Galvojau, kad būtų puiku nušviesti tarptautinių konferencijų įvykius. Ir ne tik bendroje apžvalgoje, bet ir pakalbėti apie įdomiausius pranešimus. Atkreipiu jūsų dėmesį į pirmąjį karštąjį dešimtuką.
1. Laukiama draugiško daiktų interneto atakų ir išpirkos reikalaujančių programų tandemo
2016 m. sparčiai padaugėjo išpirkos užpuolikų atakų. Dar nebuvome atsigavę po šių atakų, kai mus užklupo nauja DDoS atakų banga naudojant IoT. Šioje ataskaitoje autorius pateikia nuoseklų aprašymą, kaip įvyksta išpirkos reikalaujančios programos ataka. Kaip veikia išpirkos reikalaujanti programa ir ką tyrėjas turi daryti kiekviename etape, kad kovotų su išpirkos reikalaujančia programa.
Tai darydamas jis remiasi patikrintais metodais. Tada pranešėjas atskleidžia, kaip daiktų internetas yra susijęs su DDoS atakomis: jis pasakoja, kokį vaidmenį atlieka pagalbinė kenkėjiška programinė įranga vykdant šias atakas (dėl tolimesnės pagalbos IoT armijai vykdant DDoS ataką). Taip pat kalbama apie tai, kaip išpirkos reikalaujančių programų ir daiktų interneto atakų tandemas ateinančiais metais gali tapti didele grėsme. Pranešėjas yra knygų „Kenkėjiškos programos, šakniniai rinkiniai ir robotų tinklai: pradedančiųjų vadovas“, „Išplėstinė kenkėjiškų programų analizė“, „Atskleista įsilaužimo: kenkėjiškų programų ir šaknų rinkinių paslaptys ir sprendimai“ autorius, todėl jis praneša apie tai žinantis.
2. „Atverk burną, tarkim 0x41414141“: ataka prieš medicinos kibernetinę infrastruktūrą
Prie interneto prijungta medicinos įranga yra visur paplitusi klinikinė realybė. Tokia įranga yra vertinga medicinos personalo pagalba, nes ji automatizuoja didelę kasdienybės dalį. Tačiau šioje įrangoje yra daug pažeidžiamumų (tiek programinės, tiek aparatinės įrangos), kurios potencialiam užpuolikui atveria platų veiklos lauką. Pranešime pranešėjas dalijasi savo asmenine patirtimi vykdant medicinos kibernetinės infrastruktūros pentestus; taip pat kalbama apie tai, kaip užpuolikai pažeidžia medicinos įrangą.
Pranešėjas aprašo: 1) kaip užpuolikai išnaudoja patentuotus ryšio protokolus, 2) kaip jie ieško tinklo paslaugų spragų, 3) kaip jie pažeidžia gyvybės palaikymo sistemas, 4) kaip išnaudoja techninės įrangos derinimo sąsajas ir sistemos duomenų magistralę; 5) kaip jie atakuoja pagrindines belaidžio ryšio sąsajas ir konkrečias patentuotas belaidžio ryšio technologijas; 6) kaip jie įsiskverbia į medicinines informacines sistemas, o vėliau skaito ir redaguoja: asmeninę informaciją apie paciento sveikatą; oficialius medicininius įrašus, kurių turinys paprastai yra slepiamas net nuo paciento; 7) kaip sutrinka ryšio sistema, kurią medicinos įranga naudoja keistis informacija ir paslaugų komandomis; 8) kaip ribojama medicinos personalo galimybė naudotis įranga; arba visiškai jį užblokuoti.
Per savo pentestus pranešėjas atrado daug problemų su medicinine įranga. Tarp jų: 1) silpna kriptografija, 2) galimybė manipuliuoti duomenimis; 3) galimybė nuotoliniu būdu pakeisti įrangą, 3) patentuotų protokolų pažeidžiamumas, 4) neteisėtos prieigos prie duomenų bazių galimybė, 5) užkoduoti, nekeičiami prisijungimai/slaptažodžiai. Taip pat kita neskelbtina informacija, saugoma įrangos programinėje įrangoje arba sistemos dvejetainiuose failuose; 6) medicinos įrangos jautrumas nuotolinėms DoS atakoms.
Perskaičius pranešimą tampa akivaizdu, kad kibernetinis saugumas medicinos sektoriuje šiandien yra klinikinis atvejis ir jam reikalinga intensyvi priežiūra.
3. Dantytas išnaudojimas kontekstinės reklamos iešmo gale
Kasdien milijonai žmonių lankosi socialiniuose tinkluose: darbo reikalais, pramogomis ar tiesiog dėl to. Po socialinių tinklų gaubtu yra skelbimų platformos, kurios yra nematomos paprastam lankytojui ir yra atsakingos už atitinkamos kontekstinės reklamos pateikimą socialinių tinklų lankytojams. Skelbimų platformos yra paprastos naudoti ir labai veiksmingos. Todėl jie yra paklausūs tarp reklamuotojų.
Be galimybės pasiekti plačią auditoriją, kuri yra labai naudinga verslui, skelbimų platformos taip pat leidžia susiaurinti taikymą iki vieno konkretaus asmens. Be to, šiuolaikinių skelbimų platformų funkcionalumas netgi leidžia pasirinkti, kurioje iš daugybės šio konkretaus asmens programėlių rodyti reklamą.
Tai. Šiuolaikinės skelbimų platformos leidžia reklamuotojui pasiekti bet kurį asmenį bet kurioje pasaulio vietoje. Tačiau šia galimybe gali pasinaudoti ir užpuolikai – kaip vartai į tinklą, kuriame veikia jų numatyta auka. Pranešėjas demonstruoja, kaip piktybiškas reklamuotojas gali naudoti skelbimų platformą, kad tiksliai nukreiptų savo sukčiavimo kampaniją ir pateiktų suasmenintą išnaudojimą vienam konkrečiam asmeniui.
4. Kaip tikri įsilaužėliai vengia tikslinės reklamos
Kasdieniame gyvenime naudojame daug įvairių kompiuterizuotų paslaugų. Ir mums sunku jų atsisakyti, net kai staiga sužinome, kad jie mus visiškai stebi. Taip iš viso, kad jie seka kiekvieną mūsų kūno judesį ir kiekvieną piršto paspaudimą.
Pranešėjas aiškiai paaiškina, kaip šiuolaikiniai rinkodaros specialistai taiko pačius įvairiausius ezoterinio taikymo metodus. Mes apie mobiliąją paranoją, apie visišką sekimą. Ir daugelis skaitytojų tai, kas buvo parašyta, vertino kaip nekenksmingą pokštą, tačiau iš pateiktos ataskaitos matyti, kad šiuolaikiniai rinkodaros specialistai jau visapusiškai naudoja tokias technologijas, kad mus sektų.
Ką jūs galite padaryti, kontekstinės reklamos pramonė, kuri skatina šį visišką stebėjimą, juda dideliais šuoliais. Iki tiek, kad šiuolaikinės Ads platformos gali sekti ne tik žmogaus veiklą tinkle (klavišų paspaudimus, pelės žymeklio judesius ir pan.), bet ir jo fiziologines ypatybes (kaip spaudžiame klavišus ir judiname pelę). Tai. modernūs Ads platformų sekimo įrankiai, įmontuoti į paslaugas, be kurių neįsivaizduojame gyvenimo, ne tik šliaužia po apatiniais, bet net po oda. Jei neturime galimybės atsisakyti šių pernelyg pastabių paslaugų, tai kodėl bent jau nepabandžius jas apibarstyti nenaudinga informacija?
Pranešime buvo demonstruojamas autoriaus įrenginys (programinė ir aparatinė botas), kuris leidžia: 1) suleisti Bluetooth švyturius; 2) triukšmauti iš transporto priemonėje sumontuotų jutiklių surinktus duomenis; 3) suklastoti mobiliojo telefono identifikavimo parametrus; 4) kelti triukšmą pirštų paspaudimų būdu (ant klaviatūros, pelės ir jutiklio). Yra žinoma, kad visa ši informacija naudojama reklamuojant mobiliąsias programėles.
Demonstracija rodo, kad paleidus autoriaus įrenginį sekimo sistema išprotėja; kad jo renkama informacija tampa tokia triukšminga ir netiksli, kad mūsų stebėtojams ji nebebus naudinga. Kaip gerą pokštą pranešėjas demonstruoja, kaip pristatyto įrenginio dėka „sekimo sistema“ 32 metų įsilaužėlį ima suvokti kaip 12 metų mergaitę, beprotiškai įsimylėjusią arklius.
5. 20 metų MMORPG įsilaužimo: šaunesnė grafika, tokie patys išnaudojimai
MMORPG įsilaužimo tema DEF CON diskutuojama jau 20 metų. Pagerbdamas jubiliejų, pranešėjas apibūdina reikšmingiausias šių diskusijų akimirkas. Be to, jis pasakoja apie savo nuotykius brakonieriavimo internete žaislų srityje. Nuo Ultima Online (1997 m.). Ir vėlesni metai: Dark Age of Camelot, Anarchy Online, Asherons Call 2, ShadowBane, Lineage II, Final Fantasy XI/XIV, World of Warcraft. Įskaitant keletą naujų atstovų: Guild Wars 2 ir Elder Scrolls Online. Ir tai ne visas kalbėtojo įrašas!
Ataskaitoje pateikiama techninė informacija apie MMORPG išnaudojimą, padedantį gauti virtualius pinigus ir kurie yra svarbūs beveik kiekvienam MMORPG. Pranešėjas trumpai pasakoja apie amžiną brakonierių (išnaudojimų gamintojų) ir „žuvų kontrolės“ konfrontaciją; ir apie dabartinę šių ginklavimosi varžybų techninę būklę.
Paaiškinamas detalios paketų analizės metodas ir kaip sukonfigūruoti išnaudojimus, kad serverio pusėje nebūtų aptiktas brakonieriavimas. Įskaitant naujausio išnaudojimo pristatymą, kuris ataskaitos rengimo metu turėjo pranašumą prieš „žuvies patikrinimą“ ginklavimosi varžybose.
6. Nulaužkime robotus prieš ateinant „Skynet“.
Šiais laikais robotai yra populiarūs. Netolimoje ateityje jų bus visur: karinėse misijose, chirurginėse operacijose, dangoraižių statyboje; Parduotuvių pardavėjai parduotuvėse; ligoninės personalas; verslo padėjėjai, seksualiniai partneriai; namų virėjai ir visaverčiai šeimos nariai.
Plečiantis robotų ekosistemai ir sparčiai augant robotų įtakai mūsų visuomenėje ir ekonomikoje, jie pradeda kelti didelę grėsmę žmonėms, gyvūnams ir verslui. Iš esmės robotai yra kompiuteriai su rankomis, kojomis ir ratais. Ir atsižvelgiant į šiuolaikines kibernetinio saugumo realijas, tai yra pažeidžiami kompiuteriai su rankomis, kojomis ir ratais.
Šiuolaikinių robotų programinės ir techninės įrangos pažeidžiamumas leidžia užpuolikui panaudoti fizines roboto galimybes, kad būtų padaryta turtinė ar finansinė žala; ar net netyčia ar tyčia kelti pavojų žmogaus gyvybei. Galimos grėsmės viskam, kas yra šalia robotų, laikui bėgant eksponentiškai didėja. Be to, jų daugėja tokiose situacijose, kokių dar niekada nematė nusistovėjusi kompiuterių saugos pramonė.
Atlikdamas naujausius tyrimus, pranešėjas aptiko daug svarbių namų, įmonių ir pramoninių robotų pažeidžiamumų – žinomų gamintojų. Ataskaitoje jis atskleidžia technines dabartinių grėsmių detales ir tiksliai paaiškina, kaip užpuolikai gali pažeisti įvairius roboto ekosistemos komponentus. Su darbo išnaudojimų demonstravimu.
Tarp kalbėtojo atrastų problemų robotų ekosistemoje: 1) nesaugūs ryšiai; 2) atminties pažeidimo galimybė; 3) pažeidžiamumas, leidžiantis nuotoliniu būdu vykdyti kodą (RCE); 4) galimybė pažeisti failų sistemos vientisumą; 5) problemos su autorizavimu; o kai kuriais atvejais jo visai nebuvimas; 6) silpna kriptografija; 7) programinės aparatinės įrangos atnaujinimo problemos; 8) konfidencialumo užtikrinimo problemos; 8) nedokumentuotos galimybės (taip pat pažeidžiamos RCE ir pan.); 9) silpna numatytoji konfigūracija; 10) pažeidžiami atvirojo kodo „robotų valdymo sistemos“ ir programinės įrangos bibliotekos.
Pranešėjas tiesiogiai demonstruoja įvairius įsilaužimo scenarijus, susijusius su kibernetiniu šnipinėjimu, viešai neatskleista grėsme, turto sugadinimu ir kt. Apibūdindamas realistiškus scenarijus, kuriuos galima stebėti laukinėje gamtoje, pranešėjas paaiškina, kaip šiuolaikinių robotų technologijų nesaugumas gali paskatinti įsilaužimą. Paaiškina, kodėl įsilaužti robotai yra dar pavojingesni už bet kurią kitą pažeistą technologiją.
Pranešėjas taip pat atkreipia dėmesį į tai, kad neapdoroti mokslinių tyrimų projektai pradedami gaminti prieš išsprendžiant saugos klausimus. Rinkodara kaip visada laimi. Šią nesveiką padėtį reikia skubiai ištaisyti. Kol atėjo „Skynet“. Nors... Kitas reportažas rodo, kad Skynet jau atvyko.
7. Mašininio mokymosi militarizavimas
Rizikuodamas būti pavadintas pamišusiu mokslininku, pranešėjas vis dar yra paliečiamas savo „naujojo velnio kūrinio“ ir išdidžiai pristato „DeepHack“: atvirojo kodo įsilaužėlių AI. Šis robotas yra savarankiškai besimokantis žiniatinklio programų įsilaužėlis. Jis pagrįstas neuroniniu tinklu, kuris mokosi bandymų ir klaidų būdu. Tuo pačiu metu „DeepHack“ su bauginančia panieka traktuoja galimas šių bandymų ir klaidų pasekmes žmogui.
Naudodamas tik vieną universalų algoritmą, jis išmoksta išnaudoti įvairių tipų pažeidžiamumą. „DeepHack“ atveria duris į įsilaužėlių AI sferą, daugelio kurių jau galima tikėtis artimiausioje ateityje. Šiuo atžvilgiu kalbėtojas išdidžiai apibūdina savo robotą kaip „pabaigos pradžią“.
Pranešėjas mano, kad dirbtiniu intelektu pagrįsti įsilaužimo įrankiai, kurie netrukus pasirodys po „DeepHack“, yra iš esmės nauja technologija, kurią kibernetiniai gynėjai ir kibernetiniai užpuolikai dar turi pritaikyti. Pranešėjas garantuoja, kad kitais metais kiekvienas iš mūsų arba patys rašysime mašininio mokymosi įsilaužimo įrankius, arba desperatiškai stengsimės nuo jų apsisaugoti. Trečios nėra.
Taip pat, juokaudamas ar rimtai, pranešėjas teigia: „Nebe velniškų genijų prerogatyva, neišvengiama DI distopija jau šiandien prieinama kiekvienam. Taigi prisijunkite prie mūsų ir parodysime, kaip galite dalyvauti naikinant žmoniją kurdami savo militarizuotą mašininio mokymosi sistemą. Žinoma, jei svečiai iš ateities mums to netrukdys“.
8. Prisiminkite viską: slaptažodžių implantavimą į pažintinę atmintį
Kas yra kognityvinė atmintis? Kaip ten galima „įdiegti“ slaptažodį? Ar tai net saugu? Ir kam išvis tokie triukai? Idėja ta, kad taikydami šį metodą negalėsite išmesti slaptažodžių, net ir priverstinai; išlaikant galimybę prisijungti prie sistemos.
Pokalbis pradedamas paaiškinimu, kas yra kognityvinė atmintis. Tada paaiškinama, kaip skiriasi aiški ir numanoma atmintis. Toliau aptariamos sąmoningo ir nesąmoningo sąvokos. Ir dar paaiškina, kokia tai esmė – sąmonė. Apibūdina, kaip mūsų atmintis užkoduoja, saugo ir gauna informaciją. Aprašomi žmogaus atminties apribojimai. Ir taip pat kaip mokosi mūsų atmintis. O pranešimas baigiamas pasakojimu apie šiuolaikinius žmogaus pažintinės atminties tyrimus, atsižvelgiant į tai, kaip į ją įdiegti slaptažodžius.
Pranešėjas, žinoma, neatnešė iki galo savo pranešimo pavadinime išsakyto ambicingo teiginio, tačiau kartu pacitavo keletą įdomių studijų apie problemos sprendimo būdus. Visų pirma, Stanfordo universiteto tyrimai, kurių tema ta pati. Ir projektas, skirtas sukurti žmogaus ir mašinos sąsają regos negalią turintiems žmonėms – su tiesioginiu ryšiu su smegenimis. Pranešėjas taip pat nurodo vokiečių mokslininkų tyrimą, kuriam pavyko sukurti algoritminį ryšį tarp elektrinių smegenų signalų ir žodinių frazių; Jų sukurtas įrenginys leidžia įvesti tekstą tiesiog apie jį galvojant. Kitas įdomus tyrimas, apie kurį kalba pranešėjas, yra neurotelefonas, sąsaja tarp smegenų ir mobiliojo telefono, naudojant belaides EEG ausines (Dartmuto koledžas, JAV).
Kaip jau buvo minėta, pranešėjas savo pranešimo pavadinime pateikto ambicingo teiginio neišsprendė iki galo. Tačiau pranešėjas pažymi, kad nepaisant to, kad slaptažodžio implantavimo į pažintinę atmintį technologijos dar nėra, kenkėjiška programa, bandanti jį iš ten išgauti, jau egzistuoja.
9. Ir mažylis paklausė: „Ar tikrai manote, kad kibernetines atakas prieš elektros tinklą gali vykdyti tik valdžios įsilaužėliai?
Sklandus elektros veikimas yra nepaprastai svarbus mūsų kasdieniame gyvenime. Mūsų priklausomybė nuo elektros ypač išryškėja ją išjungus – net trumpam. Šiandien visuotinai pripažįstama, kad kibernetinės atakos prieš elektros tinklą yra labai sudėtingos ir prieinamos tik vyriausybės įsilaužėliams.
Pranešėjas meta iššūkį šiai įprastai išminčiai ir pateikia išsamų atakos prieš elektros tinklą aprašymą, kurio kaina priimtina net nevyriausybiniams įsilaužėliams. Jame demonstruojama iš interneto surinkta informacija, kuri bus naudinga modeliuojant ir analizuojant tikslinį elektros tinklą. Taip pat paaiškinama, kaip ši informacija gali būti naudojama modeliuojant atakas prieš elektros tinklus visame pasaulyje.
Ataskaitoje taip pat parodytas svarbus pažeidžiamumas, kurį pranešėjas atrado „General Electric Multilin“ gaminiuose, kurie plačiai naudojami energetikos sektoriuje. Pranešėjas aprašo, kaip jis visiškai sugadino šiose sistemose naudojamą šifravimo algoritmą. Šis algoritmas yra naudojamas General Electric Multilin gaminiuose saugiam vidinių posistemių ryšiui ir šių posistemių valdymui. Įskaitant autorizuoti vartotojus ir suteikti prieigą prie privilegijuotų operacijų.
Sužinojęs prieigos kodus (dėl šifravimo algoritmo pažeidimo), užpuolikas gali visiškai išjungti įrenginį ir išjungti elektrą nurodytuose elektros tinklo sektoriuose; blokų operatoriai. Be to, pranešėjas demonstruoja skaitmeninių pėdsakų, paliktų kibernetinėms atakoms pažeidžiamos įrangos, nuotoliniu būdu nuskaitymo techniką.
10. Internetas jau žino, kad aš nėščia
Moterų sveikata yra didelis verslas. Rinkoje yra daugybė „Android“ programų, kurios padeda moterims sekti mėnesinį ciklą, žinoti, kada greičiausiai pastoti, arba sekti nėštumo būseną. Šios programėlės skatina moteris įrašyti pačias intymiausias savo gyvenimo detales, tokias kaip nuotaika, seksualinis aktyvumas, fizinis aktyvumas, fiziniai simptomai, ūgis, svoris ir kt.
Tačiau kiek privačios šios programos ir kiek jos saugios? Galų gale, jei programa saugo tokią intymią informaciją apie mūsų asmeninį gyvenimą, būtų puiku, jei ji nesidalintų šiais duomenimis su niekuo kitu; pavyzdžiui, su draugiška kompanija (užsiima tiksline reklama ir pan.) arba su piktavališku partneriu/tėvu.
Pranešėjas pristato savo atliktos kibernetinio saugumo analizės daugiau nei dešimties programų, kurios prognozuoja pastojimo tikimybę ir seka nėštumo eigą, rezultatus. Jis nustatė, kad dauguma šių programų turi rimtų problemų, susijusių su kibernetiniu saugumu apskritai ir ypač su privatumu.
Šaltinis: www.habr.com