뉴스 및 분석 검은 모자 2016의 장점과 끔찍한 것들

검은 모자 2016의 장점과 끔찍한 것들

비디오: Ask Dr. Flug Villainous Dub Compilation (Villainous Comic Dub) (12 월 2024)

비디오: Ask Dr. Flug Villainous Dub Compilation (Villainous Comic Dub) (12 월 2024)
Anonim

Black Hat은 라스 베이거스에서 만나 보안 위협, 해커 및 업계의 모임으로 세 가지 작업을 수행합니다. 올해에는 쇼 참석자에 대한 공격, 자동차 해킹, ATM에서 현금을 훔치는 새로운 방법, 스마트 전구가 생각만큼 안전하지 않은 이유 등 수많은 무서운 공격이있었습니다. 그러나 위험한 서버를 탐지하도록 컴퓨터를 가르치고, 던전과 드래곤을 사용하여 직원들에게 보안 위협 처리에 대한 교육, Apple이 iPhone의 보안을 처리하는 방법 등 많은 희망을 가질만한 이유를 발견했습니다. 모두들 말처럼, 꽤 마음을 굽히는 년이었습니다.

좋은

예, Apple은 Black Hat에서 버그 현상금 프로그램을 발표했습니다. 그러나 Apple의 보안 엔지니어링 및 아키텍처 책임자 인 Ivan Krstic이 발표 한 마지막 10 분의 시간이었습니다. 지난 40 분 동안 그는 애플이 남성과 개인으로부터 사용자의 기기와 데이터를 보호하는 방법에 대해 전례없는 심층적 인 분석을 제공했습니다. 예, 정직한 믹서기를 사용하는 것과 관련이 있습니다.

IoT (Internet of Things) 장치가 점점 더 대중화됨에 따라 보안 전문가는 점점 더 관심을 가지게되었습니다. 결국 이들은 마이크로 컴퓨터가 네트워크에 연결되어 있고 코드를 완전히 실행할 수있는 장치입니다. 이것이 공격자의 꿈입니다. 좋은 소식은 필립스 Hue 시스템의 경우 전구에서 전구로 벌레를 만드는 것이 매우 어렵다는 것입니다. 나쁜 소식? Hue 시스템이 침입자의 네트워크에 참여하도록 속이는 것은 매우 간단합니다.

모든 비즈니스의 모든 보안 교육에는 직원이 알 수없는 출처의 이메일 링크를 클릭해서는 안된다는 경고가 포함됩니다. 그리고 직원들은 계속해서 그들을 클릭하는 것에 정통합니다. Erlangen-Nuremberg 대학의 Zinaida Benenson 박사는 직원들이 호기심과 다른 동기 부여에 저항하는 것을 기대하는 것은 합리적이지 않다고 결론지었습니다. 만약 그들이 제임스 본드가되기를 원한다면, 직업 설명에 넣어서 그에 따라 지불해야합니다.

많은 보안 연구 및 실행은 엄청나게 지루할 수 있지만 기계 학습의 새로운 기술은 곧 더 안전한 인터넷으로 이어질 수 있습니다. 연구원들은 봇넷 명령 및 제어 서버를 식별하기 위해 기계를 가르치는 노력에 대해 자세히 설명했습니다.이를 통해 악의적 인 사용자가 수십만 (수백만이 아닌)의 감염된 컴퓨터를 제어 할 수 있습니다. 이 도구는 그러한 사악한 활동을 막는 데 도움이 될 수 있지만, 그다지 많은 연구가 아니 었습니다. 세션을 마치기 위해 연구원들은 머신 러닝 시스템을 사용하여 어떻게 통과 가능한 Taylor Swift 노래를 생성 할 수 있는지 시연했습니다.

호텔 네트워크를 아는 사람은 애완 동물 공급 컨퍼런스에는 적합하지만 Black Hat에는 적합하지 않습니다. 이 회의에는 자체적으로 분리 된 네트워크와이를 관리 할 수있는 인상적인 네트워크 운영 센터가 있습니다. 방문객들은 수많은 빛나는 화면, 해커 영화 및 NOC의 장기 보안 전문가의 유리 벽을 들여다 볼 수 있습니다. NOC의 전체 보안 기능은 전 세계적으로 포장되어 다음 Black Hat 컨퍼런스로 이동합니다.

IT 보안 문제와 화이트 해커는 보안 교육을 충분히받을 수 없지만 실제로 필요한 교육은 아닙니다. 영업 직원, HR 팀 및 콜 센터 직원은 반드시 보안 교육을 이해하거나 높이 평가할 필요는 없지만 보안 게임을 강화하려면 실제로 직원이 필요합니다. Tiphaine Romand Latapie 연구원은 보안 훈련을 역할 연기 게임으로 재 작업 할 것을 제안했습니다. 그녀는 그것이 완전히 효과가 있으며 보안 팀과 나머지 직원들 사이에 상당한 새로운 참여를 유도했다는 것을 알았습니다. 던전과 드래곤?

사기 전화는 큰 문제입니다. 국세청 사기는 의심의 여지가없는 미국인들이 현금으로 포크하도록 설득합니다. 비밀번호 재설정 사기는 콜 센터를 트릭하여 고객 데이터를 제공합니다. 법의학 언어학자인 Judith Tabron 교수는 실제 사기를 분석하고 두 부분으로 구성된 테스트를 통해이를 찾아 낼 수 있도록했습니다. 이것을 읽고 배우십시오, 알 겠지요? 간단하고 가치있는 기술입니다.

무서운

Pwnie Express는 네트워크 공역을 감시하기위한 장치를 구축합니다. 올해도 Black Hat에서 대규모의 Man-in-the-Middle 공격을 발견했기 때문에 좋은 일입니다. 이 경우 악의적 인 액세스 포인트가 SSID를 변경하여 전화 및 장치를 네트워크에 속여서 이전에 보았던 안전하고 친근한 네트워크라고 생각했습니다. 그렇게하면서 공격자들은 약 35, 000 명을 속였습니다. 회사가 공격을 파악할 수 있었던 것은 대단한 일이지만 그 규모가 엄청나다는 사실은 이러한 공격이 얼마나 성공했는지를 상기시켜줍니다.

작년에 Charlie Miller와 Chris Valasek은 많은 사람들이 자동차 해킹 경력의 정점이라고 가정했습니다. 그들은 올해 더 많은 대담한 공격으로 자동차가 어떤 속도로 움직일 때 스티어링 휠의 브레이크 또는 손잡이 제어를 적용 할 수있는 더 대담한 공격으로 돌아 왔습니다. 이전 공격은 자동차가 5Mph 이하로 주행하는 경우에만 수행 할 수있었습니다. 이러한 새로운 공격은 운전자에게 큰 위험을 초래할 수 있으며 자동차 제조업체가 신속하게 패치 할 것입니다. Valasek과 Miller는 차량 해킹을 마쳤지만 다른 사람들이 발자취를 따르도록 권장했습니다.

로봇 씨를 보면 주차장 주변에 USB 드라이브를 뿌려 피해자의 컴퓨터를 감염시킬 수 있다는 것을 알고 있습니다. 그러나 실제로 작동합니까? Google의 사기 방지 및 학대 조사 책임자 인 엘리 버슈 테인 (Elie Bursztein)은이 주제에 대해 두 부분으로 이야기했습니다. 첫 번째 부분은 그것이 효과가 있음을 분명히 보여주는 연구를 자세히 설명했습니다 (그리고 주차장은 복도보다 낫습니다). 두 번째 부분은 모든 컴퓨터를 완전히 대신 할 USB 드라이브를 작성하는 방법을 정확하게 설명했습니다. 메모를 했습니까?

드론은 마지막 휴가 쇼핑 시즌에 인기있는 아이템이었으며 어쩌면 괴짜에게는 아닙니다. 프레젠테이션에서 DJI Phantom 4를 사용하여 어떻게 산업용 무선 네트워크를 방해하고 직원을 감시하며 악화시킬 수 있는지 보여주었습니다. 요점은 많은 중요 산업 현장에서 소위 "에어 갭"을 사용하여 민감한 컴퓨터를 보호한다는 것입니다. 기본적으로 이들은 외부 인터넷과 격리 된 네트워크 및 장치입니다. 그러나 작고 기동 가능한 드론은 대신 인터넷을 가져올 수 있습니다.

머신 러닝은 수많은 기술 산업에 혁명을 일으키고 있으며 여기에는 사기꾼이 포함됩니다. Black Hat의 연구원들은 어떻게 효과적인 스피어 피싱 메시지를 생성하도록 기계를 가르 칠 수 있는지 시연했습니다. 이 도구는 가치가 높은 대상을 결정한 다음 관련성 있고 견딜 수없는 클릭이 가능한 메시지를 작성하기 위해 피해자의 트윗을 s이 뒤집니다. 이 팀은 스팸 봇에 악의적 인 것을 퍼 뜨리지 않았지만 이러한 기술을 채택한 사기꾼을 상상하기는 어렵지 않습니다.

호텔에서 무료 Wi-Fi가 제공 될 것으로 예상되며 반드시 안전한 것은 아니라는 사실을 잘 알고있을 것입니다. 그러나 에어 비앤비 나 다른 단기 임대, 보안은 잠재적으로 최악의 보안을 가질 수 있습니다. 왜? 손님이 라우터에 물리적으로 액세스 할 수 있기 때문에 게스트가 라우터를 완전히 소유 할 수 있기 때문입니다. Jeremy Galloway의 이야기는 해커가 할 수있는 일 (나쁜 일입니다!), 안전하게 유지하기 위해 할 수있는 일, 재산 소유자가 그러한 공격을 저지하기 위해 할 수있는 일에 대해 자세히 설명했습니다. 사라지지 않는 문제입니다.

Black7에서 가장 포괄적 인 대화 중 하나 인 Rapid7의 수석 펜 테스터 Weton Hecker는 새로운 사기 모델이 무엇인지 시연했습니다. 그의 비전에는 방대한 ATM 네트워크, 식료품 점과 같은 POS 기계 및 가스 펌프가 포함됩니다. 이들은 피해자의 지불 정보를 실시간으로 훔친 다음 전동식 PIN 푸시 장치를 사용하여 신속하게 입력 할 수 있습니다. 이 이야기는 현금 인출기 현금 및 사기꾼이 개인의 신용 카드 정보를 구매하지 않고 대규모 실시간 결제 사기 네트워크에 액세스하는 미래에 대한 비전으로 끝났습니다.

결제 시스템에 대한 공격을 자세히 설명하는 것은 Black Hat의 유일한 프레젠테이션이 아닙니다. 또 다른 연구원 그룹은 Raspberry Pi와 약간의 노력으로 칩 카드 거래에서 개인 정보를 차단하는 방법을 보여주었습니다. 칩 카드 (Aka EMV 카드)가 마그네틱 카드보다 더 안전한 것으로 간주 될뿐만 아니라 미국이 국내에서 칩 카드를 출시하기 시작했기 때문에 특히 주목할 만하다.

내년에는 새로운 연구, 새로운 핵 및 새로운 공격이있을 것입니다. 그러나 Black Hat 2016은 올해의 분위기를 조성하여 해커의 작업 (백색 또는 검은 모자)이 실제로 수행되지 않았 음을 보여줍니다. 실례하겠습니다. 신용 카드를 파쇄하고 숲속에있는 패러데이 케이지에 살게됩니다.

검은 모자 2016의 장점과 끔찍한 것들