黑帽关于网络安全的现状,它总是能提供令人兴奋、发人深省和令人苦恼的讨论。这是我们在黑帽看到的最让我们印象深刻和担心的事情。
1.四分之一个世纪的黑客
今年是黑帽安全会议的第25个年头,时间的无情流逝足以吓到我们的一些记者。会议的两场主题演讲聚焦于安全的未来,以此纪念这一时刻。两份报告都有些严峻,涉及到乌克兰正在进行的网络战的影响、网络虚假信息的兴起,以及2020年美国大选存在欺诈的毫无根据的指控引发的政治动荡。
克里斯·克雷布斯美国网络安全与基础设施安全局(CISA)的前局长,他列举了网络安全领域面临的许多挑战。他的讲话呼吁与会者和安保公司接受一套原则,以帮助他们在他所预见的动荡时代中获得指导。
在她的主题演讲中,记者Kim Zetter描述了近年来许多最令人震惊的安全事件殖民管道攻击等等,都是可以预测的,而且在此之前有许多警告信号。特别值得注意的是,她描述了在一个合理的关注和研究被滥用为虚假信息的时代,报道选举安全是多么困难。
2.短信代码不及格MFA
当密码安全还不够时,银行和敏感网站就会求助多因素身份验证.但并非所有因素都是一样的。瑞典的一个研究小组证明,通过短信发送认证码本质上是不安全的。他们发现了最近一些涉及双因素认证失败并继续演示黑客技术。如果黑客有你的登录凭证和电话号码,基于文本的身份验证无法保护你。
3.《触屏幽灵》
我们知道键盘记录者可以窃取我们输入的单词,还有一个诡计u盘可以装成键盘,输入不需要的命令。触摸屏界面肯定更安全吗?没有。一个学术研究小组解释了他们是如何在几厘米外触发触屏事件进行攻击的。如果你把你的设备放在有隐藏天线的桌子上,攻击就可以用它无形的手指来控制.
4.网络减少危害
并非黑帽公司的所有事情都涉及隐私和安全问题。一份简报告诫安全部门的领导要退一步,改变他们处理危险安全行为的方式。如果你只是说“不要那样做”,有些人还是会那样做。你需要通过减少他们冒险行为的负面后果来保护这些人(以及他们周围的人)。这减害多年来,这种哲学在医学上被证明是有效的,例如提供干净的针头,而不是告诉瘾君子“不要吸毒!”它也可以在安全方面工作。
5.调查刚刚发生的事情
黑帽的另一场简报讨论了网络安全领域的一个系统性问题:对重大网络事件缺乏清晰的历史描述。如果组织不花时间调查网络安全事件是如何发生的,他们可能注定要重复历史。这就是一组研究人员试图解决的问题创建了《重大网络事件调查手册》.
该文件包含了在组织中创建独立审查委员会的指南,从决定谁应该进入委员会到呈现调查结果有兴趣的团体。这些小组的任务是收集有关网络安全事件的事实,然后在网上与更广泛的网络安全社区分享这些信息。目前,该文档在GitHub上可用。
6.恶意软件搜索求职者
在另一场黑帽新闻发布会上,来自普华永道的两名威胁情报专家表示,全球威胁行为者正在利用“大辞职”和通过网络钓鱼链接锁定求职者.主要的罪犯是来自伊朗和朝鲜的团体。黑客创建虚假的网站、职位描述、招聘信息和社交媒体简介,向受害者发送恶意链接和文件附件。
不要点击来自陌生人的电子邮件或LinkedIn信息中的链接。当你在工作时,这些建议加倍重要。向你的经理解释你用恶意软件感染了公司的网络,因为你打开了另一家公司一个很棒的工作机会的链接,这看起来并不好。
7.创业公司逃避安全
黑帽公司周四召开简报会,讨论改进方法bug-bounty奖励这提醒我们,那些没有将安全纳入早期规划的快速发展的初创公司,最终可能不得不加速“信息安全”。
Luta Security创始人兼首席执行官凯蒂·穆萨里斯提醒与会者,她是如何发现严重的漏洞会所的应用去年,然后很难引起公司的注意(在一个新窗口中打开)他说:“我甚至花了几周时间才找到合适的联系人。”
公司最终还是做出了回应,这时她才知道,Clubhouse的漏洞奖励项目不仅有保密协议的要求,而且是由其中一位联合创始人利用可能根本不存在的业余时间运营的。注意到Clubhouse的风险投资资金估值约为40亿美元(在一个新窗口中打开), Moussouris抱怨道:“他们公司的员工比我公司的还少!”然而,Clubhouse最终还是修复了这些漏洞。
8.苹果的安全问题
mac比pc安全得多,对吧?每个人都知道。随着macOS的每一次更新,安全层都在不断增长。然而,并不是操作平台的每个组件都能跟上这些安全升级。
一位坚持不懈的研究人员深入研究了macOS,并提出了一种进程注入攻击,使他能够做到这一点绕过所有这些安全层.他演示了如何使用这种攻击来逃离沙盒,升级特权,并绕过时刻保持警惕的系统完整性保护系统。安全漏洞已被固定住macOS蒙特利甚至反向移植到大苏尔和卡塔琳娜,但它不会完全关闭,直到每个应用都得到一个简单的调整。
9.披着伊斯兰教外衣的狼
微软正在尽最大努力使Windows更安全,但有时安全努力会适得其反。早启动反恶意软件(ELAM)系统允许安全程序在引导过程中超早启动,并保护它们不受任何篡改。没有办法伪造一个ELAM驱动程序,因为微软必须批准它们,你也不能调整或改变现有的驱动程序。而是一个非常执着的研究者找到了一条路通过现有审批规则宽松的审批司机。结果呢?该程序不仅能进入ELAM提供的安全掩体,还能击落杀毒已经驻留在那里的程序。
10.Bug猎暴露了Bug猎者
做一个安全漏洞猎人是一种令人兴奋的生活。如果你发现并报告一个严重的安全漏洞,你可以获得六位数的赏金。你也可能被起诉或被指控犯罪。最近的政策变化保护了诚实的黑客,但它们没有解决一个特定的问题。在收集信息以证明报告的错误时,猎人通常会捕获大量的个人信息记录.一个bug猎人与一位律师合作,积极地提出了问题,如果没有解决方案,也给出了更好的方向。
11.关键团队应该更清楚
用笔记本电脑和合适的设备就能轻松地记录和重放无线电信号。这就是为什么汽车钥匙串采用滚动编码系统,每按一个按钮都会发送不同的信号。预先记录的信号不应被接受。然而,研究人员发现,对一些汽车来说,播放多个旧信号可能会回滚滚动代码系统让攻击者打开你的车门。更糟糕的是,研究人员发现他们的攻击没有时间限制,旧代码在他们被捕获后100多天仍被接受。
12.使用Zoom im缩放恶意软件
变焦疫情就像饼干和牛奶,或者安全研究人员和几十年前的技术一样密不可分。事实证明,Zoom的即时通讯是建立在XMPP基础上的想出了很多虐待的方法.恶搞消息发送者?一件容易的事。拦截所有来往目标的信息?打哈欠。真正的奖励是利用这种攻击在目标计算机上获得远程代码执行。
13.欺骗跟踪装置
当你将位置报告标签附加到人和物上时,跟踪他们是一件轻而易举的事。但是这些系统会被滥用吗?当然可以.研究人员展示了他们如何能够操纵超宽带实时定位系统(UWB RTLS)来欺骗疾病接触者追踪和工业安全技术。
14.网络战在乌克兰
俄罗斯入侵乌克兰和该地区持续的战争是几次黑帽演讲的主题。总部位于邻国斯洛伐克的安全公司ESET的研究人员向与会者展示了乌克兰电网遭受攻击的时间轴。最近使用的是Industroyer2恶意软件如果成功,可能会导致200万居民断电。
有趣的是,industrer2使用“雨刷”恶意软件使受感染的机器无法使用,减缓了恢复工作。来自SentinelOne的研究人员Tom Hegel和Juan Andres Guerrero-Saade指出,这很不寻常,因为雨刷意味着攻击者必须放弃访问受感染机器的权限。他们分析了乌克兰可观察到的网络攻击,并强调很难得出结论,因为可检测到的可能只是实际发生的一小部分。
继续阅读PCMag的所有报道2022年黑帽前几年也是如此。
金·基、尼尔·j·鲁本金和罗布·佩戈拉罗对本文亦有贡献。