10 Scariest hackattacker från svart hatt 2014

Black Hat i år var två intensiva dagar med information, eftersom säkerhetsforskare visade hur lätt det var att hacka in i bilar, termostater, satellitkommunikation och hotell. Samtidigt fanns det gott om samtal om hur man kan öka säkerheten. De tio politiska förslagen från Dan Geers huvudtal talade om att göra världen till en bättre plats genom att förbättra vår strategi för informationssäkerhet. Bland de problem som den tog upp var den nuvarande rasen om sårbarhetsarmar, föråldrad programvara och behovet av att behandla informationssäkerhet som ett yrke. Vi gick alla bort med våra huvuden simma med nya fakta, idéer och - framför allt - bekymmer. Så mycket oro.

En av de saker du alltid kan räkna med på Black Hat är att höra om sårbarheter i saker du inte ens trodde skulle kunna attackeras. Det är lugnande att veta att dessa demonstrationer främst är akademiska och att dessa frågor för närvarande inte utnyttjas i naturen. Men på samma sätt är det skrämmande att inse att om Black Hat-presentatörer har hittat bristerna, vem ska säga att någon annan med mycket mer skadliga avsikter (och eventuellt bättre finansiering) inte har gjort det - eller inte?

Tänk på detta: vi hörde om hacking av bankomater på Black Hat för tre år sedan, och brottslingar har äntligen börjat plundra bankomater i Europa just i år. Det var minst tre sessioner i år om hur försäljningsterminaler för chip-och-PIN-kort kan hackas. Om vi ​​inte lyssnar och säkerställer vår betalningsinfrastruktur, om tre år, kommer vi att se ytterligare ett brott mot målliknande proportioner via chip-och-PIN-kort? Det är en verkligen skrämmande tanke.

Black Hat 2014 kan vara över, men vi kommer att prata om de chockerande saker som vi såg där under ganska lång tid. Förhoppningsvis blir det lärdomar som ledde till implementerade lösningar och inte som missade möjligheter som ledde till fruktansvärda brott.

Här är Security Watch: s tag på de saker vi såg på Black Hat som kommer att hålla oss uppe på natten.

1 1. Internet of Fail

Att försvara din dator eller din telefon är ganska enkelt; följ bara några tips om sunt förnuft och installera säkerhetsprogramvara så är du bra att gå. Men vad sägs om Internet of Things? I session efter session visade forskare att kritiska enheter som var anslutna till Internet var lättillgängliga. Teamet som hackar den Nest smarta termostaten fick sin attack ner till 15 sekunder, och de är nu hårda i arbetet med en överluftsattack. Billy Rios hittade standardlösenord som är hårdkodade i skanningsmaskinerna som var obligatoriska för användning vid TSA-kontrollpunkter över hela landet. Vi är fortfarande förvånade över det 15-sekunders hacket.

• 2 2. Hacka flygplan, fartyg och mer!

  När det gäller bakdörrar är enheterna som fartyg, flygplan, journalister och (kanske) militären förlitar sig för att kommunicera inte heller så säkra som vi trodde. IOActives Ruben Santamarta demonstrerade att många av dessa system har bakdörrar, till synes för underhåll eller återställning av lösenord. Trots att vissa av bakdörrarna förmodligen var säkrade, kunde han kringgå skyddsåtgärderna. Attacken som träffade närmast hemmet var, förvånansvärt, Santamartas påstående att han kunde hacka flygplan med inflight Wi-Fi. Han var tydlig på att detta inte skulle låta honom "krascha flygplan", men han påpekade också att kritisk kommunikation går igenom samma system. I sitt samtal hackade han en nautisk nödfyr för att visa en videoslotmaskin istället för en SOS. Tänk på samma typ av hack på din jumbojet, och du får idén om hur oroande detta kan vara.



3 3. Stela lösenord med Google Glass, Smartwatches, Smartphones och Camcorders

Det finns många sätt att stjäla ett lösenord, men en ny metod låter skurkar (eller en myndighet) se dina tangenttryckningar utan att se din skärm eller installera skadlig programvara. En presentatör på Black Hat visade upp sitt nya system som automatiskt läser lösenord med 90 procents noggrannhet. Det fungerar även när målet är på gatunivå och angriparen fyra våningar upp och tvärs över gatan. Metoden fungerar bäst med digitala videokameror, men teamet fann att smartphones, smartwatches och till och med Google Glass skulle kunna användas för att fånga användbar video på kort räckvidd. Glashål, verkligen!

Bild via Flickr-användaren Ted Eytan



4 4. Glöm MasterKey, Meet Fake ID

Jeff Forristal vände på huvudet förra året när han avslöjade den så kallade MasterKey-sårbarheten som kunde låta skadliga appar gå bort som legitima. I år kom han tillbaka med Fake ID, som utnyttjar grundläggande brister i Android: s säkerhetsarkitektur. Specifikt hur appar signerar certifikat och hur Android bearbetar dessa certifikat. Det praktiska resultatet är att med en skadlig app som inte kräver några speciella behörigheter kunde Forristal injicera skadlig kod i fem legitima appar på en telefon. Därifrån hade han djup tillgång till och insikt i vad den infekterade telefonen var upp till.

Bild via Flickr-användaren JD Hancock



5 5. En ond USB kan ta över din dator

Du har hört att USB-enheter kan vara farliga om du inte avaktiverar AutoPlay. Det senaste USB-baserade hotet är mycket värre. Genom att hacka USB-enhetens firmware hanterade ett par forskare en mängd olika hack på Windows och Linux-maskiner, inklusive motsvarigheten till ett boot-sektorvirus. Deras gimmickade USB-enhet emulerade ett USB-tangentbord och beordrade ett testsystem för att ladda ner skadlig programvara. Det erbjöd ett falskt Ethernet-nav i ett annat test, så när offret besökte PayPal i webbläsaren gick det faktiskt till en lösenordsstjälande PayPal-mimikwebbplats. Detta var ingen ren teoretisk övning; de demonstrerade dessa och andra hackar på scenen. Vi tittar aldrig på en USB-enhet på samma sätt igen!

Bild via Flickr-användaren Windell Oskay



6 6. Har den en radio? Låt oss hacka det!

Radio kan verka som föråldrad teknik under Internetåldern, men det är fortfarande det bästa sättet för enheter som babymonitorer, hemsäkerhetssystem och fjärrbilsstarter för att trådlöst överföra information. Och det gör det till ett huvudmål för hackare. I ett samtal visade Silvio Cesare hur han besegrade var och en av dessa i sin tur med programvarudefinierad radio och lite hobbyistisk iver. Hans var inte det enda samtalet på programvarudefinierad radio. Balint Seeber berättade för folkmassan hur han kunde lyssna på radarskivor i lufttrafik och spåra föremål nära marknivån. Inte riktigt lika läskigt, men väldigt, väldigt coolt.

Bild via Flickr-användaren Martin Fisch



7 7. Vi kan inte stoppa Malware från regeringen

Du har hört talas om den regeringssponserade Stuxnet-ormen som saboterade Irans kärnkraftsprogram, de kinesiska generalerna stämda av vår regering för hacking och mer. F-Secures Chief Research Officer Mikko Hypponen varnade för att regeringen sponsrade skadlig programvara har funnits i längre tid än du inser och kommer bara att öka med tiden. Med resurserna för en nationstat bakom sig kan dessa attacker vara nästan omöjligt att blockera. För att du inte tror att vår egen regering inte skulle böja sig så lågt, bläddrade han igenom en samling jobbjobb av militära entreprenörer som specifikt letade efter skadlig programvara och utnyttjar författare.

Bild via Flcikr-användaren Kevin Burkett



8 8. En svepkortskortsläsare

Efter detaljhandelsöverträdelserna 2013 och 2014 talar alla om den nuvarande utrullningen av chip-och-PIN-kort. Det visar sig att såvida vi inte ändrar hur betalningsprocessen fungerar, handlar vi bara en uppsättning problem för en annan. Vi såg också hur mobila försäljningsställen som hanterar chip-och-PIN-kort kan äventyras med skadligt skapade kort. Angripare kan bara dra ett kort i läsaren och ladda en trojan som skördar PIN-koder på läsaren själv. Ett andra falska kort kopierar sedan filen som innehåller den skördade informationen. Det andra kortet kan till och med ta bort trojanen, och återförsäljaren kanske aldrig känner till brottet! Detta är tillräckligt för att nästan få oss att vilja återvända till ett kontantbaserat samhälle.

Bild via Flickr-användare Sean MacEntee



9 9. Din nätverksenhet spionerar på dig

Vi har nyligen fokuserat mycket uppmärksamhet på hem routrar och hur attackerare komprometterar dem. Det visar sig att nätverksmonterade lagringsenheter är lika problematiska, om inte mer, enligt Jacob Holcomb från Independent Security Evaluators. Han tittade på NAS-enheter från tio tillverkare - Asustor, TRENDnet, QNAP, Seagate, Netgear, D-Link, Lenovo, Buffalo, Western Digital och ZyXEL - och fann sårbarheter i dem alla. Frågorna är vanliga brister, såsom kommandoinjektion, förfalskning över flera webbplatser, buffertöverskridningar, autentiseringsomkopplingar och misslyckanden, informationsutlämnande, konton bakom dörrar, dålig sessionhantering och katalogöverskridande. Genom att kombinera några av dessa problem kan angripare få full kontroll över enheterna. Vad är det på din NAS?

Bild via Flickr-användare wonderferret



10 10. Attacker på medicinska apparater: ett liv av liv och död

Ingen i informationssäkerhetsbranschen skrattade åt nyheten att den tidigare vice presidenten Dick Cheneys läkare var oroliga för att hans pacemaker skulle bli hackad. Roundtable med medicinsk utrustning på Black Hat tittade på hur man kan balansera patientens hälsa med säkerhet. Det sista vi vill är säkerhet som bromsar sjukvården, där sekunder kan betyda skillnaden mellan liv och död, konstaterade moderator Jay Radcliffe. Det sobera insikten att vi inte bara kan använda normal säkerhetspraxis för medicinsk utrustning följde oss till DEF CON, där forskare från SecMedic diskuterade ett projekt som undersöker sårbarheter i alla typer av enheter, inklusive defibrillatorer . Den läskigaste delen? Många av dessa brister hittades inom en timme med hjälp av open source-verktyg. Nu vill du verkligen inte åka till sjukhus, eller hur?

Via Flickr-användaren Phalinn Ooi