Tabla de contenido:
- 1 más grande y más grande
- 2 Víctima del éxito
- 3 Desafiando a la comunidad de seguridad
- 4 cañones ultrasónicos atacan drones, aerodeslizadores
- 5 ¿Son las burbujas el futuro de la piratería?
- 6 recompensas de errores y cerveza
- 7 parques eólicos atacantes
- 8 Pwnie Express en guardia
- 9 No confíes en tu impresora
- 10 super colisionador
- 11 Hackear un Tesla (de nuevo)
- 12 Hackear Apple Pay en la Web
- 13 Control de robots industriales desde lejos
- 14 ¿Qué sigue?
Video: Black Ops 3 Beta: HACK ALL STREAKS! Black Hat + Engineer is OP! (Nerfed, yay!) (Noviembre 2024)
La conferencia Black Hat es una oportunidad para que los investigadores, los piratas informáticos y cualquier persona cercana al mundo de la seguridad se reúnan y aprendan unos de otros. Es una semana de sesiones, capacitación e, inevitablemente, una mala toma de decisiones en el área metropolitana de Las Vegas.
En su vigésimo año, Black Hat 2017 comenzó con una nota reflexiva. Alex Stamos, el CSO de Facebook, recordó sus primeros días en la conferencia. Para él, era un lugar para ser aceptado y para aprender de la comunidad. Desafió a esa misma comunidad a ser más empática y prepararse para la próxima generación de hackers al dar la bienvenida a una mayor diversidad.
Las sesiones de Black Hat siempre han sido el lugar para ver ejemplos sorprendentes y, a veces, horripilantes, de investigaciones de seguridad. Este año, vimos cómo engañar a la interfaz web de Apple Pay, cómo derribar un hoverboard usando ultrasonido y aprendimos cuán vulnerables podrían ser los parques eólicos a un ataque cibernético.
Una sesión vio el regreso de un trío de hackers Tesla Model S, que mostraron nuevos ataques. Su investigación seguramente continuará a medida que los vehículos se vuelvan más conectados. ¿También un gran objetivo de hackers? Impresoras
Otra charla notable fue atacar la infraestructura industrial. Con dos ataques exitosos contra la red eléctrica ucraniana el año pasado, asegurar una infraestructura crítica como plantas de energía y fábricas es un problema importante. Esta vez, vimos cómo las burbujas, sí, las burbujas normales, pueden usarse como una carga maliciosa para destruir bombas costosas y críticas.
Quizás el logro más notable del show de este año fue en el campo del criptoanálisis. Utilizando técnicas sofisticadas, un equipo pudo crear la primera colisión de hash SHA-1. Si no estás seguro de lo que eso significa, sigue leyendo porque es genial.
Después de 20 años, Black Hat sigue siendo el escenario principal para los hackers. Pero el futuro es incierto. Los ciberataques de los estados nacionales han pasado de ser una rareza a una ocurrencia regular, y las apuestas son más grandes que nunca. Cómo lidiaremos con eso todavía no está claro; quizás Black Hat 2018 tenga las respuestas. Hasta entonces, echa un vistazo a algunos de los momentos más llamativos del Black Hat de este año a continuación.
1 más grande y más grande
Para el vigésimo aniversario del espectáculo, la presentación se realizó en un estadio masivo en lugar de solo una gran sala de conferencias. El espectáculo ha crecido a pasos agigantados en los últimos años.
2 Víctima del éxito
La congestión en los pasillos fue un problema en el show de este año, y situaciones como la anterior no eran infrecuentes.
3 Desafiando a la comunidad de seguridad
El CSO de Facebook, Alex Stamos, pronunció la nota clave de Black Hat 2017 en un discurso que fue en parte elogioso por la atmósfera familiar de la comunidad de seguridad de antaño y un desafío para mejorar. Llamó a la audiencia a ser menos elitista y reconocer que los riesgos de la seguridad digital han aumentado, citando el papel de la piratería y los ataques de información en las elecciones estadounidenses de 2016.
4 cañones ultrasónicos atacan drones, aerodeslizadores
Los dispositivos usan sensores para comprender el mundo que los rodea, pero algunos de estos sensores están sujetos a manipulación. Un equipo de investigación demostró cómo podían usar el ultrasonido para hacer que los drones se tambalearan, los aerodeslizadores se cayeran y los sistemas de realidad virtual giraran sin control. El ataque es limitado por ahora, las aplicaciones podrían ser de gran alcance.
5 ¿Son las burbujas el futuro de la piratería?
Probablemente no, pero Marina Krotofil demostró cómo atacar el sistema de válvulas en una bomba de agua puede usarse para crear burbujas que reducen la eficiencia de la bomba de agua y, con el tiempo, causan daños físicos que resultan en la falla de la bomba. Con su presentación, Krotofil intentó demostrar que dispositivos inseguros, como válvulas, podrían atacar dispositivos seguros, como bombas, a través de nuevos medios. Después de todo, no hay antivirus para burbujas.
6 recompensas de errores y cerveza
En los últimos años se ha visto la expansión de los programas de recompensas por errores, donde las empresas pagan a los investigadores, probadores de penetración y piratas informáticos una recompensa en efectivo por informar de errores. El investigador James Kettle le dijo a la multitud en su sesión cómo reunió un método para probar 50, 000 sitios web simultáneamente. Tuvo algunas desventuras en el camino, pero ganó más de $ 30, 000 en el proceso. Dijo que su jefe inicialmente insistió en gastar cualquier dinero ganado en el esfuerzo automatizado en cerveza, pero a la luz del éxito de Kettle, optaron por donar la mayoría a la caridad y gastar solo un poco en cerveza.
7 parques eólicos atacantes
El investigador Jason Staggs dirigió una evaluación integral de seguridad de los parques eólicos, lo que llevó a su equipo a construir varias plantas de energía de hilatura de 300 pies. No solo la seguridad física era débil (a veces, solo un candado), sino que la seguridad digital era aún más débil. Su equipo desarrolló varios ataques que podrían retener el rescate de los parques eólicos e incluso causar daños físicos. Piense en Stuxnet, pero para enormes y giratorias cuchillas de muerte.
8 Pwnie Express en guardia
El año pasado, Pwnie Express trajo su equipo de monitoreo de red y descubrió un ataque de punto de acceso maligno masivo que se configuró para imitar una red amigable para dispositivos que pasan e invitarlos a conectarse. Este año, Pwnie trabajó con el equipo de seguridad de red de Black Hat, pero no detectó nada tan grande como el ataque del año pasado, al menos, nada que no fuera parte de un ejercicio de entrenamiento en una sesión de Black Hat. Este sensor Pwn Pro fue uno de varios colocados durante la conferencia para monitorear la actividad de la red.
a
9 No confíes en tu impresora
Las impresoras de red han sido vistas por los investigadores como objetivos principales. Son ubicuos, están conectados a Internet y, a menudo, carecen de seguridad básica. Pero Jens Müller demostró que es lo que cuenta adentro. Al utilizar los protocolos utilizados por casi todas las impresoras para convertir archivos en material impreso, pudo realizar varios ataques. Podía extraer trabajos de impresión anteriores e incluso superponer texto o imágenes en documentos. Los ataques que describió existirán hasta que alguien finalmente se deshaga de estos protocolos de décadas.
10 super colisionador
Las funciones de hash están en todas partes, pero son casi invisibles. Se utilizan para verificar contratos, firmar software digitalmente e incluso contraseñas seguras. Una función hash, como SHA-1, convierte archivos en una cadena de números y letras, y no se supone que dos sean iguales. Pero el investigador Elie Bursztein y su equipo idearon una forma en que dos archivos diferentes terminan con el mismo hash. Esto se llama colisión, y significa que SHA-1 está tan muerto como un clavo de puerta.
11 Hackear un Tesla (de nuevo)
En 2016, un trío de investigadores mostró cómo pudieron tomar el control de un Tesla Model S. Este año, los investigadores de Tencent KeenLab volvieron a caminar paso a paso a través de su ataque. Pero no todo fue recapitulación: también examinaron la mitigación de Tesla de su ataque inicial y presentaron sus nuevos ataques; El equipo mostró un par de autos que encendieron sus luces y abrieron sus puertas al ritmo de la música.
12 Hackear Apple Pay en la Web
Cuando se lanzó por primera vez, escribí extensamente sobre Apple Pay, elogiando su tokenización de datos de tarjetas de crédito y cómo Apple no pudo rastrear sus compras. Pero Timur Yunusov no estaba convencido. Descubrió que era posible enganchar credenciales y realizar un ataque de repetición usando Apple Pay en la web. Mejor vigile esas facturas de tarjetas de crédito.
13 Control de robots industriales desde lejos
Un trío de investigadores, que representan a un equipo del Politecnico di Milano y Trend Micro, presentaron sus hallazgos sobre la seguridad de los robots. No son tus amigables Roombas, sino los robots industriales poderosos y trabajadores que se encuentran en las fábricas. Encontraron varias debilidades críticas que podrían permitir a un atacante tomar el control de un robot, introducir defectos en los procesos de fabricación e incluso potencialmente dañar a los operadores humanos. Más preocupante es el descubrimiento de que hay muchos miles de robots industriales conectados a Internet.
14 ¿Qué sigue?
Black Hat está listo para otro año, pero con la seguridad digital más visible y valiosa que nunca, el año que viene seguramente tendrá algunas sorpresas interesantes.
