Vidéo: 9 astuces RÉFÉRENCEMENT BLACK HAT à suivre à vos risques (Novembre 2024)
Black Hat est un rassemblement de chercheurs en sécurité, de pirates informatiques et de l'industrie qui se réunissent à Las Vegas pour faire trois choses: décrire les dernières menaces, montrer comment les bons et les méchants peuvent être vaincus et lancer des attaques sur les participants. Cette année a été marquée par de nombreuses attaques effrayantes, dont une contre les spectateurs du salon, des piratages de voitures, de nouvelles façons de voler de l'argent dans les distributeurs automatiques et pourquoi les ampoules intelligentes pourraient ne pas être aussi sûres que nous le pensions. Mais nous avons également constaté de nombreuses raisons d'espérer, notamment apprendre aux machines à détecter les serveurs dangereux, à utiliser Dungeons and Dragons pour former les employés à la gestion des menaces à la sécurité et à la manière dont Apple gère la sécurité de votre iPhone. Ce fut, tout compte fait, une année assez hallucinante.
Le bon
Oui, Apple a annoncé un programme de prime aux bogues chez Black Hat. Ivan Krstic, responsable de l'ingénierie et de l'architecture de la sécurité chez Apple, n'était que 10 dernières minutes. Au cours des 40 minutes précédentes, il a présenté de manière sans précédent les moyens utilisés par Apple pour protéger les appareils et les données des utilisateurs, contre les malfaiteurs et contre lui-même. Et oui, cela implique l'utilisation d'un mélangeur honnête à Dieu.
Alors que les appareils de l'Internet des objets deviennent de plus en plus populaires, les professionnels de la sécurité sont de plus en plus concernés. Ce sont, après tout, des appareils avec des micro-ordinateurs connectés à des réseaux et capables de faire fonctionner du code. C'est le rêve d'un attaquant. La bonne nouvelle est que, du moins dans le cas du système Philip's Hue, il est très difficile de créer un ver qui permette de passer d’une ampoule à l’autre. Les mauvaises nouvelles? C'est apparemment très simple de persuader les systèmes Hue de rejoindre le réseau d'un attaquant.
Chaque formation en sécurité dans chaque entreprise inclut l'avertissement selon lequel les employés ne doivent jamais cliquer sur des liens dans des courriers électroniques provenant de sources inconnues. Et les employés continuent à être dupés à cliquer dessus malgré tout. La D re Zinaida Benenson, de l’Université d’Erlangen-Nuremberg, a conclu qu’il n’était tout simplement pas raisonnable de s’attendre à ce que les employés résistent à la curiosité et à d’autres motivations. Si vous voulez qu’ils soient James Bond, vous devriez le mentionner dans la description de poste et les payer en conséquence.
De nombreuses recherches sur la sécurité et leur exécution peuvent s'avérer fastidieuses, mais de nouvelles techniques d'apprentissage automatique pourraient bientôt conduire à un Internet plus sûr. Les chercheurs ont détaillé leurs efforts pour enseigner aux machines à identifier les serveurs de commande et de contrôle de botnet, ce qui permet aux méchants de contrôler des centaines de milliers (voire des millions) d'ordinateurs infectés. Cet outil pourrait aider à limiter ces activités néfastes, mais la recherche n’a pas été lourde. Pour conclure leur session, les chercheurs ont montré comment les systèmes d’apprentissage automatique pourraient être utilisés pour générer une chanson passable de Taylor Swift.
Le réseau d’hôtels qui sait peut-être bien pour une conférence sur les animaux de compagnie, mais pas pour Black Hat. La conférence possède son propre réseau entièrement séparé et un impressionnant centre d’opérations réseau pour le gérer. Les visiteurs peuvent observer à travers le mur de verre les nombreux écrans lumineux, les films de hackers et les experts en sécurité de longue date du CNO, qui sont emballés dans leur intégralité et déplacés dans le monde entier pour la prochaine conférence Black Hat.
Les mordus de la sécurité informatique et les hackers au chapeau blanc ne peuvent tout simplement pas en avoir assez des formations à la sécurité, mais ce ne sont pas ceux qui en ont vraiment besoin. Le personnel des ventes, l'équipe des ressources humaines et l'équipe du centre d'appels ne comprennent pas nécessairement ni n'apprécient les formations à la sécurité. Pourtant, vous avez vraiment besoin d'eux pour améliorer leur jeu en matière de sécurité. Le chercheur Tiphaine Romand Latapie a suggéré de retravailler la formation à la sécurité en tant que jeu de rôle. Elle a constaté que cela fonctionnait totalement et a généré un nouvel engagement significatif entre l'équipe de sécurité et le reste du personnel. Donjons et dragons, ça vous tente?
Les appels téléphoniques frauduleux sont un énorme problème. Les escroqueries de l'IRS ont convaincu les Américains peu méfiants de débourser de l'argent. La réinitialisation du mot de passe arnaque les centres d’appel en leur donnant des données sur les clients La professeure Judith Tabron, linguiste légiste, a analysé de véritables escroqueries et mis au point un test en deux parties pour vous aider à les repérer. Lisez ceci et apprenez, d'accord? C'est une technique simple et utile.
L'effrayant
Pwnie Express construit des dispositifs qui surveillent l’espace aérien du réseau pour détecter tout inconvénient. C’est aussi une bonne chose, car la société a découvert une attaque massive de type Man-in-the-Middle chez Black Hat cette année. Dans ce cas, un point d'accès malveillant a modifié son SSID afin de persuader des téléphones et des périphériques de rejoindre le réseau, pensant qu'il s'agissait d'un réseau sûr et convivial que le périphérique avait vu auparavant. Ce faisant, les assaillants ont trompé environ 35 000 personnes. Même s’il est formidable que la société ait pu repérer l’attaque, le fait qu’elle soit si massive rappelle à quel point ces attaques peuvent être couronnées de succès.
L'année dernière, Charlie Miller et Chris Valasek ont présenté ce que beaucoup pensaient être le summum de leur carrière dans le piratage des voitures. Ils sont revenus cette année avec des attaques encore plus audacieuses, capables d’appuyer sur les freins ou de contrôler le volant lorsque la voiture roule à n’importe quelle vitesse. Les attaques précédentes ne pouvaient être effectuées que lorsque la voiture roulait à 5 km / h ou moins. Ces nouvelles attaques pourraient poser de grands risques pour les conducteurs et, espérons-le, seront corrigées rapidement par les constructeurs automobiles. Pour leur part, Valasek et Miller ont dit qu'ils avaient fini de pirater des voitures, mais ont encouragé les autres à suivre leur exemple.
Si vous regardez M. Robot, vous savez qu'il est possible d'infecter l'ordinateur d'une victime en jonchant des clés USB autour du parking. Mais ça marche vraiment? Elie Bursztein, responsable de la recherche sur la fraude et les abus chez Google, a présenté un exposé en deux parties sur le sujet. La première partie détaille une étude qui montre clairement que cela fonctionne (et que les parkings sont meilleurs que les couloirs). La deuxième partie explique en détail comment construire un lecteur USB prenant totalement en charge tout ordinateur. Avez-vous pris des notes?
Les drones ont été un sujet brûlant lors de la dernière saison de magasinage des Fêtes, et peut-être pas uniquement pour les geeks. Une présentation a montré comment le DJI Phantom 4 pouvait être utilisé pour brouiller les réseaux sans fil industriels, espionner les employés et pire encore. Le truc, c'est que de nombreux sites industriels critiques utilisent ce qu'on appelle un "intervalle d'air" pour protéger les ordinateurs sensibles. Il s’agit essentiellement de réseaux et de périphériques isolés de l’Internet extérieur. Mais de petits drones maniables peuvent également leur apporter Internet.
L'apprentissage automatique est sur le point de révolutionner de nombreuses industries technologiques, y compris les fraudeurs. Des chercheurs de Black Hat ont montré qu'il était également possible d'apprendre aux machines à produire des messages de phishing extrêmement efficaces. Leur outil détermine les cibles de grande valeur, puis scrute les tweets de la victime pour élaborer un message à la fois pertinent et irrésistiblement cliquable. L’équipe n’a rien diffusé de malicieux avec son spam bot, mais il n’est pas difficile d’imaginer des fraudeurs qui adoptent ces techniques.
Vous attendez une connexion Wi-Fi gratuite dans un hôtel et vous serez peut-être suffisamment avertis pour réaliser que ce n'est pas nécessairement sécurisé. Mais si Airbnb ou une autre location à court terme, la sécurité peut potentiellement avoir la pire sécurité de tous les temps. Pourquoi? Parce que les invités qui vous ont précédé avaient un accès physique au routeur, ils pouvaient donc en être totalement propriétaires. Jeremy Galloway a expliqué en détail ce qu'un pirate peut faire (c'est mauvais!), Ce que vous pouvez faire pour rester en sécurité et ce que le propriétaire peut faire pour dissuader de telles attaques. C'est un problème qui ne va pas disparaître.
Weton Hecker, Pentester senior de Rapid7, a montré lors de l’une des discussions les plus complètes à Black Hat ce qui pourrait être un nouveau modèle de fraude. Sa vision comprend un vaste réseau de guichets automatiques, de guichets automatiques (comme dans les épiceries) et de pompes à essence. Ceux-ci pourraient voler les informations de paiement de la victime en temps réel, puis les saisir rapidement à l'aide d'un dispositif motorisé de poussée du code PIN. La discussion s'est terminée par un distributeur automatique de billets, une vision du futur où les fraudeurs n'achètent pas les informations de carte de crédit des individus, mais un accès à un vaste réseau d'escroqueries de paiement en temps réel.
Ce n’était pas la seule présentation chez Black Hat qui détaillait les attaques contre les systèmes de paiement. Un autre groupe de chercheurs a montré comment, avec un Raspberry Pi et un petit effort, ils étaient capables d’intercepter des tonnes de données personnelles issues de transactions par carte à puce. Cela est particulièrement remarquable, non seulement parce que les cartes à puce (cartes AKA EMV) sont considérées comme plus sûres que les cartes à balayage magnétique, mais aussi parce que les États-Unis viennent de commencer à déployer des cartes à puce dans leur pays.
L'année prochaine, de nouvelles recherches, de nouveaux hacks et de nouvelles attaques seront apportées. Mais Black Hat 2016 a donné le ton pour l'année en montrant que le travail d'un pirate informatique (qu'il soit blanc ou noir) n'est jamais vraiment fait. Maintenant, si vous voulez bien nous excuser, nous allons déchiqueter nos cartes de crédit et partir vivre dans une cage de Faraday dans les bois.
