Razmišljao sam kako bi bilo super pokrivati događaje s međunarodnih konferencija. I to ne samo u općem pregledu, nego i govoriti o najzanimljivijim izvješćima. Predstavljam vam prvu vruću desetku.
1. Čekajući prijateljski tandem IoT napada i ransomwarea
U 2016. vidjeli smo nagli porast ransomwari napada. Još se nismo bili oporavili od ovih napada kada nas je pogodio novi val DDoS napada koji koriste IoT. U ovom izvješću autor daje korak po korak opis kako dolazi do napada ransomwarea. Kako radi ransomware i što istraživač mora učiniti u svakoj fazi kako bi se suprotstavio ransomwareu.
Pritom se oslanja na provjerene metode. Zatim govornik baca svjetlo na to kako je IoT uključen u DDoS napade: govori kakvu ulogu ima pomoćni malware u izvođenju ovih napada (za kasniju pomoć s njegove strane u izvođenju DDoS napada od strane IoT vojske). Također govori o tome kako bi tandem ransomwarea i IoT napada mogao postati velika prijetnja u nadolazećim godinama. Govornik je autor knjiga “Malware, Rootkits & Botnets: a Beginner’s Guide”, “Advanced Malware Analysis”, “Hacking Exposed: Malware & Rootkits Secrets & Solutions” - stoga izvještava s znanjem o materiji.
2. "Otvori usta, reci 0x41414141": Napad na medicinsku kibernetičku infrastrukturu
Medicinska oprema povezana s internetom sveprisutna je klinička stvarnost. Takva oprema dragocjena je pomoć medicinskom osoblju jer automatizira značajan dio rutine. Međutim, ova oprema sadrži mnoge ranjivosti (softverske i hardverske), koje potencijalnom napadaču otvaraju široko polje djelovanja. U izvješću predavač dijeli svoje osobno iskustvo provođenja pentestova za medicinsku kibernetičku infrastrukturu; a također govori o tome kako napadači kompromitiraju medicinsku opremu.
Govornik opisuje: 1) kako napadači iskorištavaju vlasničke komunikacijske protokole, 2) kako traže ranjivosti u mrežnim uslugama, 3) kako ugrožavaju sustave za održavanje života, 4) kako iskorištavaju sučelja za otklanjanje pogrešaka hardvera i sabirnicu podataka sustava; 5) kako napadaju osnovna bežična sučelja i specifične vlasničke bežične tehnologije; 6) kako prodiru u medicinske informacijske sustave, a potom čitaju i uređuju: osobne podatke o zdravstvenom stanju pacijenta; službena medicinska dokumentacija, čiji je sadržaj obično skriven čak i od pacijenta; 7) kako je komunikacijski sustav koji medicinska oprema koristi za razmjenu informacija i servisnih naredbi prekinut; 8) kako je medicinskom osoblju ograničen pristup opremi; ili ga potpuno blokirati.
Tijekom svojih pentestova, govornik je otkrio mnoge probleme s medicinskom opremom. Među njima: 1) slaba kriptografija, 2) mogućnost manipulacije podacima; 3) mogućnost daljinske zamjene opreme, 3) ranjivosti u vlasničkim protokolima, 4) mogućnost neovlaštenog pristupa bazama podataka, 5) tvrdo kodirane, nepromjenjive prijave/lozinke. Kao i druge osjetljive informacije pohranjene u firmware-u opreme ili u binarnim datotekama sustava; 6) osjetljivost medicinske opreme na udaljene DoS napade.
Nakon čitanja izvješća postaje očito da je kibernetička sigurnost u medicinskom sektoru danas klinički slučaj i treba intenzivnu skrb.
3. Zubati podvig na vrhu ražnja za kontekstualno oglašavanje
Svaki dan milijuni ljudi posjećuju društvene mreže: zbog posla, zabave ili samo zato. Ispod haube društvenih mreža nalaze se oglasne platforme koje su nevidljive prosječnom posjetitelju i odgovorne su za isporuku relevantnog kontekstualnog oglašavanja posjetiteljima društvenih mreža. Oglasne platforme jednostavne su za korištenje i vrlo učinkovite. Stoga su traženi među oglašivačima.
Osim mogućnosti dosezanja široke publike, što je vrlo korisno za poslovanje, Ads platforme vam također omogućuju sužavanje ciljanja na jednu određenu osobu. Štoviše, funkcionalnost modernih Ads platformi čak vam omogućuje da odaberete na kojem ćete od brojnih gadgeta određene osobe prikazivati reklame.
Da. moderne Ads platforme omogućuju oglašivaču da dosegne bilo koju osobu, bilo gdje u svijetu. Ali ovu priliku također mogu iskoristiti napadači - kao prolaz do mreže u kojoj djeluje njihova namjeravana žrtva. Govornik demonstrira kako zlonamjerni oglašivač može koristiti Ads platformu za precizno ciljanje svoje phishing kampanje za isporuku personaliziranog iskorištavanja jednoj određenoj osobi.
4. Kako pravi hakeri izbjegavaju ciljano oglašavanje
U svakodnevnom životu koristimo mnogo različitih računalnih usluga. I teško nam je odustati od njih, čak i kada odjednom saznamo da nas provode totalni nadzor. Toliko totalni da prate svaki naš pokret tijela i svaki pritisak prsta.
Govornik jasno objašnjava kako moderni trgovci koriste široku paletu ezoterijskih metoda ciljanja. Mi o mobilnoj paranoji, o totalnom nadzoru. I mnogi su čitatelji shvatili napisano kao bezazlenu šalu, no iz prezentiranog izvješća jasno je da moderni trgovci već u potpunosti koriste takve tehnologije kako bi nas pratili.
Što možete učiniti, industrija kontekstualnog oglašavanja, koja potiče ovaj potpuni nadzor, kreće se velikim koracima. Do te mjere da moderne Ads platforme mogu pratiti ne samo mrežnu aktivnost osobe (pritiske tipki, pomicanje pokazivača miša itd.), već i njegove fiziološke karakteristike (kako pritišćemo tipke i pomičemo miš). Da. moderni alati za praćenje Ads platformi, ugrađeni u servise bez kojih ne možemo zamisliti život, ne samo da nam se uvlače pod donje rublje, već čak i pod kožu. Ako nemamo mogućnost isključiti se iz ovih pretjerano opreznih usluga, zašto ih onda ne bismo barem pokušali bombardirati beskorisnim informacijama?
U izvješću je prikazan autorov uređaj (softverski i hardverski bot), koji omogućuje: 1) ubacivanje Bluetooth svjetionika; 2) ometati podatke prikupljene od senzora u vozilu; 3) krivotvoriti identifikacijske parametre mobilnog telefona; 4) proizvoditi buku u obliku klikova prstiju (na tipkovnici, mišu i senzoru). Poznato je da se sve ove informacije koriste za ciljano oglašavanje na mobilnim gadgetima.
Demonstracija pokazuje da nakon pokretanja autorovog uređaja sustav za praćenje poludi; da informacije koje prikuplja postanu toliko bučne i netočne da našim promatračima više neće biti od koristi. Kao dobru šalu, govornik demonstrira kako, zahvaljujući predstavljenom uređaju, “sustav za praćenje” počinje percipirati 32-godišnjeg hakera kao 12-godišnju djevojčicu koja je ludo zaljubljena u konje.
5. 20 godina MMORPG hakiranja: hladnija grafika, isti podvigi
O temi hakiranja MMORPG-ova raspravlja se na DEF CON-u već 20 godina. Odajući počast obljetnici, govornik opisuje najznačajnije trenutke iz ovih rasprava. Osim toga, govori o svojim avanturama na polju krivolova online igračaka. Od Ultima Online (1997.). I naredne godine: Dark Age of Camelot, Anarchy Online, Asherons Call 2, ShadowBane, Lineage II, Final Fantasy XI/XIV, World of Warcraft. Uključujući nekoliko svježih predstavnika: Guild Wars 2 i Elder Scrolls Online. I ovo nije cijeli rekord govornika!
Izvješće pruža tehničke pojedinosti o stvaranju podviga za MMORPG koji vam pomažu doći do virtualnog novca i koji su relevantni za gotovo svaki MMORPG. Govornik ukratko govori o vječnom obračunu između lovokradica (proizvođača podviga) i “kontrole ribe”; i o trenutnom tehničkom stanju ove utrke u naoružanju.
Objašnjava metodu detaljne analize paketa i kako konfigurirati exploite tako da se poaching ne otkrije na strani poslužitelja. Uključujući i predstavljanje najnovijeg podviga, koji je u vrijeme izvješća imao prednost nad "ribljom inspekcijom" u utrci u naoružanju.
6. Hakirajmo robote prije nego Skynet dođe
Ovih dana roboti su u modi. U bliskoj budućnosti bit će posvuda: u vojnim misijama, u kirurškim operacijama, u izgradnji nebodera; prodavači u trgovinama; bolničko osoblje; poslovni pomoćnici, seksualni partneri; domaći kuhari i punopravni članovi obitelji.
Kako se ekosustav robota širi i utjecaj robota u našem društvu i gospodarstvu brzo raste, oni počinju predstavljati značajnu prijetnju ljudima, životinjama i poduzećima. U svojoj srži, roboti su računala s rukama, nogama i kotačima. A s obzirom na modernu stvarnost kibernetičke sigurnosti, ovo su ranjiva računala s rukama, nogama i kotačima.
Softverske i hardverske ranjivosti modernih robota dopuštaju napadaču korištenje fizičkih sposobnosti robota za nanošenje imovinske ili financijske štete; ili čak slučajno ili namjerno ugroziti ljudski život. Potencijalne prijetnje bilo čemu u blizini robota eksponencijalno se povećavaju tijekom vremena. Štoviše, povećavaju se u kontekstima koje etablirana industrija računalne sigurnosti nikada prije nije vidjela.
U svom nedavnom istraživanju, govornik je otkrio mnoge kritične ranjivosti u kućnim, korporativnim i industrijskim robotima - poznatih proizvođača. U izvješću otkriva tehničke detalje trenutnih prijetnji i točno objašnjava kako napadači mogu ugroziti različite komponente ekosustava robota. Uz demonstraciju radnih podviga.
Među problemima koje je otkrio govornik u ekosustavu robota: 1) nesigurne komunikacije; 2) mogućnost oštećenja pamćenja; 3) ranjivosti koje dopuštaju daljinsko izvršavanje koda (RCE); 4) mogućnost narušavanja integriteta datotečnog sustava; 5) problemi s autorizacijom; au nekim slučajevima i njezina odsutnost; 6) slaba kriptografija; 7) problemi s ažuriranjem firmvera; 8) problemi s osiguranjem povjerljivosti; 8) nedokumentirane sposobnosti (također ranjive na RCE, itd.); 9) slaba zadana konfiguracija; 10) ranjivi Open Source "okviri za upravljanje robotima" i softverske biblioteke.
Govornik nudi demonstracije uživo raznih scenarija hakiranja povezanih s cyber špijunažom, prijetnjama iznutra, oštećenjem imovine itd. Opisujući realne scenarije koji se mogu promatrati u divljini, govornik objašnjava kako nesigurnost moderne tehnologije robota može dovesti do hakiranja. Objašnjava zašto su hakirani roboti još opasniji od bilo koje druge ugrožene tehnologije.
Govornik također skreće pozornost na činjenicu da grubi istraživački projekti kreću u proizvodnju prije nego što se riješe sigurnosni problemi. Marketing pobjeđuje kao i uvijek. Ovo nezdravo stanje treba pod hitno ispraviti. Dok nije došao Skynet. Iako... Sljedeće izvješće sugerira da je Skynet već stigao.
7. Militarizacija strojnog učenja
Uz rizik da bude obilježen kao ludi znanstvenik, govornik je još uvijek dirnut svojom "novom đavoljom kreacijom", ponosno predstavljajući DeepHack: hakersku umjetnu inteligenciju otvorenog koda. Ovaj bot je haker web aplikacija koji se sam uči. Temelji se na neuronskoj mreži koja uči metodom pokušaja i pogreške. U isto vrijeme, DeepHack se prema mogućim posljedicama tih pokušaja i pogrešaka za osobu odnosi sa zastrašujućim prijezirom.
Koristeći samo jedan univerzalni algoritam, uči iskorištavati različite vrste ranjivosti. DeepHack otvara vrata u carstvo hakerske umjetne inteligencije, od koje se mnoge već mogu očekivati u bliskoj budućnosti. S tim u vezi, govornik ponosno karakterizira svog bota kao "početak kraja".
Govornik vjeruje da su alati za hakiranje temeljeni na umjetnoj inteligenciji, koji će se uskoro pojaviti nakon DeepHacka, temeljno nova tehnologija koju cyber branitelji i cyber napadači tek trebaju usvojiti. Govornik jamči da će svatko od nas u sljedećih godinu dana ili sam pisati alate za hakiranje strojnog učenja ili se očajnički pokušavati zaštititi od njih. Trećeg nema.
Također, bilo u šali ili ozbiljno, govornik izjavljuje: “Više nije prerogativ dijaboličkih genija, neizbježna distopija umjetne inteligencije već je danas dostupna svima. Stoga nam se pridružite i pokazat ćemo vam kako možete sudjelovati u uništenju čovječanstva stvaranjem vlastitog militariziranog sustava strojnog učenja. Naravno, ako nas u tome ne spriječe gosti iz budućnosti."
8. Zapamtite sve: usađivanje lozinki u kognitivno pamćenje
Što je kognitivno pamćenje? Kako tamo možete "usaditi" lozinku? Je li ovo uopće sigurno? I čemu uopće takvi trikovi? Ideja je da s ovim pristupom nećete moći odati svoje lozinke, čak ni pod prisilom; zadržavajući mogućnost prijave u sustav.
Razgovor započinje objašnjenjem što je kognitivno pamćenje. Zatim se objašnjava kako se eksplicitno i implicitno pamćenje razlikuju. Zatim se raspravlja o konceptima svjesnog i nesvjesnog. I također objašnjava kakva je to esencija – svijest. Opisuje kako naše pamćenje kodira, pohranjuje i dohvaća informacije. Opisuju se ograničenja ljudskog pamćenja. I također kako naše pamćenje uči. A izvještaj završava pričom o suvremenim istraživanjima ljudske kognitivne memorije, u kontekstu kako u nju implementirati lozinke.
Govornik, naravno, nije doveo do cjelovitog rješenja ambicioznu tvrdnju iz naslova izlaganja, ali je istovremeno naveo nekoliko zanimljivih studija koje govore o pristupima rješavanju problema. Konkretno, istraživanje Sveučilišta Stanford, čiji je predmet ista tema. I projekt razvoja sučelja čovjek-stroj za osobe oštećena vida – s izravnom vezom s mozgom. Govornik se također poziva na istraživanje njemačkih znanstvenika koji su uspjeli algoritamski povezati električne signale mozga i verbalne fraze; Uređaj koji su razvili omogućuje vam da tipkate tekst samo razmišljajući o njemu. Druga zanimljiva studija na koju se govornik poziva je neurotelefon, sučelje između mozga i mobilnog telefona, putem bežične EEG slušalice (Dartmouth College, SAD).
Kao što je već navedeno, ambicioznu tvrdnju iz naslova izlaganja govornik nije doveo do potpunog rješenja. No, govornik napominje da unatoč činjenici da još ne postoji tehnologija za ugradnju lozinke u kognitivnu memoriju, zlonamjerni softver koji je pokušava izvući odatle već postoji.
9. A mali je pitao: “Zar stvarno misliš da samo vladini hakeri mogu izvesti kibernetičke napade na električnu mrežu?”
Besprijekoran rad električne energije od iznimne je važnosti u našem svakodnevnom životu. Naša ovisnost o struji postaje posebno očita kada je isključimo – čak i nakratko. Danas je općeprihvaćeno da su cyber napadi na elektroenergetsku mrežu izuzetno složeni i dostupni samo vladinim hakerima.
Govornik dovodi u pitanje ovu uvriježenu mudrost i predstavlja detaljan opis napada na elektroenergetsku mrežu, čija je cijena prihvatljiva čak i za nevladine hakere. Prikazuje informacije prikupljene s Interneta koje će biti korisne u modeliranju i analizi ciljane električne mreže. Također objašnjava kako se ove informacije mogu koristiti za modeliranje napada na električne mreže diljem svijeta.
Izvješće također pokazuje kritičnu ranjivost koju je otkrio zvučnik u proizvodima General Electric Multilin, koji se široko koriste u energetskom sektoru. Govornik opisuje kako je potpuno kompromitirao algoritam šifriranja koji se koristi u tim sustavima. Ovaj se algoritam koristi u General Electric Multilin proizvodima za sigurnu komunikaciju internih podsustava i za kontrolu tih podsustava. Uključujući autorizaciju korisnika i omogućavanje pristupa povlaštenim operacijama.
Saznavši pristupne kodove (kao rezultat kompromitiranja algoritma šifriranja), napadač može potpuno onemogućiti uređaj i isključiti struju u određenim sektorima elektroenergetske mreže; blok operatori. Osim toga, govornik demonstrira tehniku daljinskog očitavanja digitalnih tragova koje ostavlja oprema ranjiva na cyber napade.
10. Internet već zna da sam trudna
Zdravlje žena je veliki posao. Na tržištu postoji mnoštvo Android aplikacija koje ženama pomažu pratiti mjesečne cikluse, znati kada je najveća vjerojatnost začeća ili pratiti stanje trudnoće. Ove aplikacije potiču žene da zabilježe najintimnije detalje svog života, poput raspoloženja, seksualne aktivnosti, tjelesne aktivnosti, fizičkih simptoma, visine, težine i više.
Ali koliko su te aplikacije privatne i koliko su sigurne? Uostalom, ako aplikacija pohranjuje takve intimne detalje o našim osobnim životima, bilo bi lijepo da te podatke ne dijeli ni s kim drugim; na primjer, s prijateljskom tvrtkom (koja se bavi ciljanim oglašavanjem itd.) ili sa zlonamjernim partnerom/roditeljem.
Govornik predstavlja rezultate svoje analize kibernetičke sigurnosti više od desetak aplikacija koje predviđaju vjerojatnost začeća i prate tijek trudnoće. Otkrio je da većina tih aplikacija ima ozbiljnih problema s kibernetičkom sigurnošću općenito, a posebno s privatnošću.
Izvor: www.habr.com