Pomyślałem, że świetnie byłoby relacjonować wydarzenia z konferencji międzynarodowych. I to nie tylko w ogólnym przeglądzie, ale żeby porozmawiać o najciekawszych raportach. Zwracam uwagę na pierwszą gorącą dziesiątkę.
1. Oczekiwanie na przyjazny tandem ataków IoT i oprogramowania ransomware
W 2016 r. zaobserwowaliśmy szybki wzrost liczby ataków typu ransomwari. Nie otrząsnęliśmy się jeszcze po tych atakach, kiedy uderzyła w nas nowa fala ataków DDoS z wykorzystaniem IoT. W tym raporcie autor szczegółowo opisuje przebieg ataku ransomware. Jak działa oprogramowanie ransomware i co badacz musi zrobić na każdym etapie, aby mu przeciwdziałać.
Opiera się przy tym na sprawdzonych metodach. Następnie prelegent rzuca światło na udział IoT w atakach DDoS: opowiada, jaką rolę odgrywa pomocnicze szkodliwe oprogramowanie w przeprowadzaniu tych ataków (w celu uzyskania późniejszej pomocy z jego strony w przeprowadzeniu ataku DDoS przez armię IoT). Mówi także o tym, jak tandem oprogramowania ransomware i ataków na IoT może stać się dużym zagrożeniem w nadchodzących latach. Prelegent jest autorem książek „Malware, Rootkits & Botnets: a Beginner’s Guide”, „Advanced Malware Analysis”, „Hacking Exposed: Malware & Rootkits Secrets & Solutions” – więc relacjonuje ze znajomością tematu.
2. „Otwórz usta, powiedz 0x41414141”: atak na cyberinfrastrukturę medyczną
Sprzęt medyczny podłączony do Internetu to wszechobecna rzeczywistość kliniczna. Sprzęt taki jest cenną pomocą dla personelu medycznego, ponieważ automatyzuje znaczną część rutyny. Sprzęt ten zawiera jednak wiele luk w zabezpieczeniach (zarówno w oprogramowaniu, jak i sprzęcie), które otwierają szerokie pole działania potencjalnemu atakującemu. W raporcie prelegent dzieli się osobistymi doświadczeniami z przeprowadzania pentestów dla cyberinfrastruktury medycznej; a także mówi o tym, jak napastnicy naruszają sprzęt medyczny.
Prelegent opisuje: 1) w jaki sposób napastnicy wykorzystują zastrzeżone protokoły komunikacyjne, 2) w jaki sposób szukają luk w usługach sieciowych, 3) w jaki sposób naruszają systemy podtrzymywania życia, 4) w jaki sposób wykorzystują interfejsy debugowania sprzętu i systemową magistralę danych; 5) w jaki sposób atakują podstawowe interfejsy bezprzewodowe i określone, zastrzeżone technologie bezprzewodowe; 6) w jaki sposób przenikają do systemów informacji medycznej, a następnie odczytują i edytują: dane osobowe dotyczące stanu zdrowia pacjenta; oficjalna dokumentacja medyczna, której zawartość zwykle jest ukryta nawet przed pacjentem; 7) w jaki sposób następuje zakłócenie systemu łączności, za pomocą którego sprzęt medyczny wymienia informacje i polecenia serwisowe; 8) w jaki sposób ograniczany jest dostęp personelu medycznego do sprzętu; lub całkowicie je zablokuj.
Podczas swoich pentestów mówca odkrył wiele problemów ze sprzętem medycznym. Wśród nich: 1) słaba kryptografia, 2) możliwość manipulacji danymi; 3) możliwość zdalnej wymiany sprzętu, 3) luki w zastrzeżonych protokołach, 4) możliwość nieuprawnionego dostępu do baz danych, 5) zakodowane na stałe, niezmienne loginy/hasła. Jak również inne wrażliwe informacje przechowywane w oprogramowaniu sprzętowym lub w plikach systemowych; 6) podatność sprzętu medycznego na zdalne ataki DoS.
Po przeczytaniu raportu staje się oczywiste, że cyberbezpieczeństwo w sektorze medycznym jest dziś przypadkiem klinicznym i wymaga intensywnej terapii.
3. Ząbkowany exploit na końcu szpikulca reklamy kontekstowej
Każdego dnia miliony ludzi korzystają z sieci społecznościowych: w pracy, w celach rozrywkowych lub po prostu dlatego. Pod maską sieci społecznościowych znajdują się platformy reklamowe, które są niewidoczne dla przeciętnego użytkownika i odpowiedzialne za dostarczanie odpowiednich reklam kontekstowych osobom odwiedzającym sieci społecznościowe. Platformy reklamowe są łatwe w użyciu i bardzo skuteczne. Dlatego są poszukiwane wśród reklamodawców.
Oprócz możliwości dotarcia do szerokiego grona odbiorców, co jest bardzo korzystne dla biznesu, platformy reklamowe umożliwiają także zawężenie targetowania do jednej konkretnej osoby. Co więcej, funkcjonalność nowoczesnych platform reklamowych pozwala nawet wybrać, na którym z licznych gadżetów danej osoby będą wyświetlane reklamy.
To. nowoczesne platformy reklamowe pozwalają reklamodawcy dotrzeć do dowolnej osoby, w dowolnym miejscu na świecie. Ale tę okazję mogą również wykorzystać atakujący - jako brama do sieci, w której działa ich zamierzona ofiara. Prelegent pokazuje, w jaki sposób złośliwy reklamodawca może wykorzystać platformę Ads do precyzyjnego ukierunkowania swojej kampanii phishingowej w celu dostarczenia spersonalizowanego exploita jednej konkretnej osobie.
4. Jak prawdziwi hakerzy unikają ukierunkowanych reklam
W życiu codziennym korzystamy z wielu różnych usług komputerowych. I trudno nam z nich zrezygnować, nawet gdy nagle dowiadujemy się, że prowadzą nad nami totalną inwigilację. Tak totalne, że śledzą każdy ruch naszego ciała i każde naciśnięcie palca.
Prelegent w jasny sposób wyjaśnia, w jaki sposób współcześni marketerzy wykorzystują szeroką gamę ezoterycznych metod targetowania. My o mobilnej paranoi, o totalnej inwigilacji. Wielu czytelników odebrało to, co napisano, jako nieszkodliwy żart, ale z prezentowanego raportu jasno wynika, że współcześni marketerzy już w pełni korzystają z takich technologii, aby nas śledzić.
Cóż możesz zrobić, branża reklamy kontekstowej, która napędza ten całkowity nadzór, rozwija się błyskawicznie. Do tego stopnia, że nowoczesne platformy reklamowe mogą śledzić nie tylko aktywność danej osoby w sieci (naciśnięcia klawiszy, ruchy wskaźnika myszy itp.), ale także jej cechy fizjologiczne (sposób, w jaki naciskamy klawisze i poruszamy myszą). To. nowoczesne narzędzia śledzące platform Ads, wbudowane w usługi, bez których nie wyobrażamy sobie życia, wpełzają nie tylko pod naszą bieliznę, ale nawet pod naszą skórę. Jeśli nie mamy możliwości rezygnacji z tych nadmiernie uważnych usług, to dlaczego nie spróbować przynajmniej zarzucić ich bezużytecznymi informacjami?
W raporcie zaprezentowano autorskie urządzenie (bot programowo-sprzętowy), które umożliwia: 1) wstrzykiwanie beaconów Bluetooth; 2) zakłócenie danych zebranych z czujników pokładowych pojazdu; 3) fałszować parametry identyfikacyjne telefonu komórkowego; 4) wydawać dźwięki w formie kliknięć palcami (na klawiaturze, myszy i czujniku). Wiadomo, że wszystkie te informacje są wykorzystywane do kierowania reklam na gadżety mobilne.
Demonstracja pokazuje, że po uruchomieniu autorskiego urządzenia system śledzący wariuje; że zbierane przez niego informacje staną się tak zaszumione i niedokładne, że nie będą już przydatne dla naszych obserwatorów. W ramach dobrego żartu prelegent pokazuje, jak dzięki prezentowanemu urządzeniu „system śledzący” zaczyna postrzegać 32-letniego hakera jako 12-letnią dziewczynę szaleńczo zakochaną w koniach.
5. 20 lat hackowania gier MMORPG: lepsza grafika, te same exploity
Temat hackowania gier MMORPG poruszany jest na DEF CON od 20 lat. Składając hołd rocznicy, prelegent opisuje najważniejsze momenty tych dyskusji. Dodatkowo opowiada o swoich przygodach na polu kłusownictwa w sieciowych zabawkach. Od Ultimy Online (w 1997). Oraz kolejne lata: Dark Age of Camelot, Anarchy Online, Asherons Call 2, ShadowBane, Lineage II, Final Fantasy XI/XIV, World of Warcraft. W tym kilku świeżych przedstawicieli: Guild Wars 2 i Elder Scrolls Online. A to nie cały dorobek mówcy!
Raport zawiera szczegóły techniczne dotyczące tworzenia exploitów dla gier MMORPG, które pomagają zdobyć wirtualne pieniądze i które są istotne dla prawie każdej gry MMORPG. Prelegent krótko opowiada o odwiecznej konfrontacji kłusowników (producentów exploitów) z „kontrolą ryb”; oraz o obecnym stanie technicznym tego wyścigu zbrojeń.
Wyjaśnia metodę szczegółowej analizy pakietów i sposób konfigurowania exploitów, aby kłusownictwo nie było wykrywane po stronie serwera. Między innymi zaprezentowanie najnowszego exploita, który w momencie publikacji raportu miał przewagę nad „inspekcją ryb” w wyścigu zbrojeń.
6. Zhakujmy roboty, zanim nadejdzie Skynet
Roboty są obecnie w modzie. W najbliższej przyszłości będą wszędzie: na misjach wojskowych, podczas operacji chirurgicznych, przy budowie drapaczy chmur; sprzedawcy w sklepach; personel szpitala; asystenci biznesowi, partnerzy seksualni; kucharze domowi i pełnoprawni członkowie rodziny.
W miarę rozwoju ekosystemu robotów i szybkiego wzrostu wpływu robotów na nasze społeczeństwo i gospodarkę, roboty te zaczynają stanowić poważne zagrożenie dla ludzi, zwierząt i przedsiębiorstw. W istocie roboty to komputery z rękami, nogami i kołami. Biorąc pod uwagę współczesne realia cyberbezpieczeństwa, są to podatne na ataki komputery z rękami, nogami i kołami.
Luki w oprogramowaniu i sprzęcie nowoczesnych robotów umożliwiają atakującemu wykorzystanie fizycznych możliwości robota w celu spowodowania szkód majątkowych lub finansowych; lub nawet przypadkowo lub celowo zagrozić życiu ludzkiemu. Potencjalne zagrożenia dla wszystkiego, co znajduje się w pobliżu robotów, z biegiem czasu rosną wykładniczo. Co więcej, nasilają się one w kontekście, jakiego nigdy wcześniej nie widziała branża bezpieczeństwa komputerowego.
W swoich ostatnich badaniach prelegent odkrył wiele krytycznych luk w robotach domowych, korporacyjnych i przemysłowych - znanych producentów. W raporcie ujawnia szczegóły techniczne obecnych zagrożeń i dokładnie wyjaśnia, w jaki sposób osoby atakujące mogą złamać różne elementy ekosystemu robotycznego. Z demonstracją działających exploitów.
Wśród problemów wykrytych przez prelegenta w ekosystemie robotów: 1) niepewna komunikacja; 2) możliwość uszkodzenia pamięci; 3) podatności umożliwiające zdalne wykonanie kodu (RCE); 4) możliwość naruszenia integralności systemu plików; 5) problemy z autoryzacją; a w niektórych przypadkach w ogóle jego brak; 6) słaba kryptografia; 7) problemy z aktualizacją oprogramowania; 8) problemy z zapewnieniem poufności; 8) nieudokumentowane możliwości (również podatne na RCE itp.); 9) słaba konfiguracja domyślna; 10) podatne na ataki „frameworki do sterowania robotami” Open Source i biblioteki oprogramowania.
Prelegent zapewnia demonstracje na żywo różnych scenariuszy włamań związanych z cyberszpiegostwem, zagrożeniami wewnętrznymi, szkodami majątkowymi itp. Opisując realistyczne scenariusze, które można zaobserwować w naturze, prelegent wyjaśnia, w jaki sposób brak bezpieczeństwa współczesnej technologii robotycznej może prowadzić do włamań. Wyjaśnia, dlaczego zhakowane roboty są jeszcze bardziej niebezpieczne niż jakakolwiek inna skompromitowana technologia.
Prelegent zwraca także uwagę na fakt, że prymitywne projekty badawcze trafiają do produkcji, zanim zostaną rozwiązane kwestie bezpieczeństwa. Marketing jak zwykle wygrywa. Należy pilnie naprawić ten niezdrowy stan rzeczy. Dopóki nie pojawił się Skynet. Chociaż... Kolejny raport sugeruje, że Skynet już przybył.
7. Militaryzacja uczenia maszynowego
Ryzykując, że zostanie nazwany szalonym naukowcem, mówca wciąż jest wzruszony swoim „nowym dziełem diabła”, z dumą przedstawiając DeepHack: sztuczną inteligencję hakera o otwartym kodzie źródłowym. Ten bot jest samouczącym się hakerem aplikacji internetowych. Opiera się na sieci neuronowej, która uczy się metodą prób i błędów. Jednocześnie DeepHack z przerażającą pogardą traktuje możliwe konsekwencje tych prób i błędów dla człowieka.
Używając tylko jednego uniwersalnego algorytmu, uczy się wykorzystywać różnego rodzaju podatności. DeepHack otwiera drzwi do krainy hakerskiej sztucznej inteligencji, której wielu można się spodziewać już w najbliższej przyszłości. W związku z tym mówca z dumą charakteryzuje swojego bota jako „początek końca”.
Prelegent uważa, że narzędzia hakerskie oparte na sztucznej inteligencji, które wkrótce pojawią się po DeepHack, to całkowicie nowa technologia, której cyberobrońcy i cyberprzestępcy muszą jeszcze zastosować. Prelegent gwarantuje, że w przyszłym roku każdy z nas albo będzie sam pisał narzędzia hakerskie do uczenia maszynowego, albo desperacko próbował się przed nimi uchronić. Nie ma trzeciego.
Ponadto, żartobliwie lub poważnie, mówca stwierdza: „Nieunikniona dystopia sztucznej inteligencji nie jest już przywilejem diabelskich geniuszy, ale jest już dostępna dla wszystkich. Dołącz do nas, a pokażemy Ci, jak możesz wziąć udział w zagładzie ludzkości, tworząc własny, zmilitaryzowany system uczenia maszynowego. Oczywiście, jeśli goście z przyszłości nam tego nie przeszkodziją.”
8. Zapamiętaj wszystko: wszczepianie haseł do pamięci poznawczej
Czym jest pamięć poznawcza? Jak można tam „wszczepić” hasło? Czy to w ogóle bezpieczne? I po co w ogóle takie sztuczki? Pomysł jest taki, że dzięki takiemu podejściu nie będziesz w stanie ujawnić swoich haseł, nawet pod przymusem; przy zachowaniu możliwości logowania do systemu.
Wykład rozpoczyna się od wyjaśnienia, czym jest pamięć poznawcza. Następnie wyjaśnia, czym różni się pamięć jawna i ukryta. Następnie omówione zostały pojęcia świadomości i nieświadomości. Wyjaśnia także, jakiego rodzaju jest to esencja – świadomość. Opisuje, w jaki sposób nasza pamięć koduje, przechowuje i odzyskuje informacje. Opisano ograniczenia ludzkiej pamięci. A także tego, jak uczy się nasza pamięć. A raport kończy się opowieścią o współczesnych badaniach nad ludzką pamięcią poznawczą, w kontekście sposobów implementowania do niej haseł.
Prelegent oczywiście nie doprowadził ambitnego stwierdzenia zawartego w tytule swojej prezentacji do pełnego rozwiązania, ale jednocześnie przytoczył kilka ciekawych badań, które dotyczą podejść do rozwiązania problemu. W szczególności badania z Uniwersytetu Stanforda, których przedmiotem jest ten sam temat. Oraz projekt mający na celu opracowanie interfejsu człowiek-maszyna dla osób niedowidzących – z bezpośrednim połączeniem z mózgiem. Prelegent nawiązuje także do badań niemieckich naukowców, którym udało się znaleźć algorytmiczne powiązanie pomiędzy sygnałami elektrycznymi mózgu a frazami werbalnymi; Opracowane przez nich urządzenie umożliwia wpisywanie tekstu po prostu o nim myśląc. Innym interesującym badaniem, do którego odwołuje się prelegent, jest neurotelefon, interfejs pomiędzy mózgiem a telefonem komórkowym za pośrednictwem bezprzewodowego zestawu słuchawkowego EEG (Dartmouth College, USA).
Jak już zauważono, prelegent nie doprowadził do pełnego rozwiązania ambitnego stwierdzenia zawartego w tytule swojej prezentacji. Prelegent zauważa jednak, że choć nie ma jeszcze technologii umożliwiającej wszczepienie hasła do pamięci poznawczej, już istnieje szkodliwe oprogramowanie próbujące je stamtąd wydobyć.
9. A mały zapytał: „Czy naprawdę myślisz, że tylko hakerzy rządowi mogą przeprowadzać cyberataki na sieć energetyczną?”
Sprawne działanie energii elektrycznej jest sprawą najwyższej wagi w naszym codziennym życiu. Nasze uzależnienie od prądu staje się szczególnie widoczne, gdy jest ono wyłączone – nawet na krótki czas. Dziś powszechnie przyjmuje się, że cyberataki na sieć energetyczną są niezwykle złożone i dostępne tylko dla hakerów rządowych.
Prelegent kwestionuje ten obiegowy pogląd i przedstawia szczegółowy opis ataku na sieć energetyczną, którego koszt jest akceptowalny nawet dla pozarządowych hakerów. Prezentuje informacje zebrane z Internetu, które będą przydatne w modelowaniu i analizie docelowej sieci energetycznej. Wyjaśnia także, w jaki sposób informacje te można wykorzystać do modelowania ataków na sieci energetyczne na całym świecie.
Raport wskazuje również na krytyczną lukę odkrytą przez prelegenta w produktach General Electric Multilin, które są szeroko stosowane w sektorze energetycznym. Prelegent opisuje, jak całkowicie naruszył algorytm szyfrowania stosowany w tych systemach. Algorytm ten stosowany jest w produktach General Electric Multilin do bezpiecznej komunikacji wewnętrznych podsystemów oraz do sterowania tymi podsystemami. W tym do autoryzacji użytkowników i zapewniania dostępu do uprzywilejowanych operacji.
Po poznaniu kodów dostępu (w wyniku złamania algorytmu szyfrowania) atakujący może całkowicie wyłączyć urządzenie i wyłączyć prąd w określonych sektorach sieci energetycznej; operatory blokowe. Ponadto prelegent demonstruje technikę zdalnego odczytu cyfrowych śladów pozostawionych przez sprzęt podatny na cyberataki.
10. Internet już wie, że jestem w ciąży
Zdrowie kobiet to wielki biznes. Na rynku dostępnych jest mnóstwo aplikacji na Androida, które pomagają kobietom śledzić ich miesięczne cykle, wiedzieć, kiedy jest największe prawdopodobieństwo zajścia w ciążę lub śledzić stan ciąży. Aplikacje te zachęcają kobiety do rejestrowania najbardziej intymnych szczegółów swojego życia, takich jak nastrój, aktywność seksualna, aktywność fizyczna, objawy fizyczne, wzrost, waga i inne.
Ale jak prywatne są te aplikacje i jak bezpieczne są? W końcu, jeśli aplikacja przechowuje tak intymne szczegóły z naszego życia osobistego, byłoby miło, gdyby nie udostępniała tych danych nikomu innemu; na przykład z przyjazną firmą (zajmującą się reklamą ukierunkowaną itp.) lub ze złośliwym partnerem/rodzicem.
Prelegent przedstawia wyniki swojej analizy cyberbezpieczeństwa kilkunastu aplikacji prognozujących prawdopodobieństwo poczęcia i śledzących przebieg ciąży. Odkrył, że większość tych aplikacji ma poważne problemy z cyberbezpieczeństwem w ogóle, a w szczególności z prywatnością.
Źródło: www.habr.com