검은 모자 2015에서 가장 무서운 15 가지

4 클라우드에서 파일 훔치기

Dropbox 및 Google Drive와 같은 클라우드 스토리지 서비스는 업무 수행을위한 필수 도구가되었습니다. 이것이 클라우드에서 모든 파일을 훔칠 수있는 Imperva 연구원의 새로운 공격이 너무 차가워지는 이유입니다. 더 나쁜 것은 Imperva는 경계 방어 및 기존 엔드 포인트 보안 도구로는 공격을 탐지 할 수 없다고 말합니다.

이 공격의 영리한 부분은 잠재적 피해자의 자격 증명을 훔치거나 클라우드 플랫폼 자체를 손상시켜야하는 문제를 피한다는 것입니다. 대신, 공격자는 로컬에 저장된 클라우드 파일 복사본을 다른 서버로 리디렉션하여 컴퓨터가 중요한 모든 파일을 행복하게 전달하는 맬웨어를 설치하도록 피해자를 속입니다.

당신의 안드로이드 전화의 제어를 압류

RAT (원격 액세스 트로이 목마)를 사용하면 공격자가 전화 나 컴퓨터 앞에 앉아있는 것처럼 원격으로 액세스 할 수 있습니다. 그들은 당신이 보는 것을 볼 수 있으며, 심지어 사진을 찍거나, 마이크로들을 수 있으며, 몰라도 비디오를 촬영할 수 있습니다. 가장 무서운 종류의 맬웨어 중 하나이며, 연구원들은 수백만 개의 Android 기기에서 이러한 종류의 액세스 권한을 얻는 방법을 찾았다 고 말합니다.

문제는 일부 안드로이드 제조업체는 LogMeIn 또는 TeamViewer와 같은 원격 지원 서비스가 연락 할 때까지 일반적으로 휴면 상태 인 특수 플러그인을 포함한다는 것입니다. 그런 다음 플러그인이 켜지고 회사에서 전화를 사용하는 지원 에이전트 인 것처럼 Android 디바이스에 액세스 할 수 있습니다. Check Point 연구원 Ohad Bobrov와 Avi Bashan은이 플러그인을 악의적으로 사용하여 Android 전화를 제어 할 수있는 방법을 발견했습니다. 최악의 부분? 이러한 플러그인은 제조업체에서 설치하므로 사용자를 보호하기 위해 할 수있는 일은 없습니다.

6 Stagefright가 쇼를 훔친다

Zimperium 연구원 Josh Drake가 Black Hat 이전에 공개 한 Stagefright는 Android의 새롭고 무서운 무서운 취약점입니다. 얼마나 큰? 모든 Android 기기의 95 %에 영향을 줄 것으로 생각됩니다. 얼마나 무섭지? 드레이크 (Drake)는 문자 메시지 만 보내면 안드로이드 폰에서 코드를 실행할 수있게되었다. 올바른 종류의 공격과 함께, 이것은 치명적일 수 있습니다.

드레이크는 블랙 햇에서 Stagefright, 그것이 어디에서 왔는지, 그리고 연구하면서 발견 한 것에 대해 이야기했습니다. 안드로이드의 코드베이스가 엄청나고 더 많은주의를 기울여야한다는 것이 큰 문제였습니다. "이것은 아마도 서둘러 작성된 유일한 코드는 아니다"라고 Drake는 말했다.

또한 Black Hat에는 Google의 Android 보안 책임자 인 Adrian Ludwig (위 그림)가 참석했습니다. 그는 Stagefright의 범위를 인정했지만 Google과 파트너는 Stagefright 악용으로부터 Android를 보호하기 위해 똑같이 큰 노력을 기울이고 있다고 발표했습니다. Ludwig는 또한 Android를 안전하게 유지하기 위해 Google이 이미 수행 한 작업을 강조했습니다. 그는 수많은 공격에도 불구하고 안드로이드는 여전히 강력하다고 말했다.

7 리눅스 기반 소총 해킹

곧 사물 인터넷이 우리 주변에있을 것입니다. 실제로, 그것은 이미 있습니다 (스마트 TV와 라우터를보고 있습니다!). 그러나 인터넷에 연결된 기술이 총기처럼 막 진입하기 시작한 곳도 있습니다. Runa Sandvik과 그녀의 공동 연구원 인 Michael Auger는 추적 포인트 스마트 소총을 구입하고, 찢고, 성공적으로 해킹했습니다. 정상적인 상황에서이 소총은 매번 당신의 마크를 치는 데 도움이됩니다. 해커 제어 하에서 잠금을 설정하고, 목표를 놓치게하고, 다른 목표를 공격하도록 유도 할 수 있습니다.

샌드 빅 (Sandvik)과 오거 (Auger)의 작업에서 분명한 한 가지는 소총 해킹이 쉽지 않다는 것입니다. 그들은 Tracking Point가했던 많은 것들을 지적하고 IOT 장치를 개선 할 수있는 방법에 대해 업계에 제안하는 데 시간이 걸렸습니다. 어쩌면이 소총을 해킹하면 언젠가 더 안전한 토스트기가있는 세상으로 이어질 것입니다.

8 명의 해커가 커넥 티드 홈을 열어 놓을 수 있습니다

ZigBee 홈 오토메이션 시스템을 사용하면 도어록, 조명 및 온도 조절 장치를 쉽게 제어 할 수 있지만 해당 제어 기능을 해커로 확장 할 수도 있습니다. 극적인 프레젠테이션에서 연구원 Tobias Zillner와 Sebastian Strobl은 ZigBee 기반 시스템을 제어 할 수있는 방법을 시연했습니다.

결함은 ZigBee가 아니라 통신 시스템을 사용하는 공급 업체에있는 것 같습니다. ZigBee는 올바른 보안 담당자 만 장치와 대화 할 수 있도록 다양한 보안 도구를 제공합니다. 그러나 공급 업체는 이러한 도구를 사용하지 않고 보안이 취약한 백업 시스템을 사용합니다. 고맙게도, 어려운 일이기는하지만 장치 제조업체는 공동 게임을 강화해야합니다.

9 지문이 얼마나 안전합니까?

점점 더 많은 모바일 장치에 지문 센서가 포함되어 있으며 앞으로 더 이국적인 종류의 생체 인증도 기대할 수 있습니다. 그러나 지문 데이터는 휴대 전화에 안전하게 저장되지 않을 수 있으며 판독기 자체가 해커의 공격을받을 수 있습니다. FireEye 연구원 인 Tao Wei와 Yulong Zhang은 지문 데이터를 훔칠 수있는 4 가지 공격을 발표했습니다. 손가락이 부족하지 않으면 그렇게 큰 문제는 아닙니다.

Zhang이 제시 한 네 가지 공격 중 두 가지가 특히 흥미로웠다. 첫 번째는 올바른 도구를 사용하여 공격자가 잠금 해제 화면을 스푸핑하여 피해자가 스캐너에서 손가락을 스 와이프하도록 속이는 방법을 보여주었습니다. 단순한! 훨씬 더 복잡한 또 다른 공격은 안드로이드 장치의 안전한 TrustZone 세그먼트에 침입하지 않고도 지문 스캐너의 데이터에 액세스 할 수 있습니다. Zhang과 Wei가 발견 한 취약점이 패치 되었음에도 불구하고 아직 더 많은 취약점이 발견되었을 가능성이 있습니다. (이미지 )

10 화학 공장 해킹은 정말 어렵습니다

Black Hat에서 가장 복잡한 프레젠테이션 중 Marina Krotofil은 공격자가 재미와 이익을 위해 화학 공장을 무릎에 어떻게 가져올 수 있는지 설명했습니다. 글쎄, 대부분 이익. 이 과정은 독특한 도전으로 가득 차 있는데, 그 중 가장 큰 것은 가스와 액체가 해커가 이용할 수있는 전자 장치로는 쉽게 추적 할 수없는 이상한 방식으로 움직이는 플랜트의 복잡한 내부 작동을 이해하는 방법을 파악하는 것입니다. 그리고 공장의 성가신 물리를 다루어야합니다. 수압을 너무 낮추면 산이 임계 온도에 도달하여 공격에주의를 끌 수 있습니다.

Krotofil의 발표에서 가장 무서운 부분은 해커가 과거에 이미 유틸리티와 플랜트에서 돈을 성공적으로 빼앗아 갔지만 실제로는 정보를 이용할 수 없다는 사실이었습니다. (이미지 )

11 미래의 안전한 사회

기조 연설에서 저명한 변호사 Jennifer Granick은 기술을 통한 사회 발전의 해커 정신이 어떻게 자만심, 정부 통제 및 기업 이익으로 잃어 버렸는지 설명했습니다. 그녀는 지식과 의사 소통이 원활하고 침식 된 인종 차별주의, 계급주의, 성 차별을 가능하게하는 자유롭고 개방 된 인터넷에 대한 꿈은 결코 완전히 실현되고 빠르게 사라지지 않는다고 말했다.

그녀는 정보 기술이 모든 것에 데이터 분석이 사용되는 세상을 만들 것이라는 두려움을 설명했습니다. 이것은 기존의 전력 구조를 강화하고 프린지 케이스를 가장 많이 해칠 것이라고 그녀는 말했다. 그녀는 또한 정부가 권력을 계획하고 안보 및 안보를 만드는 방법으로 안보를 사용하는 것에 대해 경고했다. 무서운 것들.

12 체포되지 않는 방법

Black Hat 참석자 중 가장 많이 논의 된 세션 중 하나는 법무부가 주최 한 세션입니다. 평범한 사람에게는 아마도 둔하게 들릴지 모르지만, 이 활발한 세션은 청중을 교육하고 해커가 법을 어 기지 않고 어떻게 작업을 계속할 수 있는지 설명하려고 노력했습니다.

기관의 컴퓨터 범죄 및 지적 재산권 섹션에있는 DOJ 국가 안보에 대한 특별 고문 인 Leonard Bailey는 참석자들에게 취약성 스캔 및 침투 테스트를 안전하게 수행 할 수있는 방법을 설명했습니다. 그러나 더 중요한 것은 법 집행 기관이 보안 연구에 냉담한 영향을 미치지 않도록하기위한 DOJ의 노력입니다.

네트워크상의 공격자 13 명

Black Hat 네트워크를 신뢰하지 마십시오. 네트워크에는 많은 사람들이 있으며 많은 참석자들은 일주일 동안 배운 새로운 트릭과 기술을 시험해 볼 수있는 기회를 사용합니다. Fortinet은 올해 Black Hat의 보안 운영 센터를 관리하고 현장의 유선 및 무선 네트워크에서 모든 활동을 모니터링했습니다. 실행중인 응용 프로그램을 보여주는 많은 화면이 있었지만 모든 보안 전문가 팀이 대량의 분석을 수행했습니다. 고급 웹 침투 공격 기술을 배우는 한 학급이 조금 나빠져 ISP가 운영 팀에 전화를 걸어 중지하도록 요청했습니다.

로보 콜 종료

이것은 Black Hat이 아니라 DEF CON이었습니다. Humanity Strikes Back은 해커들이 안티 로보 콜 소프트웨어를 만든 DEF CON의 FTC 콘테스트입니다. 아이디어는 통화 오디오를 분석하고 통화가 로보 콜 인 경우 최종 사용자로부터 차단하고 허니팟으로 통화를 전달하는 도구를 만드는 것이 었습니다. 결선 참가자 2 명은 DEF CON 기간 동안 상황에 맞는 책상에서 소프트웨어를 시연했으며이 로봇은 1 번을 누르면 유람선 휴가를 즐겁게 제공했습니다.

15 해커가되는 방법

보안 연구를 위해 체포되지 않는 방법을 알게되었으므로 자신 만의 해킹 도구를 가지고 놀아보고 싶습니까? 모든 종류의 재미를 누릴 수있는 맞춤형 플랫폼 인 Kali Linux를 시작하십시오.

Kali Linux는 쉬워야하지만 더 중요한 것은 유연해야합니다. 맬웨어 테스트, 네트워크 테스트, 침투 테스트 도구를 추가하거나 제거 할 수 있습니다. 이동 중에도 보안 테스트를 위해 Raspberry Pi에 도구를 설치할 수도 있습니다.