11 топ деф Кон и черной шляпе переговоров всех времен

11 top DEF CON and Black Hat talks of all time

Skeeze

(СС0)

Начиная с 1997 года, Черного шлема и обороноспособность события приобрели репутацию представляя некоторые из самых передовых исследований в области информационной безопасности. События также имели свою долю споры – иногда достаточно, чтобы вызвать отмена в последнюю минуту. Например, Крис Пэджет был вынужден отменить свою черную шляпу РЧИ для начинающих говорить в 2007 году под угрозой судебного разбирательства от безопасных карточка производителя спрятал корп.

Запущен в качестве одной конференции в 1997 году, черной шляпе и вышел на международный рынок с ежегодных событий в США, Европе и Азии. Событие этого года в США в «Мандалай Бей» в Лас-Вегасе, начнется 3 августа с четырех дней технической подготовки, за которыми следуют два дня основной конференции. Деф кон начался в 1992 году и происходит в нескольких местах в Лас-Вегасе с 8 по 11 августа.

Ого смотрит на некоторые прошлые черный шляпа и обороноспособность в моменты.

Новый Наш игровой сайт жив! Сайт сайт GameStar обложки игр, игровых гаджетов и снаряжения. Подпишитесь на нашу рассылку и мы пришлем наших лучших материалов прямо на ваш почтовый ящик. Узнайте больше здесь.

1. Джип рубить

Кто может забыть рубить 0xcharlie джип-с проводной журналист Энди Гринберг внутри? Эксперты по безопасности Чарли Миллер и Крис Валясек представили результаты своих исследований в черной шляпе 2015 года, и показали, как они удаленно взломали джип и взяли под контроль транспортного средства, в том числе коробки передач, акселератора и тормоза. Их предыдущие исследования были сосредоточены на атаке, что требуется физический доступ к целевых транспортного средства, результаты, что производители авто пренебрег. Удаленный, беспроводной атаки, однако, заставил всех сидеть и принимать уведомления.

2. Воруют все, всех убить

Знаменитый кон деф Е. Джейсон стрит 19 говорить о социальной инженерии, и как он умеет ходить в любом месте и может «украсть все, убить всех», если бы он хотел это многолетнее любимых говорить даже спустя все эти годы. Кого волнует, если ваше предприятие соответствует ли случайный парень в форме уборщика, сидящего приходит и тянет вилку на ваш бизнес? Улицы раскладывает безопасные тупо он-то сайты вошел, что он мог бы сделать, и девяностику необходимость в защиту от атак социальной инженерии.

3. Взлом автомобилей без водителей

Кажется неизбежным, верно? Но иногда нужно доказательство концепции, чтобы доказать, (каламбур), делала исследователь Зоз безопасности и, что на Defcon в 21 своими разговорами «взлома беспилотных транспортных средств». А водителя транспортных средств обладают потенциалом снизить количество погибших в ДТП, оказалось, что люди действительно плохие водители … также новые вводят они, катастрофического риска, что менее вероятно, но гораздо более серьезные воздействия. «С этого соединиться с Зоз направлен как вдохновить беспилотный автомобиль болельщиков задуматься о надежности состязательность и вредоносных сценариев, параноик и дать ложную надежду противостоять робота революции,» разговор описании написано, и самое ужасное, что не многое изменилось с тех пор, как он избавил его говорить в 2013 году.

4. Барнаби Джек банкоматы и

РИП Барнаби Джек. Покойный, великий хакер и шоумен сделал банкоматы плюются наличных средств через все стадии в 2010 году и всегда будут помнить за его подвиги, и его безвременная смерть всего за несколько недель до очередного блокбастера-Вегас разговоры на медицинские устройства безопасности. В лучших традициях исследования безопасности, Джек пытался спровоцировать производители для повышения уровня безопасности своих устройств. Новозеландец живет в Сан-Франциско, когда он умер от передозировки наркотиков, что вызвало среди некоторых теорий заговора в хакерское сообщество.

5. Заднее Отверстие

Культ мертвой коровы было много в новостях в последнее время, и их обратно отверстие поговорить на деф кон в 1999 году была классика-и тот, который получает повышенное внимание в связи с Джозеф Менн новой книги, «Культ мертвой коровы», что прослеживает историю этой хакерской группы. Заднее отверстие было вредоносное доказательство концепции разработаны программы предприятия системы под управлением Windows 2000. Их мотив? Заставить Майкрософт признают повальная неуверенность в своих операционных системах. Можно проследить прямую линию от провокаций, как сзади отверстия для знаменитого 2002 Билл Гейтс заметки о защищенных информационных систем, когда тогдашний генеральный директор Майкрософт выложил безопасности работы #1 идти вперед для компании Microsoft.

6. Голубая Таблетка

Легендарное выступление Джоанна Рутковска на подрыв безопасности гипервизора для книг по истории. Имени матрицы «синюю таблетку» — это препарат, который делает фальшивый мир смотреть реально-синюю таблетку использовать произвели фурор в черной шляпе 2006.

«Идея синюю таблетку прост: ваша операционная система глотает синюю таблетку и просыпается внутри Матрицы ультра-тонкую голубую таблетку контролируется гипервизора,» Рутковска писал в то время. «Это все происходит» на лету » (то есть без перезагрузки компьютера) и снижения производительности и нет всех устройств, как видеокарта, полностью доступной для операционной системы, которая сейчас выполняется внутри виртуальной машины.»

С тех пор, Рутковска превратил ее наступление гением, чтобы играть в обороне, и стартовал высокий уровень безопасности на Qubes на операционную, закаленной Ксен в дистрибутив для ноутбуков.

7. Bluesnarfing и винтовка BlueSniper

В то время как современные смартфоны являются мини-ЭВМ, которые используют целый ряд беспроводных протоколов, включая беспроводной доступ в интернет, передача данных, 2004 было очень много, все-таки возраст обычных телефонов. Первый айфон не вышел еще на три года. Еще в те времена, самой популярной технологии беспроводной передачи данных по сотовым телефонам был блютуз, и пока это не охрана, а люди часто оставляют ее открытой, телефона производители считали вероятность нападения должны быть низкими, поскольку связь Bluetooth является малой дальности протокол.

Этот аргумент снова был поднят, когда исследователи Адам Лори и Мартин Herfurt продемонстрировал несколько уязвимостей и атак против реализаций блютуз на черной шляпе и обороноспособность и конференции в 2004 году, которая может позволить злоумышленникам превратить телефоны в прослушивающие устройства или загрузить повестки дня, календаря и текстовых сообщений с мобильных телефонов без разрешения. Они окрестили свои атаки bluesnarfing и bluebugging.

Исследователь по имени Джон Херинг потом отвел угрозу на другой уровень, демонстрируя возможности технологии Bluetooth с атак из-за версту с использованием устройства, оснащенного полу-направленная антенна, которая напоминала винтовку. В винтовка BlueSniper родился.

8. Камински ошибка

В 2008 году, исследователь безопасности Дэн Камински обнаружен фундаментальный изъян в системе доменных имен (DNS) в протокол, который затрагивает наиболее широко используемого программного обеспечения ДНС-сервер. Брешь позволяла злоумышленникам, чтобы отравить кэш ДНС-серверы, используемые телекоммуникационные провайдеры и крупные организации и заставить их вернуть изгоев ответов на запросы ДНС. Это позволило сайту подмены, перехвата электронной почты и ряд других атак.

С ДНС-один из основных сетевых протоколов интернет, баг срабатывает один из крупнейших скоординированных усилий исправлений в истории. Она также ускорить принятие и внедрение расширений безопасности системы доменных имен в имен (DNSSEC), который добавьте цифровые подписи на записи DNS-сервера. С 2010 года Каминский был одним из семи ключевых носителей с помощью DNSSEC восстановления, людям со всего мира, индивидуальные ключи которых необходимо в процессе восстановления корневой ключ с DNSSEC в случае его утери в катастрофу.

ДНС-кэш отравление ошибка была анонсирована в июле 2018 и Дэн Kamisky представлены дополнительные подробности об этом в США и обороноспособность в 16-конференцию в следующем месяце.

9. Из phpwn «как я встретил вашу подругу»

В 2010 году, исследователь безопасности и хакер Сэми Камкар создали программу под названием phpwn, что использовал баг в генераторе псевдослучайных чисел на языке программирования РНР. РНР является веб-ориентированный язык программирования наиболее широко используемым в мире и случайных чисел имеют важное значение для криптографических операций. В частности, phpwn Камкар продемонстрировал, что идентификаторы сеансов, производимых в РНР ЖКИ (линейный конгруэнтный генератор) — генератор псевдослучайных чисел — может быть предсказано с достаточной точностью, чтобы позволить захват сеанса. Веб-сайты используют идентификатор сессии хранится внутри куки для отслеживания и автоматической идентификации зарегистрированных пользователей.

Камкар, который также известен как создатель самый межсайтовый скриптинг червь, который взял на Майспейсе в 2005 году, продемонстрировали phpwn атаки как часть большой презентации на готовность № 18 под названием «Как я встретил твою девушку», где он показал несколько приемов и подвиги о том, как отслеживать людей в интернете, в том числе выяснение их геолокации.

10. Кавалерия не придет

После нескольких лет выступлений в серьезных уязвимостей в аппаратных устройств, которые могут непосредственно повлиять на жизнь и безопасность людей, как те, которые используются в домах, автомобили, медицинские услуги и общественную инфраструктуру, исследователи Джош Корман и Ник проблемы системы подняли по тревоге в беседе на готовность № 21 под названием «кавалерия не придет.» Разговоры служили официального запуска я кавалерийская движение, целью которого было заставить хакеров и экспертов по безопасности в одной комнате с прибором производителей, промышленных групп и регуляторов, чтобы лучше информировать их о кибербезопасности риска и как их устранить из важнейших устройств.

За последующие годы я кавалерийская кибер-безопасности общественной организацией было начислено помогает автомобильной и медицинской производителей устройств запустите ошибка головами и уязвимости программ координации, а также консультирование в Конгрессе США и в США продуктов питания и лекарствами администрации и других контролирующих органов по обе стороны Атлантики. Группа продолжает преодолеть культурный и кибербезопасности разрыва в знаниях между хакерами и лицами, принимающими решения.

11. BadUSB

Вредоносная программа доставляется через порт USB-накопители была вокруг в течение очень долгого времени. В cybersabotage атака червя Stuxnet использовал против Ирана запущен вредоносных программ с USB флеш-накопителей, использующих уязвимости нулевого дня в ОС Windows. Однако, в черной шляпе в 2014 году, немецкие исследователи Карстен Нол и Якоб Лелль представил новую форму нападения с использованием УСБ-устройств, которые практически невозможно обнаружить или предотвратить, не блокируя полностью компьютеру по USB-портов.

Получившей название BadUSB, их атаки отсутствием безопасности прошивки в широко используемых контроллеров USB кабель для перепрограммирования флэш-накопители и заставить их подражать другие функции и типы устройств, например клавиатуры, которая может автоматически посылать команды жулика и выполнять вредоносные полезной нагрузки. По дизайну, протоколу USB и позволяет на одном устройстве несколько функций и ведут себя как несколько устройств, так что такая атака использует преимущества дизайнерского решения, и не могут быть заблокированы.

BadUSB резко увеличивает риски безопасности, связанные с установкой неизвестных для USB устройств на компьютерах или даже раздавать на USB-накопитель к другу и доверять ему после того, как вставлен в машину. Это потому, что BadUSB также может быть превращен в червя. Взломан Компьютер через вредоносных привод большого пальца руки, можно перепрограммировать очищают флэш-накопители с USB вставлен в них и превратить их в авианосцы.

Больше на халтуру обратно

  • Как плюсы компьютерной безопасности взломать хакеры
  • Взломать его права, создаст кибер-дружинников
  • В ‘пробраться’ — это не стратегия обороны
  • 12 знаков вы хакнули … и как бороться
  • Предлагается Законом ‘пробраться’ не остановили бы WannaCry

Эта история, «11 топ деф Кон и черной шляпе переговоров всех времен» была опубликована в

Ого.