Мен халықаралық конференциялардағы оқиғаларды жариялау жақсы болар еді деп ойладым. Жалпы шолуда ғана емес, ең қызықты есептер туралы айту. Назарларыңызға бірінші ыстық ондықты ұсынамын.
1. IoT шабуылдары мен төлем бағдарламасының достық тандемін күту
2016 жылы біз ransomwari шабуылдарының жылдам өскенін байқадық. IoT көмегімен DDoS шабуылдарының жаңа толқыны бізге жеткенде, біз бұл шабуылдардан әлі айықпаған едік. Бұл есепте автор төлемдік бағдарламалық жасақтама шабуылының қалай орын алатынын кезең-кезеңмен сипаттайды. Төлемдік бағдарлама қалай жұмыс істейді және зерттеуші төлем бағдарламасына қарсы тұру үшін әр кезеңде не істеуі керек.
Бұл ретте ол дәлелденген әдістерге сүйенеді. Содан кейін спикер IoT-ның DDoS шабуылдарына қалай қатысатынын түсіндіреді: ол осы шабуылдарды жүзеге асыруда қосалқы зиянды бағдарламаның қандай рөл атқаратынын айтады (кейіннен IoT армиясының DDoS шабуылын жүзеге асыруға көмектесу үшін). Ол сондай-ақ төлемдік бағдарламалық қамтамасыз ету мен IoT шабуылдарының тандемі алдағы жылдарда үлкен қауіпке айналуы мүмкін екендігі туралы айтады. Спикер «Зиянды бағдарлама, руткиттер және ботнеттер: жаңадан бастаушыларға арналған нұсқаулық», «Қосымша зиянды бағдарламаны талдау», «Хакердік шабуылдар: зиянды бағдарлама және руткиттер құпиялары және шешімдері» кітаптарының авторы, сондықтан ол мәселе туралы білімімен хабарлайды.
2. «Аузыңды аш, 0x41414141 деп айт»: Медициналық киберинфрақұрылымға шабуыл
Интернетке қосылған медициналық жабдық - бұл барлық жерде кездесетін клиникалық шындық. Мұндай жабдық медициналық қызметкерлер үшін құнды көмек болып табылады, өйткені ол күнделікті жұмыстың маңызды бөлігін автоматтандырады. Дегенмен, бұл жабдықта әлеуетті шабуылдаушы үшін кең әрекет өрісін ашатын көптеген осалдықтар (бағдарламалық құрал да, аппараттық құрал да) бар. Баяндамада спикер медициналық киберинфрақұрылымға арналған пентесттерді өткізудегі жеке тәжірибесімен бөліседі; Сондай-ақ шабуылдаушылар медициналық жабдықты бұзатыны туралы айтады.
Спикер мыналарды сипаттайды: 1) шабуылдаушылар меншікті байланыс протоколдарын қалай пайдаланатынын, 2) желі қызметтеріндегі осалдықтарды қалай іздейтінін, 3) өмірді қолдау жүйелерін қалай бұзатынын, 4) аппараттық құралдарды жөндеу интерфейстерін және жүйелік деректер шинасын қалай пайдаланатынын; 5) олардың негізгі сымсыз интерфейстерге және арнайы меншікті сымсыз технологияларға қалай шабуыл жасайтыны; 6) олар медициналық ақпараттық жүйелерге қалай енеді, содан кейін оқу және өңдеу: пациенттің денсаулығы туралы жеке ақпарат; мазмұны әдетте пациенттен жасырылатын ресми медициналық құжаттар; 7) медициналық техника ақпарат алмасу және қызмет көрсету командалары үшін пайдаланатын байланыс жүйесі қалай бұзылған; 8) медициналық персоналдың жабдыққа қолжетімділігі қалай шектелген; немесе оны толығымен блоктаңыз.
Өзінің пентесттері кезінде спикер медициналық жабдыққа қатысты көптеген мәселелерді анықтады. Олардың ішінде: 1) әлсіз криптография, 2) деректермен манипуляциялау мүмкіндігі; 3) жабдықты қашықтан ауыстыру мүмкіндігі, 3) меншікті хаттамалардағы осалдықтар, 4) дерекқорларға рұқсатсыз кіру мүмкіндігі, 5) қатаң кодталған, өзгертілмейтін логиндер/парольдер. Сондай-ақ жабдықтың микробағдарламасында немесе жүйелік екілік файлдарда сақталған басқа құпия ақпарат; 6) медициналық жабдықтың қашықтағы DoS шабуылдарына бейімділігі.
Есепті оқығаннан кейін медицина саласындағы киберқауіпсіздік бүгінгі күні клиникалық жағдай және қарқынды терапияны қажет ететіні белгілі болды.
3. Мәтінмәндік жарнамалық шұңқырдың ұшындағы тісті эксплуат
Күн сайын миллиондаған адамдар әлеуметтік желілерге барады: жұмыс үшін, ойын-сауық үшін немесе жай ғана. Әлеуметтік желілердің астында қарапайым келушілерге көрінбейтін және әлеуметтік желіге келушілерге сәйкес контекстік жарнаманы жеткізуге жауапты жарнама платформалары бар. Жарнама платформаларын пайдалану оңай және өте тиімді. Сондықтан олар жарнама берушілер арасында сұранысқа ие.
Бизнес үшін өте пайдалы кең аудиторияға қол жеткізу мүмкіндігінен басқа, Жарнама платформалары мақсатты бір нақты адамға дейін тарылтуға мүмкіндік береді. Сонымен қатар, заманауи Ads платформаларының функционалдығы тіпті осы адамның көптеген гаджеттерінің қайсысында жарнаманы көрсетуге болатынын таңдауға мүмкіндік береді.
Бұл. Заманауи жарнама платформалары жарнама берушіге кез келген адамға, әлемнің кез келген жеріне жетуге мүмкіндік береді. Бірақ бұл мүмкіндікті шабуылдаушылар да пайдалана алады - олардың болжалды құрбаны жұмыс істейтін желіге шлюз ретінде. Спикер зиянды жарнама берушінің жекелендірілген эксплойтті бір нақты адамға жеткізу үшін фишингтік науқанына дәл бағыттау үшін Ads платформасын қалай пайдалана алатынын көрсетеді.
4. Нағыз хакерлер мақсатты жарнамадан қалай жалтарады
Біз күнделікті өмірде әртүрлі компьютерленген қызметтерді қолданамыз. Бізге олардан бас тарту қиын, тіпті біз кенеттен олардың бізді толық қадағалап жатқанын білсек те. Олар біздің әрбір дене қозғалысымызды және саусақпен басуды бақылайды.
Спикер қазіргі заманғы маркетологтардың эзотерикалық таргетинг әдістерінің кең ауқымын қалай қолданатынын нақты түсіндіреді. Біз мобильді паранойя туралы, жалпы бақылау туралы. Көптеген оқырмандар жазылғанды зиянсыз әзіл деп қабылдады, бірақ ұсынылған баяндамадан қазіргі маркетологтар бізді қадағалау үшін осындай технологияларды толығымен пайдаланып жатқаны анық.
Сіз не істей аласыз, осы толық бақылауды қуаттандыратын контекстік жарнама индустриясы секірулер мен шектеулермен қозғалады. Қазіргі заманғы жарнама платформалары адамның желілік белсенділігін (пернелерді басу, тінтуір меңзерінің қозғалысы және т. Бұл. Жарнама платформаларының заманауи бақылау құралдары, оларсыз өмірді елестете алмайтын қызметтерге кіріктірілген, тек іш киімнің астында ғана емес, тіпті теріміздің астында да. Егер бізде бұл тым мұқият қызметтерден бас тартуға мүмкіндігіміз болмаса, неге оларды қажетсіз ақпаратпен бомбалауға тырыспасқа?
Баяндамада авторлық құрылғы (бағдарламалық және аппараттық бот) көрсетілді, ол: 1) Bluetooth маяктарын енгізуге; 2) көлік құралының борттық сенсорларынан жиналған деректерді шуылға ұшырату; 3) ұялы телефонның сәйкестендіру параметрлерін бұрмалауға; 4) саусақтарды шерту (пернетақтада, тінтуірде және сенсорда) шу шығару. Бұл ақпараттың барлығы мобильді гаджеттердегі мақсатты жарнама үшін пайдаланылатыны белгілі.
Демонстрация авторлық құрылғыны іске қосқаннан кейін бақылау жүйесі есінен танып қалғанын көрсетеді; ол жинайтын ақпарат соншалықты шулы және дәл емес болады, сондықтан ол біздің бақылаушыларымызға енді ешқандай пайда әкелмейді. Жақсы әзіл ретінде спикер ұсынылған құрылғының арқасында «бақылау жүйесі» 32 жастағы хакерді жылқыларға ессіз ғашық 12 жастағы қыз ретінде қалай қабылдай бастағанын көрсетеді.
5. 20 жыл MMORPG бұзу: салқын графика, бірдей эксплойттар
MMORPG-ді бұзу тақырыбы DEF CON-да 20 жыл бойы талқыланып келеді. Мерейтойға құрмет көрсете отырып, спикер осы талқылаулардың ең маңызды сәттерін сипаттайды. Сонымен қатар, ол онлайн ойыншықтарды браконьерлік саласындағы өзінің шытырман оқиғалары туралы айтады. Ultima Online бастап (1997 жылы). Ал одан кейінгі жылдар: Камелоттың қараңғы дәуірі, Анархия онлайн, Asherons Call 2, ShadowBane, Lineage II, Final Fantasy XI/XIV, World of Warcraft. Оның ішінде бірнеше жаңа өкілдер: Guild Wars 2 және Elder Scrolls Online. Бұл спикердің бүкіл рекорды емес!
Есеп виртуалды ақшаны ұстауға көмектесетін және әрбір дерлік MMORPG үшін өзекті MMORPG үшін эксплойттарды жасау туралы техникалық мәліметтерді береді. Баяндамашы браконьерлер (эксплуататорлар) мен «балықпен күресу» арасындағы мәңгілік текетірес туралы қысқаша әңгімелейді; және осы жарыстың қазіргі техникалық жағдайы туралы.
Пакеттерді егжей-тегжейлі талдау әдісін және сервер жағында браконьерлік анықталмайтындай эксплуаттарды қалай конфигурациялау керектігін түсіндіреді. Соның ішінде есеп беру кезінде қарулану жарысындағы «балық инспекциясынан» артықшылығы бар соңғы эксплуатацияны ұсыну.
6. Skynet келмей тұрып роботтарды бұзып алайық
Қазіргі уақытта роботтар өте танымал. Жақын арада олар барлық жерде болады: әскери тапсырмаларда, хирургиялық операцияларда, зәулім ғимараттар салуда; дүкендердегі дүкен сатушылары; аурухана қызметкерлері; бизнес көмекшілері, жыныстық серіктестер; үй аспаздары және отбасының толық мүшелері.
Роботтардың экожүйесі кеңейіп, роботтардың қоғамымыз бен экономикамызға әсері тез өскен сайын олар адамдарға, жануарларға және бизнеске айтарлықтай қауіп төндіре бастады. Негізінде роботтар – қолдары, аяқтары және дөңгелектері бар компьютерлер. Киберқауіпсіздіктің заманауи шындықтарын ескере отырып, бұл қолдары, аяқтары және дөңгелектері бар осал компьютерлер.
Заманауи роботтардың бағдарламалық және аппараттық осалдықтары шабуылдаушыға роботтың физикалық мүмкіндіктерін мүліктік немесе қаржылық зиян келтіру үшін пайдалануға мүмкіндік береді; немесе тіпті кездейсоқ немесе қасақана адам өміріне қауіп төндіреді. Роботтардың маңайындағы кез келген нәрсеге ықтимал қауіптер уақыт өте келе экспоненциалды түрде артады. Сонымен қатар, олар орнатылған компьютерлік қауіпсіздік индустриясы бұрын-соңды көрмеген контексттерде өсуде.
Жақында жүргізген зерттеулерінде спикер үйдегі, корпоративтік және өнеркәсіптік роботтардағы - танымал өндірушілердің көптеген маңызды осалдықтарын анықтады. Есепте ол ағымдағы қауіптердің техникалық мәліметтерін ашады және шабуылдаушылар робот экожүйесінің әртүрлі құрамдас бөліктерін қалай бұзуға болатынын нақты түсіндіреді. Жұмыс ерліктерін көрсетумен.
Робот экожүйесінде спикер анықтаған мәселелердің ішінде: 1) қауіпсіз байланыс; 2) есте сақтау қабілетінің зақымдану мүмкіндігі; 3) қашықтан кодты орындауға мүмкіндік беретін осалдықтар (RCE); 4) файлдық жүйенің тұтастығын бұзу мүмкіндігі; 5) авторизацияға қатысты мәселелер; ал кейбір жағдайларда оның мүлдем болмауы; 6) әлсіз криптография; 7) микробағдарламаны жаңарту проблемалары; 8) құпиялылықты қамтамасыз ету мәселелері; 8) құжатталмаған мүмкіндіктер (сонымен қатар ӨКП осал және т.б.); 9) əлсіз əдепкі конфигурация; 10) осал Open Source «роботтарды басқаруға арналған шеңберлер» және бағдарламалық жасақтама кітапханалары.
Спикер кибер тыңшылыққа, инсайдерлік қауіптерге, мүліктің зақымдалуына және т.б. байланысты әртүрлі хакерлік сценарийлердің тікелей көрсетілімдерін ұсынады. Табиғатта байқауға болатын шынайы сценарийлерді сипаттай отырып, спикер заманауи робот технологиясының сенімсіздігі хакерлік шабуылға қалай әкелетінін түсіндіреді. Бұзылған роботтардың неліктен басқа бұзылған технологияларға қарағанда қауіпті екенін түсіндіреді.
Спикер сонымен қатар шикі ғылыми жобалар қауіпсіздік мәселелері шешілмей тұрып өндіріске түсетініне назар аударады. Әдеттегідей маркетинг жеңеді. Бұл дұрыс емес жағдайды тез арада түзету қажет. Скайнет келгенше. Әйтсе де... Келесі есеп Skynet-тің келгенін көрсетеді.
7. Машиналық оқытуды милитаризациялау
Ақылсыз ғалым ретінде таңбалану қаупіне қарамастан, спикер әлі күнге дейін DeepHack: ашық бастапқы хакер AI-ді мақтанышпен таныстырып, оның «жаңа шайтанның туындысы» әсер етеді. Бұл бот - өздігінен үйренетін веб-қосымшаның хакері. Ол сынақ және қате арқылы үйренетін нейрондық желіге негізделген. Сонымен қатар, DeepHack адам үшін осы сынақтар мен қателердің ықтимал салдарын қорқынышты жек көрушілікпен қарастырады.
Бір ғана әмбебап алгоритмді қолдана отырып, ол осалдықтардың әртүрлі түрлерін пайдалануды үйренеді. DeepHack хакерлердің AI саласының есігін ашады, олардың көпшілігін жақын арада күтуге болады. Осыған байланысты спикер өз ботын «соңының басы» деп мақтанышпен сипаттайды.
Спикер жақында DeepHack-тен кейін пайда болатын AI негізіндегі бұзу құралдары киберқорғаушылар мен кибершабуылдаушылар әлі қабылдамаған түбегейлі жаңа технология деп санайды. Спикер келесі жылы біздің әрқайсымыз машиналық оқытуды бұзу құралдарын өзіміз жазатынымызға немесе олардан өзімізді қорғауға тырысатынымызға кепілдік береді. Үшіншісі жоқ.
Сондай-ақ, әзілмен де, байыпты түрде де спикер былай дейді: «Енді шайтандық данышпандардың артықшылығы емес, AI-ның сөзсіз дистопиясы бүгінде барлығына қол жетімді. Сондықтан бізге қосылыңыз және біз сізге өзіңіздің әскерилендірілген машиналық оқыту жүйесін жасау арқылы адамзатты жоюға қалай қатыса алатыныңызды көрсетеміз. Әрине, болашақтан келген қонақтар бізге бұл әрекетке кедергі жасамаса».
8. Барлығын есте сақтаңыз: когнитивтік жадқа құпия сөздерді енгізу
Когнитивті есте сақтау дегеніміз не? Онда құпия сөзді қалай «имплантациялауға» болады? Бұл тіпті қауіпсіз бе? Неліктен мұндай трюктар? Идея мынада: бұл тәсіл арқылы сіз өзіңіздің құпия сөздеріңізді, тіпті мәжбүрлеу кезінде де төге алмайсыз; жүйеге кіру мүмкіндігін сақтай отырып.
Әңгіме когнитивті есте сақтаудың не екенін түсіндіруден басталады. Содан кейін ол айқын және жасырын жадының қалай ерекшеленетінін түсіндіреді. Келесі кезекте саналы және бейсаналық ұғымдары талқыланады. Сондай-ақ бұл қандай мән – сана екенін түсіндіреді. Біздің жадымыздың ақпаратты қалай кодтайтынын, сақтайтынын және шығарып алатынын сипаттайды. Адамның есте сақтау қабілетінің шектеулері сипатталған. Сондай-ақ біздің жадымыз қалай үйренеді. Баяндама адамның когнитивтік жадына құпия сөздерді енгізу контекстіндегі заманауи зерттеулер туралы әңгімемен аяқталады.
Баяндамашы, әрине, өз презентациясының атауында айтылған өршіл мәлімдемені толық шешімге келтірмеді, бірақ сонымен бірге ол мәселені шешу тәсілдеріне қатысты бірнеше қызықты зерттеулерді келтірді. Атап айтқанда, тақырыбы бір тақырып болып табылатын Стэнфорд университетінің зерттеулері. Ал көру қабілеті нашар адамдар үшін адам-машина интерфейсін әзірлеу жобасы – миға тікелей қосылатын. Баяндамашы сонымен қатар мидың электрлік сигналдары мен сөздік тіркестер арасында алгоритмдік байланыс жасай алған неміс ғалымдарының зерттеуіне сілтеме жасайды; Олар әзірлеген құрылғы мәтінді ойлану арқылы теруге мүмкіндік береді. Спикер айтатын тағы бір қызықты зерттеу - нейротелефон, ми мен ұялы телефон арасындағы интерфейс, сымсыз EEG гарнитурасы (Дартмут колледжі, АҚШ).
Жоғарыда айтылғандай, спикер өз баяндамасының атауында айтылған өршіл мәлімдемені толық шешімге келтірмеді. Дегенмен, спикер когнитивтік жадқа құпия сөзді енгізу технологиясы әлі жоқ болса да, оны одан шығаруға тырысатын зиянды бағдарлама бұрыннан бар екенін атап өтті.
9. Ал кішкентай бала: «Сіз шынымен де электр желісіне кибершабуылдарды тек үкіметтік хакерлер жасай алады деп ойлайсыз ба?» деп сұрады.
Күнделікті өмірімізде электр тогының үздіксіз жұмыс істеуі өте маңызды. Біздің электр қуатына деген тәуелділігіміз, әсіресе, ол аз уақытқа болса да өшірілгенде айқын көрінеді. Бүгінгі таңда электр желісіне кибершабуылдар өте күрделі және тек үкіметтік хакерлерге ғана қол жетімді екендігі жалпы қабылданған.
Спикер бұл кәдімгі даналыққа қарсы шығып, электр желісіне жасалған шабуылдың егжей-тегжейлі сипаттамасын ұсынады, оның құны тіпті үкіметтік емес хакерлер үшін де қолайлы. Ол мақсатты электр желісін модельдеу және талдау үшін пайдалы болатын Интернеттен жиналған ақпаратты көрсетеді. Сондай-ақ бұл ақпаратты бүкіл әлем бойынша электр желілеріне шабуылдарды модельдеу үшін қалай пайдалануға болатынын түсіндіреді.
Есеп сонымен қатар энергетика саласында кеңінен қолданылатын General Electric Multilin өнімдерінде баяндамашы тапқан маңызды осалдықты көрсетеді. Спикер осы жүйелерде қолданылатын шифрлау алгоритмін қалай толығымен бұзғанын сипаттайды. Бұл алгоритм General Electric Multilin өнімдерінде ішкі ішкі жүйелердің қауіпсіз байланысы үшін және осы ішкі жүйелерді басқару үшін қолданылады. Соның ішінде пайдаланушыларды авторизациялау және артықшылықты операцияларға қол жеткізуді қамтамасыз ету.
Қол жеткізу кодтарын біліп алған соң (шифрлау алгоритмін бұзу нәтижесінде) шабуылдаушы құрылғыны толығымен өшіріп, электр желісінің белгіленген секторларында электр қуатын өшіре алады; блок операторлары. Сонымен қатар, спикер кибершабуылдарға осал жабдық қалдырған цифрлық іздерді қашықтан оқу әдістемесін көрсетеді.
10. Интернет менің жүкті екенімді біледі
Әйел денсаулығы - бұл үлкен бизнес. Нарықта әйелдерге айлық циклдерін бақылауға, олардың қашан жүкті болу ықтималдығын білуге немесе жүктілік күйін бақылауға көмектесетін көптеген Android қолданбалары бар. Бұл қолданбалар әйелдерді көңіл-күй, жыныстық белсенділік, физикалық белсенділік, физикалық белгілер, бой, салмақ және т.б. сияқты өмірлерінің ең жақын мәліметтерін жазуға шақырады.
Бірақ бұл қолданбалар қаншалықты жеке және олар қаншалықты қауіпсіз? Өйткені, егер қолданба біздің жеке өміріміз туралы осындай интимді мәліметтерді сақтаса, ол бұл деректерді басқа ешкіммен бөліспесе жақсы болар еді; мысалы, достық компаниямен (таргеттік жарнамамен айналысатын және т.б.) немесе зиянды серіктеспен/ата-анамен.
Спикер тұжырымдаманың ықтималдығын болжайтын және жүктіліктің барысын бақылайтын оннан астам қосымшалардың киберқауіпсіздік талдауының нәтижелерін ұсынады. Ол бұл қолданбалардың көпшілігінде жалпы киберқауіпсіздікке, атап айтқанда жеке өмірге қатысты күрделі мәселелер бар екенін анықтады.
Ақпарат көзі: www.habr.com