ProHoster > Блог > ozi ịntanetị > Pwnie Awards 2019: Ọdịmma na ọdịda nchekwa kachasị mkpa

Pwnie Awards 2019: Ọdịmma na ọdịda nchekwa kachasị mkpa

Na ogbako Black Hat USA na Las Vegas weere ọnọdụ emume nturu ugo Ihe nrite Pwnie 2019, nke na-akọwapụta adịghị ike na ọdịda na-enweghị isi na ngalaba nchekwa kọmputa. A na-ahụta ihe nrite Pwnie dị ka Oscars na Golden Raspberries na ngalaba nchekwa kọmputa ma na-eme ya kwa afọ kemgbe 2007.

Main ndi meriri и nhọpụta:

  • Ebe kacha mma nkesa. Enyere maka ịchọpụta na irigbu ahụhụ kacha dị mgbagwoju anya na teknụzụ na-atọ ụtọ na ọrụ netwọk. Ndị meriri bụ ndị nyocha kpughere adịghị ike na onye na-eweta VPN Pulse Secure, onye ọrụ VPN ya na-eji Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, US Navy, US Department of Homeland Security (DHS) na eleghị anya ọkara nke ụlọ ọrụ sitere na ndepụta Fortune 500. Ndị nchọpụta achọpụtala azụ azụ nke na-enye ohere ka onye na-awakpo na-enweghị nkwenye gbanwee paswọọdụ nke onye ọrụ ọ bụla. Enwere ike iji nsogbu ahụ mee ihe iji nweta mgbọrọgwụ na sava VPN nke naanị ọdụ ụgbọ mmiri HTTPS mepere emepe egosipụtara;

    N'ime ndị na-eme ntuli aka ndị na-enwetaghị ihe nrite, enwere ike ịdebe ihe ndị a:

    • Na-arụ ọrụ na ọkwa tupu nyocha adịghị ike na Jenkins na-aga n'ihu na-ejikọta usoro, nke na-enye gị ohere ịme koodu na ihe nkesa. A na-eji bots na-arụsi ọrụ ike na adịghị ike ahụ iji hazie ngwuputa cryptocurrency na sava;
    • Dị oke egwu adịghị ike na ihe nkesa ozi Exim, nke na-enye gị ohere ime koodu na ihe nkesa na ikike mgbọrọgwụ;
    • adịghị ike na Xiongmai XMeye P2P igwefoto IP, na-enye gị ohere ijikwa ngwaọrụ ahụ. Enyere igwefoto ndị ahụ na paswọọdụ injinia ma ejighị nkwenye mbinye aka dijitalụ mgbe ị na-emelite ngwa ngwa;
    • Dị oke egwu adịghị ike na mmejuputa RDP protocol na Windows, nke na-enye gị ohere igbu koodu gị n'ime oge;
    • Mgbanwe na WordPress, jikọtara ya na itinye koodu PHP n'okpuru mkpuchi nke onyonyo. Nsogbu a na-enye gị ohere ịme koodu aka ike na ihe nkesa, na-enwe ihe ùgwù nke onye na-ede akwụkwọ (Onye edemede) na saịtị ahụ;
  • Ngwanrọ ngwa ahịa kacha mma. Onye meriri bụ nke dị mfe iji adịghị ike n'ime usoro ịkpọ oku Apple FaceTime, na-ekwe ka onye malitere ịkpọ oku na-amanye oku ka ndị otu akpọrọ nabata (dịka ọmụmaatụ, ige ntị na snooping).

    Ndị a họpụtara maka ihe nrite bụ:

    • Mgbanwe na WhatsApp, nke na-enye gị ohere ime koodu gị site na izipu oku olu ahaziri ahazi;
    • Mgbanwe n'ọbá akwụkwọ eserese nke Skia nke a na-eji na ihe nchọgharị Chrome, nke nwere ike iduga nrụrụ ebe nchekwa n'ihi njehie na-ese n'elu mmiri na ụfọdụ mgbanwe geometric;
  • Nkwalite kacha mma nke adịghị ike ihe ùgwù. Enyere mmeri maka njirimara adịghị ike na kernel iOS, nke enwere ike irigbu site na ipc_voucher, nke a na-enweta site na ihe nchọgharị Safari.

    Ndị a họpụtara maka ihe nrite bụ:

    • Mgbanwe na Windows, na-enye gị ohere ịnweta njikwa zuru oke na sistemụ site na iji ọrụ CreateWindowEx (win32k.sys). Achọpụtara nsogbu ahụ n'oge nyocha nke malware nke na-erigbu adịghị ike tupu edozi ya;
    • Mgbanwe na runc na LXC, na-emetụta Docker na sistemụ kewapụ akpa ndị ọzọ, na-ekwe ka akpa dịpụrụ adịpụ nke onye na-awakpo na-achịkwa ka ọ gbanwee faịlụ runc na-arụ ọrụ wee nweta ohere mgbọrọgwụ n'akụkụ sistemụ nnabata;
    • Mgbanwe na iOS (CFPrefsDaemon), nke na-enye gị ohere ịgafe ụdịdị iche ma mebie koodu na ikike mgbọrọgwụ;
    • Mgbanwe na mbipụta Linux TCP stack eji na gam akporo, na-enye onye ọrụ mpaghara ohere ibuli ikike ha na ngwaọrụ ahụ;
    • adịghị ike na systemd-journald, nke na-enye gị ohere ịnweta ikike mgbọrọgwụ;
    • Mgbanwe na tmpreaper utility maka ihicha / tmp, nke na-enye gị ohere ịchekwa faịlụ gị n'akụkụ ọ bụla nke usoro faịlụ;
  • Mwakpo Cryptographic kacha mma. Enyere ya maka ịchọpụta oghere ndị kachasị dị na sistemu, protocol na algọridim nzuzo. Enyere ihe nrite ahụ maka ịmata adịghị ike na teknụzụ nchekwa netwọk ikuku WPA3 na EAP-pwd, nke na-enye gị ohere ịmegharị paswọọdụ njikọ wee nweta netwọkụ ikuku na-amaghị paswọọdụ.

    Ndị ọzọ chọrọ ị nweta ihe nrite a bụ:

    • .Zọ mwakpo na nzuzo PGP na S/MIME na ndị ahịa email;
    • Ngwa Ụzọ akpụkpọ ụkwụ oyi iji nweta ọdịnaya nke akụkụ Bitlocker ezoro ezo;
    • Mgbanwe na OpenSSL, nke na-enye gị ohere ikewapụ ọnọdụ nke ịnweta padding na-ezighi ezi na MAC na-ezighi ezi. Ihe kpatara nsogbu a bụ ijikwa obytes efu na-ezighi ezi na padding oracle;
    • Nsogbu na kaadị ID ejiri na Germany na-eji SAML;
    • nsogbu na entropy nke ọnụọgụ ọnụọgụ na mmejuputa nkwado maka akara U2F na ChromeOS;
    • Mgbanwe na Monocypher, n'ihi nke a ghọtara mbinye aka EdDSA efu dị ka nke ziri ezi.
  • Nnyocha kachasị ọhụrụ mgbe ọ bụla. Enyere onye nrụpụta teknụzụ ihe nrite ahụ Emulation Vectorized, nke na-eji ntụziaka vector AVX-512 iji ṅomie mmezu mmemme, na-enye ohere maka mmụba dị ukwuu na ọsọ ule na-agba ọsọ (ruo ntụziaka 40-120 ijeri kwa nkeji). Usoro ahụ na-enye ohere ka isi CPU ọ bụla na-agba ọsọ 8 64-bit ma ọ bụ 16 32-bit mebere igwe n'otu aka ahụ na ntuziaka maka nyocha ngwa ngwa.

    Ndị a tozuru oke maka onyinye a:

    • Mgbanwe na teknụzụ ajụjụ ike sitere na MS Excel, nke na-enye gị ohere ịhazi koodu ogbugbu yana gafere ụzọ ikewapụ ngwa mgbe ị na-emepe akwụkwọ akụkọ ahaziri iche;
    • .Zọ ịghọgbu autopilot nke ụgbọ ala Tesla iji kpasuo ịnya ụgbọ ala n'okporo ụzọ na-abịa;
    • ọrụ ntụgharị injinia nke ASICS mgbawa Siemens S7-1200;
    • SonarSnoop - Mkpịsị aka mmegharị nsuso usoro iji chọpụta koodu mkpọghe ekwentị, dabere na ụkpụrụ nke ọrụ sonar - ndị na-ekwu okwu nke elu na nke ala nke smartphone na-eme mkpọtụ na-adịghị ahụ anya, na igwe igwe arụnyere arụnyere na-eburu ha iji nyochaa ọnụnọ nke vibrations gosipụtara site na aka;
    • Mmepe NSA's Ghidra reverse engineering Toolkit;
    • MGBE - usoro iji chọpụta iji koodu maka ọrụ ndị yiri ya n'ọtụtụ faịlụ nwere ike ime nke dabeere na nyocha nke mgbakọ abụọ;
    • kere eke usoro iji gafere usoro Intel Boot Guard iji buo ngwa UEFI gbanwetụrụ na-enweghị nkwenye mbinye aka dijitalụ.
  • Mmeghachi omume kacha ngwọrọ sitere n'aka onye na-ere ahịa (Nzaghachi nke onye na-ere ere). Nhọpụta maka nzaghachi ezughị oke maka ozi gbasara adịghị ike na ngwaahịa nke gị. Ndị mmeri bụ ndị mmepe nke obere akpa crypto BitFi, bụ ndị na-eti mkpu banyere ultra-security nke ngwaahịa ha, nke n'ezie tụgharịrị bụrụ ihe a na-eche n'echiche, na-amaja ndị na-eme nchọpụta bụ ndị na-achọpụta adịghị ike, ma ghara ịkwụ ụgwọ ego e kwere ná nkwa maka ịchọpụta nsogbu;

    N'ime ndị na-achọ maka ihe nrite ahụ tụlekwara:

    • Otu onye nyocha nchekwa boro onye isi nke Atrient ebubo na ọ na-awakpo ya iji mee ka ọ wepụ akụkọ banyere adịghị ike ọ chọpụtara, mana onye nduzi gọnarịrị ihe ahụ merenụ na igwefoto onyunyo edekọghị ọgụ ahụ;
    • Mbugharị egbuola oge idozi nsogbu dị mkpa adịghị ike na usoro nzụkọ ya ma mezie nsogbu ahụ naanị mgbe nkwupụta ọha gasịrị. Ọdịmma ahụ mere ka onye na-awakpo mpụga nweta data sitere na igwefoto weebụ nke ndị ọrụ macOS mgbe ị na-emepe ibe emebere pụrụ iche na ihe nchọgharị ahụ (Zoom bidoro sava http n'akụkụ ndị ahịa natara iwu sitere na ngwa mpaghara).
    • Ịdazigharị ihe karịrị afọ iri nsogbu ahụ ya na sava igodo cryptographic OpenPGP, na-ekwu maka eziokwu ahụ bụ na edere koodu ahụ n'otu asụsụ OCaml ma na-anọgide na-enweghị onye na-echekwa ya.

    Ọkwa kacha ewu ewu adịghị ike ma. A na-enye ya maka mkpuchi kachasị ọmịiko na nnukwu nsogbu nke nsogbu na ịntanetị na mgbasa ozi, karịsịa ma ọ bụrụ na adịghị ike emesịa ghọọ ihe a na-apụghị ime eme na omume. Enyere Bloomberg ihe nrite a nkwupụta banyere njirimara nke ibe nledo na bọọdụ Super Micro, nke ekwenyeghị, na isi mmalite gosipụtara kpamkpam. ozi ndị ọzọ.

    Akpọrọ aha na nhọpụta:

    • Ihe ọghọm dị na libssh, nke metụrụ aka otu ngwa nkesa (libssh fọrọ nke nta ka ọ bụrụ nke a na-ejighị maka sava), mana NCC Group gosipụtara ya dị ka adịghị ike nke na-enye ohere ịwakpo ihe nkesa OpenSSH ọ bụla.
    • Mwakpo site na iji onyonyo DICOM. Isi ihe bụ na ị nwere ike ịkwadebe faịlụ nwere ike ime maka Windows nke ga-adị ka onyonyo DICOM bara uru. Enwere ike ibudata faịlụ a na ngwaọrụ ahụike wee gbuo ya.
    • Mgbanwe Thrangrycat, nke na-enye gị ohere ịgafe usoro buut echekwara na ngwaọrụ Cisco. A na-ekewa adịghị ike ahụ dị ka nsogbu na-emebiga ihe ókè n'ihi na ọ chọrọ ikike mgbọrọgwụ ịwakpo, ma ọ bụrụ na onye na-awakpo ahụ enweelarị ike ịnweta mgbọrọgwụ, mgbe ahụ, olee nchekwa anyị nwere ike ikwu banyere ya. Ọdịmma ahụ meriri na ngalaba nke nsogbu ndị a na-eledaghị anya, ebe ọ na-enye gị ohere ịmebata azụ azụ na-adịgide adịgide n'ime Flash;
  • Nnukwu ọdịda (Kacha Epic FAIL). Enyere Bloomberg mmeri ahụ maka ọtụtụ akụkọ na-akpali akpali nwere isi akụkọ na-ada ụda mana emebere ya eziokwu, nbibi nke isi mmalite, na-abanye na echiche ịgba izu, iji okwu ndị dị ka "ngwa agha cyber", na nkwuwa okwu na-adịghị anabata. Ndị ọzọ ahọpụtara gụnyere:
    • Mwakpo Shadowhammer na ọrụ mmelite Asus firmware;
    • Ịbanye ebe nchekwa BitFi nke akpọsara dị ka "enweghị ike imechi";
    • Nhapu nke data nkeonwe na akara ịnweta Facebook.

isi: opennet.ru

Tinye a comment