Table des matières:
- 1 Plus grand et plus grand
- 2 victime du succès
- 3 Défier la communauté de la sécurité
- 4 drones et hoverboards d'attaques à ultrasons
- 5 Les bulles sont-elles l'avenir du piratage?
- 6 primes à la bogue et bière
- 7 parcs éoliens attaquants
- 8 Pwnie Express On Guard
- 9 Ne faites pas confiance à votre imprimante
- 10 super collisionneur
- 11 Pirater une Tesla (encore)
- 12 Pirater Apple Pay sur le Web
- 13 Contrôler les robots industriels de loin
- 14 Et ensuite?
Vidéo: Top 10 des Boss les plus EFFRAYANTS des jeux vidéo ! (Novembre 2024)
La conférence Black Hat est une occasion pour les chercheurs, les pirates informatiques et tous les proches du monde de la sécurité de se rencontrer et d’apprendre les uns des autres. C'est une semaine de sessions, de formation et - inévitablement - de mauvaises prises de décisions dans la grande région de Las Vegas.
À sa vingtième année, Black Hat 2017 a débuté sur une note de réflexion. Alex Stamos, le CSO de Facebook, a rappelé ses débuts à la conférence. Pour lui, c'était un endroit pour être accepté et apprendre de la communauté. Il a invité cette même communauté à faire preuve de plus d'empathie et à se préparer à la prochaine génération de pirates en accueillant davantage de diversité.
Les sessions Black Hat ont toujours été le lieu de voir des exemples surprenants, et parfois horribles, de recherches sur la sécurité. Cette année, nous avons vu comment tromper l'interface Web d'Apple Pay, comment renverser un hoverboard avec Ulstrasound et avons appris à quel point les parcs éoliens pouvaient être vulnérables à une cyberattaque.
Une session a vu le retour d’un trio de pirates informatiques Tesla Model S, qui ont présenté de nouvelles attaques. Leurs recherches se poursuivront à mesure que les véhicules deviennent plus connectés. Aussi une cible de gros hacker? Imprimantes
Un autre discours remarquable a porté sur les infrastructures industrielles. Avec deux attaques réussies contre le réseau électrique ukrainien l'année dernière, la sécurisation d'infrastructures critiques telles que les centrales électriques et les usines est un problème majeur. Cette fois, nous avons vu comment des bulles - oui, des bulles régulières - peuvent être utilisées comme une charge utile malveillante pour détruire des pompes critiques coûteuses.
La réalisation la plus remarquable du salon de cette année est peut-être celle de la cryptoanalyse. En utilisant des techniques sophistiquées, une équipe a été en mesure de créer la première collision de hachage SHA-1. Si vous n'êtes pas sûr de ce que cela signifie, lisez la suite, car c'est très cool.
Après 20 ans, Black Hat est toujours la première étape pour les pirates. Mais l'avenir est incertain. Les cyber-attaques d’États-nations sont passées d’une rareté à une occurrence régulière et les enjeux sont plus importants que jamais. Nous ne savons toujours pas comment nous allons gérer cela. peut-être que Black Hat 2018 aura les réponses. En attendant, jetez un œil à certains des moments les plus accrocheurs du chapeau noir de cette année ci-dessous.
1 Plus grand et plus grand
À l'occasion du 20e anniversaire du spectacle, le discours liminaire s'est tenu dans un stade gigantesque au lieu d'une grande salle de conférence. Le spectacle a grandi à pas de géant ces dernières années.
2 victime du succès
La congestion dans les couloirs était un problème au salon de cette année et des situations comme celle ci-dessus n'étaient pas rares.
3 Défier la communauté de la sécurité
Le CSO de Facebook, Alex Stamos, a prononcé le discours liminaire du Black Hat 2017 dans un discours louant à la fois l'ambiance familiale de la communauté de la sécurité et le défi de faire mieux. Il a appelé le public à être moins élitiste et à reconnaître que les enjeux de la sécurité numérique ont augmenté, évoquant le rôle du piratage informatique et des attaques informatiques lors des élections américaines de 2016.
4 drones et hoverboards d'attaques à ultrasons
Les appareils utilisent des capteurs pour comprendre le monde qui les entoure, mais certains d'entre eux peuvent être altérés. Une équipe de recherche a démontré comment elle pourrait utiliser les ultrasons pour faire vaciller les drones, faire basculer les planches flottantes et les systèmes de réalité virtuelle tourner de manière incontrôlable. L’attaque est limitée pour le moment, les applications pourraient être très étendues.
5 Les bulles sont-elles l'avenir du piratage?
Probablement pas, mais Marina Krotofil a montré comment attaquer le système de vannes d’une pompe à eau pouvait être utilisé pour créer des bulles qui réduisaient l’efficacité de la pompe à eau et, avec le temps, causaient des dommages physiques, entraînant la défaillance de la pompe. Dans son exposé, Krotofil a cherché à démontrer que des dispositifs non sécurisés, tels que des vannes, pouvaient attaquer des dispositifs sécurisés, tels que des pompes, par des moyens novateurs. Après tout, il n'y a pas d'antivirus pour les bulles.
6 primes à la bogue et bière
Au cours des dernières années, les programmes de prime aux bogues ont été étendus. Les entreprises versent aux chercheurs, aux testeurs d'intrusion et aux pirates informatiques une prime en espèces pour avoir signalé des bogues. Le chercheur James Kettle a expliqué à la foule lors de sa session comment il avait mis au point une méthode pour tester simultanément 50 000 sites Web. Il a eu quelques mésaventures en cours de route, mais a gagné plus de 30 000 $. Il a ajouté que son patron avait au départ insisté pour dépenser tout l'argent gagné dans le projet automatisé sur la bière, mais compte tenu du succès de Kettle, ils ont choisi de donner la majorité à une œuvre de charité et de ne dépenser qu'un tout petit peu en bière.
7 parcs éoliens attaquants
Le chercheur Jason Staggs a dirigé une évaluation complète de la sécurité des parcs éoliens, qui a conduit son équipe à construire plusieurs centrales de filature de plus de 300 pieds. Non seulement la sécurité physique était faible (parfois, il ne s'agissait que d'un cadenas), mais la sécurité numérique était encore plus faible. Son équipe a développé plusieurs attaques pouvant contenir une rançon d’éoliennes et même causer des dégâts physiques. Pensez à Stuxnet, mais pour des lames de mort massives et tourbillonnantes.
8 Pwnie Express On Guard
L'année dernière, Pwnie Express a apporté son équipement de surveillance du réseau et a découvert une attaque de point d'accès diabolique massive configurée pour imiter un réseau amical pour les périphériques de passage et les inviter à se connecter. Cette année, Pwnie a travaillé avec l'équipe de sécurité réseau de Black Hat, mais n'a détecté rien d'aussi grand que l'attaque de l'année dernière - du moins, rien qui ne faisait pas partie d'un exercice d'entraînement dans une session Black Hat. Ce capteur Pwn Pro était l’un des nombreux capteurs placés tout au long de la conférence pour surveiller l’activité du réseau.
à
9 Ne faites pas confiance à votre imprimante
Les chercheurs ont longtemps considéré les imprimantes réseau comme des cibles de choix. Ils sont omniprésents, connectés à Internet et manquent souvent de sécurité de base. Mais Jens Müller a montré que c'est ce qui compte à l'intérieur. En utilisant les protocoles utilisés par presque toutes les imprimantes pour convertir les fichiers en documents imprimés, il a été capable de mener un certain nombre d'attaques. Il pouvait extraire les travaux d'impression précédents et même superposer du texte ou des images sur des documents. Les attaques qu'il a décrites existeront jusqu'à ce que quelqu'un se débarrasse enfin de ces protocoles vieux de plusieurs décennies.
10 super collisionneur
Les fonctions de hachage sont partout mais presque invisibles. Ils sont utilisés pour vérifier les contrats, signer les logiciels et même sécuriser les mots de passe. Une fonction de hachage, comme SHA-1, convertit les fichiers en une chaîne de chiffres et de lettres, et deux d'entre eux ne sont supposés être identiques. Mais le chercheur Elie Bursztein et son équipe ont conçu une solution permettant à deux fichiers différents de se retrouver avec le même hash. On appelle cela une collision et cela signifie que SHA-1 est aussi mort qu'un clou de porte.
11 Pirater une Tesla (encore)
En 2016, un trio de chercheurs a montré comment ils avaient réussi à prendre le contrôle d'une Tesla Model S. Cette année, les chercheurs de Tencent KeenLab sont revenus pour traverser leur attaque pas à pas. Mais tout n'a pas été récapitulé: ils ont également examiné l'atténuation de l'attaque initiale par Tesla et présenté leurs nouvelles attaques; L’équipe a montré une paire de voitures clignotant et ouvrant ses portes au rythme de la musique.
12 Pirater Apple Pay sur le Web
Lors de son lancement, j'ai beaucoup écrit sur Apple Pay, en vantant le principe de la tokénisation des données de carte de crédit et en expliquant à quel point Apple n'avait pas été en mesure de suivre vos achats. Mais Timur Yunusov n'était pas convaincu. Il a découvert qu'il était possible de s'emparer des informations d'identification et d'effectuer une attaque par rejeu à l'aide d'Apple Pay sur le Web. Mieux vaut surveiller ces factures de carte de crédit.
13 Contrôler les robots industriels de loin
Un trio de chercheurs, représentant une équipe du Politecnico di Milano et de Trend Micro, a présenté ses conclusions sur la sécurité des robots. Ce ne sont pas vos sympathiques Roombas, mais les robots industriels puissants et travailleurs que l'on trouve dans les usines. Ils ont découvert plusieurs faiblesses critiques qui pourraient permettre à un attaquant de prendre le contrôle d'un robot, d'introduire des défauts dans les processus de fabrication et même potentiellement de nuire aux opérateurs humains. Plus troublant encore est la découverte qu'il existe plusieurs milliers de robots industriels connectés à Internet.
14 Et ensuite?
Black Hat est terminé pour une autre année, mais avec la sécurité numérique plus visible et plus précieuse que jamais, l'année à venir sera certainement remplie de surprises intéressantes.
