Sombrero negro 2018: que esperar

A medida que se calienta el verano, los investigadores de seguridad, los espías del gobierno y las élites de la industria se dirigen a Las Vegas para la conferencia Black Hat, seguida inmediatamente por su progenitor más famoso, DefCon.

Es una celebración de una semana de todo lo relacionado con infosec, donde los investigadores intentan unirse entre sí con presentaciones sobre las últimas vulnerabilidades más aterradoras. Después del anochecer, son fiestas deslumbrantes con gente lanzando frases casuales como "barrimos la sala para escuchar dispositivos y encontramos tres". En medio de todo este alboroto estarán sus humildes reporteros de PCMag, Max Eddy y Neil Rubenking, aferrados firmemente a las bebidas de paraguas de papel mientras susurran secretos de seguridad en sus oídos.

Black Hat es conocido por su talento para el espectáculo tanto como por su investigación. Los años anteriores han visto rifles de Linux pirateados, cajeros automáticos que arrojan billetes de $ 100, teléfonos satelitales inseguros y automóviles "inteligentes" de alta tecnología expulsados ​​de la carretera por los investigadores.

Esto es lo que esperamos en el año 21 de Black Hat, y esté atento a SecurityWatch para conocer lo último de Black Hat 2018.

Google en el centro de atención

La presentación principal de este año será entregada por Parisa Tabriz, directora de ingeniería de Google. La charla de Tabriz se centrará en adoptar nuevas ideas para la seguridad, incluso cuando trabaje a una escala enorme, y seguramente tocará su trabajo con el navegador Chrome.



La piratería de automóviles está de vuelta (tipo de)

Después de su ataque de titulares que literalmente expulsó a un Jeep de la carretera, Charlie Miller y Chris Valasek dijeron que habían entregado sus llaves para hackear autos para siempre. Es decir, hasta que se involucraron en vehículos autónomos. Una charla sobre los peligros de los autos autónomos encabezados por los reyes de los ataques automotrices seguramente atraerá la atención.



Hackear humanos

Hay una broma común (aunque despectiva) entre los profesionales de seguridad que dice: "la mayor vulnerabilidad en cualquier sistema es entre la silla y la computadora". Las personas son tan fácilmente engañadas como las computadoras (quizás más fácilmente), y la ingeniería social seguramente será un tema importante. Eso es especialmente cierto a medida que más y más organizaciones enfrentan la vergüenza de sucumbir a los ataques de phishing. Nadie quiere ser el Comité Nacional Demócrata alrededor de 2016, y tener sus luchas internas y recetas de risotto rociadas en la web.



Cifrado y VPN

Hablando de la experiencia, las VPN son un producto básico en la industria de la seguridad. La inquietud global y el deseo de acceder a la transmisión gratuita de videos en línea han impulsado la popularidad de esta herramienta de seguridad que una vez fue soñolienta y pasada por alto. Dada su reciente popularidad y la opacidad de las compañías involucradas, espere que los hackers se centren en los servicios de VPN.

Del mismo modo, el cifrado es la tecnología que hace que todo funcione en línea, desde mantener secretos en secreto hasta verificar la identidad de las personas. Es una herramienta poderosa y también un objetivo emocionante. Los investigadores de la convención seguramente presentarán trabajos sobre cómo separar, debilitar o eludir el cifrado. No esperamos nada tan innovador como la colisión de hash SHA-1, pero una charla sobre un ataque de canal lateral para robar claves de cifrado de enrutadores suena emocionante.



Romper (o usar) Blockchain

Las criptomonedas son las favoritas del inframundo en línea, así como de los inversores tecnológicos. Su valor monetario y su existencia digital los convierten en objetivos fáciles para los piratas informáticos, que es el tema de algunas sesiones este año. Pero es el uso de la tecnología blockchain subyacente como un medio para almacenar información y establecer confianza en línea lo que puede generar la investigación más interesante. Algunas sesiones se centrarán en cómo atacar los cimientos de la criptografía, para fines nefastos.



Hack the Vote

Los intentos rusos de influir en las elecciones estadounidenses de 2016 son una cuestión de hecho, según las agencias de inteligencia y de aplicación de la ley de EE. UU. Es la historia de seguridad de la información más grande desde que se filtró el Snowden, y aún continúa. Si bien no vimos demasiado sobre el tema el año pasado, el pirateo electoral y las máquinas de votación vulnerables son temas perennes en Black Hat, así que espere también este año. Una sesión notable analiza cómo usar el gráfico social existente para desenmascarar los bots rusos de Twitter.



Autenticación de dos factores: ¿Godsend o Maldición?

Google recientemente eliminó el phishing con el uso de dispositivos físicos de dos factores e introdujo su propia línea de claves de seguridad en su próxima conferencia. Pero cada solución a un problema de seguridad es una nueva oportunidad para que un investigador presuma. Estamos seguros de ver algunos ataques en sistemas 2FA.



Hackear en el siglo XXI

Black Hat y DefCon son los eventos más importantes del año para los profesionales de la seguridad y los piratas informáticos aficionados, por lo que también es un momento para mirar a la comunidad en su conjunto. Aunque se han realizado esfuerzos para hacer que la seguridad de la información y las conferencias sean más amigables para las mujeres, las personas de color, las personas con discapacidad y otros grupos a menudo marginados en el negocio de la tecnología, estos eventos son donde el caucho se encuentra con el camino. Habrá más de unas pocas reuniones de diferentes grupos y sesiones sobre cómo hacer que infosec sea más acogedor. Varias sesiones abordan temas de depresión y trastorno de estrés postraumático en la comunidad de piratería, un tema que no se discute con frecuencia.



Cómo piratear una planta de energía (o una planta de tratamiento de agua, o una fábrica, o una red eléctrica)

La mayoría de los piratas informáticos solo quieren ganar dinero rápido, pero algunos atacantes (y actores de los estados nacionales) tienen sus ojos en premios más grandes: la infraestructura. Los años anteriores han visto sesiones sobre cómo destruir una fábrica con burbujas y tácticas sobre cómo derribar los sistemas confusos y personalizados que conforman la mayoría de los complejos industriales.