USD 65.99 ЕВРО 74.9

Black Hat — конференция по вопросам информационной безопасности: Топ-20 инструментов хакерских атак

Аналитика

Предстоящая конференция Black Hat – кладезь советов для взлома чего угодно.

Превращение чужого телефона в аудио/видео следящее устройство. Шах.
Использование Dropbox в качестве бэкдора в корпоративных сетях. Шах.
Получение информации из кардиостимуляторов. Шах.
Конференция Black Hat в Лас-Вегасе на следующей неделе предлагает хакерские инструменты для всего этого, плюс многое другое.

Предназначенные для изучения «хорошими парнями», инструменты для проверки безопасности сетей и устройств, распространяемые бесплатно на конференции, также могут быть использованы «плохими парнями», чтобы взламывать сети, воровать данные и обходить защиту против вредоносных атак.

В течение двух дней «хакеры — белые шляпы» (специалисты по тестовым взломам) из консультационных компаний, университетов и производителей представят более 100 брифингов по уязвимостям и эксплойтам, которые они обнаружили, и во многих случаях выпустят инструменты, которые могут быть полезны для хакеров.

Многие эксплоиты, которые они показывают для конкретных коммерческих продуктов, уже известны производителям и продукты были исправлены, но есть и другие инструменты, которые могут применяться более широко.

Вот некоторые из советов хакеров, обещанных в рамках повестки дня брифинга Black Hat:

• Будет выпущен инструмент под названием BREACH, который извлекает зашифрованные секретные данные из потоков HTTPS. На той же сессии, докладчики из Salesforce.com и Square будут использовать BREACH для демонстрации эксплоита против «крупного корпоративного продукта», с извлечением идентификаторов сеанса, CSRF-меток (Сross Site Request Forgery — подделка межсайтовых запросов), адреса электронной почты и т.п. за 30 секунд из HTTPS канала.

• Инструмент атаки, который по заявлению авторов, может победить коммерческие продукты, предназначенные для смягчения DDoS-атак, появится в свободном доступе. В качестве доказательства его работы будут предоставлены результаты тестирования против конкретных продуктов, применяемых на определённых на веб-сайтах. Bloodspear Research Group представит новую защиту против DdoS-атак, которая защищает от их собственного инструмента взлома.

• Инструмент для автоматического сбора информации, который может быть использован для фишинговых сообщений, делая их более убедительными, имитируя как люди общаются с другими людьми, с кем они общаются, какой словарный запас и фразы они используют. Этот инструмент от исследователей Trustwave’s Spider Labs берёт данных из общедоступных сайтов, используя как API, так и снятие с экрана. Затем он анализирует данные, чтобы оценить частоту использования глаголов, прилагательных и существительных, среднюю длину предложений, хобби, круги знакомых и друзей, а также предстоящие поездки целевых лиц.

• Bluebox объяснит, как использовать уязвимость, позволяющую мобильной операционной системе Android принять вредоносные программы, прикрывающихся подписями доверенных, криптографически заверенных приложений. Для решения этой проблемы уже существуют патчи, но их развертывание во многом зависит от производителей устройств и поставщиков услуг, так что вопрос, будут ли устройства пропатчены и когда это произойдёт – пока висит в воздухе.

• Майкл Шаулов и Даниэль Броди из Lacoon Mobile Security покажут, как обойти средства обнаружения мобильных вредоносных программ и функции управления мобильными устройствами, такими как шифрование, чтобы установить инструменты наблюдения, которые собирают текстовые сообщения, электронную почту, информацию о местоположении, а также позволяют управлять телефоном для записи всего, что говорится возле него.

• Кевин МакНами, директор по исследованиям из Kindsight, покажет как код, который превращает смартфон в шпион, может быть внедрён в любое приложение телефона. Телефоны могут быть атакованы и управляемы с веб-сервера, а также инфицированы для снятия телефонных звонков, текстовых сообщений, электронной почты и списков контактов. Атаки включают камеры и микрофоны телефонов, оставаясь незамеченными, превращают устройство в аудио-видео жучок.

• Домашние устройства, которые подключаются к сетям сотовых операторов, могут быть взломаны для перехвата голосовых, текстовых сообщений и данных трафика, идущего по сети, говорит команда из iSec Partners. Эти устройства, называемые фемтосотами (маломощная и миниатюрная станция сотовой связи), и распространяемые провайдерами CDMA (иногда — бесплатно), выступают в качестве базовых станций сотовой связи для подключения сотовых телефонов клиентов к сетям провайдера через интернет-соединение. Взлом этих Linux-устройств позволяет злоумышленникам перехватывать трафик, а также клонировать связанные мобильные устройства без физического доступа к ним.

• iPhone уязвимы для атак со стороны вредоносных зарядных устройств, и команда из Georgia Institute of Technology покажет, как их создавать и использовать для установки программного обеспечения на телефон. Они покажут, как скрыть такие приложения — так же как Apple скрывает свои стандартные приложения, устанавливая на телефонах. Зарядное устройство, называемое Mactans, может быть сделано легко и недорого. Будут предложены рекомендации для владельцев по защите телефонов и шаги, которые может предпринять Apple, чтобы сделать такие атаки трудноосуществимыми.

• Три исследователя из McAfee продемонстрируют программное обеспечение, которое может обойти Windows 8 Secure Boot, предназначенную для блокирования вредоносных программ из повреждённой операционной среды ниже уровня операционной системы. С помощью обхода Безопасной Загрузки вредоносным программам гораздо легче установить себя и остаться незамеченными.

• Google выпустит инструмент под названием Bochspwn, который уже использован для обнаружения около 50 уязвимостей ядра Windows и соответствующих драйверах. Многие из уязвимостей были исправлены, но инструмент может быть использован, чтобы найти больше.

• Команда Cyclance представит инструмент, который выясняет, как работают генераторы псевдослучайных чисел, основываясь только на числах, которые они генерируют, позволяя злоумышленникам составлять базу уже сгенерированных чисел и чисел, которые будут сгенерированы в дальнейшем. Смысл в том, что выявление этих псевдослучайных чисел может подорвать безопасность системы, использующей их для защиты.

• Можно создать недорогую, основанную на датчиках систему слежения за отдельными лицами или группами лиц, для получения информации об их повседневной деятельности, без отправки данных целям наблюдения, и студент юридического факультета/исследователь безопасности Брендон O’Коннор покажет как. Его система, называемая CreepyDOL использует недорогие датчики и программное обеспечение с открытым исходным кодом для определения цели, отслеживания и анализа собранных данных. «Иными словами, это избавляет вас от ручной работы, а также открывает доступ к информации правительственного уровня по цене около $500 за стандартное оборудование с полок магазина», говорится в описании брифинга Black Hat.

• Злоумышленники могут управлять некоторыми флеш-накопителями для того, чтобы скрыть потенциально вредоносные файлы на них или сделать устройства бесполезными — ситуация, которая будет описана в выступлении Джоша Томаса, научного сотрудника Accuvant Labs. На выставке для Android он покажет два проверочных инструмента: первый вводит и скрывает файлы на устройствах Android, второй находит такие файлы. Он также покажет, что такие разнообразные устройства как смартфоны и промышленные системы управления можно отключить, манипулируя с их памятью NAND Flash — уязвимость, которая реально не может быть исправлена.

• Bluetooth с низким энергопотреблением (продается как Bluetooth SMART) использует обмен ключами, что является слабым местом, говорит консультант по безопасности Майк Райан из iSEC Partners. Он продемонстрирует, как получить эти ключи для расшифровки трафика, передаваемого с помощью таких устройств, анонсировав инструмент, который получает ключи, и покажет, как исправить проблему с помощью обмена ключами, использующими вместо этого протокол Эллиптических кривых Диффи-Хеллмана.

• Барнаби Джек, директор по исследованиям безопасности в Embedded IOActive, покажет программное обеспечение, которое использует прикроватные передатчик для поиска и опроса медицинских устройств, таких как кардиостимуляторы, которые имплантируются людям. Он покажет недостатки безопасности этих устройств и пути ее улучшения.

• Сети онлайн-рекламы используют JavaScript, который показывает рекламу, следит за действиями пользователя и генерирует клики – и всё это с помощью браузера. Рекламодатели платят этим сетям за показы рекламных объявлений, но тот же механизм может быть использован для доставки вредоносного JavaScript, который превращает компьютеры в зомби, порабощённые ботнетами. На сессии White Hat Security покажут, как это можно сделать с помощью HTML5-браузеров. «Мы покажем, как можно запросто запустить такой JavaScript в самых разных браузерах, и не устоит ни один», говорится в описании брифинга.

• Исследователь, который показал на Black Hat 2011, как взять на себя управление таблицей маршрутизации на маршрутизаторах OSPF в автономной системе, нашёл новый способ сделать то же самое. «Нападение может быть использовано, чтобы вызвать черные дыры, разрывы сети или создание более длинных маршрутов в целях создания DoS домена маршрутизации, либо для получения доступа к информационным потокам, к которым злоумышленник не имел доступа», написано в описании брифинга Габи Накибли, научного сотрудника National EW Research & Simulation Center в Израиле. «Атака может быть использована для осуществления отказа в обслуживании (DoS) маршрутизатора жертвы с помощью одного пакета». Производители маршрутизаторов работают над исправлением.

• Инструмент, превращающий Dropbox (облачное хранилище данных) в бэкдор в корпоративные сети, был представлен на Black Hat Europe в начале этого года. На предстоящем Black Hat в Лас-Вегасе разработчик этого инструмента, называемого DropSmack, выпустит DropSmack V2 – обновление, которое занимается «некоторыми из уникальных оперативных проблем, связанных со средой синхронизации. В частности, мы добавили возможность работы с большим количеством услуг автоматической синхронизации», говорит Якоб Уильямс, представитель CSRGroup Computer Security Consultants. Разговор выходит за рамки Dropbox и касается услуг резервного копирования облака в целом, и использования синхронизации в частности.

• Атака по энергопотреблению (англ. power analysis attack) может извлекать ключи шифрования и другие данные с устройств, использующих аппаратное шифрование, но устройства, необходимые для захвата и анализа использующих энергию данных, стоят дорого. Колин О’Флинн, студент университета Далхаузи, подробно расскажет, как создать анализирующую энергопотребление лабораторию, легко помещающуюся в кармане, всего за несколько сотен долларов с использованием аппаратного и программного обеспечения с открытым кодом.

• RFID-метки часто используются в бесконтактных картах, которые контролируют доступ в здания. Фрэн Браун, управляющий партнер Bishop Fox, покажет, как читать эти карты с трех футов, чтобы сделать клон с помощью микроконтроллера и модифицировать RFID-картридер. Он говорит, что покажет как украсть информацию из RFID-карт прохожих и как сделать пользовательский хакерский RFID-инструмент, используя микроконтроллеры Arduino.