검은 모자 2014에서 10 가장 무서운 해킹 공격

블랙 햇은 보안 연구원들이 자동차, 서모 스탯, 위성 통신 및 호텔을 해킹하는 것이 얼마나 쉬운 지 입증하면서 이틀간의 브리핑을 열었다. 동시에 안전을 강화하는 방법에 대한 많은 대화가있었습니다. Dan Geer 기조 연설의 10 가지 정책 제안은 정보 보안에 대한 접근 방식을 개선하여 세상을 더 나은 곳으로 만드는 데 중점을 두었습니다. 해결 된 문제 중에는 현재의 취약성 경쟁, 구식 소프트웨어 및 정보 보안을 직업으로 취급해야하는 필요성이있었습니다. 우리 모두는 새로운 사실, 아이디어, 그리고 무엇보다 염려하는 마음으로 헤엄 쳐 나갔습니다. 매우 많은 관심사.

Black Hat에서 항상 의지 할 수있는 것 중 하나는 공격을받을 수 있다고 생각조차하지 않은 취약점에 대해 듣고 있다는 것입니다. 이 데모는 주로 학문적이며 이러한 문제가 현재 야생에서 악용되고 있지 않다는 것을 알고 안심하십시오. 그러나 같은 의미에서, 블랙 햇 발표자가 결함을 발견했다면 누가 더 많은 악의적 의도를 가진 (그리고 더 나은 자금 지원) 다른 사람이 그렇지 않은지 말할 수 없는가?

우리는 3 년 전에 Black Hat에서 ATM 해킹에 대해 들었고, 범죄자들은 ​​마침내 올해 유럽에서 ATM을 약탈하기 시작했습니다. 올해 칩 및 PIN 카드의 POS 단말기를 해킹하는 방법에 대해 최소 3 번의 세션이있었습니다. 3 년 안에 결제 인프라를 듣지 않고 확보하지 못하면 칩 및 PIN 카드를 통해 목표와 유사한 비율이 다시 위반 될 것입니까? 정말 무서운 생각입니다.

Black Hat 2014는 끝났을 지 모르지만 꽤 오랫동안 본 충격적인 것들에 대해 이야기 할 것입니다. 다행스럽게도 해결책이 실현되고 끔찍한 범죄를 초래할 수있는 기회를 놓치지 않은 교훈을 얻을 수 있기를 바랍니다.

다음은 밤에 우리를 지켜줄 Black Hat에서 본 것들에 대한 Security Watch의 설명입니다.

1 1. 실패의 인터넷

컴퓨터 나 휴대 전화를 방어하는 것은 매우 쉽습니다. 상식적인 팁을 따르고 보안 소프트웨어를 설치하기 만하면됩니다. 그러나 사물 인터넷은 어떻습니까? 세션 후 세션에서 연구원들은 인터넷에 연결된 중요한 장치에 쉽게 액세스 할 수 있음을 보여주었습니다. Nest 스마트 서모 스탯을 해킹 한 팀은 공격을 15 초까지 단축했으며 이제는 무선 공격에 어려움을 겪고 있습니다. Billy Rios는 전국의 TSA 체크 포인트에서 사용하도록 지정된 스캐닝 기계에 기본 암호가 하드 코드 된 것을 발견했습니다. 우리는 여전히 15 초의 핵에 놀랐습니다.

• 2 2. 여객기, 선박 등을 해킹!

  백도어와 관련하여 선박, 비행기, 언론인 및 군대가 통신에 의존하는 장치는 생각만큼 안전하지 않습니다. IOActive의 Ruben Santamarta는 이러한 많은 시스템에 유지 보수 또는 비밀번호 복구를 위해 백도어가있는 것으로 나타났습니다. 백도어 중 일부는 안전한 것으로 추정되었지만 보안 장치를 우회 할 수있었습니다. 의심 할 여지없이, 집에서 가장 가까운 공격은 기내 Wi-Fi를 사용하여 비행기를 해킹 할 수 있다는 Santamarta의 주장이었습니다. 그는 이것이 "비행기 충돌"을 허용하지 않을 것이라는 점을 분명히 알았지 만 중요한 통신이 동일한 시스템을 통해 실행된다고 지적했다. 대화에서 그는 해상 조난 신호를 해킹하여 SOS 대신 비디오 슬롯 머신을 표시했습니다. 점보 제트기와 같은 종류의 핵을 고려하면 이것이 얼마나 걱정되는지 알 수 있습니다.



3 3. Google Glass, Smartwatches, Smartphone 및 캠코더를 사용하여 비밀번호 도용

암호를 훔치는 방법은 여러 가지가 있지만, 한 가지 새로운 접근 방식을 사용하면 나쁜 사람 (또는 정부 기관)이 화면을 보거나 맬웨어를 설치하지 않고도 키 입력을 식별 할 수 있습니다. Black Hat의 한 발표자는 90 %의 정확도로 암호를 자동으로 읽는 새로운 시스템을 선보였습니다. 대상이 거리 수준에 있고 공격자가 4 층 위로 길 건너에있을 때에도 작동합니다. 이 방법은 디지털 캠코더와 가장 잘 작동하지만 팀은 스마트 폰, 스마트 워치 및 Google Glass를 사용하여 사용 가능한 비디오를 단거리에서 캡처 할 수 있음을 발견했습니다. 글래스 홀!

Flickr 사용자 Ted Eytan을 통한 이미지



4 4. MasterKey를 잊어 버리고 가짜 ID를 만나십시오.

Jeff Forristal은 작년에 악의적 인 앱이 합법적 인 앱으로 유포 될 수있는 소위 MasterKey 취약점을 발표하면서 선두에 올랐습니다. 올해 그는 Fake ID를 사용하여 Android 보안 아키텍처의 근본적인 결함을 이용했습니다. 특히 앱이 인증서에 서명하는 방법과 Android가 해당 인증서를 처리하는 방법 실질적인 결과는 특별한 권한이 필요하지 않은 하나의 악성 앱으로 Forristal은 전화로 5 개의 합법적 인 앱에 악성 코드를 삽입 할 수 있다는 것입니다. 거기서부터 그는 감염된 전화가 무엇인지에 대한 깊은 접근과 통찰력을 가졌습니다.

Flickr 사용자 JD Hancock을 통한 이미지



5 5. 사악한 USB가 PC를 대신 할 수 있음

자동 실행을 비활성화하지 않으면 USB 드라이브가 위험 할 수 있다고 들었습니다. 최신 USB 기반 위협은 크게 악화됩니다. USB 드라이브 펌웨어를 해킹함으로써 한 쌍의 연구원은 부팅 섹터 바이러스에 해당하는 것을 포함하여 Windows 및 Linux 시스템에서 다양한 핵을 관리했습니다. 그들의 특수한 USB 드라이브는 USB 키보드를 에뮬레이트하고 하나의 테스트 시스템에 맬웨어를 다운로드하도록 명령했습니다. 다른 테스트에서 가짜 이더넷 허브를 제공했기 때문에 피해자가 브라우저에서 PayPal을 방문했을 때 실제로 암호를 훔친 PayPal 모방 사이트로 갔다. 이것은 단순한 이론적 인 운동이 아니었다. 그들은 무대에서 이들과 다른 핵들을 보여 주었다. 우리는 USB 장치를 다시 같은 방식으로 보지 않을 것입니다!

Flickr 사용자 Windell Oskay를 통한 이미지



6 6. 라디오가 있습니까? 해킹하자!

라디오는 인터넷 시대에는 구식 기술처럼 보이지만 베이비 모니터, 홈 보안 시스템 및 원격 차량 시동기와 같은 장치가 무선으로 정보를 전송하는 가장 좋은 방법입니다. 그리고 그것은 해커에게 주요 대상이됩니다. 한 이야기에서 Silvio Cesare는 소프트웨어 정의 라디오와 약간의 취미 열성을 사용하여 어떻게 이들 각각을 물리 쳤는지 보여주었습니다. 그의 소프트웨어 정의 라디오에 대한 유일한 이야기는 아니었다. Balint Seeber는 군중에게 항공 교통 레이더 요리를 듣고 지상에 가까운 물체를 추적하는 방법을 이야기했습니다. 꽤 무섭지는 않지만 매우 시원합니다.

Flickr 사용자 Martin Fisch를 통한 이미지



7 7. 정부 멀웨어를 막을 수 없다

이란의 핵 프로그램을 파괴 한 정부 후원 스턱 스넷 웜, 해킹으로 인해 중국 정부가 고소한 중국 장군 등을 들었습니다. F-Secure의 최고 연구 책임자 인 Mikko Hypponen은 정부가 후원하는 멀웨어가 사용자가 알고있는 것보다 오래 지속되었으며 시간이 지남에 따라 증가 할 것이라고 경고했습니다. 국가 국가의 자원이 그들 뒤에 있기 때문에 이러한 공격을 차단하는 것은 거의 불가능할 수 있습니다. 우리 정부가 그다지 좋지 않다고 생각하지 않기 위해, 그는 군 계약자에 의해 구체적으로 악성 코드 및 익스플로잇 작성자를 찾는 채용 공고 모음을 검토했습니다.

Flcikr 사용자 Kevin Burkett를 통한 이미지



8 8. 한 번의 스 와이프로 신용 카드 리더 해킹

2013 년과 2014 년의 소매점 위반 이후, 모든 사람들은 현재 칩 앤핀 카드의 출시에 대해 이야기하고 있습니다. 지불 처리의 작동 방식을 변경하지 않으면 한 가지 문제를 다른 문제와 거래하는 것입니다. 또한 악의적으로 제작 된 카드를 사용하여 칩 앤 핀 카드를 처리하는 모바일 POS 장치가 어떻게 손상 될 수 있는지 확인했습니다. 공격자는 카드를 리더로 스 와이프하여 PIN을 수집하는 트로이 목마를 리더 자체에로드 할 수 있습니다. 두 번째 불량 카드는 수집 된 정보가 포함 된 파일을 복사합니다. 두 번째 카드는 트로이 목마를 삭제할 수도 있으며 소매 업체는이 침입을 알지 못할 수도 있습니다! 이것은 우리가 현금 기반 사회로 돌아 가기를 원하기에 충분합니다.

Flickr 사용자 Sean MacEntee를 통한 이미지



9 9. 네트워크 드라이브가 감시하고 있습니다

우리는 최근에 가정용 라우터와 공격자가 라우터를 어떻게 손상시키는 지에 많은 관심을 기울였습니다. Independent Security Evaluators의 Jacob Holcomb에 따르면 네트워크 연결 스토리지 장치는 그다지 문제가되지 않는다고합니다. 그는 10 개의 제조업체 (Asustor, TRENDnet, QNAP, Seagate, Netgear, D-Link, Lenovo, Buffalo, Western Digital 및 ZyXEL)의 NAS 장치를 조사하여 모든 취약점을 발견했습니다. 이 문제는 명령 삽입, 사이트 간 요청 위조, 버퍼 오버플로, 인증 우회 및 실패, 정보 공개, 백도어 계정, 불량한 세션 관리 및 디렉토리 탐색과 같은 일반적인 결함입니다. 이러한 문제 중 일부를 결합하여 공격자는 장치를 완전히 제어 할 수 있습니다. NAS에 무엇이 있습니까?

Flickr 사용자 wonderferret를 통한 이미지



10 10. 의료 기기에 대한 공격: 삶과 죽음의 문제

정보 보안 업계의 어느 누구도 전 부통령 딕 체니 (Dick Cheney)의 의사들이 자신의 페이스 메이커가 해킹당하는 것에 대해 걱정했다는 소식에 비웃지 않았습니다. Black Hat의 라운드 테이블은 환자 건강과 보안의 균형을 유지하는 방법을 조사했습니다. 제이 래드클리프 (Jay Radcliffe) 사회자는 우리가 원하는 마지막 것은 건강과 사망의 차이를 의미 할 수있는 의료를 늦추는 보안이다. 우리가 의료 기기에 대한 일반적인 보안 모범 사례를 사용할 수 없다는 냉정한 실현은 SecMedic의 연구원들이 제세동기를 포함한 모든 기기의 취약점을 조사하는 프로젝트에 대해 논의한 DEF CON으로 이어졌습니다. 가장 무서운 부분? 이러한 결함 중 다수는 오픈 소스 도구를 사용하여 1 시간 이내에 발견되었습니다. 이제 병원에 가고 싶지 않습니까?

Flickr 사용자 Phalinn Ooi를 통해