视频: BlackHat Europe 2016 (九月 2024)
Black Hat是一个由安全研究人员,黑客和行业人士组成的聚会,他们在拉斯维加斯开会,做了三件事:概述最新威胁,展示如何击败好人和坏人,并对参与者发动攻击。 今年,发生了许多可怕的攻击,包括一次针对表演者的攻击,汽车黑客攻击,从ATM机上窃取现金的新方法,以及为什么智能灯泡可能没有我们想象的那么安全。 但是我们也看到了很多希望的理由,例如教学机器发现危险的服务器,使用地下城与龙来训练员工如何处理安全威胁以及苹果如何处理iPhone的安全性。 总体而言,这是令人振奋的一年。
善良
是的,Apple在Black Hat宣布了一个漏洞赏金计划。 但这只是苹果公司安全工程和体系结构负责人Ivan Krstic演讲的最后10分钟。 在过去的40分钟中,他对Apple保护用户设备和数据的方式进行了前所未有的深入研究,无论是恶意因素还是自身保护。 是的,它确实涉及使用诚实神混合器。
随着物联网设备变得越来越流行,安全专业人员越来越受到关注。 毕竟,这些是具有连接到网络的微型计算机并完全能够运行代码的设备。 那是攻击者的梦想。 好消息是,至少在Philip的Hue系统的情况下,制造蠕虫从灯泡跳到灯泡非常困难。 坏消息? 诱使Hue系统加入攻击者的网络似乎非常简单。
每项业务中的每项安全培训都包含以下警告:员工切勿单击来自未知来源的电子邮件中的链接。 而且,无论如何,员工都会继续被诱骗点击。 来自埃尔兰根-纽伦堡大学的Zinaida Benenson博士得出结论,期望员工抵制好奇心和其他动机根本是不合理的。 如果您希望他们成为James Bond,则应在职务说明中注明并相应地付钱。
许多安全性研究和执行可能令人烦琐,但机器学习中的新技术可能很快会导致更安全的Internet。 研究人员详细说明了他们在教学机器上的工作,以识别僵尸网络命令和控制服务器,从而使坏人能够控制成千上万(如果不是几百万)受感染的计算机。 该工具可以帮助遏制此类邪恶活动,但并不是所有的研究工作都十分繁琐。 在会议结束时,研究人员展示了如何使用机器学习系统来生成可传递的Taylor Swift歌曲。
谁知道酒店网络可能适合宠物供应会议,但不适用于Black Hat。 该会议拥有自己的完全独立的网络和一个令人印象深刻的网络运营中心来管理它。 访客可以透过玻璃墙窥视着NOC上许多发光的屏幕,黑客电影和长期的安全专家,这些专家全都聚集起来,并在全球范围内转移到下一次Black Hat会议。
IT安全人士和白帽黑客只是无法获得足够的安全培训,但他们并不是真正需要它们的人。 销售人员,人力资源团队和呼叫中心人员不一定理解或欣赏安全培训,但是您确实需要他们加强安全培训。 研究员Tiphaine Romand Latapie建议将安全培训重新设计为角色扮演游戏。 她发现它完全有效,并在安全团队和其他工作人员之间产生了重要的新参与。 地牢和龙,有人吗?
诈骗电话是一个巨大的问题。 美国国税局(IRS)诈骗说服毫无戒心的美国人掏钱。 密码重设骗局欺骗了呼叫中心以泄露客户数据。 法医语言学家朱迪思·塔伯伦(Judith Tabron)教授分析了真实的诈骗电话,并设计了一个分为两部分的测试来帮助您发现它们。 阅读并学习,好吗? 这是一种简单而值得的技术。
令人恐惧的
Pwnie Express制造的设备可以监视网络空域中的任何不良情况,这也是一件好事,因为该公司今年在黑帽公司发现了大规模的中间人攻击。 在这种情况下,恶意访问点更改了其SSID,以欺骗电话和设备加入网络,并认为它是设备以前看到的安全,友好的网络。 这样做,攻击者欺骗了大约35, 000人。 该公司能够发现该攻击非常好,但它是如此庞大的事实提醒着这些攻击可以取得多大的成功。
去年,查理·米勒(Charlie Miller)和克里斯·瓦拉塞克(Chris Valasek)提出了许多人认为这是他们汽车黑客职业生涯的顶峰。 他们今年返回时受到了更大胆的攻击,这些攻击能够在汽车以任何速度行驶时都施加制动或控制方向盘的控制。 以前的攻击只能在汽车以5Mph或更低的速度行驶时进行。 这些新攻击可能会给驾驶员带来巨大风险,并有望被汽车制造商迅速修补。 瓦拉塞克(Valasek)和米勒(Miller)表示,他们已经完成了对汽车的黑客攻击,但鼓励其他人跟随他们的脚步。
如果您观看机器人先生,您会知道可以通过在停车场周围散布USB驱动器来感染受害者的计算机。 但这真的有用吗? Google的反欺诈和滥用研究负责人Elie Bursztein提出了一个由两部分组成的主题演讲。 第一部分详细介绍了一项研究,该研究清楚地表明了它的确起作用(并且停车场比走廊要好)。 第二部分详细解释了如何构建可以完全接管任何计算机的USB驱动器。 你做笔记了吗?
无人机是上个假期购物季的热门商品,也许不仅是极客。 演示文稿展示了如何使用DJI Phantom 4干扰工业无线网络,监视员工,甚至更糟。 诀窍在于,许多关键的工业站点都使用所谓的“气隙”来保护敏感计算机。 基本上,这些是与外部Internet隔离的网络和设备。 但是,小型机动无人机可以代替互联网。
机器学习正处于变革众多科技行业的风口浪尖,其中包括骗子。 Black Hat的研究人员展示了如何还可以教机器如何产生高效的鱼叉式网络钓鱼信息。 他们的工具确定了高价值目标,然后搜寻受害者的推文,以制作出既相关又不可点击的消息。 该团队并未使用垃圾邮件机器人传播任何恶意软件,但不难想象诈骗者采用了这些技术。
您希望酒店提供免费的Wi-Fi,并且您可能足够聪明,意识到它不一定安全。 但是,Airbnb或其他短期租赁服务的安全性可能是有史以来最差的安全性。 为什么? 因为您之前的来宾可以 物理 访问路由器,这意味着他们可以完全拥有它。 杰里米·加洛韦(Jeremy Galloway)的演讲详细介绍了黑客可以做什么(不好!),您可以采取什么措施来保持安全以及财产所有者可以采取哪些措施来阻止此类攻击。 这是一个不会消失的问题。
在Black Hat举行的最全面的对话之一中,Rapid7的高级Pentester Weton Hecker展示了什么可能是欺诈的新模式。 他的愿景包括庞大的ATM网络,销售点机器(例如在杂货店中)和加油站。 它们可以实时窃取受害者的支付信息,然后借助电动PIN推送设备快速输入受害者的支付信息。 谈话以自动柜员机喷出现金和对未来的愿景结束,骗子不购买个人的信用卡信息,而是访问大规模的实时支付欺诈网络。
这不是Black Hat上唯一详细介绍对支付系统的攻击的演示。 另一组研究人员展示了如何通过Raspberry Pi和一点点的努力就能从芯片卡交易中拦截大量个人信息。 尤其值得注意的是,不仅因为芯片卡(AKA EMV卡)比磁擦卡更安全,而且因为美国刚刚开始在国内推出芯片卡。
明年将带来新的研究,新的黑客和新的攻击。 但是Black Hat 2016为这一年定下了基调,表明黑客的工作(无论是白帽还是黑帽)从未真正完成过。 现在,如果您能原谅我们,我们将切碎我们的信用卡,然后住在树林里的法拉第笼中。
