Embed Size (px)
Citation preview
Black Hat:
Какво ново в арсенала от
инструменти за хакерски атаки
Как може чуждият телефон да се превърне в
аудио/видео проследяващо устройство? Как Dropbox
може да се ползва като „задна врата” към
корпоративната мрежа? Конференцията Black Hat,
която се провежда в Лас Вегас през тази седмица
предлага хакерски инструменти за тези и много други
задачи.
Предназначените за изучаване от страна на „добрите
момчета” инструменти за проверка на безопасността на
мрежи и устройства, които се разпространяват
безплатно на конференцията, могат да бъдат
използвани също така и от „лошите момчета”, с цел
осъществяване на взлом, кражба на данни и
заобикаляне на защитата от вредоносни атаки.
През двата дни на конференцията „хакерите с бели
шапки” (White Hat) – т.е. специалисти по ИТ
сигурност и тестове за проникване от консултантски
компании, университети и производители на
инструменти за защита на информацията ще представят
над 100 уязвимости и експлойти, които са открили,
както и много инструменти, които хакерите биха
могли да използват.
Ето някои от инструментите за хакерски атаки, с които
ще могат да се запознаят участниците в
конференцията:
• Ще бъде демонстриран инструмент, наречен BREACH,
който извлича криптирани секретни данни от HTTPS
поток. В същата сесия представители на
Salesforce.com и Square ще приложат BREACH за да
демонстрират експолойт в „крупен корпоративен
продукт”. С помощта на BREACH те ще извлекат
идентификатор на сесията, CSRF етикети (Сross Site
Request Forgery – фалшификации на заявки между
сайтове), адреси от електронната поща и т.н. Според
предварителните анонси, всичко изброено ще се случи
за 30 секунди.
• Очаква се и демонстрацията на инструмент за атака,
който според изявления на неговите автори от
Bloodspear Research Group, може да победи
комерсиалните продукти, предназначени за редуциране
на ефекта от DDoS атаки. При това, този инструмент
ще бъде свободно достъпен. Като доказателство за
възможностите му ще бъдат представени резултатите
от тестове на продукта, приложен срещу конкретни
продукти, осигуряващи защитата на конкретни web
сайтове. Накрая Bloodspear Research Group ще
представи нова защита от DDoS атаки, която успешно
се справя с техния собствен инструмент за взлом.
• Предстои демонстрация и на инструмент за
автоматично събиране на информация, който може да
бъде използван за създаване на убедителни фишинг
съобщения. Средството имитира начина, по който
хората общуват с други хора, отчита с кого общуват,
какви думи и изрази използват. Този инструмент,
създаден от изследователи от Trustwave’s Spider Labs,
взема данни от общодостъпни сайтове, използвайки
както API, така и сваляне от екрана. След това
анализира данните, за да оцени честотата на
използваните глаголи, прилагателни и съществителни,
средната дължина на съобщенията, хоби, кръг от
приятели и познати, предстоящи пътувания на
целевите лица и т.н.
• Представители на Bluebox ще обяснят на
аудиторията, как да използват уязвимост, позволяваща
мобилната операционна система Android да приема
вредоносни програми, които се крият за подписите на
доверени, криптографски заверени приложения. За
решаването на този проблем вече има пачове, но дали
те са инсталирани е въпрос, който в голяма степен
зависи от производителите на устройства и от
доставчиците на услуги.
• Представители на Lacoon Mobile Security ще
покажат, как да бъдат заобиколени средствата,
откриващи мобилни вредоносни програми и някои
функции за управление на мобилни устройства
(например криптиране), така че на устройството на
жертвата да бъдат настанени инструменти за
наблюдение, които събират текстови съобщения,
електронна поща, информация за местоположение, а
също така могат да управляват телефона, така че да
записват всичко, което се говори по него.
• Кевин МакНами, директор по изследванията от
компанията Kindsight, ще покаже как във всяко
приложение на смартфона, може да бъде внедрен код,
който превръща устройството в шпионин. След това
телефоните могат да бъдат атакувани и управлявани
от web сървър, от тях могат да се изтеглят разговори,
текстови съобщения, електронна поща, списъци с
контакти. Атаките включват камерите и микрофоните
на телефоните, оставайки незабелязани.
• Устройствата iPhone са уязвими за атаки от страна на
вредоносни зарядни устройства. Екип от Georgia
Institute of Technology ще покаже как се създават
такива устройства и как се използват за инсталиране
на вреден софтуер върху телефона. Изследователите
ще покажат още как вредните приложения могат да
бъдат скрити – по същия начин, както Apple скрива
своите стандартни приложения, инсталирани на
телефона. Вредното зарядно устройство, наречено
Mactans, може да бъде направено лесно и евтино.
Екипът на Georgia Institute of Technology ще даде
препоръки, помагащи на собствениците на iPhone да
защитят по-добре устройствата си, а също така ще
предложи мерки, които Apple би могла да
предприеме, за да затрудни подобни атаки.
• Инструмент, който превръща облачното хранилище
за данни Dropbox в „задна врата” към корпоративните
мрежи бе представен на конференцията Black Hat
Europe в началото на тази година. На форума в Лас
Вегас тази седмица, разработчикът на този инструмент,
наречен DropSmack, ще представи DropSmack V2 –
обновена версия, която вече работи с много услуги и
реализира автоматична синхронизация. Според
представителите на CSRGroup, DropSmack V2 показва,
че проблемът не се свежда само до Dropbox, а става
дума за услугите за резервно копиране в облака
изобщо.
• Google се представя на конференцията с инструмент,
наречен Bochspwn, който вече е използван за
намирането на около 50 уязвимости в ядрото на
Windows и в драйвери. Много от тези уязвимости са
поправени, но инструментът може да се използва за
намирането на други потенциални заплахи.
