ビデオ: Black Hat SEO, est-ce que ça marche vraiment ? (十一月 2024)
ブラックハットは、セキュリティの研究者、ハッカー、および業界の集まりであり、ラスベガスで3つのことを行います。最新の脅威の概要を説明し、善人と悪人の敗北方法を示し、参加者に攻撃を仕掛けます。 今年は、ショーの参加者に対する攻撃、自動車のハック、ATMから現金を盗む新しい方法、スマート電球が思ったほど安全ではない理由など、多くの恐ろしい攻撃がありました。 しかし、危険なサーバーを見つけるためのマシンの指導、DungeonsとDragonsを使用した従業員のセキュリティ脅威への対処、AppleがiPhoneのセキュリティを処理する方法の教育など、多くの希望する理由もありました。 それはすべて、かなり心を痛める年でした。
いいもの
はい、AppleはBlack Hatでバグ報奨金プログラムを発表しました。 しかし、これはAppleのセキュリティエンジニアリングおよびアーキテクチャの責任者であるIvan Krsticによるプレゼンテーションの最後の10分間に過ぎませんでした。 直前の40分間で、彼はAppleがユーザーのデバイスとデータを悪意のある人からも自分自身からも保護する方法について、前例のない詳細な調査を提供しました。 そして、はい、それは神に正直なミキサーを使用することを含みます。
モノのインターネットデバイスの人気が高まるにつれて、セキュリティの専門家の関心が高まっています。 結局のところ、これらはネットワークに接続されたマイクロコンピューターを備え、コードを完全に実行できるデバイスです。 それは攻撃者の夢です。 良いニュースは、少なくともフィリップの色相システムの場合、電球から電球にジャンプするワームを作成することは非常に困難です。 悪いニュースは? Hueシステムをだまして攻撃者のネットワークに参加させるのは、明らかに非常に簡単です。
すべてのビジネスのすべてのセキュリティトレーニングには、従業員が未知のソースからの電子メールのリンクをクリックしてはならないという警告が含まれています。 また、従業員は引き続き、それらに関係なくクリックするようになります。 エルランゲンニュルンベルク大学のZinaida Benenson博士は、従業員が好奇心やその他の動機に抵抗することを期待することは、単に合理的ではないと結論付けました。 ジェームズボンドにしたい場合は、それを職務明細書に記載し、それに応じて支払う必要があります。
セキュリティの研究と実行の多くは気が遠くなるほど退屈な作業ですが、機械学習の新しい技術は間もなくより安全なインターネットにつながる可能性があります。 研究者は、ボットネットのコマンドアンドコントロールサーバーを特定するためのマシンの教育での努力を詳述しました。これにより、悪者は数十万(数百万ではないにしても)のコンピューターを制御できます。 このツールは、このような極悪な活動を隠蔽するのに役立つ可能性がありますが、すべてが徹底的な研究ではありません。 セッションを締めくくるために、研究者は機械学習システムを使用して、まずまずのテイラースウィフトの歌を生成する方法を示しました。
誰もが知っているホテルのネットワークは、ペット用品のカンファレンスには適しているかもしれませんが、Black Hatには適していません。 会議には独自の完全に独立したネットワークと、それを管理する印象的なネットワークオペレーションセンターがあります。 訪問者は、多くの輝くスクリーン、ハッカー映画、およびNOCの長期的なセキュリティの専門家のガラスの壁を覗き込むことができます。
ITセキュリティワンクやホワイトハットハッカーは、セキュリティトレーニングを十分に受けることができませんが、本当に必要なものではありません。 セールススタッフ、HRチーム、およびコールセンタークルーは、セキュリティトレーニングを必ずしも理解または評価しているわけではありませんが、セキュリティゲームを強化するために本当に必要です。 研究者のTiphaine Romand Latapieは、セキュリティトレーニングをロールプレイングゲームとしてやり直すことを提案しました。 彼女はそれが完全に機能することを発見し、セキュリティチームと他のスタッフとの間に重要な新しい関与を生み出しました。 ダンジョンとドラゴン、誰か?
詐欺電話は大きな問題です。 IRS詐欺は、疑いを持たないアメリカ人を現金で分岐させるよう説得します。 パスワードリセット詐欺は、コールセンターを欺いて顧客データを漏らします。 フォレンジック言語学者のジュディス・タブロン教授は、実際の詐欺電話を分析し、それらを見つけるのに役立つ2つの部分からなるテストを考案しました。 これを読んで学んでください、OK? これはシンプルで価値のある手法です。
恐ろしい
Pwnie Expressは、ネットワークの空域を監視して不要なものがないかを確認するデバイスを構築します。これは、同社が今年Black Hatで大規模な中間者攻撃を発見したため、良いことでもあります。 この場合、悪意のあるアクセスポイントがSSIDを変更して、電話やデバイスをだましてネットワークに参加させ、デバイスが以前に見た安全で友好的なネットワークであると考えました。 その際、攻撃者は約35, 000人をだましました。 会社が攻撃を見つけることができたのは素晴らしいことですが、非常に大規模だったという事実は、これらの攻撃がどれほど成功したかを思い出させます。
昨年、チャーリー・ミラーとクリス・ヴァラセクは、多くの人が自動車ハッキングのキャリアの頂点であると仮定したことを発表しました。 彼らは今年、さらに大胆な攻撃で戻ってきました。車がどんな速度で動いていても、ブレーキやステアリングホイールのナブコントロールを適用できる攻撃です。 以前の攻撃は、車が5Mph以下で走行しているときにのみ実行できました。 これらの新しい攻撃はドライバーに大きなリスクをもたらす可能性があり、自動車メーカーによって迅速にパッチが適用されることを期待しています。 ヴァラセクとミラーは、自動車のハッキングは完了したと述べたが、他の人に自分の足跡をたどることを奨励した。
Mr. Robotを見ると、駐車場の周りにUSBドライブをばらまくことにより、被害者のコンピューターに感染する可能性があることがわかります。 しかし、それは本当に機能しますか? Googleの不正防止および虐待研究のリーダーであるElie Burszteinは、このテーマに関する2部構成の講演を行いました。 最初の部分は、それが機能することを明確に示した研究を詳述しました(そして駐車場は廊下よりも優れています)。 2番目の部分では、コンピュータを完全に引き継ぐUSBドライブの構築方法を詳細に説明しました。 メモを取った?
ドローンは、昨年のホリデーショッピングシーズンに人気のアイテムでした。 プレゼンテーションでは、DJI Phantom 4を使用して産業用ワイヤレスネットワークを妨害したり、従業員をスパイしたり、さらに悪いことをする方法を示しました。 秘trickは、多くの重要な産業用サイトが「エアギャップ」と呼ばれるものを使用して、機密性の高いコンピューターを保護することです。 基本的に、これらは外部のインターネットから隔離されたネットワークとデバイスです。 しかし、小型で機動性のあるドローンは、代わりにインターネットをもたらすことができます。
機械学習は、多くのハイテク産業に革命を起こし、詐欺師も含まれています。 Black Hatの研究者は、非常に効果的なスピアフィッシングメッセージを生成するためにマシンをどのように教えることができるかを示しました。 彼らのツールは、価値の高いターゲットを特定し、被害者のツイートを精査して、関連性のある魅力的なクリック可能なメッセージを作成します。 チームはスパムボットで悪意のあるものを拡散しませんでしたが、これらの手法を採用する詐欺師を想像するのは難しくありません。
ホテルでは無料のWi-Fiを期待していますが、必ずしも安全ではないことを十分に理解しているかもしれません。 しかし、Airbnbまたはその他の短期レンタルでは、セキュリティが潜在的に最悪のセキュリティを持つ可能性があります。 どうして? なぜなら、ゲストはルーターに 物理的に アクセスできるため、完全に所有できるからです。 ジェレミーギャロウェイの講演では、ハッカーができること(悪いことです!)、安全を保つためにできること、そのような攻撃を阻止するために財産所有者ができることについて詳しく説明しました。 それは消えない問題です。
Black Hatでの最も包括的な講演の1つで、Rapid7のPentester Weton Hecker上級副社長は、詐欺の新しいモデルとなる可能性があることを示しました。 彼のビジョンには、侵害されたATM、POSマシン(食料品店など)、およびガスポンプの大規模なネットワークが含まれます。 これらは、被害者の支払い情報をリアルタイムで盗み出し、その後、電動PINプッシュデバイスの助けを借りて、迅速に入力する可能性があります。 ATMが現金を吐き出し、詐欺師が個人のクレジットカード情報ではなく、支払い詐欺の大規模なリアルタイムネットワークにアクセスするという未来のビジョンで話は終わりました。
Black Hatでの支払いシステムへの攻撃を詳細に説明したプレゼンテーションはこれだけではありません。 別の研究者グループは、Raspberry Piと少しの努力で、チップカードトランザクションから大量の個人情報を傍受する方法を示しました。 特に注目すべきは、チップカード(別名EMVカード)がマグスワイプカードよりも安全であると考えられているだけでなく、米国がチップカードを国内で展開し始めたばかりだからです。
来年は、新しい研究、新しいハッキング、新しい攻撃をもたらすでしょう。 しかし、Black Hat 2016は今年の雰囲気を整えており、ハッカーの仕事(白か黒かに関わらず)が実際に行われることはないことを示しています。 申し訳ありませんが、クレジットカードを細断処理して、森のファラデーケージに住んでいきます。