Video: Jaha Tum Rahoge | Maheruh | Amit Dolawat & Drisha More | Altamash Faridi | Kalyan Bhardhan (Nobyembre 2024)
Ang Black Hat ay isang pagtitipon ng mga mananaliksik ng seguridad, hacker, at industriya na nakakatugon sa Las Vegas upang gawin ang tatlong bagay: binabalangkas ang pinakabagong mga banta, ipakita kung paano matatalo ang mabubuting tao at masamang tao, at ilunsad ang mga pag-atake sa mga dadalo. Sa taong ito ay nakita ang maraming mga nakakatakot na pag-atake, kabilang ang isa laban sa mga dumalo sa palabas, kasama ang mga hack ng kotse, mga bagong paraan upang magnakaw ng pera mula sa mga ATM, at bakit ang mga matalinong lightbulbs ay hindi magiging ligtas tulad ng naisip namin. Ngunit nakita din namin ang maraming dahilan upang umasa, tulad ng pagtuturo ng mga makina upang makita ang mga mapanganib na server, gamit ang Dungeons at Dragons upang sanayin ang mga empleyado sa paghawak ng mga banta sa seguridad, at kung paano pinangangasiwaan ng Apple ang seguridad ng iyong iPhone. Ito ay, ang lahat ay sinabi, isang magandang taon-bending taon.
Ang mabuti
Oo, inihayag ng Apple ang isang programa ng bounty ng bug sa Black Hat. Ngunit iyon lamang ang huling 10 minuto ng isang pagtatanghal ni Ivan Krstic, pinuno ng security engineering at arkitektura ng Apple. Sa nagdaang 40 minuto ay nag-alok siya ng isang hindi pa nakaraan na malalim na pagsisid sa mga paraan na pinoprotektahan ng Apple ang mga aparato at data ng mga gumagamit, kapwa mula sa mga malefactors at mula mismo. At oo, may kinalaman ito sa paggamit ng isang blender na tapat-sa-Diyos.
Habang nagiging mas sikat ang mga aparato ng Internet of Things, ang mga propesyonal sa seguridad ay nagiging mas nababahala. Ito ay, pagkatapos ng lahat, ang mga aparato na may mga microcomputers na konektado sa mga network at ganap na may kakayahang tumakbo code. Iyon ang pangarap ng pag-atake. Ang mabuting balita ay, hindi bababa sa kaso ng Philip's Hue system, ang paglikha ng isang uod upang tumalon mula sa lightbulb hanggang sa lightbulb ay napakahirap. Ang masamang balita? Tila napaka-simple upang linlangin ang mga system ng Hue sa pagsali sa network ng isang attacker.
Ang bawat pagsasanay sa seguridad sa bawat negosyo ay kasama ang payo na ang mga empleyado ay hindi dapat mag-click sa mga link sa mga email mula sa hindi kilalang mga mapagkukunan. At ang mga empleyado ay patuloy na nadoble sa pag-click sa kanila anuman. Zinaida Benenson, mula sa Unibersidad ng Erlangen-Nuremberg, ay nagpasya na hindi makatwiran lamang na asahan ang mga empleyado na pigilan ang pag-usisa at iba pang mga pagganyak. Kung nais mo silang maging James Bond, dapat mong ilagay ito sa paglalarawan ng trabaho at bayaran ito nang naaayon.
Ang isang pulutong ng mga pananaliksik sa seguridad at pagpapatupad ay maaaring maging nakakapagod sa pag-iisip, ngunit ang mga bagong pamamaraan sa pag-aaral ng makina ay maaaring madaling humantong sa isang mas ligtas na Internet. Ang mga mananaliksik ay detalyado ang kanilang mga pagsisikap sa mga machine ng pagtuturo upang makilala ang mga botnet command at control server, na nagpapahintulot sa mga masasamang tao na kontrolin ang daan-daang libo (kung hindi milyon-milyong) ng mga nahawaang computer. Ang tool ay maaaring makatulong na mapanatili ang isang talukap ng mata sa naturang hindi kasiya-siyang aktibidad, ngunit hindi ito lahat ng mabibigat na pananaliksik. Upang tapusin ang kanilang session, ipinakita ng mga mananaliksik kung paano magamit ang mga sistema ng pag-aaral ng machine upang makabuo ng isang passable na Taylor Swift song.
Ang nakakaalam ng network ng hotel ay maaaring maging maayos para sa isang komperensya ng supply ng alagang hayop, ngunit hindi para sa Black Hat. Ang komperensya ay may sariling hiwalay na network at isang nakamamanghang Network Operations Center upang pamahalaan ito. Ang mga bisita ay maaaring sumilip sa pamamagitan ng dingding ng salamin sa maraming mga kumikinang na screen, hacker films, at pangmatagalang mga eksperto sa seguridad sa NOC, na makakakuha ng buong kabuuan at lumipat sa buong mundo sa susunod na kumperensya ng Black Hat.
Ang mga panalo sa seguridad ng IT at mga hacker ng puting-sumbrero ay hindi lamang makakakuha ng sapat na mga pagsasanay sa seguridad, ngunit hindi sila ang talagang kailangan nila. Ang mga kawani ng benta, HR team, at call center crew ay hindi kinakailangang maunawaan o pinahahalagahan ang mga pagsasanay sa seguridad, at kailangan mo pa rin silang maiakyat ang kanilang laro sa seguridad. Iminungkahi ng mananaliksik na si Tiphaine Romand Latapie na muling pagsasanay sa pagsasanay sa seguridad bilang isang larong naglalaro. Natagpuan niya na lubos itong nagtrabaho, at gumawa ng makabuluhang bagong pakikipag-ugnayan sa pagitan ng pangkat ng seguridad at ang natitirang mga kawani. Mga piitan at dragon, kahit sino?
Ang tawag sa telepono ng scam ay isang malaking problema. Kinukumbinsi ng mga scam ng IRS na hindi umaasa sa mga Amerikano na magtamo ng salapi. Ang mga password sa pag-reset ng password ng mga scam na call center sa pagbibigay ng data ng customer. Propesor Judith Tabron, isang forensic linguist na nagsuri ng mga tunay na tawag sa scam at lumikha ng isang dalawang bahagi na pagsubok upang matulungan kang makita ang mga ito. Basahin ito at alamin, OK? Ito ay isang simple at kapaki-pakinabang na pamamaraan.
Ang Frightening
Ang Pwnie Express ay nagtatayo ng mga aparato na sinusubaybayan ang airspace ng network para sa anumang bagay, at ito ay isang magandang bagay din, dahil natuklasan ng kumpanya ang isang napakalaking pag-atake ng Man-in-the-Middle sa Black Hat ngayong taon. Sa kasong ito, binago ng isang nakamamanghang access point ang SSID upang lokohin ang mga telepono at aparato sa pagsali sa network, iniisip ito na isang ligtas, palakaibigan na network na nakita ng aparato. Sa paggawa nito, sinalakay ng mga umaatake ang 35, 000 katao. Habang napakahusay na natagpuan ng kumpanya ang pag-atake, ang katotohanan na napakalaki nito ay isang paalala kung gaano matagumpay ang mga pag-atake na ito.
Noong nakaraang taon, ipinakita ni Charlie Miller at Chris Valasek kung ano ang ipinapalagay na ang pinnacle ng kanilang karera sa pag-hack. Bumalik sila sa taong ito nang may higit pang mapangahas na pag-atake, ang mga magagawang mag-aplay ng preno o nakontrol ang kontrol ng manibela kapag ang kotse ay gumagalaw sa anumang bilis. Ang mga nakaraang pag-atake ay maaaring isagawa lamang kapag ang kotse ay naglalakbay sa 5Mph o mas mababa. Ang mga bagong pag-atake na ito ay maaaring magdulot ng malaking peligro sa mga driver, at sana ay mabilis na mai-patched ng mga tagagawa ng auto. Para sa kanilang bahagi, sinabi ni Valasek at Miller na tapos na sila sa pag-hack ng mga kotse, ngunit hinikayat ang iba na sundin ang kanilang mga yapak.
Kung pinapanood mo si G. Robot, alam mo na posible na makahawa sa computer ng isang biktima sa pamamagitan ng pag-strew ng USB drive sa paligid ng parking lot. Ngunit talagang gumagana ito? Si Elie Bursztein, nangunguna sa pananaliksik na anti-pandaraya at pang-aabuso sa Google, ay nagtatanghal ng isang dalawang bahagi na pag-uusap tungkol sa paksa. Ang unang bahagi na detalyado ng isang pag-aaral na malinaw na nagpakita na gumagana ito (at ang mga paradahan ay mas mahusay kaysa sa mga pasilyo). Ang ikalawang bahagi ay ipinaliwanag, sa mahusay na detalye, eksakto kung paano bumuo ng isang USB drive na ganap na kukuha ng anumang computer. May mga tala ka ba?
Ang mga drone ay isang mainit na item noong nakaraang kapaskuhan sa pamimili, at marahil hindi lamang para sa mga geeks. Nagpakita ang isang pagtatanghal kung paano magamit ang DJI Phantom 4 upang i-jam ang mga pang-industriya na wireless network, maniktik sa mga empleyado, at mas masahol pa. Ang nanlilinlang ay maraming kritikal, pang-industriya na site ang gumagamit ng tinatawag na "air gap" upang maprotektahan ang mga sensitibong computer. Karaniwan, ang mga ito ay mga network at aparato na nakahiwalay sa labas ng Internet. Ngunit ang maliit, mapagpaparatang drone ay maaaring magdala ng Internet sa kanila.
Ang pag-aaral ng machine ay nasa cusp ng pag-rebolusyon ng maraming mga industriya ng tech, at kasama na rito ang mga scammers. Ipinakita ng mga mananaliksik sa Black Hat kung paano matuturuan ang mga makina upang makabuo ng mga mabisang epektibong mensahe sa phishing. Tinutukoy ng kanilang tool ang mga target na may mataas na halaga, at pagkatapos ay i-scour ang mga tweet ng biktima upang likhain ang isang mensahe na parehong may kaugnayan at hindi maiiwasang mai-click. Ang koponan ay hindi kumalat ng anumang nakakahamak sa kanilang spam bot, ngunit hindi mahirap isipin ang mga scammers na nagpatibay sa mga pamamaraan na ito.
Inaasahan mong walang libreng Wi-Fi sa isang hotel, at maaari kang sapat na mapag-isipan na hindi kinakailangan na ligtas. Ngunit ang isang Airbnb o iba pang panandaliang pag-upa, ang seguridad ay maaaring magkaroon ng pinakamasamang seguridad kailanman. Bakit? Dahil ang mga panauhin bago ka magkaroon ng pisikal na pag- access sa router, nangangahulugang maaari silang ganap na pagmamay-ari nito. Ang detalyadong pahayag ni Jeremy Galloway ay detalyado kung ano ang maaaring gawin ng isang hacker (masama ito!), Kung ano ang maaari mong gawin upang manatiling ligtas, at kung ano ang maaaring gawin ng may-ari ng ari-arian upang masugpo ang naturang pag-atake. Ito ay isang problema na hindi mawawala.
Sa isa sa mga komprehensibong pag-uusap sa Black Hat, ipinakita ng Senior Pentester Weton Hecker ng Rapid7 kung ano ang maaaring maging isang bagong modelo para sa pandaraya. Kasama sa kanyang pangitain ang isang napakalaking network ng mga nakompromiso na mga ATM, point of sale machine (tulad ng sa grocery store), at gas pump. Maaaring magnanakaw ng mga ito ang impormasyon sa pagbabayad ng biktima sa real-time at pagkatapos ay mabilis na ipasok ang mga ito sa tulong ng isang motorized na aparato na nagtulak sa PIN. Natapos ang usapan sa isang cash spewing ng ATM, at isang pangitain sa hinaharap kung saan ang mga scammers ay bumili ng hindi impormasyon sa credit card ng mga indibidwal, ngunit ang pag-access sa isang napakalaking real-time na network ng mga scam sa pagbabayad.
Iyon ay hindi lamang ang pagtatanghal sa Black Hat upang detalyado ang mga pag-atake sa mga sistema ng pagbabayad. Ang isa pang pangkat ng mga mananaliksik ay ipinakita kung paano, sa isang Raspberry Pi at isang maliit na pagsusumikap, nagawa nilang makagambala ng mga oodles ng personal na impormasyon mula sa mga transaksyon sa chip card. Iyon ay partikular na kapansin-pansin hindi lamang dahil ang mga chip card (AKA EMV cards) ay itinuturing na mas ligtas kaysa sa mga card ng magswipe, ngunit dahil ang US ay nagsimula lamang na ilunsad ang mga baraha ng chip sa buong bansa.
Sa susunod na taon ay magdadala ng bagong pananaliksik, mga bagong hack, at mga bagong pag-atake. Ngunit ang Black Hat 2016 ay nagtakda ng tono para sa taon, na ipinapakita na ang gawa ng isang hacker (puti man o itim na itim) ay hindi talaga nagawa. Ngayon kung papahintulutan mo kami, pupunta kami sa aming mga credit card at umalis upang manirahan sa isang Faraday Cage sa kakahuyan.
