Nilikuwa nikifikiria kwamba itakuwa nzuri kufunika matukio kutoka kwa mikutano ya kimataifa. Na sio tu kwa muhtasari wa jumla, lakini kuzungumza juu ya ripoti zinazovutia zaidi. Ninaleta mawazo yako kumi ya kwanza ya moto.
1. Kusubiri sanjari ya kirafiki ya mashambulizi ya IoT na programu ya ukombozi
Katika 2016, tuliona ongezeko la haraka la mashambulizi ya ransomwari. Tulikuwa bado hatujapata nafuu kutokana na mashambulizi haya wakati wimbi jipya la mashambulizi ya DDoS kwa kutumia IoT lilitupiga. Katika ripoti hii, mwandishi hutoa maelezo ya hatua kwa hatua ya jinsi shambulio la ransomware hutokea. Jinsi programu ya ukombozi inavyofanya kazi, na kile ambacho mtafiti lazima afanye katika kila hatua ili kukabiliana na programu ya ukombozi.
Kwa kufanya hivyo, anategemea mbinu zilizothibitishwa. Kisha mzungumzaji anatoa mwanga kuhusu jinsi IoT inavyohusika katika mashambulizi ya DDoS: anaeleza ni jukumu gani programu hasidi msaidizi inacheza katika kutekeleza mashambulizi haya (kwa usaidizi wa baadaye kwa upande wake katika kutekeleza shambulio la DDoS na jeshi la IoT). Pia inazungumza juu ya jinsi tandem ya ukombozi na shambulio la IoT inaweza kuwa tishio kubwa katika miaka ijayo. Mzungumzaji ndiye mwandishi wa vitabu "Malware, Rootkits & Botnets: a Beginner's Guide", "Advanced Malware Analysis", "Hacking Exposed: Malware & Rootkits Secrets & Solutions" - kwa hivyo anaripoti kwa ujuzi wa suala hilo.
2. "Fungua mdomo wako, sema 0x41414141": Shambulio la miundombinu ya matibabu ya mtandao
Vifaa vya matibabu vilivyounganishwa kwenye mtandao ni ukweli wa kimatibabu unaoenea kila mahali. Vifaa kama hivyo ni msaada muhimu kwa wafanyikazi wa matibabu, kwani huendesha sehemu muhimu ya utaratibu. Hata hivyo, kifaa hiki kina udhaifu mwingi (programu na maunzi), ambayo hufungua uwanja mpana wa shughuli kwa mshambulizi anayewezekana. Katika ripoti hiyo, mzungumzaji anashiriki uzoefu wake wa kibinafsi wa kufanya pentest kwa miundombinu ya matibabu ya mtandao; na pia inazungumzia jinsi washambuliaji wanavyohatarisha vifaa vya matibabu.
Mzungumzaji anafafanua: 1) jinsi washambuliaji wanavyotumia itifaki za mawasiliano ya umiliki, 2) jinsi wanavyotafuta udhaifu katika huduma za mtandao, 3) jinsi wanavyohatarisha mifumo ya usaidizi wa maisha, 4) jinsi wanavyotumia violesura vya utatuzi wa maunzi na basi ya data ya mfumo; 5) jinsi wanavyoshambulia violesura vya msingi visivyo na waya na teknolojia maalum za wamiliki zisizo na waya; 6) jinsi wanavyopenya mifumo ya habari ya matibabu, na kisha kusoma na kuhariri: maelezo ya kibinafsi kuhusu afya ya mgonjwa; rekodi rasmi za matibabu, yaliyomo ambayo kawaida hufichwa hata kutoka kwa mgonjwa; 7) jinsi mfumo wa mawasiliano ambao vifaa vya matibabu hutumia kubadilishana habari na amri za huduma huvunjwa; 8) jinsi upatikanaji wa wafanyakazi wa matibabu kwa vifaa ni mdogo; au kuzuia kabisa.
Wakati wa pentest zake, mzungumzaji aligundua shida nyingi na vifaa vya matibabu. Miongoni mwao: 1) cryptography dhaifu, 2) uwezekano wa kudanganywa kwa data; 3) uwezekano wa uingizwaji wa kijijini wa vifaa, 3) udhaifu katika itifaki za wamiliki, 4) uwezekano wa upatikanaji usioidhinishwa wa databases, 5) ngumu-coded, logins zisizobadilika / nywila. Pamoja na taarifa nyingine nyeti zilizohifadhiwa ama katika firmware ya vifaa au kwenye jozi za mfumo; 6) uwezekano wa vifaa vya matibabu kwa mashambulizi ya mbali ya DoS.
Baada ya kusoma ripoti hiyo, inakuwa dhahiri kuwa usalama wa mtandao katika sekta ya matibabu leo ββni kesi ya kliniki na inahitaji utunzaji mkubwa.
3. Unyonyaji wa meno kwenye ncha ya mshikaki wa matangazo ya muktadha
Kila siku, mamilioni ya watu huenda kwenye mitandao ya kijamii: kwa kazi, kwa burudani, au kwa sababu tu. Chini ya kifuniko cha mitandao ya kijamii kuna majukwaa ya Matangazo ambayo hayaonekani kwa mgeni wa kawaida na yana jukumu la kutoa utangazaji wa muktadha unaofaa kwa wanaotembelea mitandao ya kijamii. Majukwaa ya matangazo ni rahisi kutumia na yanafaa sana. Kwa hiyo, zinahitajika kati ya watangazaji.
Mbali na uwezo wa kufikia hadhira pana, ambayo ni ya manufaa sana kwa biashara, mifumo ya Matangazo pia hukuruhusu kupunguza ulengaji wako hadi kufikia mtu mmoja mahususi. Zaidi ya hayo, utendakazi wa majukwaa ya kisasa ya Matangazo hata hukuruhusu kuchagua kipi kati ya vifaa vingi vya mtu huyu ili kuonyesha utangazaji.
Hiyo. mifumo ya kisasa ya Matangazo huruhusu mtangazaji kufikia mtu yeyote, popote duniani. Lakini fursa hii pia inaweza kutumiwa na washambuliaji - kama lango la mtandao ambamo mwathiriwa wao anafanya kazi. Spika huonyesha jinsi mtangazaji hasidi anavyoweza kutumia mfumo wa Matangazo ili kulenga kwa usahihi kampeni yake ya kuhadaa ili kuwasilisha unyonyaji uliobinafsishwa kwa mtu mmoja mahususi.
4. Jinsi wadukuzi halisi hukwepa utangazaji unaolengwa
Tunatumia huduma nyingi tofauti za kompyuta katika maisha yetu ya kila siku. Na ni ngumu kwetu kuwaacha, hata tunapogundua ghafla kuwa wanatufuatilia kabisa. Kwa jumla kwamba wanafuatilia kila harakati za mwili wetu na kila mibofyo ya vidole.
Mzungumzaji anaelezea wazi jinsi wauzaji wa kisasa wanavyotumia mbinu mbalimbali za kulenga za esoteric. Sisi kuhusu paranoia ya rununu, kuhusu ufuatiliaji wa jumla. Na wasomaji wengi walichukua kile kilichoandikwa kama utani usio na madhara, lakini kutokana na ripoti iliyowasilishwa ni wazi kwamba wauzaji wa kisasa tayari wanatumia kikamilifu teknolojia hizo ili kutufuatilia.
Unaweza kufanya nini, tasnia ya utangazaji ya muktadha, ambayo huchochea ufuatiliaji huu wa jumla, inasonga kwa kasi na mipaka. Ili kufikia hatua kwamba majukwaa ya kisasa ya Matangazo yanaweza kufuatilia sio tu shughuli za mtandao za mtu (mibonyezo ya vitufe, miondoko ya vielekezi vya kipanya, n.k.), lakini pia sifa zake za kisaikolojia (jinsi tunavyobonyeza vitufe na kusogeza kipanya). Hiyo. zana za kisasa za kufuatilia za majukwaa ya Matangazo, yaliyoundwa katika huduma ambazo bila hizo hatuwezi kufikiria maisha, sio tu kutambaa ndani ya chupi zetu, lakini hata chini ya ngozi zetu. Ikiwa hatuna uwezo wa kujiondoa kwenye huduma hizi zinazozingatiwa sana, basi kwa nini tusijaribu angalau kuzishambulia kwa taarifa zisizo na maana?
Ripoti ilionyesha kifaa cha mwandishi (programu na vifaa vya bot), ambayo inaruhusu: 1) kuingiza beacons za Bluetooth; 2) kelele data iliyokusanywa kutoka kwa sensorer za bodi ya gari; 3) kudanganya vigezo vya kitambulisho cha simu ya rununu; 4) kufanya kelele kwa namna ya kubofya kwa vidole (kwenye kibodi, panya na sensor). Maelezo haya yote yanajulikana kutumika kulenga utangazaji kwenye vifaa vya rununu.
Maonyesho hayo yanaonyesha kwamba baada ya kuzindua kifaa cha mwandishi, mfumo wa ufuatiliaji huenda wazimu; kwamba habari inayokusanya inakuwa ya kelele na isiyo sahihi hivi kwamba haitakuwa na manufaa tena kwa watazamaji wetu. Kama utani mzuri, msemaji anaonyesha jinsi, kwa shukrani kwa kifaa kilichowasilishwa, "mfumo wa ufuatiliaji" huanza kumwona mdukuzi wa miaka 32 kama msichana wa miaka 12 ambaye anapenda farasi sana.
5. Miaka 20 ya udukuzi wa MMORPG: michoro baridi, ushujaa sawa
Mada ya udukuzi wa MMORPG imejadiliwa katika DEF CON kwa miaka 20. Akitoa heshima kwa maadhimisho hayo, mzungumzaji anaelezea matukio muhimu zaidi kutoka kwa mijadala hii. Aidha, anazungumzia matukio yake katika uwanja wa kuchezea haramu mtandaoni. Tangu Ultima Online (mwaka 1997). Na miaka iliyofuata: Dark Age of Camelot, Anarchy Online, Asherons Call 2, ShadowBane, Lineage II, Final Fantasy XI/XIV, World of Warcraft. Ikiwa ni pamoja na wawakilishi kadhaa wapya: Chama cha Vita 2 na Vijisogeza vya Wazee Mtandaoni. Na hii sio rekodi nzima ya mzungumzaji!
Ripoti hutoa maelezo ya kiufundi juu ya kuunda matumizi ya MMORPG ambayo hukusaidia kupata pesa pepe, na ambayo ni muhimu kwa karibu kila MMORPG. Mzungumzaji anazungumza kwa ufupi juu ya mapambano ya milele kati ya wawindaji haramu (watengenezaji wa ushujaa) na "udhibiti wa samaki"; na kuhusu hali ya sasa ya kiufundi ya mbio hizi za silaha.
Inafafanua njia ya uchambuzi wa kina wa pakiti na jinsi ya kusanidi ushujaa ili ujangili usigunduliwe kwenye upande wa seva. Ikiwa ni pamoja na kuwasilisha matumizi ya hivi karibuni, ambayo wakati wa ripoti yalikuwa na faida zaidi ya "ukaguzi wa samaki" katika mbio za silaha.
6. Wacha tudukue roboti kabla Skynet haijaja
Roboti ni hasira siku hizi. Katika siku za usoni, watakuwa kila mahali: juu ya misioni ya kijeshi, katika shughuli za upasuaji, katika ujenzi wa skyscrapers; wasaidizi wa duka katika maduka; wafanyikazi wa hospitali; wasaidizi wa biashara, washirika wa ngono; wapishi wa nyumbani na washiriki kamili wa familia.
Kadiri mfumo wa ikolojia wa roboti unavyopanuka na ushawishi wa roboti katika jamii na uchumi wetu kukua kwa kasi, wanaanza kuwa tishio kubwa kwa watu, wanyama na biashara. Katika msingi wao, roboti ni kompyuta zilizo na mikono, miguu na magurudumu. Na kwa kuzingatia hali halisi ya kisasa ya usalama wa mtandao, hizi ni kompyuta zilizo hatarini zenye mikono, miguu na magurudumu.
Athari za programu na maunzi za roboti za kisasa huruhusu mvamizi kutumia uwezo wa kimwili wa roboti kusababisha uharibifu wa mali au kifedha; au hata kuhatarisha maisha ya binadamu kwa bahati mbaya au kimakusudi. Vitisho vinavyowezekana kwa kitu chochote kilicho karibu na roboti huongezeka sana baada ya muda. Kwa kuongezea, zinaongezeka katika muktadha ambao tasnia ya usalama wa kompyuta iliyoanzishwa haijawahi kuona hapo awali.
Katika utafiti wake wa hivi majuzi, mzungumzaji aligundua udhaifu mwingi muhimu katika roboti za nyumbani, za kampuni na za viwandani - kutoka kwa wazalishaji wanaojulikana. Katika ripoti hiyo, anafichua maelezo ya kiufundi ya vitisho vya sasa na anaelezea haswa jinsi washambuliaji wanaweza kuathiri sehemu mbali mbali za mfumo wa ikolojia wa roboti. Pamoja na maonyesho ya ushujaa wa kufanya kazi.
Miongoni mwa matatizo yaliyogunduliwa na msemaji katika mfumo wa ikolojia wa roboti: 1) mawasiliano yasiyo salama; 2) uwezekano wa uharibifu wa kumbukumbu; 3) udhaifu unaoruhusu utekelezaji wa msimbo wa mbali (RCE); 4) uwezekano wa kukiuka uadilifu wa mfumo wa faili; 5) matatizo na idhini; na katika baadhi ya matukio kutokuwepo kabisa; 6) cryptography dhaifu; 7) matatizo na uppdatering firmware; 8) matatizo na kuhakikisha usiri; 8) uwezo usio na kumbukumbu (pia ni hatari kwa RCE, nk); 9) usanidi dhaifu wa chaguo-msingi; 10) Open Source hatari "mifumo ya kudhibiti roboti" na maktaba ya programu.
Spika hutoa maonyesho ya moja kwa moja ya aina mbalimbali za matukio ya udukuzi yanayohusiana na ujasusi wa mtandaoni, vitisho kutoka kwa watu wa ndani, uharibifu wa mali, n.k. Akielezea matukio ya kweli yanayoweza kuzingatiwa porini, mzungumzaji anaeleza jinsi ukosefu wa usalama wa teknolojia ya kisasa ya roboti unaweza kusababisha udukuzi. Inaeleza kwa nini roboti zilizodukuliwa ni hatari zaidi kuliko teknolojia yoyote iliyoathiriwa.
Mzungumzaji pia anaangazia ukweli kwamba miradi ya utafiti ghafi huanza uzalishaji kabla ya masuala ya usalama kutatuliwa. Uuzaji unashinda kama kawaida. Hali hii isiyofaa ya mambo inahitaji kurekebishwa haraka. Mpaka Skynet ilipokuja. Ingawa ... Ripoti inayofuata inaonyesha kwamba Skynet tayari imefika.
7. Kujifunzia kijeshi kwa mashine
Katika hatari ya kutambuliwa kama mwanasayansi mwendawazimu, mzungumzaji bado anaguswa na "uumbaji wake mpya wa shetani", akitambulisha DeepHack kwa fahari: mdukuzi wa chanzo wazi AI. Kijibu hiki ni mdukuzi wa programu ya wavuti anayejifunza mwenyewe. Inategemea mtandao wa neva ambao hujifunza kwa majaribio na makosa. Wakati huo huo, DeepHack hushughulikia matokeo yanayowezekana kwa mtu kutoka kwa majaribio na makosa haya kwa dharau ya kutisha.
Kwa kutumia algoriti moja tu ya ulimwengu wote, inajifunza kutumia aina mbalimbali za udhaifu. DeepHack inafungua mlango kwa ulimwengu wa hacker AI, ambayo nyingi zinaweza kutarajiwa katika siku za usoni. Kuhusiana na hili, msemaji kwa fahari anataja kijibu-jibu wake kama βmwanzo wa mwisho.β
Mzungumzaji anaamini kuwa zana za udukuzi za AI, ambazo zitaonekana hivi karibuni, kufuatia DeepHack, ni teknolojia mpya ambayo watetezi wa mtandao na washambuliaji wa mtandao bado hawajaitumia. Spika anahakikisha kwamba katika mwaka ujao, kila mmoja wetu atakuwa anaandika zana za udukuzi wa mashine za kujifunzia sisi wenyewe, au tukijaribu sana kujikinga nazo. Hakuna wa tatu.
Pia, kwa mzaha au kwa uzito, mzungumzaji anasema: "Sio tena haki ya fikra za kishetani, dystopia isiyoepukika ya AI tayari inapatikana kwa kila mtu leo. Kwa hivyo jiunge nasi na tutakuonyesha jinsi unavyoweza kushiriki katika uharibifu wa ubinadamu kwa kuunda mfumo wako wa kujifunza wa mashine ya kijeshi. Kwa kweli, ikiwa wageni kutoka siku zijazo hawatuzuii kufanya hivi."
8. Kumbuka kila kitu: kuweka nywila kwenye kumbukumbu ya utambuzi
Kumbukumbu ya utambuzi ni nini? Unawezaje "kuweka" nenosiri hapo? Je, hii ni salama hata? Na kwa nini hila kama hizo kabisa? Wazo ni kwamba kwa mbinu hii, hutaweza kumwaga nywila zako, hata kwa kulazimishwa; wakati wa kudumisha uwezo wa kuingia kwenye mfumo.
Mazungumzo huanza na maelezo ya kumbukumbu ya utambuzi ni nini. Kisha inaelezea jinsi kumbukumbu iliyo wazi na isiyo wazi hutofautiana. Ifuatayo, dhana za fahamu na fahamu zinajadiliwa. Na pia inaelezea ni aina gani ya kiini hiki - ufahamu. Inaeleza jinsi kumbukumbu yetu inavyosimba, kuhifadhi na kurejesha maelezo. Mapungufu ya kumbukumbu ya binadamu yanaelezwa. Na pia jinsi kumbukumbu yetu inavyojifunza. Na ripoti inaisha na hadithi kuhusu utafiti wa kisasa katika kumbukumbu ya utambuzi wa binadamu, katika muktadha wa jinsi ya kutekeleza manenosiri ndani yake.
Mzungumzaji, kwa kweli, hakuleta taarifa ya kabambe iliyotolewa katika kichwa cha uwasilishaji wake kwa suluhisho kamili, lakini wakati huo huo alitaja tafiti kadhaa za kupendeza ambazo ziko kwenye njia za kutatua shida. Hasa, utafiti kutoka Chuo Kikuu cha Stanford, mada ambayo ni mada sawa. Na mradi wa kuunda kiolesura cha mashine ya binadamu kwa watu wenye matatizo ya kuona - yenye muunganisho wa moja kwa moja kwenye ubongo. Mzungumzaji pia anarejelea utafiti wa wanasayansi wa Ujerumani ambao waliweza kufanya uhusiano wa algorithmic kati ya ishara za umeme za ubongo na maneno ya maneno; Kifaa walichotengeneza hukuruhusu kuandika maandishi kwa kufikiria tu. Utafiti mwingine wa kuvutia ambao mzungumzaji anarejelea ni neurotelephone, kiolesura kati ya ubongo na simu ya rununu, kupitia kifaa cha sauti cha EEG kisichotumia waya (Chuo cha Dartmouth, USA).
Kama ilivyobainishwa tayari, mzungumzaji hakuleta suluhu kamili kwa kauli hiyo kabambe iliyotolewa katika kichwa cha mada yake. Walakini, mzungumzaji anabainisha kuwa licha ya ukweli kwamba hakuna teknolojia ya kuingiza nenosiri kwenye kumbukumbu ya utambuzi, programu hasidi ambayo inajaribu kuiondoa kutoka hapo tayari ipo.
9. Na yule mdogo akauliza: "Je, kweli unafikiri kwamba wadukuzi wa serikali pekee wanaweza kufanya mashambulizi ya mtandao kwenye gridi ya umeme?"
Utendaji kazi mzuri wa umeme ni muhimu sana katika maisha yetu ya kila siku. Utegemezi wetu wa umeme unakuwa dhahiri hasa wakati umezimwa - hata kwa muda mfupi. Leo inakubalika kwa ujumla kuwa mashambulizi ya mtandao kwenye gridi ya umeme ni ngumu sana na yanaweza kupatikana tu kwa wadukuzi wa serikali.
Spika inapinga hekima hii ya kawaida na inatoa maelezo ya kina ya shambulio kwenye gridi ya umeme, ambayo gharama yake inakubalika hata kwa wadukuzi wasio wa kiserikali. Inaonyesha maelezo yaliyokusanywa kutoka kwa Mtandao ambayo yatakuwa muhimu katika kuunda na kuchanganua gridi ya nishati inayolengwa. Na pia inaelezea jinsi habari hii inaweza kutumika kuiga mashambulio kwenye gridi za umeme kote ulimwenguni.
Ripoti hiyo pia inaonyesha udhaifu mkubwa uliogunduliwa na mzungumzaji katika bidhaa za General Electric Multilin, ambazo hutumiwa sana katika sekta ya nishati. Mzungumzaji anaelezea jinsi alivyohatarisha kabisa algoriti ya usimbaji iliyotumiwa katika mifumo hii. Algorithm hii inatumika katika bidhaa za General Electric Multilin kwa mawasiliano salama ya mifumo ndogo ya ndani, na kwa udhibiti wa mifumo hii ndogo. Ikiwa ni pamoja na kuidhinisha watumiaji na kutoa ufikiaji kwa shughuli za upendeleo.
Baada ya kujifunza nambari za ufikiaji (kama matokeo ya kuhatarisha algorithm ya usimbuaji), mshambuliaji anaweza kuzima kifaa kabisa na kuzima umeme katika sekta maalum za gridi ya nguvu; waendeshaji wa kuzuia. Kwa kuongezea, mzungumzaji anaonyesha mbinu ya kusoma kwa mbali athari za dijiti zilizoachwa na vifaa ambavyo vinaweza kuathiriwa na uvamizi wa mtandao.
10. Mtandao tayari unajua kuwa nina mimba
Afya ya wanawake ni biashara kubwa. Kuna wingi wa programu za Android kwenye soko ambazo huwasaidia wanawake kufuatilia mizunguko yao ya kila mwezi, kujua ni wakati gani wana uwezekano mkubwa wa kupata mimba, au kufuatilia hali yao ya ujauzito. Programu hizi huwahimiza wanawake kurekodi maelezo ya ndani zaidi ya maisha yao, kama vile hisia, shughuli za ngono, shughuli za kimwili, dalili za kimwili, urefu, uzito na zaidi.
Lakini programu hizi ni za faragha kiasi gani, na ziko salama kiasi gani? Baada ya yote, ikiwa programu itahifadhi maelezo ya karibu kuhusu maisha yetu ya kibinafsi, itakuwa nzuri ikiwa haishiriki data hii na mtu mwingine yeyote; kwa mfano, na kampuni rafiki (inayojishughulisha na utangazaji lengwa, n.k.) au na mshirika/mzazi hasidi.
Spika anawasilisha matokeo ya uchanganuzi wake wa usalama wa mtandao wa zaidi ya maombi kumi na mbili ambayo yanatabiri uwezekano wa mimba na kufuatilia maendeleo ya ujauzito. Aligundua kuwa programu nyingi hizi zina matatizo makubwa na usalama wa mtandao kwa ujumla na hasa faragha.
Chanzo: mapenzi.com