Razmišljal sem, da bi bilo super pokrivati dogodke z mednarodnih konferenc. In ne samo v splošnem pregledu, ampak govoriti o najbolj zanimivih poročilih. Predstavljam vam prvo vročo desetko.
1. Čakanje na prijazen tandem IoT napadov in izsiljevalske programske opreme
V letu 2016 smo bili priča hitremu porastu napadov ransomwari. Še nismo si opomogli od teh napadov, ko nas je zadel nov val napadov DDoS, ki uporabljajo IoT. V tem poročilu avtor podaja korak za korakom opis, kako pride do napada z izsiljevalsko programsko opremo. Kako deluje izsiljevalska programska oprema in kaj mora raziskovalec storiti na vsaki stopnji, da se zoperstavi izsiljevalski programski opremi.
Pri tem se opira na preverjene metode. Nato govornik osvetli, kako je IoT vpleten v DDoS napade: pove, kakšno vlogo ima pomožna zlonamerna programska oprema pri izvajanju teh napadov (za kasnejšo pomoč z njene strani pri izvedbi DDoS napada s strani IoT vojske). Govori tudi o tem, kako bi lahko tandem napadov z izsiljevalsko programsko opremo in IoT v prihodnjih letih postal velika grožnja. Govornik je avtor knjig »Malware, Rootkits & Botnets: a Beginner's Guide«, »Advanced Malware Analysis«, »Hacking Exposed: Malware & Rootkits Secrets & Solutions« – zato poroča z znanjem o zadevi.
2. »Odpri usta, izgovori 0x41414141«: Napad na medicinsko kibernetsko infrastrukturo
Medicinska oprema, povezana z internetom, je vseprisotna klinična realnost. Takšna oprema je dragocen pripomoček za medicinsko osebje, saj avtomatizira pomemben del rutine. Vsebuje pa ta oprema številne ranljivosti (tako programske kot strojne), ki morebitnemu napadalcu odpirajo široko polje delovanja. V poročilu govornik deli svoje osebne izkušnje z izvajanjem pentestov za medicinsko kiberinfrastrukturo; in govori tudi o tem, kako napadalci ogrozijo medicinsko opremo.
Govornik opisuje: 1) kako napadalci izkoriščajo lastniške komunikacijske protokole, 2) kako iščejo ranljivosti v omrežnih storitvah, 3) kako ogrožajo sisteme za vzdrževanje življenja, 4) kako izkoriščajo vmesnike za razhroščevanje strojne opreme in sistemsko podatkovno vodilo; 5) kako napadajo osnovne brezžične vmesnike in posebne lastniške brezžične tehnologije; 6) kako prodrejo v medicinske informacijske sisteme in nato berejo in urejajo: osebne podatke o zdravstvenem stanju pacienta; uradna zdravstvena dokumentacija, katere vsebina je praviloma skrita tudi bolniku; 7) kako je moten komunikacijski sistem, ki ga medicinska oprema uporablja za izmenjavo informacij in servisnih ukazov; 8) kako je dostop zdravstvenega osebja do opreme omejen; ali ga popolnoma blokirati.
Med svojimi pentestami je govorec odkril veliko težav z medicinsko opremo. Med njimi: 1) šibka kriptografija, 2) možnost manipulacije podatkov; 3) možnost zamenjave opreme na daljavo, 3) ranljivosti v lastniških protokolih, 4) možnost nepooblaščenega dostopa do baz podatkov, 5) trdo kodirana, nespremenljiva prijava/gesla. Kot tudi druge občutljive informacije, shranjene v vdelani programski opremi opreme ali v sistemskih binarnih datotekah; 6) dovzetnost medicinske opreme za oddaljene napade DoS.
Po branju poročila postane očitno, da je kibernetska varnost v medicinskem sektorju danes klinični primer in potrebuje intenzivno nego.
3. Zobati podvig na konici kontekstualnega oglaševalskega nabodala
Vsak dan na milijone ljudi obišče družbena omrežja: zaradi službe, zabave ali samo zato. Pod pokrovom družbenih omrežij so oglasne platforme, ki so nevidne povprečnemu obiskovalcu in so odgovorne za zagotavljanje ustreznega kontekstnega oglaševanja obiskovalcem družbenih omrežij. Oglaševalske platforme so enostavne za uporabo in zelo učinkovite. Zato so povpraševani med oglaševalci.
Poleg zmožnosti doseganja širokega občinstva, kar je zelo koristno za podjetja, vam Ads platforme omogočajo tudi zožitev ciljanja na eno določeno osebo. Poleg tega vam funkcionalnost sodobnih oglasnih platform omogoča celo, da izberete, na katerem izmed številnih pripomočkov te osebe želite prikazati oglase.
to. sodobne oglasne platforme omogočajo oglaševalcu, da doseže katero koli osebo, kjerkoli na svetu. Toda to priložnost lahko izkoristijo tudi napadalci - kot prehod v omrežje, v katerem deluje njihova nameravana žrtev. Govornik pokaže, kako lahko zlonamerni oglaševalec uporabi platformo Ads za natančno ciljanje svoje kampanje lažnega predstavljanja, da eni določeni osebi ponudi prilagojeno izkoriščanje.
4. Kako se pravi hekerji izogibajo ciljanemu oglaševanju
V vsakdanjem življenju uporabljamo veliko različnih računalniških storitev. In težko se jim odrečemo, tudi ko nenadoma izvemo, da nas totalno nadzorujejo. Tako popolni, da spremljajo vsak naš gib telesa in vsak pritisk prsta.
Govornik jasno razloži, kako sodobni tržniki uporabljajo najrazličnejše ezoterične metode ciljanja. mi o mobilni paranoji, o totalnem nadzoru. In mnogi bralci so napisano vzeli za neškodljivo šalo, a iz predstavljenega poročila je razvidno, da sodobni tržniki že v celoti izkoriščajo tovrstne tehnologije za sledenje.
Kaj lahko storite, industrija kontekstualnega oglaševanja, ki spodbuja ta popolni nadzor, napreduje z velikimi koraki. Do te mere, da sodobne oglaševalske platforme lahko spremljajo ne le človekovo omrežno aktivnost (pritiski tipk, premiki kazalca miške itd.), temveč tudi njegove fiziološke značilnosti (kako pritiskamo tipke in premikamo miško). to. sodobna sledilna orodja platform Ads, vgrajena v storitve, brez katerih si ne moremo predstavljati življenja, nam zlezejo ne samo pod perilo, ampak celo pod kožo. Če nimamo možnosti, da bi se izognili tem pretirano pozornim storitvam, zakaj jih potem ne bi vsaj poskusili zasuti z neuporabnimi informacijami?
Poročilo je prikazalo avtorjevo napravo (programski in strojni bot), ki omogoča: 1) vstavljanje Bluetooth svetilnikov; 2) motiti podatke, zbrane s senzorji v vozilu; 3) ponarediti identifikacijske parametre mobilnega telefona; 4) povzročajo hrup v obliki klikov prstov (na tipkovnici, miški in senzorju). Znano je, da se vse te informacije uporabljajo za ciljno oglaševanje na mobilnih pripomočkih.
Predstavitev pokaže, da po zagonu avtorjeve naprave sistem za sledenje ponori; da informacije, ki jih zbira, postanejo tako hrupne in netočne, da našim opazovalcem ne bodo več koristile. Kot dobra šala govornik pokaže, kako zahvaljujoč predstavljeni napravi "sistem za sledenje" začne dojemati 32-letnega hekerja kot 12-letno deklico, ki je noro zaljubljena v konje.
5. 20 let hekanja MMORPG: hladnejša grafika, isti podvigi
O temi hekanja MMORPG se na DEF CON razpravlja že 20 let. Govornik ob počastitvi obletnice opiše najpomembnejše trenutke iz teh razprav. Poleg tega govori o svojih dogodivščinah na področju lovljenja spletnih igrač. Od Ultima Online (leta 1997). In naslednja leta: Dark Age of Camelot, Anarchy Online, Asherons Call 2, ShadowBane, Lineage II, Final Fantasy XI/XIV, World of Warcraft. Vključno z več svežimi predstavniki: Guild Wars 2 in Elder Scrolls Online. In to ni celoten rekord govornika!
Poročilo vsebuje tehnične podrobnosti o ustvarjanju podvigov za MMORPG, ki vam pomagajo priti do virtualnega denarja in so pomembni za skoraj vsako MMORPG. Govornik na kratko spregovori o večnem spopadu med divjimi lovci (proizvajalci podvigov) in »nadzorom rib«; in o trenutnem tehničnem stanju te oboroževalne tekme.
Pojasnjuje metodo podrobne analize paketov in kako konfigurirati izkoriščanja, tako da na strani strežnika ni zaznano lovljenje. Vključno s predstavitvijo najnovejšega podviga, ki je bil v času poročanja v oboroževalni tekmi v prednosti pred »fišpekcijo«.
6. Vdrejmo v robote, preden pride Skynet
Roboti so danes v modi. V bližnji prihodnosti bodo povsod: na vojaških misijah, pri kirurških posegih, pri gradnji nebotičnikov; prodajalci v trgovinah; bolnišnično osebje; poslovni pomočniki, spolni partnerji; domači kuharji in polnopravni člani družine.
Ker se robotski ekosistem širi in vpliv robotov v naši družbi in gospodarstvu hitro narašča, začenjajo predstavljati veliko grožnjo ljudem, živalim in podjetjem. V svojem bistvu so roboti računalniki z rokami, nogami in kolesi. Glede na sodobno realnost kibernetske varnosti so to ranljivi računalniki z rokami, nogami in kolesi.
Ranljivosti programske in strojne opreme sodobnih robotov omogočajo napadalcu, da uporabi fizične zmogljivosti robota za povzročitev lastninske ali finančne škode; ali celo nenamerno ali namerno ogrozijo človeško življenje. Potencialne grožnje vsemu v bližini robotov se sčasoma eksponentno povečujejo. Poleg tega se povečujejo v kontekstih, ki jih uveljavljena industrija računalniške varnosti še ni videla.
Govornik je v svoji nedavni raziskavi odkril številne kritične ranljivosti v domačih, korporativnih in industrijskih robotih – znanih proizvajalcev. V poročilu razkriva tehnične podrobnosti trenutnih groženj in natančno pojasnjuje, kako lahko napadalci ogrozijo različne komponente robotskega ekosistema. S prikazom delovnih podvigov.
Med težavami, ki jih je odkril govorec v robotskem ekosistemu: 1) nezanesljive komunikacije; 2) možnost poškodbe spomina; 3) ranljivosti, ki omogočajo oddaljeno izvajanje kode (RCE); 4) možnost kršitve celovitosti datotečnega sistema; 5) težave z avtorizacijo; in v nekaterih primerih sploh odsotnost; 6) šibka kriptografija; 7) težave s posodabljanjem vdelane programske opreme; 8) težave z zagotavljanjem zaupnosti; 8) nedokumentirane zmogljivosti (tudi ranljive za RCE itd.); 9) šibka privzeta konfiguracija; 10) ranljiva odprtokodna "ogrodja za krmiljenje robotov" in programske knjižnice.
Govornik v živo predstavi različne scenarije hekerskih vdorov, povezanih s kibernetskim vohunjenjem, notranjimi grožnjami, materialno škodo itd. Z opisom realističnih scenarijev, ki jih je mogoče opazovati v divjini, govorec razloži, kako lahko negotovost sodobne robotske tehnologije privede do hekanja. Pojasnjuje, zakaj so vdrti roboti še bolj nevarni kot katera koli druga ogrožena tehnologija.
Govornik opozarja tudi na dejstvo, da gredo surovi raziskovalni projekti v proizvodnjo, preden se rešijo varnostna vprašanja. Marketing zmaga kot vedno. To nezdravo stanje je treba nujno popraviti. Dokler ni prišel Skynet. Čeprav ... Naslednje poročilo kaže, da je Skynet že prišel.
7. Militarizacija strojnega učenja
Ob tveganju, da ga bodo označili za norega znanstvenika, se govornik še vedno dotakne svoje »nove hudičeve stvaritve«, ki ponosno predstavlja DeepHack: odprtokodno hekersko umetno inteligenco. Ta bot je samoučeči heker spletnih aplikacij. Temelji na nevronski mreži, ki se uči s poskusi in napakami. Hkrati DeepHack možne posledice teh poskusov in napak za človeka obravnava z zastrašujočim prezirom.
Z uporabo samo enega univerzalnega algoritma se nauči izkoriščati različne vrste ranljivosti. DeepHack odpira vrata v kraljestvo hekerske umetne inteligence, od katere lahko mnoge že pričakujemo v bližnji prihodnosti. V zvezi s tem govorec ponosno označuje svojega bota kot »začetek konca«.
Govornik meni, da so hekerska orodja na osnovi umetne inteligence, ki se bodo kmalu pojavila po DeepHacku, bistveno nova tehnologija, ki jo morajo kibernetski branilci in kibernetski napadalci šele sprejeti. Govornik zagotavlja, da bo v naslednjem letu vsak izmed nas ali sam pisal hekerska orodja za strojno učenje ali pa se obupno poskušal zaščititi pred njimi. Tretjega ni.
Prav tako, bodisi v šali ali resno, govornik izjavi: »Ni več prednost diaboličnih genijev, neizogibna distopija AI je že danes na voljo vsem. Zato se nam pridružite in pokazali vam bomo, kako lahko sodelujete pri uničevanju človeštva z ustvarjanjem lastnega militariziranega sistema strojnega učenja. Seveda, če nam gostje iz prihodnosti tega ne bodo preprečili.«
8. Zapomni si vse: vsaditev gesel v kognitivni spomin
Kaj je kognitivni spomin? Kako lahko tam »vsadiš« geslo? Je to sploh varno? In zakaj sploh takšni triki? Ideja je, da s tem pristopom ne boste mogli razkriti svojih gesel niti pod prisilo; hkrati pa ohranja možnost prijave v sistem.
Pogovor se začne z razlago, kaj je kognitivni spomin. Nato pojasni, kako se eksplicitni in implicitni spomin razlikujeta. Nato se razpravlja o konceptih zavestnega in nezavednega. In tudi pojasni, kakšno bistvo je to – zavest. Opisuje, kako naš spomin kodira, shranjuje in pridobiva informacije. Opisane so omejitve človeškega spomina. In tudi, kako se naš spomin uči. In poročilo se konča z zgodbo o sodobnih raziskavah človeškega kognitivnega spomina, v kontekstu tega, kako vanj implementirati gesla.
Govornik ambiciozne izjave iz naslova svoje predstavitve seveda ni pripeljal do celovite rešitve, hkrati pa je navedel več zanimivih študij o pristopih k reševanju problema. Predvsem raziskave univerze Stanford, katerih predmet je ista tema. In projekt razvoja vmesnika človek-stroj za slabovidne osebe – z neposredno povezavo z možgani. Govornik se sklicuje tudi na študijo nemških znanstvenikov, ki jim je uspelo algoritemsko povezati električne signale možganov z besednimi frazami; Naprava, ki so jo razvili, vam omogoča tipkanje besedila tako, da o njem razmišljate. Druga zanimiva študija, na katero se sklicuje govornik, je nevrotelefon, vmesnik med možgani in mobilnim telefonom, preko brezžične EEG slušalke (Dartmouth College, ZDA).
Kot že omenjeno, govornik ambiciozne izjave iz naslova svoje predstavitve ni pripeljal do popolne rešitve. Vendar govornik ugotavlja, da kljub dejstvu, da še ni tehnologije za vsaditev gesla v kognitivni spomin, zlonamerna programska oprema, ki ga skuša od tam izvleči, že obstaja.
9. In mali je vprašal: "Ali res misliš, da lahko samo vladni hekerji izvajajo kibernetske napade na električno omrežje?"
Nemoteno delovanje električne energije je v našem vsakdanjem življenju izjemnega pomena. Naša odvisnost od elektrike postane še posebej očitna, ko jo izklopimo – tudi za kratek čas. Danes je splošno sprejeto, da so kibernetski napadi na elektroenergetsko omrežje izjemno zapleteni in dostopni samo vladnim hekerjem.
Govornik izpodbija to ustaljeno modrost in predstavi podroben opis napada na elektroenergetsko omrežje, katerega cena je sprejemljiva tudi za nevladne hekerje. Predstavlja informacije, zbrane iz interneta, ki bodo koristne pri modeliranju in analizi ciljnega električnega omrežja. Pojasnjuje tudi, kako se lahko te informacije uporabijo za modeliranje napadov na električna omrežja po vsem svetu.
Poročilo prikazuje tudi kritično ranljivost, ki jo je odkril govornik v izdelkih General Electric Multilin, ki se pogosto uporabljajo v energetskem sektorju. Govornik opisuje, kako je popolnoma ogrozil algoritem šifriranja, ki se uporablja v teh sistemih. Ta algoritem se uporablja v izdelkih General Electric Multilin za varno komunikacijo notranjih podsistemov in za nadzor teh podsistemov. Vključno z avtorizacijo uporabnikov in zagotavljanjem dostopa do privilegiranih operacij.
Ko se nauči dostopnih kod (zaradi ogrožanja algoritma šifriranja), lahko napadalec popolnoma onemogoči napravo in izklopi elektriko v določenih sektorjih električnega omrežja; blok operaterji. Poleg tega govornik demonstrira tehniko za oddaljeno branje digitalnih sledi, ki jih pusti oprema, ranljiva za kibernetske napade.
10. Internet že ve, da sem noseča
Zdravje žensk je velik posel. Na trgu je ogromno aplikacij za Android, ki ženskam pomagajo spremljati njihov mesečni cikel, vedeti, kdaj je najverjetneje zanositi, ali spremljati stanje nosečnosti. Te aplikacije spodbujajo ženske, da beležijo najintimnejše podrobnosti svojega življenja, kot so razpoloženje, spolna aktivnost, telesna aktivnost, fizični simptomi, višina, teža in drugo.
Toda kako zasebne so te aplikacije in kako varne so? Konec koncev, če aplikacija hrani tako intimne podrobnosti o našem osebnem življenju, bi bilo lepo, če teh podatkov ne bi delila z nikomer drugim; na primer s prijaznim podjetjem (ki se ukvarja s ciljanim oglaševanjem itd.) ali z zlonamernim partnerjem/staršem.
Govornik predstavi rezultate svoje analize kibernetske varnosti več kot ducata aplikacij, ki napovedujejo verjetnost zanositve in spremljajo potek nosečnosti. Ugotovil je, da ima večina teh aplikacij resne težave s kibernetsko varnostjo na splošno in še posebej z zasebnostjo.
Vir: www.habr.com