Я тут подумав, що було б чудово висвітлювати події з міжнародних конференцій. Причому не просто в загальному огляді, а розповідати про найцікавіші доповіді. Пропоную вашій увазі першу гарячу десятку.
1. В очікуванні дружнього тандему IoT-атак і ранзомварі
У 2016 році ми спостерігали стрімке зростання атак ранзомварі. Ми ще не встигли відновитись від цих атак, як нова хвиля DDoS-атак, що використовують IoT – накрила нас. У цій доповіді автор наводить поетапний опис, як відбувається атака ранзомвар'ям. Як ранзомвар працює, і що дослідник повинен робити на кожному з етапів – для протистояння ранзомварі.
Опирається він при цьому на методики, що зарекомендували себе. Потім доповідач проливає світло на те, як IoT задіяні в DDoS-атаках: розповідає, яку роль у здійсненні цих атак грає допоміжний мальвар (для подальшої допомоги з її боку, у проведенні DDoS-атаки IoT-армією). Також розповідає, як тандем ранзомварі та IoT-атак може стати великою загрозою найближчими роками. Доповідач - автор книг "Malware, Rootkits & Botnets: Beginner's Guide", "Advanced Malware Analysis", "Hacking Exposed: Malware & Rootkits Secrets & Solutions", - так що з знанням справи повідомляється.
2. "Відкрий рот, скажи 0x41414141": Атака на медичну кіберінфраструктуру
Медичне обладнання, що підключається до Інтернету, – повсюдна клінічна реальність. Таке обладнання – цінна для медперсоналу підмога, оскільки значну частину рутини автоматизує. Однак це обладнання містить безліч уразливостей (як програмних, так і апаратних), які відкривають перед потенційним зловмисником широке поле діяльності. У доповіді речник ділиться особистим досвідом проведення пентестів для медичної кіберінфраструктури; та також розповідає, як зловмисники компрометують медичне обладнання.
Доповідач визначає: 1) як зловмисники експлуатують пропрієтарні комунікаційні протоколи; 2) як шукають уразливості в мережевих сервісах; 3) як компрометують системи життєзабезпечення; 4) як експлуатують апаратні налагоджувальні інтерфейси та системну шину передачі даних; 5) як вони атакують основні бездротові інтерфейси та специфічні пропрієтарні бездротові технології; 6) як проникають у медичні інформаційні системи, а потім зчитують та редагують: персональну інформацію про здоров'я пацієнта; службові лікарські записи, зміст яких у нормі навіть від пацієнта приховано; 7) як порушують комунікаційну систему, яку медичне обладнання використовує для обміну інформацією та службовими командами; 8) як обмежують медперсоналу доступ до обладнання; або взагалі блокують його.
Під час своїх пентестів доповідач виявив у медичного обладнання багато проблем. Серед них: 1) слабка криптографія; 2) можливість маніпулювання даними; 3) можливість віддаленої заміни обладнання; 3) уразливості в пропрієтарних протоколах; 4) можливість неавторизованого доступу до баз даних; 5) жорстко запрограмовані незмінні логіни/паролі. А також інша чутлива інформація, що зберігається або у прошивці обладнання, або у системних бінарниках; 6) сприйнятливість медичного обладнання до віддалених DoS-атак.
Після знайомства з доповіддю стає очевидним, що кібербезпека медичного сектора сьогодні є клінічним випадком, і потребує інтенсивної терапії.
3. Зубастий експлойт на вістря шампура контекстної реклами
Щодня мільйони людей заходять до соцмережі: по роботі, для розваг чи просто так. Під капотом соцмереж сидять невидимі для звичайного відвідувача Ads-платформи – відповідальні за те, щоб доставляти відвідувачам соцмережі релевантну контекстну рекламу. Ads-платформи легкі у використанні і дуже ефективні. Тому потрібні серед рекламодавців.
Окрім можливості виходити на широку аудиторію, що дуже вигідно для бізнесу, Ads-платформи також дозволяють звужувати приціл націлення – аж до однієї конкретної людини. Більше того, функціональність сучасних Ads-платформ навіть дозволяє вибирати на якому з численних гаджетів цієї конкретної людини показувати рекламу.
Т.о. сучасні Ads-платформи дозволяють рекламодавцеві добиратися до будь-якої людини, у будь-якій точці світу. Але ця можливість також може бути використана і зловмисниками – як вхідний шлюз у мережу, в якій працює їхня передбачувана жертва. Доповідач демонструє, як зловмисний рекламодавець може скористатися Ads-платформою – для високоточного націлювання своєї фішингової кампанії, розгорнутої для доставки персоналізованого екплойту одній конкретній людині.
4. Як справжні хакери ухиляються від таргетингової реклами
Ми багато комп'ютеризованих різних сервісів у своєму повсякденному житті використовуємо. І нам важко відмовитися від них, навіть коли раптом дізнаємось, що вони ведуть за нами тотальне стеження. Настільки тотальну, що відслідковують кожен наш рух і кожен наш пальценажатіє.
Доповідач дохідливо пояснює, як саме сучасні маркетологи використовують широке розмаїття езотеричних способів націлення. Ми про мобільну параною, про тотальне стеження. І багато читачів сприйняли написане нешкідливим жартом, але з представленої доповіді видно, що сучасні маркетологи вже використовують подібні технології для стеження за нами.
Що ж тут поробиш, індустрія контекстної реклами, – яка це тотальне стеження і підігріває, – крокує семимильними кроками. Аж до того, що сучасні Ads-платформи можуть відстежувати як мережну активність людини (натискання клавіш, переміщення покажчика миші, тощо.), але й його фізіологічні особливості (як ми натискаємо клавіші і переміщаємо мишу). Т.о. сучасні засоби стеження Ads-платформ, вбудовані в сервіси, без яких ми життя собі не уявляємо, - не тільки під спідню білизну до нас заповзають, але вже навіть і під шкіру. Якщо ми не маємо можливості відмовитися від цих надмірно спостережних сервісів, то чому б не спробувати хоча б забомбити їх марною інформацією?
У доповіді продемонстровано авторський девайс (програмно-апаратний бот), який дозволяє: 1) робити ін'єкції Bluetooth-маячків; 2) зашумлювати дані, зібрані з бортових сенсорів автомобіля; 3) фальсифікувати ідентифікаційні параметри мобільного телефону; 4) зашумляти манеру пальценажатій (на клавіатурі, миші та сенсорі). Вся ця інформація, як відомо, використовується для націлення реклами на мобільних гаджетах.
На демонстрації видно, що після запуску авторського девайсу, система стеження божеволіє; що інформація, що збирається нею, стає настільки зашумленою і неточною, що від неї нашим спостерігачам вже не буде ніякого толку. Як доброго жарту, доповідач демонструє, як завдяки представленому девайсу, «система стеження» починає сприймати 32-річного хакера – за 12-річну дівчинку, яка шалено любить коней.
5. 20 років злому MMORPG: графіка крутіше, експлойти ті ж
Тема злому MMORPG обговорюється на DEF CON вже протягом 20 років. Віддаючи данину ювілею, доповідач описує найбільш знакові моменти з цих обговорень. Крім того, розповідає про свої пригоди на ниві браконьєрства в онлайн-іграшках. Починаючи з Ultima Online (1997). І наступні роки: Dark Age of Camelot, Anarchy Online, Asherons Call 2, ShadowBane, Lineage II, Final Fantasy XI/XIV, World of Warcraft. У тому числі кілька нових представників: Guild Wars 2 і Elder Scrolls Online. І це далеко не весь послужний перелік доповідача!
У доповіді наведено технічне подробиці створення експлойтів для MMORPG, які допомагають віртуальними грошима розжитися, і які майже для кожної MMORPG актуальні. Доповідач коротко розповідає про вічне протистояння між браконьєрами (виробниками екплойтів) та «рибнаглядом»; і про нинішній технічний стан цієї гонки озброєнь.
Пояснює методику детального аналізу пакетів і як налаштовувати експлойти, щоб на стороні сервера факт браконьєрства не виявили. У тому числі презентує новий експлойт, який на момент доповіді - мав перевагу перед «рибнаглядом», у гонці озброєння.
6. Хакнем роботів, поки Скайнет не прийшов
Роботи нині на слуху. Найближчим часом вони будуть всюди: на військових місіях, у хірургічних операціях, у будівництві хмарочосів; помічники покупців у магазинах; обслуговуючий персонал лікарні; бізнес-помічники, сексуальні партнери; домашні кулінари та повноправні члени сім'ї.
У міру того як екосистема роботів розширюється, і вплив роботів у нашому соціумі та економіці стрімко зростає, – вони починають бути значною загрозою для людей, тварин і підприємств. По суті, роботи – це комп'ютери з руками, ногами та колесами. А за сучасних реалій кібербезпеки – це вразливі комп'ютери з руками, ногами та колесами.
Програмні та апаратні вразливості сучасних роботів дозволяють зловмиснику задіяти фізичні можливості робота – щоб завдати майнової чи фінансової шкоди; або навіть випадково чи навмисно створити загрозу для людського життя. Потенційні загрози для того, що знаходиться поблизу роботів, – з часом експоненційно зростають. Причому зростають у таких контекстах, які усталена галузь комп'ютерної безпеки раніше й не бачила.
У своїх недавніх дослідженнях доповідач виявили безліч критичних уразливостей у домашніх, корпоративних та промислових роботах – від відомих виробників. У доповіді він розкриває технічні деталі актуальних загроз та пояснює, як саме зловмисники можуть компрометувати різні компоненти екосистеми роботів. З демонстрацією діючих експлойтів.
Серед виявлених доповідачем проблем у екосистемі роботів: 1) небезпечні комунікації; 2) можливість пошкодження пам'яті; 3) уразливості, що дозволяють здійснювати віддалене виконання коду (RCE); 4) можливість порушення цілісності файлової системи; 5) проблеми з авторизацією; а в деяких випадках взагалі відсутність такої; 6) слабка криптографія; 7) проблеми з оновленням прошивки; 8) проблеми із забезпеченням конфіденційності; 8) недокументовані можливості (також уразливі для RCE тощо); 9) слабка конфігурація за умовчанням; 10) вразливі Open Source "фреймворки для управління роботами" та програмні бібліотеки.
Доповідач наводить живі демонстрації різноманітних сценаріїв злому, пов'язаних із кібер-шпигунством, інсайдерською загрозою, майновими збитками тощо. Описуючи реалістичні сценарії, які можна спостерігати в дикій природі, доповідач розповідає, як небезпека сучасної технології роботів може призвести до злому. Пояснює, чому зламані роботи навіть небезпечніші, ніж будь-які інші скомпрометовані технології.
Також доповідач звертає увагу на те, що сирі дослідні проекти йдуть у виробництво раніше, ніж вирішено питання безпеки. Маркетинг як завжди виграє. Потрібно терміново виправляти такий нездоровий стан речей. Поки Скайнет не прийшов. Хоча… Наступна доповідь наштовхує на думку, що Скайнет уже таки прийшов.
7. Мілітаризація машинного навчання
Ризикуючи уславитися божевільним ученим, доповідач все ж розчулюється своїм «новим диявольським творінням», з гордістю представляючи DeepHack: хакерський ІІ, з відкритим вихідним кодом. Цей бот - самонавчальний зломщик веб-додатків. В його основі лежить нейронна мережа, яка навчається методом «проб та помилок». При цьому, до можливих для людини наслідків, від цих своїх проб та помилок, – DeepHack ставиться із жахливою зверхністю.
Використовуючи лише один універсальний алгоритм, він навчається експлуатувати різноманітні види вразливостей. DeepHack відчиняє двері в царство хакерського ІІ, численних представників якого вже очікується в найближчому майбутньому. У зв'язку з цим доповідач гордо характеризує свого робота «початком кінця».
Доповідач вважає, що хакерські утиліти на основі ІІ, які невдовзі з'являться, слідом за DeepHack – це принципово нова технологія, яку кіберзахисникам і кібер-нападникам ще доведеться взяти на озброєння. Доповідач гарантує, що наступного року кожен із нас або писатиме хакерські утиліти з машинним навчанням сам, або відчайдушно намагатиметься захиститися від них. Третього не дано.
Також, чи жартома, чи серйозно, доповідач заявляє: «Більше не є прерогативою диявольських геніїв, неминуча антиутопія ІІ, – вже доступна кожному сьогодні. Тому приєднуйся до нас, і ми покажемо, як ти можеш взяти участь у знищенні людства через створення своєї власної мілітаризованої системи машинного навчання. Звичайно, якщо гості з майбутнього не завадять нам це зробити».
8. Згадати все: імплантація паролів у когнітивну пам'ять
Що таке когнітивна пам'ять? Як туди можна "імплантувати" пароль? І це взагалі безпечно? І навіщо взагалі такі хитрощі? Ідея в тому, що при використанні описаного підходу, ви не зможете проговоритися про свої паролі, навіть під примусом; зберігаючи у своїй можливість авторизації у системі.
Доповідь починається з пояснення, що таке когнітивна пам'ять. Потім пояснюється, чим відрізняються явна та неявна пам'ять. Далі розбирається поняття свідомого та несвідомого. І також пояснюється, що це взагалі за така сутність – свідомість. Описується, як наша пам'ять кодує, зберігає і витягує інформацію. Описуються обмеження пам'яті. А також те, як наша пам'ять навчається. І закінчується доповідь – розповіддю про сучасні дослідження когнітивної пам'яті людини, у тих як у неї впроваджувати паролі.
Амбітна заява, винесена в заголовок своєї презентації, доповідач звичайно до повного рішення не довів, але при цьому навів кілька цікавих досліджень, які на підступах до вирішення поставленого завдання знаходяться. Зокрема, дослідження Стенфордського університету, предметом якого ця тема є. І проект з розробки людино-машинного інтерфейсу для людей з вадами зору – з прямим підключенням до мозку. Також доповідач посилається дослідження німецьких вчених, яким вдалося провести алгоритмічну зв'язок між електричними сигналами мозку і словесними фразами; розроблений ними пристрій дозволяє набирати текст, просто думаючи про нього. Ще одне цікаве дослідження, на яке посилається доповідач – нейротелефон, інтерфейс між мозком та мобільним телефоном, за допомогою бездротової ЕЕГ-гарнітури (Дартмутський коледж, США).
Як уже було зазначено, амбітна заява, винесена в заголовок своєї презентації, доповідач до повного рішення не довів. Однак доповідач зазначає, що незважаючи на те, що технології імплантації пароля в когнітивну пам'ять поки що немає, малвар, який намагається його звідти видобути – вже є.
9. І спитала малюк: «Ти правда думаєш, що кібер-атаки на енергомережу можуть проводити лише урядові хакери?»
Безперебійна робота електрики має першорядне значення у нашому повсякденному житті. Наша залежність від електрики стає особливо очевидною, коли її вимикають – хай навіть на короткий час. Сьогодні прийнято вважати, що кібер-таки на енергомережі надзвичайно складні і доступні лише для урядових хакерів.
Доповідач заперечує цю усталену думку і надає детальний опис атаки на енергомережі, витрати на проведення якої прийнятні навіть для неурядових хакерів. Він демонструє зібрану з Інтернету інформацію, яка буде корисною при моделюванні та аналізі цільової енергомережі. І також пояснює, як цю інформацію можна використовувати для моделювання атак на електромережі, по всьому світу.
Також у доповіді демонструється критична вразливість, виявлена доповідачем у продуктах General Electric Multilin, які широко використовують у енергетиці. Доповідач описує, як він повністю скомпрометував алгоритм шифрування, що використовується в цих системах. Цей алгоритм застосовується у продуктах General Electric Multilin для захищеної комунікації внутрішніх підсистем та для управління цими підсистемами. У тому числі для авторизації користувачів та забезпечення доступу до привілейованих операцій.
Дізнавшись коди доступу (в результаті компрометації алгоритму шифрування), зловмисник може повністю вирубати пристрій і вимкнути електрику в заданих секторах енергомережі; заблокувати операторів. Крім того, доповідач демонструє техніку віддаленого зчитування цифрових слідів, які залишають вразливе для кібератаки обладнання.
10. Інтернет уже знає, що я вагітна
Жіноче здоров'я – великий бізнес. На ринку є безліч Android-додатків, які допомагають жінкам відстежувати щомісячний цикл, знати коли найбільша ймовірність зачаття, або відстежують стан вагітності. Ці програми спонукають жінок фіксувати найінтимніші деталі свого життя, такі як настрій, сексуальна активність, фізична активність, фізичні симптоми, зростання, вага та багато іншого.
Але наскільки ці програми є конфіденційними, і наскільки вони безпечні? Адже якщо додаток зберігає такі інтимні подробиці про наше особисте життя, було б непогано, щоб воно не розкидалося цими даними з будь-ким; наприклад, з дружньою компанією (займаючою рекламною рекламою тощо) або зі зловмисним партнером/батьком.
Доповідач представляє результати свого аналізу кібербезпеки більше десятка додатків, що прогнозують ймовірність зачаття та відстежують перебіг вагітності. Він виявив, що в більшості подібних програм є серйозні проблеми з кібербезпекою взагалі і конфіденційністю зокрема.
Джерело: habr.com