Ik dacht dat het geweldig zou zijn om gebeurtenissen van internationale conferenties te verslaan. En niet alleen in een algemeen overzicht, maar om te praten over de meest interessante rapporten. Ik breng de eerste tien onder uw aandacht.
1. Wachten op een vriendelijke tandem van IoT-aanvallen en ransomware
In 2016 zagen we een snelle toename van het aantal ransomware-aanvallen. We waren nog niet hersteld van deze aanvallen toen een nieuwe golf van DDoS-aanvallen met behulp van IoT ons overspoelde. In dit rapport beschrijft de auteur stapsgewijs hoe een ransomware-aanval ontstaat. Hoe de ransomware werkt en wat de onderzoeker in elke fase moet doen om de ransomware tegen te gaan.
Daarbij vertrouwt hij op beproefde methoden. Vervolgens werpt de spreker licht op hoe IoT betrokken is bij DDoS-aanvallen: hij vertelt welke rol de hulpmalware speelt bij het uitvoeren van deze aanvallen (voor daaropvolgende assistentie van zijn kant bij het uitvoeren van een DDoS-aanval door het IoT-leger). Er wordt ook gesproken over hoe de combinatie van ransomware en IoT-aanvallen de komende jaren een grote bedreiging zou kunnen worden. De spreker is de auteur van de boeken “Malware, Rootkits & Botnets: a Beginner’s Guide”, “Advanced Malware Analysis”, “Hacking Exposed: Malware & Rootkits Secrets & Solutions” - hij rapporteert dus met kennis van zaken.
2. “Open je mond, zeg 0x41414141”: aanval op medische cyberinfrastructuur
Op internet aangesloten medische apparatuur is een alomtegenwoordige klinische realiteit. Dergelijke apparatuur is een waardevol hulpmiddel voor medisch personeel, omdat het een aanzienlijk deel van de routine automatiseert. Deze apparatuur bevat echter veel kwetsbaarheden (zowel software als hardware), die een breed werkterrein openen voor een potentiële aanvaller. In het rapport deelt de spreker zijn persoonlijke ervaringen met het uitvoeren van pentests voor medische cyberinfrastructuur; en vertelt ook over hoe aanvallers medische apparatuur compromitteren.
De spreker beschrijft: 1) hoe aanvallers propriëtaire communicatieprotocollen misbruiken, 2) hoe ze zoeken naar kwetsbaarheden in netwerkdiensten, 3) hoe ze levensondersteunende systemen in gevaar brengen, 4) hoe ze hardware-debugging-interfaces en de systeemdatabus exploiteren; 5) hoe ze fundamentele draadloze interfaces en specifieke eigen draadloze technologieën aanvallen; 6) hoe ze medische informatiesystemen binnendringen en vervolgens lezen en bewerken: persoonlijke informatie over de gezondheid van de patiënt; officiële medische dossiers waarvan de inhoud normaal gesproken zelfs voor de patiënt verborgen blijft; 7) hoe het communicatiesysteem dat medische apparatuur gebruikt om informatie en serviceopdrachten uit te wisselen, wordt verstoord; 8) hoe de toegang van medisch personeel tot apparatuur beperkt is; of blokkeer het helemaal.
Tijdens zijn pentesten ontdekte de spreker veel problemen met medische apparatuur. Onder hen: 1) zwakke cryptografie, 2) de mogelijkheid van gegevensmanipulatie; 3) de mogelijkheid van vervanging van apparatuur op afstand, 3) kwetsbaarheden in propriëtaire protocollen, 4) de mogelijkheid van ongeoorloofde toegang tot databases, 5) hardgecodeerde, onveranderlijke logins/wachtwoorden. Evenals andere gevoelige informatie die is opgeslagen in de firmware van de apparatuur of in systeembinaire bestanden; 6) gevoeligheid van medische apparatuur voor DoS-aanvallen op afstand.
Na het lezen van het rapport wordt het duidelijk dat cyberveiligheid in de medische sector vandaag de dag een klinisch geval is en intensieve zorg behoeft.
3. Een brutale exploit aan het uiteinde van de contextuele reclamespies
Elke dag gaan miljoenen mensen naar sociale netwerken: voor werk, voor entertainment of gewoon zomaar. Onder de motorkap van sociale netwerken bevinden zich advertentieplatforms die onzichtbaar zijn voor de gemiddelde bezoeker en verantwoordelijk zijn voor het leveren van relevante contextuele advertenties aan bezoekers van sociale netwerken. Advertentieplatforms zijn eenvoudig te gebruiken en zeer effectief. Daarom zijn ze in trek bij adverteerders.
Naast de mogelijkheid om een breed publiek te bereiken, wat zeer gunstig is voor het bedrijfsleven, bieden advertentieplatforms u ook de mogelijkheid om uw targeting te beperken tot één specifieke persoon. Bovendien kunt u dankzij de functionaliteit van moderne advertentieplatforms zelfs kiezen op welke van de vele gadgets van deze specifieke persoon u advertenties wilt weergeven.
Dat. Met moderne advertentieplatforms kan de adverteerder iedereen, waar ook ter wereld, bereiken. Maar deze mogelijkheid kan ook door aanvallers worden gebruikt – als toegangspoort tot het netwerk waarin hun beoogde slachtoffer opereert. De spreker laat zien hoe een kwaadwillende adverteerder het Ads-platform kan gebruiken om zijn phishing-campagne nauwkeurig te targeten en een gepersonaliseerde exploit aan één specifieke persoon te leveren.
4. Hoe echte hackers gerichte advertenties ontwijken
In ons dagelijks leven maken we gebruik van veel verschillende geautomatiseerde diensten. En het is moeilijk voor ons om ze op te geven, zelfs als we er plotseling achter komen dat ze ons volledig in de gaten houden. Zo totaal dat ze elke lichaamsbeweging en elke vingerdruk volgen.
De spreker legt duidelijk uit hoe moderne marketeers een grote verscheidenheid aan esoterische targetingmethoden gebruiken. Wij over mobiele paranoia, over totale surveillance. En veel lezers vatten wat er was geschreven op als een onschuldige grap, maar uit het gepresenteerde rapport wordt duidelijk dat moderne marketeers dergelijke technologieën al volledig gebruiken om ons te volgen.
Wat kun je doen? De contextuele reclame-industrie, die deze totale surveillance voedt, gaat met grote sprongen vooruit. Tot het punt dat moderne advertentieplatforms niet alleen iemands netwerkactiviteit (toetsaanslagen, muisaanwijzerbewegingen, enz.) kunnen volgen, maar ook zijn fysiologische kenmerken (hoe we toetsen indrukken en de muis bewegen). Dat. moderne trackingtools van advertentieplatforms, ingebouwd in diensten zonder welke we ons geen leven kunnen voorstellen, kruipen niet alleen onder ons ondergoed, maar zelfs onder onze huid. Als we niet de mogelijkheid hebben om ons af te melden voor deze overdreven oplettende diensten, waarom proberen we ze dan niet op zijn minst te bombarderen met nutteloze informatie?
Het rapport demonstreerde het apparaat van de auteur (software- en hardwarebot), waarmee: 1) Bluetooth-bakens kunnen worden geïnjecteerd; 2) ruis maken van de gegevens die zijn verzameld door de sensoren aan boord van het voertuig; 3) de identificatieparameters van een mobiele telefoon vervalsen; 4) geluid maken op de manier van vingerklikken (op het toetsenbord, de muis en de sensor). Het is bekend dat al deze informatie wordt gebruikt om advertenties op mobiele gadgets te targeten.
De demonstratie laat zien dat na het starten van het apparaat van de auteur het volgsysteem gek wordt; dat de informatie die het verzamelt zo luidruchtig en onnauwkeurig wordt dat het niet langer van enig nut zal zijn voor onze waarnemers. Als goede grap demonstreert de spreker hoe het ‘volgsysteem’ dankzij het gepresenteerde apparaat een 32-jarige hacker begint te zien als een 12-jarig meisje dat smoorverliefd is op paarden.
5. 20 jaar MMORPG-hacking: coolere graphics, dezelfde exploits
Het onderwerp van het hacken van MMORPG's wordt al twintig jaar besproken op DEF CON. Ter ere van het jubileum beschrijft de spreker de belangrijkste momenten uit deze gesprekken. Daarnaast vertelt hij over zijn avonturen op het gebied van het stropen van online speelgoed. Sinds Ultima Online (in 20). En daaropvolgende jaren: Dark Age of Camelot, Anarchy Online, Asherons Call 1997, ShadowBane, Lineage II, Final Fantasy XI/XIV, World of Warcraft. Inclusief verschillende nieuwe vertegenwoordigers: Guild Wars 2 en Elder Scrolls Online. En dit is niet het volledige trackrecord van de spreker!
Het rapport geeft technische details over het creëren van exploits voor MMORPG's waarmee je virtueel geld kunt bemachtigen, en die relevant zijn voor vrijwel elke MMORPG. De spreker vertelt kort over de eeuwige confrontatie tussen stropers (fabrikanten van exploits) en “viscontrole”; en over de huidige technische stand van zaken in deze wapenwedloop.
Legt de methode uit voor gedetailleerde pakketanalyse en hoe exploits kunnen worden geconfigureerd, zodat stroperij niet wordt gedetecteerd aan de serverzijde. Inclusief het presenteren van de nieuwste exploit, die op het moment van het rapport een voordeel had ten opzichte van de “visinspectie” in de wapenwedloop.
6. Laten we de robots hacken voordat Skynet komt
Robots zijn tegenwoordig een rage. In de nabije toekomst zullen ze overal aanwezig zijn: op militaire missies, bij chirurgische operaties, bij de bouw van wolkenkrabbers; winkelassistenten in winkels; Ziekenhuispersoneel; zakelijke assistenten, seksuele partners; thuiskoks en volwaardige leden van het gezin.
Naarmate het robotecosysteem zich uitbreidt en de invloed van robots in onze samenleving en economie snel groeit, beginnen ze een aanzienlijke bedreiging te vormen voor mensen, dieren en bedrijven. In de kern zijn robots computers met armen, benen en wielen. En gezien de moderne realiteit van cyberbeveiliging zijn dit kwetsbare computers met armen, benen en wielen.
Software- en hardwarekwetsbaarheden van moderne robots stellen een aanvaller in staat de fysieke mogelijkheden van de robot te gebruiken om materiële of financiële schade te veroorzaken; of zelfs per ongeluk of opzettelijk een mensenleven in gevaar brengen. De potentiële bedreigingen voor alles in de buurt van robots nemen in de loop van de tijd exponentieel toe. Bovendien nemen ze toe in contexten die de gevestigde computerbeveiligingsindustrie nog nooit eerder heeft gezien.
In zijn recente onderzoek ontdekte de spreker veel kritieke kwetsbaarheden in thuis-, bedrijfs- en industriële robots - van bekende fabrikanten. In het rapport onthult hij de technische details van de huidige bedreigingen en legt hij precies uit hoe aanvallers verschillende componenten van het robotecosysteem kunnen compromitteren. Met demonstratie van werkende exploits.
Onder de door de spreker ontdekte problemen in het robotecosysteem: 1) onveilige communicatie; 2) de mogelijkheid van geheugenschade; 3) kwetsbaarheden die het uitvoeren van externe code (RCE) mogelijk maken; 4) de mogelijkheid om de integriteit van het bestandssysteem te schenden; 5) problemen met autorisatie; en in sommige gevallen zelfs de afwezigheid ervan; 6) zwakke cryptografie; 7) problemen met het updaten van de firmware; 8) problemen met het waarborgen van de vertrouwelijkheid; 8) capaciteiten zonder papieren (ook kwetsbaar voor RCE, enz.); 9) zwakke standaardconfiguratie; 10) kwetsbare Open Source “frameworks voor het besturen van robots” en softwarebibliotheken.
De spreker geeft live demonstraties van verschillende hackscenario’s met betrekking tot cyberspionage, bedreigingen van binnenuit, materiële schade, enz. De spreker beschrijft realistische scenario's die in het wild kunnen worden waargenomen en legt uit hoe de onzekerheid van moderne robottechnologie tot hacking kan leiden. Verklaart waarom gehackte robots nog gevaarlijker zijn dan welke andere gecompromitteerde technologie dan ook.
De spreker vestigt ook de aandacht op het feit dat ruwe onderzoeksprojecten in productie gaan voordat de veiligheidsproblemen zijn opgelost. Marketing wint zoals altijd. Deze ongezonde gang van zaken moet dringend worden gecorrigeerd. Totdat Skynet kwam. Hoewel... Het volgende rapport suggereert dat Skynet al gearriveerd is.
7. Militarisering van machinaal leren
Met het risico gebrandmerkt te worden als een gekke wetenschapper, is de spreker nog steeds geraakt door zijn “nieuwe duivelscreatie”, waarbij hij trots DeepHack introduceert: een open source hacker AI. Deze bot is een zelflerende webapplicatie-hacker. Het is gebaseerd op een neuraal netwerk dat leert door vallen en opstaan. Tegelijkertijd behandelt DeepHack de mogelijke gevolgen voor een persoon van deze vallen en opstaan met angstaanjagende minachting.
Met behulp van slechts één universeel algoritme leert het verschillende soorten kwetsbaarheden te misbruiken. DeepHack opent de deur naar het rijk van hacker-AI, waarvan er in de nabije toekomst al veel te verwachten zijn. In dit opzicht typeert de spreker zijn bot trots als ‘het begin van het einde’.
De spreker is van mening dat op AI gebaseerde hacktools, die binnenkort zullen verschijnen, in navolging van DeepHack, een fundamenteel nieuwe technologie zijn die cyberverdedigers en cyberaanvallers nog moeten adopteren. De spreker garandeert dat ieder van ons het komende jaar zelf machine learning-hacktools zal schrijven, of wanhopig zal proberen onszelf ertegen te beschermen. Er is geen derde.
Ook zegt de spreker, gekscherend of serieus: “Niet langer het voorrecht van duivelse genieën, de onvermijdelijke dystopie van AI is vandaag de dag al voor iedereen beschikbaar. Sluit je dus bij ons aan en we laten je zien hoe je kunt deelnemen aan de vernietiging van de mensheid door je eigen gemilitariseerde machine learning-systeem te creëren. Als gasten uit de toekomst ons dat uiteraard niet tegenhouden."
8. Onthoud alles: wachtwoorden in het cognitieve geheugen implanteren
Wat is cognitief geheugen? Hoe kun je daar een wachtwoord ‘implanteren’? Is dit überhaupt veilig? En waarom überhaupt zulke trucjes? Het idee is dat je met deze aanpak je wachtwoorden niet kunt prijsgeven, zelfs niet onder dwang; met behoud van de mogelijkheid om in te loggen op het systeem.
De lezing begint met een uitleg van wat cognitief geheugen is. Vervolgens wordt uitgelegd hoe expliciet en impliciet geheugen verschillen. Vervolgens worden de begrippen bewust en onbewust besproken. En het legt ook uit wat voor soort essentie dit is: bewustzijn. Beschrijft hoe ons geheugen informatie codeert, opslaat en ophaalt. De beperkingen van het menselijk geheugen worden beschreven. En ook hoe ons geheugen leert. En het rapport eindigt met een verhaal over modern onderzoek naar het menselijke cognitieve geheugen, in de context van hoe je daarin wachtwoorden kunt implementeren.
De spreker bracht de ambitieuze uitspraak in de titel van zijn presentatie uiteraard niet tot een volledige oplossing, maar citeerde tegelijkertijd verschillende interessante onderzoeken over de aanpak van het oplossen van het probleem. In het bijzonder onderzoek van Stanford University, waarvan het onderwerp hetzelfde onderwerp is. En een project om een mens-machine-interface te ontwikkelen voor mensen met een visuele beperking – met een directe verbinding met de hersenen. De spreker verwijst ook naar een onderzoek van Duitse wetenschappers die erin slaagden een algoritmische verbinding te maken tussen elektrische signalen van de hersenen en verbale zinnen; Met het apparaat dat ze hebben ontwikkeld, kun je tekst typen door er gewoon over na te denken. Een ander interessant onderzoek waar de spreker naar verwijst is de neurotelefoon, een interface tussen de hersenen en een mobiele telefoon, via een draadloze EEG-headset (Dartmouth College, VS).
Zoals reeds opgemerkt heeft de spreker de ambitieuze uitspraak in de titel van zijn presentatie niet tot een volledige oplossing gebracht. De spreker merkt echter op dat ondanks het feit dat er nog geen technologie bestaat om een wachtwoord in het cognitieve geheugen te implanteren, er al malware bestaat die het daaruit probeert te halen.
9. En de kleine vroeg: “Denk je echt dat alleen overheidshackers cyberaanvallen op het elektriciteitsnet kunnen uitvoeren?”
De goede werking van elektriciteit is van het allergrootste belang in ons dagelijks leven. Onze afhankelijkheid van elektriciteit wordt vooral duidelijk als deze is uitgeschakeld – zelfs voor een korte tijd. Tegenwoordig wordt algemeen aanvaard dat cyberaanvallen op het elektriciteitsnet uiterst complex zijn en alleen toegankelijk zijn voor overheidshackers.
De spreker betwist deze conventionele wijsheid en presenteert een gedetailleerde beschrijving van een aanval op het elektriciteitsnet, waarvan de kosten zelfs voor niet-gouvernementele hackers acceptabel zijn. Het toont informatie verzameld van internet die nuttig zal zijn bij het modelleren en analyseren van het beoogde elektriciteitsnet. En het legt ook uit hoe deze informatie kan worden gebruikt om aanvallen op elektriciteitsnetwerken over de hele wereld te modelleren.
Het rapport toont ook een kritieke kwetsbaarheid aan die door de spreker is ontdekt in General Electric Multilin-producten, die veel worden gebruikt in de energiesector. De spreker beschrijft hoe hij het encryptie-algoritme dat in deze systemen wordt gebruikt volledig heeft gecompromitteerd. Dit algoritme wordt gebruikt in General Electric Multilin-producten voor veilige communicatie van interne subsystemen en voor de besturing van deze subsystemen. Inclusief het autoriseren van gebruikers en het verlenen van toegang tot bevoorrechte bewerkingen.
Nadat de aanvaller de toegangscodes heeft geleerd (als gevolg van het compromitteren van het coderingsalgoritme), kan hij het apparaat volledig uitschakelen en de elektriciteit in bepaalde sectoren van het elektriciteitsnet uitschakelen; exploitanten blokkeren. Daarnaast demonstreert de spreker een techniek om op afstand digitale sporen te lezen die zijn achtergelaten door apparatuur die kwetsbaar is voor cyberaanvallen.
10. Het internet weet al dat ik zwanger ben
De gezondheid van vrouwen is big business. Er is een overvloed aan Android-apps op de markt waarmee vrouwen hun maandelijkse cyclus kunnen volgen, weten wanneer de kans het grootst is dat ze zwanger worden, of hun zwangerschapsstatus kunnen volgen. Deze apps moedigen vrouwen aan om de meest intieme details van hun leven vast te leggen, zoals stemming, seksuele activiteit, fysieke activiteit, fysieke symptomen, lengte, gewicht en meer.
Maar hoe privé zijn deze apps en hoe veilig zijn ze? Als een applicatie zulke intieme details over ons persoonlijke leven opslaat, zou het immers fijn zijn als deze gegevens met niemand anders worden gedeeld; bijvoorbeeld met een bevriend bedrijf (dat zich bezighoudt met gerichte reclame, etc.) of met een kwaadwillende partner/ouder.
De spreker presenteert de resultaten van zijn cybersecurity-analyse van meer dan een dozijn applicaties die de waarschijnlijkheid van een bevruchting voorspellen en de voortgang van de zwangerschap volgen. Hij ontdekte dat de meeste van deze applicaties ernstige problemen hebben met cybersecurity in het algemeen en privacy in het bijzonder.
Bron: www.habr.com