Inhaltsverzeichnis:
- 1 größer und größer
- 2 Opfer des Erfolgs
- 3 Die Sicherheitsgemeinschaft herausfordern
- 4 Ultraschallpistole greift Drohnen, Hoverboards an
- 5 Sind Bubbles die Zukunft des Hackens?
- 6 Bug Bounties und Bier
- 7 Angriff auf Windparks
- 8 Pwnie Express auf der Hut
- 9 Vertrauen Sie Ihrem Drucker nicht
- 10 Super Collider
- 11 Einen Tesla hacken (schon wieder)
- 12 Apple Pay im Web hacken
- 13 Industrieroboter aus der Ferne steuern
- 14 Wie geht es weiter?
Video: Top 10 hacking tools used by Black Hat Hackers.. 🙅 (November 2024)
Die Black Hat-Konferenz ist eine Gelegenheit für Forscher, Hacker und alle, die der Welt der Sicherheit nahe stehen, sich zu versammeln und voneinander zu lernen. Es ist eine Woche mit Sitzungen, Schulungen und - unweigerlich - schlechten Entscheidungen im Großraum Las Vegas.
In seinem 20. Jahr begann Black Hat 2017 reflektierend. Alex Stamos, CSO von Facebook, blickte auf seine frühen Tage auf der Konferenz zurück. Für ihn war es ein Ort, um akzeptiert zu werden und von der Gemeinschaft zu lernen. Er forderte dieselbe Community auf, einfühlsamer zu sein und sich auf die nächste Generation von Hackern vorzubereiten, indem er mehr Vielfalt begrüßte.
Die Black Hat-Sitzungen waren schon immer der Ort, an dem überraschende und manchmal schreckliche Beispiele für Sicherheitsforschung zu sehen waren. In diesem Jahr haben wir gesehen, wie man das Webinterface von Apple Pay zum Narren hält, wie man ein Hoverboard mit Ultraschall stürzt und wie anfällig Windparks für Cyberangriffe sein können.
In einer Sitzung kehrte ein Trio von Tesla Model S-Hackern zurück, die neue Angriffe zeigten. Ihre Forschung wird mit Sicherheit fortgesetzt, wenn die Fahrzeuge enger miteinander verbunden werden. Auch ein großes Hackerziel? Drucker.
Ein weiteres bemerkenswertes Gespräch befasste sich mit dem Angriff auf die industrielle Infrastruktur. Nach zwei erfolgreichen Angriffen auf das ukrainische Stromnetz im vergangenen Jahr ist die Sicherung kritischer Infrastrukturen wie Kraftwerke und Fabriken ein großes Problem. Dieses Mal haben wir gesehen, wie Blasen - ja, regelmäßige Blasen - als schädliche Nutzlast verwendet werden können, um teure, kritische Pumpen zu zerstören.
Die vielleicht bemerkenswerteste Leistung der diesjährigen Ausstellung lag im Bereich der Kryptoanalyse. Mit ausgeklügelten Techniken konnte ein Team die erste SHA-1-Hash-Kollision erzeugen. Wenn Sie sich nicht sicher sind, was das bedeutet, lesen Sie weiter, weil es sehr cool ist.
Nach 20 Jahren ist Black Hat immer noch die erste Stufe für Hacker. Aber die Zukunft ist ungewiss. Cyber-Angriffe durch Nationalstaaten sind inzwischen selten geworden und stehen mehr denn je auf dem Spiel. Wie wir damit umgehen werden, ist noch nicht klar. Vielleicht hat Black Hat 2018 die Antworten. Schauen Sie sich bis dahin einige der auffälligeren Momente des diesjährigen Black Hat an.
1 größer und größer
Zum 20-jährigen Jubiläum der Show fand die Keynote in einem riesigen Stadion statt nur in einem großen Konferenzraum statt. Die Show ist in den letzten Jahren rasant gewachsen.
2 Opfer des Erfolgs
Auf der diesjährigen Messe war eine Überlastung der Gänge ein Problem, und Situationen wie die oben beschriebene waren keine Seltenheit.
3 Die Sicherheitsgemeinschaft herausfordern
Der CSO von Facebook, Alex Stamos, hielt die Black Hat-Keynote 2017 in einer Rede, die zu gleichen Teilen die familiäre Atmosphäre der Sicherheitsgemeinschaft in der Vergangenheit und die Herausforderung, es besser zu machen, lobte. Er forderte das Publikum auf, weniger elitär zu sein und anzuerkennen, dass der Einsatz digitaler Sicherheit gestiegen ist, und verwies auf die Rolle von Hacking und Informationsangriffen bei den US-Wahlen 2016.
4 Ultraschallpistole greift Drohnen, Hoverboards an
Geräte verwenden Sensoren, um die Welt um sie herum zu verstehen. Einige dieser Sensoren können jedoch manipuliert werden. Ein Forscherteam demonstrierte, wie sie mithilfe von Ultraschall Drohnen zum Wackeln bringen, Hoverboards zum Umkippen bringen und VR-Systeme unkontrolliert drehen können. Der Angriff ist vorerst begrenzt, die Anwendungen könnten weitreichend sein.
5 Sind Bubbles die Zukunft des Hackens?
Wahrscheinlich nicht, aber Marina Krotofil hat gezeigt, wie durch einen Angriff auf das Ventilsystem einer Wasserpumpe Blasen erzeugt werden können, die den Wirkungsgrad der Wasserpumpe verringern und mit der Zeit physische Schäden verursachen, die zum Ausfall der Pumpe führen. Mit ihrem Vortrag wollte Krotofil zeigen, dass unsichere Geräte wie Ventile sichere Geräte wie Pumpen mit neuen Mitteln angreifen können. Schließlich gibt es kein Virenschutzprogramm für Seifenblasen.
6 Bug Bounties und Bier
In den letzten Jahren wurde das Programm zur Meldung von Bugs erweitert, bei dem Unternehmen Forschern, Penetrationstestern und Hackern eine Prämie für die Meldung von Bugs zahlen. Der Forscher James Kettle erzählte der Menge in seiner Sitzung, wie er eine Methode zusammengestellt hat, um 50.000 Websites gleichzeitig zu testen. Er hatte einige Missgeschicke auf dem Weg, verdiente dabei aber über 30.000 US-Dollar. Er sagte, sein Chef habe anfangs darauf bestanden, das Geld für Bier auszugeben, doch angesichts des Erfolgs von Kettle entschied er sich, die Mehrheit für wohltätige Zwecke zu spenden und nur wenig für Bier auszugeben.
7 Angriff auf Windparks
Der Forscher Jason Staggs führte eine umfassende Sicherheitsbewertung von Windparks durch, die sein Team zu mehreren 300-Fuß-Spinnkraftwerken führte. Die physische Sicherheit war nicht nur schwach (manchmal nur ein Vorhängeschloss), sondern die digitale Sicherheit war noch schwächer. Sein Team entwickelte mehrere Angriffe, die das Lösegeld von Windparks zurückhalten und sogar physischen Schaden anrichten konnten. Denke an Stuxnet, aber für massive, wirbelnde Klingen des Todes.
8 Pwnie Express auf der Hut
Im vergangenen Jahr brachte Pwnie Express seine Netzwerküberwachungsgeräte mit und entdeckte einen massiven bösen Zugriffspunktangriff, der so konfiguriert war, dass er ein Netzwerk imitierte, das für vorbeigehende Geräte geeignet war, und sie zum Verbinden aufforderte. In diesem Jahr arbeitete Pwnie mit dem Netzwerksicherheitsteam von Black Hat zusammen, entdeckte jedoch nichts, was so groß war wie der Angriff im letzten Jahr - zumindest nichts, was nicht Teil einer Schulungsübung in einer Black Hat-Sitzung war. Dieser Pwn Pro-Sensor war einer von mehreren, die während der Konferenz platziert wurden, um die Netzwerkaktivität zu überwachen.
beim
9 Vertrauen Sie Ihrem Drucker nicht
Netzwerkdrucker wurden von Forschern lange Zeit als Hauptziel angesehen. Sie sind allgegenwärtig, mit dem Internet verbunden und bieten häufig keine grundlegende Sicherheit. Aber Jens Müller hat gezeigt, dass es darauf ankommt, worauf es ankommt. Durch die Verwendung der Protokolle, die fast jeder Drucker verwendet, um Dateien in Drucksachen umzuwandeln, konnte er eine Reihe von Angriffen ausführen. Er konnte frühere Druckaufträge extrahieren und sogar Text oder Bilder auf Dokumenten überlagern. Die von ihm beschriebenen Angriffe werden existieren, bis jemand diese jahrzehntealten Protokolle endgültig loswird.
10 Super Collider
Hash-Funktionen sind überall, aber fast unsichtbar. Sie werden verwendet, um Verträge zu überprüfen, Software digital zu signieren und sogar Passwörter zu sichern. Eine Hash-Funktion wie SHA-1 konvertiert Dateien in eine Folge von Zahlen und Buchstaben, und es wird davon ausgegangen, dass keine zwei gleich sind. Der Forscher Elie Bursztein und sein Team haben jedoch einen Weg gefunden, bei dem zwei verschiedene Dateien den gleichen Hash erhalten. Dies wird als Kollision bezeichnet und bedeutet, dass SHA-1 so tot ist wie ein Türnagel.
11 Einen Tesla hacken (schon wieder)
2016 zeigten drei Forscher, wie sie die Kontrolle über ein Tesla-Modell S übernehmen konnten. In diesem Jahr kehrten die Forscher von Tencent KeenLab zurück, um Schritt für Schritt durch ihren Angriff zu gehen. Aber es war nicht alles rekapituliert: Sie untersuchten auch Teslas Abschwächung ihres anfänglichen Angriffs und stellten ihre neuen Angriffe vor; Das Team zeigte zwei Autos, die ihre Lichter aufleuchten ließen und die Türen rechtzeitig für die Musik öffneten.
12 Apple Pay im Web hacken
Beim ersten Start schrieb ich ausführlich über Apple Pay und lobte die Tokenisierung von Kreditkartendaten und die Tatsache, dass Apple Ihre Einkäufe nicht nachverfolgen konnte. Aber Timur Yunusov war nicht überzeugt. Er entdeckte, dass es mit Apple Pay im Web möglich war, Anmeldeinformationen zu erbeuten und einen Wiederholungsangriff durchzuführen. Behalten Sie die Kreditkartenabrechnungen besser im Auge.
13 Industrieroboter aus der Ferne steuern
Drei Forscher, die ein Team von Politecnico di Milano und Trend Micro vertraten, stellten ihre Ergebnisse zur Sicherheit von Robotern vor. Nicht Ihr freundlicher Roombas, sondern die fleißigen und leistungsstarken Industrieroboter, die in Fabriken zu finden sind. Sie fanden mehrere kritische Schwachstellen, die es einem Angreifer ermöglichen könnten, die Kontrolle über einen Roboter zu übernehmen, Fehler in Herstellungsprozesse einzuführen und sogar den menschlichen Bedienern Schaden zuzufügen. Noch beunruhigender ist die Entdeckung, dass viele tausend Industrieroboter mit dem Internet verbunden sind.
14 Wie geht es weiter?
Black Hat ist für ein weiteres Jahr geplant, aber da die digitale Sicherheit sichtbarer und wertvoller als je zuvor ist, wird das kommende Jahr sicherlich einige interessante Überraschungen bieten.
