Pentsatzen nuen oso ondo izango zela nazioarteko kongresuetako ekitaldiak azaltzea. Eta ez ikuspegi orokor batean bakarrik, erreportaje interesgarrienei buruz hitz egiteko baizik. Zure arreta ekartzen dizut lehen hamar beroak.
1. IoT erasoen eta ransomwareen tandem lagunarteko baten zain
2016an, ransomwari erasoen hazkundea azkar ikusi genuen. Oraindik ez ginen eraso horietatik errekuperatu IoT erabiliz DDoS eraso olatu berri batek jo gintuenean. Txosten honetan, egileak ransomware eraso bat nola gertatzen den deskribatzen du urratsez urrats. Ransomwareak nola funtzionatzen duen eta ikertzaileak zer egin behar duen fase bakoitzean ransomwareari aurre egiteko.
Horretarako, frogatutako metodoetan oinarritzen da. Ondoren, hizlariak IoT-ek DDoS erasoetan nola parte hartzen duen argitzen du: malware laguntzaileak eraso hauek burutzeko zer eginkizun duen kontatzen du (IoT armadak DDoS eraso bat burutzeko bere aldetik gero laguntzarako). Gainera, ransomware eta IoT erasoen tandemak datozen urteetan mehatxu handia izan daitekeenari buruz hitz egiten du. Hizlaria "Malware, Rootkits & Botnets: a Beginner's Guide", "Advanced Malware Analysis", "Hacking Exposed: Malware & Rootkits Secrets & Solutions" liburuen egilea da - beraz, gaiaren ezagutzarekin jakinarazten du.
2. "Ireki ahoa, esan 0x41414141": ziberazpiegitura medikoen aurkako erasoa
Internetera konektatutako ekipamendu medikoa nonahiko errealitate klinikoa da. Ekipamendu horiek laguntza baliotsua da mediku langileentzat, errutinaren zati garrantzitsu bat automatizatzen baitute. Dena den, ekipamendu honek ahultasun asko ditu (softwarea zein hardwarea), eta horrek jarduera-eremu zabala irekitzen dio balizko erasotzaile bati. Txostenean, hizlariak ziberazpiegitura medikoetarako pentestak egitearen esperientzia pertsonala partekatzen du; eta erasotzaileek ekipamendu medikoa nola arriskuan jartzen duten ere hitz egiten du.
Hizlariak honakoa deskribatzen du: 1) erasotzaileek nola ustiatzen dituzten jabedun komunikazio-protokoloak, 2) nola bilatzen dituzten sareko zerbitzuetan ahultasunak, 3) nola arriskuan jartzen dituzten bizi-euskarri sistemak, 4) nola ustiatzen dituzten hardware-arazketa-interfazeak eta sistemaren datu-busa; 5) nola erasotzen dituzten oinarrizko haririk gabeko interfazeak eta jabedun haririk gabeko teknologia espezifikoak; 6) nola sartzen diren informazio medikoko sistemetan, eta gero irakurri eta editatu: pazientearen osasunari buruzko informazio pertsonala; mediku-agiri ofizialak, eta horien edukia normalean gaixoari ere ezkutatuta dago; 7) ekipo medikoak informazioa eta zerbitzu-aginduak trukatzeko erabiltzen duten komunikazio-sistema nola eten den; 8) mediku-langileek ekipamenduetarako sarbidea nola mugatzen den; edo erabat blokeatu.
Pentestetan zehar, hizlariak arazo ugari aurkitu zituen ekipo medikoekin. Horien artean: 1) kriptografia ahula, 2) datuak manipulatzeko aukera; 3) ekipoak urrutiko ordezkatzeko aukera, 3) jabedun protokoloetako ahultasunak, 4) datu-baseetara baimenik gabe sartzeko aukera, 5) saio-hasiera/pasahitz aldaezinak eta kode gogorrak. Baita ekipoaren firmwarean edo sistemaren bitarretan gordetako beste informazio sentikorra ere; 6) ekipamendu medikoen suszeptibilitatea urruneko DoS erasoen aurrean.
Txostena irakurri ondoren, bistakoa da gaur egun medikuaren sektoreko zibersegurtasuna kasu klinikoa dela eta zainketa intentsiboa behar duela.
3. Testuinguruko publizitate pintxoaren puntan hortz-esplotazioa
Egunero, milioika pertsona joaten dira sare sozialetara: lanagatik, entretenimenduagatik edo besterik gabe. Sare sozialen azpian, batez besteko bisitariarentzat ikusezinak diren iragarkiak plataformak daude eta sare sozialetako bisitariei testuinguruko publizitate garrantzitsuak emateaz arduratzen dira. Iragarkien plataformak erabiltzeko errazak eta oso eraginkorrak dira. Hori dela eta, eskariak dira iragarleen artean.
Enpresentzat oso onuragarria den publiko zabal batera iristeko gaitasunaz gain, Iragarkien plataformek ere aukera ematen dizute zure xedea pertsona zehatz batera murrizteko. Gainera, iragarki-plataforma modernoen funtzionaltasunak pertsona jakin honen gailu ugarietako zeinetan iragarkiak erakusteko aukera ematen du.
Hori. Iragarkien plataforma modernoek iragarlea edozein pertsonarengana iristeko aukera ematen dute, munduko edozein lekutan. Baina aukera hau erasotzaileek ere erabil dezakete - nahi duten biktimak lan egiten duen sarerako ate gisa. Hizlariak erakusten du iragarle gaizto batek Ads plataforma nola erabil dezakeen bere phishing kanpaina zehatz-mehatz bideratzeko, pertsona zehatz bati ustiapen pertsonalizatu bat emateko.
4. Benetako hacker-ek nola saihesten duten zuzendutako publizitatea
Gure eguneroko bizitzan hainbat zerbitzu informatiko erabiltzen ditugu. Eta kosta egiten zaigu horiei uko egitea, nahiz eta bat-batean guri erabateko zaintza egiten ari direla jakiten dugunean. Hain osoa non gure gorputz-mugimendu bakoitza eta hatz-presioaren jarraipena egiten dutela.
Hizlariak argi eta garbi azaltzen du nola merkaturatzaile modernoak bideratzeko metodo esoteriko ugari erabiltzen dituzten. Guk paranoiari buruz, erabateko zaintzari buruz. Eta irakurle askok idatzitakoa txantxa kaltegarritzat hartu zuten, baina aurkeztutako txostenetik argi dago merkaturatzaile modernoak dagoeneko erabiltzen ari direla horrelako teknologiak gure jarraipena egiteko.
Zer egin dezakezu, testuinguruko publizitatearen industria, erabateko zaintza hori elikatzen duena, jauzi eta mugitzen ari da. Iragarkien plataforma modernoek pertsona baten sareko jarduera ez ezik (teklak sakatzeak, saguaren erakuslearen mugimenduak, etab.), haren ezaugarri fisiologikoak ere (teklak nola sakatzen ditugun eta sagua mugitzen dugun) jarraipena egin dezakete. Hori. Iragarkien plataformen jarraipen-tresna modernoak, zerbitzuetan txertatuta, ezin dugu bizitza imajinatu, ez bakarrik gure barruko arroparen azpian arakatu, baita gure azalean ere. Gehiegizko zerbitzu horietatik kanpo uzteko gaitasunik ez badugu, zergatik ez saiatu gutxienez alferrikako informazioz bonbardatzen?
Txostenak egilearen gailua (software eta hardware bot) frogatu zuen, eta horrek aukera ematen du: 1) Bluetooth balizak injektatzea; 2) zarata egin ibilgailuaren barneko sentsoreetatik jasotako datuak; 3) telefono mugikor baten identifikazio-parametroak faltsutu; 4) zarata atera hatz-kliketan (teklatuan, saguaren eta sentsorean). Jakina da informazio hori guztia mugikorretako gadgetetan publizitatea bideratzeko erabiltzen dela.
Erakustaldiak erakusten du egilearen gailua martxan jarri ondoren, jarraipen-sistema zoratu egiten dela; biltzen duen informazioa hain zaratatsua eta zehazgabea bihurtzen dela, gure behatzaileentzat ez duela ezertarako balioko. Txantxa on gisa, hizlariak erakusten du nola, aurkeztutako gailuari esker, "jarraipen-sistema" 32 urteko hacker bat zaldiekin maiteminduta dagoen 12 urteko neska bat bezala hautematen hasten den.
5. 20 urte MMORPG pirateatzen: grafiko freskoagoak, ustiapen berdinak
MMORPGak hackeatzeari buruzko gaia 20 urtez eztabaidatu da DEF CON-en. Urteurrenari omenaldia eginez, eztabaida hauetako unerik esanguratsuenak deskribatu ditu hizlariak. Horrez gain, sareko jostailuen harrapaketaren alorrean izandako abenturei buruz hitz egiten du. Ultima Online geroztik (1997an). Eta ondorengo urteak: Dark Age of Camelot, Anarchy Online, Asherons Call 2, ShadowBane, Lineage II, Final Fantasy XI/XIV, World of Warcraft. Hainbat ordezkari berri barne: Guild Wars 2 eta Elder Scrolls Online. Eta hau ez da hizlariaren ibilbide osoa!
Txostenak diru birtuala eskuratzen lagunduko dizuten MMORPGetarako ustiapenak sortzeari buruzko xehetasun teknikoak eskaintzen ditu, eta ia MMORPG guztietarako garrantzitsuak direnak. Hizlariak laburki hitz egiten du harrapatzaileen (ustiapenen fabrikatzaileak) eta “arrainen kontrola”ren arteko betiko konfrontazioaz; eta arma-lasterketa honen egungo egoera teknikoari buruz.
Paketeen azterketa zehatza egiteko metodoa eta ustiapenak nola konfiguratu azaltzen du, zerbitzariaren aldean ekusketa ez detektatzeko. Azken balentria aurkeztea barne, txostenaren garaian armamentu-lasterketan "arrainaren ikuskapenaren" aldean abantaila zuena.
6. Hack ditzagun robotak Skynet etorri baino lehen
Robotak modan daude egun. Etorkizun hurbilean, nonahi egongo dira: misio militarretan, operazio kirurgikoetan, etxe orratz eraikitzen; dendetan dendako laguntzaileak; ospitaleko langileak; negozio laguntzaileak, sexu bikotekideak; etxeko sukaldariak eta familia osoko kideak.
Roboten ekosistema hedatzen den heinean eta roboten eragina gure gizartean eta ekonomian azkar hazten den heinean, mehatxu nabarmena izaten hasi dira pertsonentzat, animalientzat eta enpresentzat. Euren oinarrian, robotak besoak, hankak eta gurpilak dituzten ordenagailuak dira. Eta zibersegurtasunaren errealitate modernoak kontuan hartuta, hauek besoak, hankak eta gurpilak dituzten ordenagailu ahulak dira.
Robot modernoen software- eta hardware-ahuleziek erasotzaile bati robotaren gaitasun fisikoak erabil ditzakete jabetza edo kalte ekonomikoak sortzeko; edota ustekabean edo nahita gizakien bizitza arriskuan jartzea. Roboten inguruan dagoen edozerren mehatxu potentzialak esponentzialki handitzen dira denborarekin. Gainera, ezarritako segurtasun informatikoaren industriak inoiz ikusi ez dituen testuinguruetan areagotzen ari dira.
Bere azken ikerketetan, hizlariak ahultasun kritiko asko aurkitu ditu etxeko, korporazio eta industriako robotetan, fabrikatzaile ezagunetatik. Txostenean, egungo mehatxuen xehetasun teknikoak azaltzen ditu eta erasotzaileek robot ekosistemako hainbat osagai nola arriskuan jar ditzaketen azaltzen du. Laneko balentrien erakustaldiarekin.
Bozgorailuak roboten ekosisteman aurkitu dituen arazoen artean: 1) komunikazio seguruak; 2) memoria kaltetzeko aukera; 3) urruneko kodea exekutatzeko (RCE) ahalbidetzen duten ahultasunak; 4) fitxategi-sistemaren osotasuna urratzeko aukera; 5) baimenarekin arazoak; eta zenbait kasutan halakorik eza; 6) kriptografia ahula; 7) firmwarea eguneratzeko arazoak; 8) konfidentzialtasuna bermatzeko arazoak; 8) dokumentaziorik gabeko gaitasunak (RCEren aurrean zaurgarriak, etab.); 9) konfigurazio lehenetsi ahula; 10) Kode Ireki ahulak "robotak kontrolatzeko markoak" eta software liburutegiak.
Hizlariak zuzeneko erakustaldiak eskaintzen ditu ziber-espioitzarekin, barruko mehatxuekin, jabetzako kalteekin, etab. Basatian beha daitezkeen eszenatoki errealistak deskribatuz, hizlariak robot teknologia modernoaren segurtasun ezak hacking-a nola ekar dezakeen azaltzen du. Azaltzen du hackeatutako robotak arriskutsuagoak diren beste edozein teknologia baino are arriskutsuagoak.
Hizlariak arreta ere deitzen du ikerketa-proiektu gordinak produkzioan sartzen direla segurtasun-arazoak konpondu aurretik. Marketinak beti bezala irabazten du. Egoera osasungaitz hori premiazkoa da zuzendu behar da. Skynet etorri zen arte. Nahiz eta... Hurrengo txostenak iradokitzen du Skynet jada iritsi dela.
7. Ikaskuntza automatikoaren militarizazioa
Zientzialari zorotzat jotzeko arriskuan, hizlaria oraindik hunkituta dago bere “deabruaren sorkuntza berriak”, harro aurkeztuz DeepHack: kode irekiko hacker AI bat. Bot hau autoikaskuntzako web aplikazioen hacker bat da. Proba eta akatsen bidez ikasten duen neurona-sare batean oinarritzen da. Aldi berean, DeepHack-ek mespretxu beldurgarriz tratatzen ditu pertsona batek entsegu eta akats hauetatik izan ditzakeen ondorioak.
Algoritmo unibertsal bakarra erabiliz, hainbat ahultasun mota ustiatzen ikasten du. DeepHack-ek hacker AIaren atea irekitzen du, eta horietako asko etorkizun hurbilean espero daitezke dagoeneko. Zentzu honetan, hizlariak harrotasunez ezaugarritzen du bere bot "amaieraren hasiera" gisa.
Hizlariak uste du DeepHack-i jarraituz laster agertuko diren AIan oinarritutako hacking tresnak ziber defendatzaileek eta zibererasotzaileek oraindik hartu behar duten teknologia berri bat direla. Hizlariak bermatzen du hurrengo urtean gutako bakoitzak ikasketa automatikoko hacking tresnak idatziko dituela edo horietatik babesten saiatuko dela. Ez dago hirugarrenik.
Gainera, txantxetan edo serio, hizlariak honakoa dio: “Jenio diabolikoen prerrogatiboa jada ez, AIaren distopia saihestezina denon eskura dago gaur egun. Beraz, bat egin gurekin eta gizateriaren suntsipenean nola parte hartu dezakezun erakutsiko dizugu zure ikasketa automatikoko sistema militarizatu propioa sortuz. Jakina, etorkizuneko gonbidatuek ez badigute hori egitea eragozten».
8. Gogoratu dena: pasahitzak memoria kognitiboan ezarriz
Zer da memoria kognitiboa? Nola "inplantatu" dezakezu pasahitza bertan? Hau ere segurua al da? Eta zergatik halako trikimailuak? Ideia da ikuspegi honekin ezingo dituzula pasahitzak isuri, nahiz eta behartuta egon; sisteman saioa hasteko gaitasuna mantenduz.
Hitzaldia memoria kognitiboa zer den azalduz hasten da. Ondoren, memoria esplizitua eta inplizitua nola desberdintzen diren azaltzen du. Jarraian, kontzientearen eta inkontzientearen kontzeptuak eztabaidatzen dira. Eta hori nolako esentzia den ere azaltzen du: kontzientzia. Gure memoriak informazioa nola kodetzen, gordetzen eta berreskuratzen duen deskribatzen du. Giza memoriaren mugak deskribatzen dira. Eta baita gure memoriak nola ikasten duen. Eta txostena giza memoria kognitiboari buruzko ikerketa modernoari buruzko istorio batekin bukatzen da, bertan pasahitzak nola inplementatzeko testuinguruan.
Hizlariak, noski, ez zuen bere aurkezpenaren izenburuan egindako adierazpen asmo handikoa konponbide osoa ekarri, baina, aldi berean, arazoa konpontzeko planteamenduei buruzko hainbat ikerketa interesgarri aipatu zituen. Batez ere, Stanford Unibertsitateko ikerketak, gaia gai bera baita. Eta ikusmen urritasuna duten pertsonentzat giza-makina interfaze bat garatzeko proiektua, garunarekin lotura zuzena duena. Garuneko seinale elektrikoen eta hitzezko esaldien arteko lotura algoritmiko bat egitea lortu zuten zientzialari alemaniarrek egindako ikerketa bat ere aipatzen du hizlariak; Garatu duten gailuak testua idazteko aukera ematen du, pentsatzearekin bakarrik. Hiztunak aipatzen duen beste ikerketa interesgarri bat neurotelefonoa da, garunaren eta telefono mugikor baten arteko interfazea, haririk gabeko EEG entzungailu baten bidez (Dartmouth College, AEB).
Esan bezala, hizlariak ez zuen bere aurkezpenaren izenburuan egindako adierazpen asmo handikoa erabat konponbidera ekarri. Hala ere, hizlariak adierazi du pasahitza memoria kognitiboan ezartzeko teknologiarik ez dagoen arren, hortik ateratzen saiatzen den malwarea jada existitzen dela.
9. Eta txikiak galdetu zuen: “Benetan uste al duzu gobernuko hackerrek soilik egin ditzaketela sare elektrikoan zibererasoak?”.
Elektrizitatearen funtzionamendu egokiak berebiziko garrantzia du gure eguneroko bizitzan. Elektrizitatearen menpekotasuna bereziki nabaria da itzalita dagoenean, denbora laburrean ere. Gaur egun, orokorrean onartuta dago sare elektrikoaren aurkako ziber-erasoak oso konplexuak direla eta gobernuko hackerrentzat soilik eskura daitezkeela.
Hizlariak ohiko jakituria hori zalantzan jartzen du eta sare elektrikoaren aurkako eraso baten deskribapen zehatza aurkezten du, zeinaren kostua onargarria baita gobernuz kanpoko hackerrentzat ere. Helburuko sare elektrikoa modelatzeko eta aztertzeko baliagarria izango den Internetetik jasotako informazioa erakusten du. Eta informazio hori mundu osoko sare elektrikoen aurkako erasoak modelatzeko nola erabil daitekeen azaltzen du.
Txostenak hizlariek aurkitutako ahultasun kritiko bat ere erakusten du General Electric Multilin produktuetan, zeinak energiaren sektorean asko erabiltzen diren. Hizlariak sistema hauetan erabilitako enkriptazio-algoritmoa nola erabat arriskuan jarri zuen deskribatzen du. Algoritmo hau General Electric Multilin produktuetan erabiltzen da barne azpisistemen komunikazio segururako eta azpisistema horien kontrola egiteko. Erabiltzaileei baimena ematea eta pribilegiodun eragiketetarako sarbidea ematea barne.
Sarbide-kodeak ikasita (zifratze-algoritmoa arriskuan jartzearen ondorioz), erasotzaileak gailua guztiz desgaitu eta elektrizitatea itzal dezake sare elektrikoko sektore zehatzetan; bloke-operadoreak. Horrez gain, hizlariak ziber-erasoen aurrean zaurgarri diren ekipoek utzitako arrasto digitalak urrunetik irakurtzeko teknika erakusten du.
10. Internetek dagoeneko badaki haurdun nagoela
Emakumeen osasuna negozio handia da. Android-eko aplikazio ugari daude merkatuan emakumeei hileroko zikloak kontrolatzen laguntzen dietenak, haurdunaldiaren egoeraren jarraipena egiten edo haurdunaldiaren egoeraren jarraipena egiten laguntzen dietenak. Aplikazio hauek emakumeak beren bizitzako xehetasunik intimoenak grabatzera bultzatzen dituzte, hala nola aldartea, jarduera sexuala, jarduera fisikoa, sintoma fisikoak, altuera, pisua eta abar.
Baina zenbateraino dira pribatuak aplikazio hauek, eta zein seguruak dira? Azken finean, aplikazio batek gure bizitza pertsonalari buruzko halako xehetasun intimoak gordetzen baditu, ondo legoke datu horiek beste inorekin partekatu ez balu; adibidez, lagunarteko enpresa batekin (zuzendutako publizitatean aritzen dena, etab.) edo maltzurren bikote/guraso batekin.
Hizlariak kontzepzio probabilitatea aurreikusten duten eta haurdunaldiaren aurrerapenaren jarraipena egiten duten dozena bat aplikazio baino gehiagoren zibersegurtasunaren analisiaren emaitzak aurkezten ditu. Aplikazio horietako gehienek arazo larriak dituzte zibersegurtasunarekin orokorrean eta pribatutasunarekin bereziki.
Iturria: www.habr.com