Xalqaro konferensiyalardagi voqealarni yoritish juda zo‘r bo‘lardi, deb o‘ylagandim. Va nafaqat umumiy ko'rinishda, balki eng qiziqarli hisobotlar haqida gapirish uchun. Sizning e'tiboringizga birinchi issiq o'nlikni keltiraman.
1. IoT hujumlari va to'lov dasturining do'stona tandemini kutish
2016 yilda biz ransomwari hujumlarining tez o'sishini ko'rdik. IoT-dan foydalangan holda DDoS hujumlarining yangi to'lqini bizni bosib olgach, biz bu hujumlardan hali tuzalmagan edik. Ushbu hisobotda muallif ransomware hujumi qanday sodir bo'lishini bosqichma-bosqich tavsiflaydi. To'lov dasturi qanday ishlaydi va tadqiqotchi to'lov dasturiga qarshi turish uchun har bir bosqichda nima qilishi kerak.
Bunda u tasdiqlangan usullarga tayanadi. Keyin ma'ruzachi IoT DDoS hujumlarida qanday ishtirok etishiga oydinlik kiritadi: u ushbu hujumlarni amalga oshirishda yordamchi zararli dastur qanday rol o'ynashini aytib beradi (keyinchalik IoT armiyasi tomonidan DDoS hujumini amalga oshirishda yordam berish uchun). Shuningdek, u to'lov dasturi va IoT hujumlari tandemi kelgusi yillarda qanday qilib katta tahdidga aylanishi mumkinligi haqida gapiradi. Ma'ruzachi "Zararli dasturiy ta'minot, rootkits va botnetlar: yangi boshlanuvchilar uchun qo'llanma", "Kengaytirilgan zararli dastur tahlili", "Hacking Exposed: Zararli dasturiy ta'minot va Rootkits sirlari va echimlari" kitoblarining muallifi - shuning uchun u bu boradagi bilimlari bilan hisobot beradi.
2. “Og‘zingizni oching, 0x41414141 deb ayting”: Tibbiy kiberinfratuzilmaga hujum
Internetga ulangan tibbiy asbob-uskunalar hamma joyda keng tarqalgan klinik haqiqatdir. Bunday asbob-uskunalar tibbiyot xodimlari uchun qimmatli yordamdir, chunki u kundalik ishlarning muhim qismini avtomatlashtiradi. Biroq, ushbu uskunada ko'plab zaifliklar mavjud (dasturiy ta'minot va apparat), bu potentsial tajovuzkor uchun keng faoliyat maydonini ochadi. Hisobotda ma'ruzachi tibbiy kiberinfratuzilma uchun pentestlarni o'tkazish bo'yicha shaxsiy tajribasi bilan o'rtoqlashadi; Shuningdek, tajovuzkorlar tibbiy jihozlarni qanday buzishi haqida gapiradi.
Ma'ruzachi quyidagilarni ta'riflaydi: 1) tajovuzkorlar xususiy aloqa protokollaridan qanday foydalanishi, 2) tarmoq xizmatlaridagi zaifliklarni qanday izlashi, 3) hayotni qo'llab-quvvatlash tizimlarini qanday buzishi, 4) apparatni nosozliklarni tuzatish interfeyslari va tizim ma'lumotlar avtobusidan qanday foydalanishi; 5) asosiy simsiz interfeyslarga va maxsus xususiy simsiz texnologiyalarga qanday hujum qilishlari; 6) ular tibbiy axborot tizimlariga qanday kirib boradi, keyin o'qish va tahrirlash: bemorning sog'lig'i haqidagi shaxsiy ma'lumotlar; rasmiy tibbiy yozuvlar, ularning mazmuni odatda bemordan ham yashiringan; 7) tibbiy asbob-uskunalar axborot va xizmat buyruqlarini almashish uchun foydalanadigan aloqa tizimi qanday buzilgan; 8) tibbiyot xodimlarining asbob-uskunalardan foydalanish imkoniyati qanday cheklanganligi; yoki butunlay blokirovka qiling.
O'zining pentestlari davomida ma'ruzachi tibbiy asbob-uskunalar bilan bog'liq ko'plab muammolarni aniqladi. Ular orasida: 1) zaif kriptografiya, 2) ma'lumotlar bilan manipulyatsiya qilish imkoniyati; 3) uskunani masofadan almashtirish imkoniyati, 3) mulkiy protokollardagi zaifliklar, 4) ma'lumotlar bazalariga ruxsatsiz kirish imkoniyati, 5) qattiq kodlangan, o'zgarmas loginlar/parollar. Uskunaning proshivkalarida yoki tizim ikkiliklarida saqlanadigan boshqa maxfiy ma'lumotlar kabi; 6) tibbiy asbob-uskunalarning masofaviy DoS hujumlariga moyilligi.
Hisobotni o'qib chiqqandan so'ng, bugungi kunda tibbiyot sohasida kiberxavfsizlik klinik holat bo'lib, intensiv terapiyaga muhtoj ekanligi ayon bo'ladi.
3. Kontekstli reklama shishining uchida toothy ekspluatatsiya
Har kuni millionlab odamlar ijtimoiy tarmoqlarga kirishadi: ish uchun, o'yin-kulgi uchun yoki shunchaki. Ijtimoiy tarmoqlar qopqog'i ostida oddiy tashrif buyuruvchiga ko'rinmaydigan va ijtimoiy tarmoqqa tashrif buyuruvchilarga tegishli kontekstli reklamalarni yetkazib berish uchun mas'ul bo'lgan reklama platformalari mavjud. Reklama platformalaridan foydalanish oson va juda samarali. Shuning uchun ular reklama beruvchilar orasida talabga ega.
Biznes uchun juda foydali bo'lgan keng auditoriyani qamrab olish qobiliyatiga qo'shimcha ravishda, reklama platformalari sizning maqsadingizni aniq bir shaxsga qisqartirish imkonini beradi. Bundan tashqari, zamonaviy reklama platformalarining funksionalligi hatto ushbu shaxsning ko'plab gadjetlaridan qaysi biri reklamani ko'rsatishni tanlash imkonini beradi.
Bu. zamonaviy reklama platformalari reklama beruvchiga dunyoning istalgan nuqtasida istalgan odamga murojaat qilish imkonini beradi. Ammo bu imkoniyatdan tajovuzkorlar ham foydalanishlari mumkin - ular mo'ljallangan qurboni ishlaydigan tarmoqqa kirish eshigi sifatida. Ma'ruzachi zararli reklama beruvchi o'zining shaxsiylashtirilgan ekspluatatsiyani ma'lum bir shaxsga etkazish uchun o'zining fishing kampaniyasini aniq maqsad qilib olish uchun E'lonlar platformasidan qanday foydalanishi mumkinligini ko'rsatadi.
4. Haqiqiy xakerlar maqsadli reklamadan qanday qochishadi
Biz kundalik hayotimizda turli xil kompyuterlashtirilgan xizmatlardan foydalanamiz. Va biz ulardan voz kechishimiz qiyin, hatto biz to'satdan ular bizni to'liq kuzatayotganini bilsak ham. Shunday qilib, ular bizning har bir tana harakatimizni va har bir barmoq bosishimizni kuzatib boradilar.
Ma'ruzachi zamonaviy marketologlar turli xil ezoterik maqsadli usullardan qanday foydalanishini aniq tushuntiradi. Biz mobil paranoyya haqida, umumiy kuzatuv haqida. Va ko'plab o'quvchilar yozilgan narsalarni zararsiz hazil sifatida qabul qilishdi, ammo taqdim etilgan hisobotdan ma'lum bo'lishicha, zamonaviy marketologlar bizni kuzatish uchun bunday texnologiyalardan allaqachon to'liq foydalanishmoqda.
Nima qila olasiz, bu jami kuzatuvni yorituvchi kontekstli reklama sanoati jadal sur'atlar bilan harakatlanmoqda. Zamonaviy reklama platformalari nafaqat insonning tarmoqdagi faolligini (klavishlarni bosish, sichqonchani ko'rsatgich harakati va boshqalar), balki uning fiziologik xususiyatlarini (tugmachalarni qanday bosishimiz va sichqonchani harakatlantirishimiz) ham kuzatishi mumkin. Bu. Xizmatlarga o'rnatilgan reklama platformalarining zamonaviy kuzatuv vositalari, ularsiz biz hayotni tasavvur qila olmaydigan, nafaqat ichki kiyimimiz, balki terimiz ostida ham sudralib yuramiz. Agar bizda bu haddan tashqari kuzatuvchan xizmatlardan voz kechish imkoni bo'lmasa, nega ularni hech bo'lmaganda keraksiz ma'lumotlar bilan bombardimon qilishga harakat qilmaymiz?
Hisobotda muallifning qurilmasi (dasturiy ta'minot va apparat boti) namoyish etildi, bu quyidagilarga imkon beradi: 1) Bluetooth mayoqlarini in'ektsiya qilish; 2) avtomobilning bort sensorlaridan to'plangan ma'lumotlarni shovqin qilish; 3) mobil telefonning identifikatsiya parametrlarini soxtalashtirish; 4) barmoqlarni bosish (klaviatura, sichqoncha va sensorda) shaklida shovqin qilish. Ma'lumki, bu ma'lumotlarning barchasi mobil gadjetlarda reklama uchun mo'ljallangan.
Namoyish shuni ko'rsatadiki, muallifning qurilmasini ishga tushirgandan so'ng, kuzatuv tizimi aqldan ozadi; u to'plagan ma'lumotlar shu qadar shov-shuvli va noto'g'ri bo'lib qoladiki, bundan bizning kuzatuvchilarimiz uchun hech qanday foyda bo'lmaydi. Yaxshi hazil sifatida, ma'ruzachi taqdim etilgan qurilma tufayli "kuzatuv tizimi" 32 yoshli xakerni otlarni aqldan ozgan 12 yoshli qiz sifatida qabul qila boshlaganini namoyish etadi.
5. 20 yillik MMORPG xakerlik: sovuqroq grafikalar, bir xil ekspluatatsiyalar
MMORPG-larni buzish mavzusi 20 yildan beri DEF CON da muhokama qilinadi. Ma'ruzachi yubileyga hurmat bajo keltirar ekan, ushbu munozaralarning eng muhim daqiqalarini tasvirlaydi. Bundan tashqari, u onlayn o'yinchoqlarni brakonerlik sohasidagi sarguzashtlari haqida gapiradi. Ultima Online-dan beri (1997 yilda). Va keyingi yillar: Camelotning qorong'u davri, Anarchy Online, Asherons Call 2, ShadowBane, Lineage II, Final Fantasy XI/XIV, World of Warcraft. Shu jumladan bir nechta yangi vakillar: Guild Wars 2 va Elder Scrolls Online. Va bu ma'ruzachining to'liq rekordi emas!
Hisobot virtual pullarni qo'lga kiritishga yordam beradigan va deyarli har bir MMORPG uchun tegishli bo'lgan MMORPG uchun ekspluatatsiyalarni yaratish bo'yicha texnik tafsilotlarni taqdim etadi. Ma'ruzachi brakonerlar (ekspluatatsiya ishlab chiqaruvchilari) va "baliq nazorati" o'rtasidagi abadiy qarama-qarshilik haqida qisqacha gapiradi; va ushbu qurollanish poygasining hozirgi texnik holati haqida.
Paketlarni batafsil tahlil qilish usuli va server tomonida brakonerlik aniqlanmasligi uchun ekspluatatsiyalarni qanday sozlashni tushuntiradi. Hisobot paytida qurollanish poygasida "baliq tekshiruvi" dan ustunlikka ega bo'lgan so'nggi ekspluatatsiyani taqdim etish, shu jumladan.
6. Skynet kelishidan oldin robotlarni buzamiz
Robotlar bugungi kunda juda mashhur. Yaqin kelajakda ular hamma joyda bo'ladi: harbiy topshiriqlarda, jarrohlik operatsiyalarida, osmono'par binolarni qurishda; do'konlarda do'kon sotuvchilari; kasalxona xodimlari; biznes yordamchilari, jinsiy sheriklar; uy oshpazlari va oilaning to'liq a'zolari.
Robot ekotizimining kengayishi va robotlarning jamiyatimiz va iqtisodiyotimizdagi ta'siri tez sur'atlar bilan o'sib borishi bilan ular odamlar, hayvonlar va korxonalar uchun jiddiy xavf tug'dira boshlaydi. Robotlar asosan qo'llari, oyoqlari va g'ildiraklari bo'lgan kompyuterlardir. Kiberxavfsizlikning zamonaviy voqeliklarini hisobga olsak, bular qo'llari, oyoqlari va g'ildiraklari bo'lgan zaif kompyuterlardir.
Zamonaviy robotlarning dasturiy va apparat zaifliklari tajovuzkorga robotning jismoniy imkoniyatlaridan mulkiy yoki moliyaviy zarar yetkazish uchun foydalanish imkonini beradi; yoki hatto tasodifan yoki qasddan inson hayotiga xavf tug'diradi. Robotlar yaqinidagi har qanday narsaga potentsial tahdidlar vaqt o'tishi bilan eksponent ravishda ortadi. Bundan tashqari, ular o'rnatilgan kompyuter xavfsizligi sanoati ilgari hech qachon ko'rmagan kontekstlarda ko'paymoqda.
O'zining so'nggi tadqiqotlarida ma'ruzachi taniqli ishlab chiqaruvchilarning uy, korporativ va sanoat robotlarida ko'plab muhim zaifliklarni aniqladi. Hisobotda u joriy tahdidlarning texnik tafsilotlarini ochib beradi va tajovuzkorlar robot ekotizimining turli komponentlarini qanday buzishi mumkinligini aniq tushuntiradi. Ishchi ekspluatatsiyalar namoyishi bilan.
Robot ekotizimida ma'ruzachi tomonidan aniqlangan muammolar orasida: 1) xavfsiz aloqa; 2) xotira buzilishi ehtimoli; 3) masofaviy kodni bajarishga imkon beruvchi zaifliklar (RCE); 4) fayl tizimining yaxlitligini buzish ehtimoli; 5) avtorizatsiya bilan bog'liq muammolar; va ba'zi hollarda uning umuman yo'qligi; 6) zaif kriptografiya; 7) proshivkani yangilash bilan bog'liq muammolar; 8) maxfiylikni ta'minlash bilan bog'liq muammolar; 8) hujjatsiz qobiliyatlar (shuningdek, RCE uchun zaif va boshqalar); 9) zaif standart konfiguratsiya; 10) zaif ochiq manba "robotlarni boshqarish uchun ramkalar" va dasturiy ta'minot kutubxonalari.
Ma'ruzachi kiber josuslik, insayder tahdidlar, mulkka zarar etkazish va hokazolar bilan bog'liq turli xil xakerlik stsenariylarining jonli namoyishlarini taqdim etadi. Yovvoyi tabiatda kuzatilishi mumkin bo'lgan real stsenariylarni tasvirlab, ma'ruzachi zamonaviy robot texnologiyasining ishonchsizligi xakerlik hujumiga qanday olib kelishi mumkinligini tushuntiradi. Nega buzib tashlangan robotlar boshqa buzilgan texnologiyalardan ham xavfliroq ekanligini tushuntiradi.
Ma'ruzachi, shuningdek, xom tadqiqot loyihalari xavfsizlik masalalari hal etilmaguncha ishlab chiqarishga kirishiga e'tibor qaratadi. Marketing har doimgidek g'alaba qozonadi. Ushbu nosog'lom holatni zudlik bilan tuzatish kerak. Skynet kelguniga qadar. Garchi... Keyingi hisobotda Skynet allaqachon kelganligini ko'rsatmoqda.
7. Mashinani o'rganishni harbiylashtirish
Ma'ruzachi aqldan ozgan olim sifatida tamg'alanib qolish xavfi ostida hamon o'zining "yangi shaytonning yaratilishi"dan ta'sirlanib, g'urur bilan DeepHack: ochiq manbali xaker AI-ni taqdim etadi. Bu bot o'z-o'zini o'rganadigan veb-ilova xakeridir. U sinov va xato orqali o'rganadigan neyron tarmoqqa asoslangan. Shu bilan birga, DeepHack ushbu sinovlar va xatolarning inson uchun mumkin bo'lgan oqibatlariga qo'rqinchli nafrat bilan qaraydi.
Bitta universal algoritmdan foydalanib, u har xil turdagi zaifliklardan foydalanishni o'rganadi. DeepHack hacker AI sohasiga eshikni ochadi, ularning ko'pchiligini yaqin kelajakda kutish mumkin. Shu munosabat bilan ma'ruzachi g'urur bilan o'z botini "oxiriyatning boshlanishi" deb ta'riflaydi.
Ma'ruzachining fikricha, yaqinda DeepHack'dan keyin paydo bo'ladigan sun'iy intellektga asoslangan xakerlik vositalari kiberhimoyachilar va kiberhujumchilar hali qabul qilmagan yangi texnologiyadir. Ma'ruzachi kelgusi yilda har birimiz o'zimiz mashinani o'rganish xakerlik vositalarini yozamiz yoki o'zimizni ulardan himoya qilishga astoydil harakat qilamiz, deb kafolat beradi. Uchinchisi yo'q.
Shuningdek, ma'ruzachi hazil yoki jiddiy tarzda shunday ta'kidlaydi: "Endi shaytoniy daholarning imtiyozi emas, AIning muqarrar distopiyasi bugungi kunda hamma uchun mavjud. Shunday qilib, bizga qo'shiling va biz sizga o'zingizning harbiylashtirilgan mashinalarni o'rganish tizimini yaratish orqali insoniyatni yo'q qilishda qanday ishtirok etishingiz mumkinligini ko'rsatamiz. Albatta, agar kelajakdagi mehmonlar buni qilishimizga to'sqinlik qilmasalar."
8. Hamma narsani eslab qoling: parollarni kognitiv xotiraga joylashtirish
Kognitiv xotira nima? U erda qanday qilib parolni "implantatsiya qilish" mumkin? Bu hatto xavfsizmi? Va nima uchun umuman bunday fokuslar? G'oya shundan iboratki, bu yondashuv bilan siz hatto bosim ostida ham parollaringizni to'kib tashlay olmaysiz; tizimga kirish imkoniyatini saqlab qolgan holda.
Nutq kognitiv xotira nima ekanligini tushuntirish bilan boshlanadi. Keyin aniq va yashirin xotira qanday farq qilishini tushuntiradi. Keyinchalik, ongli va ongsiz tushunchalari muhokama qilinadi. Va bu qanday mohiyat ekanligini ham tushuntiradi - ong. Bizning xotiramiz ma'lumotni qanday kodlashi, saqlashi va olishini tasvirlaydi. Inson xotirasining cheklovlari tasvirlangan. Shuningdek, bizning xotiramiz qanday o'rganadi. Va hisobot insonning kognitiv xotirasi bo'yicha zamonaviy tadqiqotlar, unga parollarni qanday kiritish haqida hikoya bilan yakunlanadi.
Ma'ruzachi, albatta, o'z taqdimoti sarlavhasida aytilgan shuhratparast bayonotni to'liq hal qilishga olib kelmadi, lekin shu bilan birga u muammoni hal qilishning yondashuvlari bo'yicha bir nechta qiziqarli tadqiqotlarni keltirdi. Xususan, Stenford universiteti tadqiqoti, mavzusi bir xil mavzu. Ko‘zi ojiz odamlar uchun esa inson-mashina interfeysini ishlab chiqish loyihasi – miya bilan bevosita bog‘langan holda. Ma'ruzachi, shuningdek, miyaning elektr signallari va og'zaki iboralar o'rtasida algoritmik aloqani o'rnatishga muvaffaq bo'lgan nemis olimlarining tadqiqotiga ishora qiladi; Ular ishlab chiqqan qurilma matnni shunchaki o‘ylab yozish imkonini beradi. Ma'ruzachi nazarda tutadigan yana bir qiziqarli tadqiqot - bu neyrotelefon, miya va mobil telefon o'rtasidagi interfeys, simsiz EEG eshitish vositasi (Dartmut kolleji, AQSh).
Yuqorida ta'kidlanganidek, ma'ruzachi o'z taqdimoti sarlavhasida aytilgan ambitsiyali bayonotni to'liq hal qilmadi. Biroq, ma'ruzachining ta'kidlashicha, parolni kognitiv xotiraga joylashtirish texnologiyasi hozircha mavjud emasligiga qaramay, uni u yerdan chiqarishga urinayotgan zararli dastur allaqachon mavjud.
9. Va kichkintoy so'radi: "Siz haqiqatan ham elektr tarmog'iga kiberhujumlarni faqat hukumat xakerlari amalga oshirishi mumkin deb o'ylaysizmi?"
Elektr tokining uzluksiz ishlashi kundalik hayotimizda katta ahamiyatga ega. Elektrga bog'liqligimiz, ayniqsa, u o'chirilganda - hatto qisqa vaqtga ham aniq bo'ladi. Bugungi kunda elektr tarmog'iga kiberhujumlar juda murakkab va faqat hukumat xakerlari uchun ochiq ekanligi umumiy qabul qilinadi.
Ma'ruzachi bu an'anaviy donolikka qarshi chiqadi va elektr tarmog'iga hujumning batafsil tavsifini taqdim etadi, uning narxi hatto nodavlat xakerlar uchun ham maqbuldir. U maqsadli elektr tarmog'ini modellashtirish va tahlil qilishda foydali bo'ladigan Internetdan to'plangan ma'lumotlarni namoyish etadi. Shuningdek, u butun dunyo bo'ylab elektr tarmoqlariga hujumlarni modellashtirish uchun ushbu ma'lumotlardan qanday foydalanish mumkinligini tushuntiradi.
Hisobot, shuningdek, energetika sohasida keng qo'llaniladigan General Electric Multilin mahsulotlarida ma'ruzachi tomonidan aniqlangan muhim zaiflikni ko'rsatadi. Ma'ruzachi ushbu tizimlarda ishlatiladigan shifrlash algoritmini qanday qilib to'liq buzganligini tasvirlaydi. Ushbu algoritm General Electric Multilin mahsulotlarida ichki quyi tizimlarning xavfsiz aloqasi va ushbu quyi tizimlarni boshqarish uchun ishlatiladi. Jumladan, foydalanuvchilarni avtorizatsiya qilish va imtiyozli operatsiyalarga kirishni ta'minlash.
Kirish kodlarini o'rgangandan so'ng (shifrlash algoritmini buzish natijasida) tajovuzkor qurilmani to'liq o'chirib qo'yishi va elektr tarmog'ining belgilangan tarmoqlarida elektrni o'chirishi mumkin; blok operatorlari. Bundan tashqari, ma'ruzachi kiberhujumlarga zaif bo'lgan uskunalar tomonidan qoldirilgan raqamli izlarni masofadan turib o'qish texnikasini namoyish etadi.
10. Internet allaqachon homilador ekanligimni biladi
Ayollar salomatligi katta biznesdir. Bozorda ayollarga oylik sikllarini kuzatish, qachon homilador bo‘lish ehtimoli ko‘proq ekanini bilish yoki homiladorlik holatini kuzatishga yordam beradigan ko‘plab Android ilovalari mavjud. Ushbu ilovalar ayollarni kayfiyat, jinsiy faollik, jismoniy faollik, jismoniy alomatlar, bo'y, vazn va boshqalar kabi hayotlarining eng samimiy tafsilotlarini yozib olishga undaydi.
Ammo bu ilovalar qanchalik shaxsiy va ular qanchalik xavfsiz? Axir, agar ilova bizning shaxsiy hayotimiz haqidagi bunday samimiy ma'lumotlarni saqlasa, bu ma'lumotlarni boshqa hech kim bilan baham ko'rmasa yaxshi bo'lardi; masalan, do'stona kompaniya bilan (maqsadli reklama bilan shug'ullanadi va hokazo) yoki yomon niyatli sherik / ota-ona bilan.
Ma'ruzachi kontseptsiya ehtimolini bashorat qiluvchi va homiladorlikning borishini kuzatuvchi o'ndan ortiq ilovalarning kiberxavfsizlik tahlili natijalarini taqdim etadi. U ushbu ilovalarning aksariyatida umuman kiberxavfsizlik va xususan shaxsiy hayot bilan bog'liq jiddiy muammolar borligini aniqladi.
Manba: www.habr.com