalno uči. Zasnovan je na neuronskoj mreži koja uči pokušajima i greškama. U isto vrijeme, DeepHack sa zastrašujućim prezirom tretira moguće posljedice po osobu iz ovih pokušaja i grešaka.
Koristeći samo jedan univerzalni algoritam, uči da iskorištava različite vrste ranjivosti. DeepHack otvara vrata u carstvo hakerske AI, od kojih se mnoge već mogu očekivati u bliskoj budućnosti. S tim u vezi, govornik svoj bot ponosno opisuje kao „početak kraja“.
Govornik vjeruje da su hakerski alati bazirani na umjetnoj inteligenciji, koji će se uskoro pojaviti, nakon DeepHack-a, fundamentalno nova tehnologija koju cyber branioci i cyber napadači tek treba da usvoje. Govornik garantuje da će u narednoj godini svako od nas ili sam pisati hakerske alate za mašinsko učenje ili očajnički pokušavati da se zaštiti od njih. Trećeg nema.
Također, u šali ili ozbiljno, govornik navodi: „Više nije prerogativ dijaboličkih genija, neizbježna distopija AI već je danas dostupna svima. Zato nam se pridružite i mi ćemo vam pokazati kako možete učestvovati u uništavanju čovječanstva stvaranjem vlastitog militariziranog sistema mašinskog učenja. Naravno, ako nas gosti iz budućnosti ne spriječe u tome."
8. Zapamtite sve: usađivanje lozinki u kognitivno pamćenje
Šta je kognitivno pamćenje? Kako možete tamo "usaditi" lozinku? Je li ovo uopće sigurno? I čemu uopšte takvi trikovi? Ideja je da sa ovim pristupom nećete moći da prosudite svoje lozinke, čak ni pod prinudom; uz zadržavanje mogućnosti prijave na sistem.
Govor počinje objašnjenjem šta je kognitivno pamćenje. Zatim objašnjava kako se eksplicitna i implicitna memorija razlikuju. Zatim se raspravlja o konceptima svjesnog i nesvjesnog. I takođe objašnjava kakva je to suština – svijest. Opisuje kako naša memorija kodira, pohranjuje i dohvaća informacije. Opisana su ograničenja ljudskog pamćenja. I takođe kako naše pamćenje uči. A izvještaj završava pričom o modernim istraživanjima ljudske kognitivne memorije, u kontekstu kako u nju implementirati lozinke.
Govornik, naravno, nije doveo do cjelovitog rješenja ambicioznu izjavu iznesenu u naslovu svog izlaganja, ali je istovremeno citirao nekoliko zanimljivih studija koje se odnose na pristupe rješavanju problema. Konkretno, istraživanje sa Univerziteta Stanford, čija je tema ista tema. I projekat za razvoj sučelja čovjek-mašina za osobe sa oštećenim vidom - s direktnom vezom s mozgom. Govornik se takođe poziva na studiju nemačkih naučnika koji su uspeli da naprave algoritamsku vezu između električnih signala mozga i verbalnih fraza; Uređaj koji su razvili omogućava vam da kucate tekst jednostavnim razmišljanjem o njemu. Još jedna zanimljiva studija na koju se govornik poziva je neurotelefon, interfejs između mozga i mobilnog telefona, preko bežičnih EEG slušalica (Dartmouth College, SAD).
Kao što je već navedeno, govornik nije doveo do potpunog rješenja ambicioznu izjavu iz naslova svog izlaganja. Međutim, govornik napominje da uprkos činjenici da još ne postoji tehnologija za implantaciju lozinke u kognitivnu memoriju, malver koji pokušava da je izvuče odatle već postoji.
9. A mali je upitao: "Da li stvarno mislite da samo vladini hakeri mogu da izvrše sajber napade na elektroenergetsku mrežu?"
Neometano funkcionisanje električne energije je od najveće važnosti u našem svakodnevnom životu. Naša ovisnost o struji postaje posebno očigledna kada je isključena - čak i na kratko. Danas je općeprihvaćeno da su sajber napadi na elektroenergetsku mrežu izuzetno složeni i dostupni samo državnim hakerima.
Govornik osporava ovu konvencionalnu mudrost i predstavlja detaljan opis napada na električnu mrežu, čija je cijena prihvatljiva čak i za nevladine hakere. Prikazuje informacije prikupljene sa interneta koje će biti korisne u modeliranju i analizi ciljne električne mreže. Takođe objašnjava kako se ove informacije mogu koristiti za modeliranje napada na električne mreže širom svijeta.
Izveštaj takođe pokazuje kritičnu ranjivost koju je otkrio govornik u proizvodima General Electric Multilin, koji se široko koriste u energetskom sektoru. Govornik opisuje kako je u potpunosti ugrozio algoritam šifriranja koji se koristi u ovim sistemima. Ovaj algoritam se koristi u General Electric Multilin proizvodima za sigurnu komunikaciju internih podsistema i za kontrolu ovih podsistema. Uključujući autorizaciju korisnika i omogućavanje pristupa privilegovanim operacijama.
Nakon što je naučio pristupne kodove (kao rezultat kompromitovanja algoritma šifriranja), napadač može potpuno onesposobiti uređaj i isključiti struju u određenim sektorima električne mreže; blok operateri. Uz to, zvučnik demonstrira tehniku za daljinsko čitanje digitalnih tragova koje ostavlja oprema osjetljiva na sajber napade.
10. Internet već zna da sam trudna
Zdravlje žena je veliki posao. Na tržištu postoji mnoštvo Android aplikacija koje pomažu ženama da prate svoj mjesečni ciklus, da znaju kada je najveća vjerovatnoća da će zatrudnjeti ili da prate svoj status trudnoće. Ove aplikacije potiču žene da snimaju najintimnije detalje svog života, kao što su raspoloženje, seksualna aktivnost, fizička aktivnost, fizički simptomi, visina, težina i još mnogo toga.
Ali koliko su ove aplikacije privatne i koliko su sigurne? Uostalom, ako aplikacija pohranjuje tako intimne detalje o našim ličnim životima, bilo bi lijepo da te podatke ne podijeli ni sa kim drugim; na primjer, sa prijateljskom kompanijom (koja se bavi ciljanim oglašavanjem, itd.) ili sa zlonamjernim partnerom/roditeljem.
Govornik predstavlja rezultate svoje cyber-sigurnosne analize više od desetak aplikacija koje predviđaju vjerovatnoću začeća i prate napredak trudnoće. Otkrio je da većina ovih aplikacija ima ozbiljne probleme sa sajber-bezbednošću uopšte i privatnošću posebno.
izvor: www.habr.com