집 풍모 Black Hat 2017 : 최고의 (그리고 가장 무서운) 핵

Black Hat 2017 : 최고의 (그리고 가장 무서운) 핵

2024

차례:

1 더 큰
2 성공의 피해자
3 보안 커뮤니티에 도전
4 초음파 총 공격 드론, 호버 보드
5 버블은 해킹의 미래인가?
6 버그 바운티와 맥주
7 바람 농장을 공격
Pwnie Express 온 가드
9 프린터를 신뢰하지 마십시오
10 슈퍼 콜 라이더
11 테슬라 해킹 (다시)
12 웹에서 Apple Pay 해킹
13 멀리서 산업용 로봇 제어
14 다음은?

비디오: If Black Hat would ever care about anyone (십월 2024)

Black Hat 컨퍼런스는 연구원, 해커 및 보안 분야에 가까운 모든 사람이 서로 수집하고 배울 수있는 기회입니다. 라스 베이거스 지역의 일주일에 걸친 세션, 교육 및 불가피한 의사 결정입니다.

20 년째에 Black Hat 2017은 성찰을 시작했습니다. Facebook의 CSO 인 Alex Stamos는 초기 회의에서 회상했습니다. 그를 위해, 그것은 받아 들여지고 공동체로부터 배우는 곳이었습니다. 그는 같은 지역 사회가 더 공감하고 더 많은 다양성을 환영함으로써 차세대 해커를 준비하도록 도전했습니다.

Black Hat 세션은 항상 보안 연구의 놀랍고 때로는 끔찍한 사례를 볼 수있는 곳이었습니다. 올해, 우리는 Apple Pay의 웹 인터페이스를 속이는 방법, 초음파를 사용하여 호버 보드를 넘어 뜨리는 방법, 사이버 공격에 취약한 바람 농장이 얼마나 위험한지 알게되었습니다.

한 세션에서는 새로운 공격을 보이는 Tesla Model S 해커 3 명이 돌아 왔습니다. 그들의 연구는 차량이 점점 더 연결됨에 따라 계속 될 것입니다. 또한 큰 해커 대상? 프린터.

또 다른 주목할만한 강연은 산업 인프라 공격에 대한 것이었다. 작년 우크라이나 전력망에 대한 두 차례의 성공적인 공격으로 발전소 및 공장과 같은 중요한 인프라를 확보하는 것이 중요한 문제입니다. 이번에는 일반적인 거품과 같은 거품이 악의적 인 페이로드로 사용되어 고가의 중요 펌프를 파괴하는 방법을 살펴 보았습니다.

아마도 올해의 쇼에서 가장 주목할만한 성과는 암호 분석 분야였습니다. 정교한 테크닉을 사용하여 팀은 첫 번째 SHA-1 해시 충돌을 만들 수있었습니다. 그게 무슨 뜻인지 잘 모르겠다면, 매우 시원하기 때문에 계속 읽으십시오.

20 년이 지난 후에도 Black Hat은 여전히 해커에게 최고의 단계입니다. 그러나 미래는 불확실합니다. 국가-국가 사이버 공격은 희귀 성에서 정기적으로 발생했으며, 그 위험은 그 어느 때보 다 커졌습니다. 우리가 어떻게 대처할 것인지는 아직 명확하지 않습니다. 아마도 Black Hat 2018에서 답을 얻을 것입니다. 그때까지 올해의 Black Hat에서 눈길을 끄는 순간을 아래에서 확인하십시오.

1 더 큰

이 프로그램의 20 주년을 맞이하여 기조 연설은 대규모 회의실 대신 대규모 경기장에서 열렸습니다. 쇼는 지난 몇 년 동안 비약적으로 발전했습니다.

2 성공의 피해자

복도의 혼잡은 올해 쇼에서 문제가되었으며 위와 같은 상황은 드물지 않았습니다.

3 보안 커뮤니티에 도전

Facebook CSO Alex Stamos는 2017 년 Black Hat 기조 연설에서 보안 커뮤니티의 가족과 같은 분위기를 좋아하고 더 나은 도전을하는 것에 대한 찬사를 보냈습니다. 그는 청중들에게 덜 엘리트 주의자가되고 2016 미국 선거에서 해킹과 정보 공격의 역할을 언급하면서 디지털 보안의 위험이 높아 졌음을 인식 할 것을 촉구했습니다.

4 초음파 총 공격 드론, 호버 보드

장치는 센서를 사용하여 주변 세계를 이해하지만 이러한 센서 중 일부는 변조 될 수 있습니다. 한 연구팀은 초음파를 사용하여 드론이 흔들 리거나 호버 보드가 넘어지고 VR 시스템이 제어 할 수 없게 회전하는 방법을 시연했습니다. 현재로서는 공격이 제한되어 있으며 애플리케이션 에까지 도달 할 수 있습니다.

5 버블은 해킹의 미래인가?

아마도 그렇지는 않지만 Marina Krotofil은 워터 펌프의 밸브 시스템을 공격하여 버블을 생성하여 워터 펌프의 효율을 낮추고 시간이 지남에 따라 물리적 인 손상을 일으켜 펌프 고장을 유발하는 방법을 시연했습니다. Krotofil은 프리젠 테이션을 통해 밸브와 같은 안전하지 않은 장치가 새로운 수단을 통해 펌프와 같은 안전한 장치를 공격 할 수 있음을 보여주었습니다. 결국, 거품에 대한 바이러스 백신은 없습니다.

6 버그 바운티와 맥주

최근 몇 년간 버그 바운티 프로그램이 확장되어 버그 리포터에 대한 기업, 연구원, 침투 테스터 및 해커에게 현금 바운티를 지불했습니다. 제임스 케틀 (James Kettle) 연구원은 자신의 세션에서 50, 000 개의 웹 사이트를 동시에 테스트하는 방법을 모은 방법을 군중에게 말했다. 그는 도중에 약간의 오해가 있었지만 그 과정에서 3 만 달러 이상을 벌었 다. 그는 그의 상사가 처음에는 맥주에 대한 자동화 된 노력으로 벌어 들인 돈을 소비한다고 주장했지만, 케틀의 성공에 비추어 대다수를 자선 단체에 기부하고 맥주에 조금만 지출하기로했다.

7 바람 농장을 공격

Jason Staggs 연구원은 풍력 발전소에 대한 종합적인 보안 평가를 이끌 었으며 이로 인해 그의 팀은 300 피트의 회전 발전소를 세웠습니다. 물리적 보안은 약할뿐만 아니라 (때로는 자물쇠 만) 디지털 보안은 더욱 약했습니다. 그의 팀은 바람 농장의 몸값을 유지하고 심지어 물리적 손상을 일으킬 수있는 몇 가지 공격을 개발했습니다. Stuxnet을 생각해보십시오.

Pwnie Express 온 가드

작년 Pwnie Express는 네트워크 모니터링 장비를 가져와 통과하는 장치에 친숙한 네트워크를 모방하여 연결하도록 초대 한 대규모 악의 액세스 포인트 공격을 발견했습니다. 올해 Pwnie는 Black Hat의 네트워크 보안 팀과 함께 일했지만 작년의 공격만큼 큰 것은 발견하지 못했습니다. 최소한 Black Hat 세션에서 훈련에 참여한 것은 아닙니다. 이 Pwn Pro 센서는 네트워크 활동을 모니터링하기 위해 회의 전체에 배치 된 여러 장치 중 하나였습니다.

9 프린터를 신뢰하지 마십시오

네트워크 프린터는 오랫동안 연구자들에 의해 주요 대상으로 여겨져왔다. 유비쿼터스이며 인터넷에 연결되어 있으며 기본 보안이 부족한 경우가 많습니다. 그러나 젠스 ler 러 (Jens Müller)는 그것이 그 안에있는 것이 중요하다는 것을 보여주었습니다. 거의 모든 프린터에서 파일을 인쇄물로 변환하는 데 사용되는 프로토콜을 사용하여 여러 가지 공격을 수행 할 수있었습니다. 이전 인쇄 작업을 추출하고 문서에 텍스트 나 이미지를 오버레이 할 수도 있습니다. 그가 설명한 공격은 누군가가 수십 년 전의 프로토콜을 마침내 제거 할 때까지 존재할 것입니다.

10 슈퍼 콜 라이더

해시 함수는 어디에나 있지만 거의 보이지 않습니다. 계약을 확인하고 소프트웨어에 디지털 서명하며 암호를 보호하는 데 사용됩니다. SHA-1과 같은 해시 함수는 파일을 숫자와 문자의 문자열로 변환하며 둘은 같지 않아야합니다. 그러나 연구원 Elie Bursztein과 그의 팀은 서로 다른 두 파일이 동일한 해시로 끝나는 방식을 고안했습니다. 이것을 충돌이라고하며 SHA-1이 문 못만큼 죽었다는 것을 의미합니다.

11 테슬라 해킹 (다시)

2016 년에 3 명의 연구원이 Tesla Model S를 어떻게 통제 할 수 있었는지 보여주었습니다. 올해 Tencent KeenLab의 연구원들은 그들의 공격을 단계적으로 밟았습니다. 그러나이 모든 것이 요약 된 것은 아닙니다. 또한 초기 공격에 대한 테슬라의 완화 조치를 검토하고 새로운 공격을 제시했습니다. 팀은 한 쌍의 자동차가 불빛을 깜박이고 음악에 맞춰 문을 열었습니다.

12 웹에서 Apple Pay 해킹

처음 시작했을 때 저는 신용 카드 데이터의 토큰 화와 Apple이 귀하의 구매를 추적 할 수 없었던 방법을 찬양하면서 Apple Pay에 대해 광범위하게 썼습니다. 그러나 Timur Yunusov는 확신하지 못했습니다. 그는 웹에서 Apple Pay를 사용하여 자격 증명을 빼앗고 재생 공격을 수행 할 수 있음을 발견했습니다. 신용 카드 청구서를 계속 주시하십시오.