DEF CON 24 Roundup: 2016 Хакерская конференция
Обзор сюжетов и обновлений из этого года в Hacking Convention от DEF CON в Лас-Вегасе, который проходил в Лас-Вегасе 4-7 августа.
В этом году в DEF CON приняли участие более 22 000 человек. Эксперты по кибербезопасности и хакеры пришли на мероприятие, чтобы собраться со своими сверстниками и поделиться информацией о последних достижениях в отрасли.
Вот несколько основных моментов, если вы их пропустили:
Взломанные дверные замки BLE
Энтони Роуз, инженер-электрик, и Бен Рэмси, профессиональный эксперт по информационной безопасности, представили «Сбор низкочастотных замков Bluetooth из квартальной мили».
Дуэт исследовал 16 различных продуктов блокировки BLE и нашел проблемы с безопасностью 12 из них. То есть, они выбрали 12 различных блокировок BLE - примерно с расстояния в полмили и используя минимальное оборудование.
Помимо проверки уязвимостей этих механизмов блокировки, презентация также внедрила инструменты взлома с открытым исходным кодом, которые можно было использовать для взлома как шлюзов Bluetooth, так и Bluetooth.
Прежде чем вы будете слишком возмущены целями Роуз и Рэмси в этой презентации, вы должны знать, что они связались с 14 из 16 компаний, которые создали блокировки относительно найденных уязвимостей. По словам хакеров, эти компании отказались менять свои системы, даже когда они сталкивались с доказательством того, что их легко нарушили.
Пример блокировки BLE. Изображение предоставлено Августом (один из четырех замков, которые Роуз и Рэмси не могли взломать)
Другие дискуссии в деревнях (разбитые на несколько сегментов «Деревня», например, «IoT») с мероприятия этого года, включали в себя обновления по деятельности кибербезопасности FCC, автоматическое уклонение, уроки из прошлогоднего хачка Эшли Мэдисона, криптография на Python, обратные инженерные RF-дроны, а также введение в различные инструменты и системы взлома.
Суперкомпьютер «Mayhem» конкурирует с людьми
Для незнакомых, Cyber Grand Challenge (или CGC) - это ежегодный конкурс, организованный DEF CON DARPA, впервые организованный в 2013 году. Конечно, «Capture the Flag» означает что-то другое для хакеров, чем для большинства людей. При взломе каждой команде предоставляется сеть, полная слабых сторон. Они должны одновременно исправлять свою сеть, чтобы защитить ее от атаки, одновременно развивая нарушения для сети противоположной команды.
Кроме того, в некоторых играх также есть правила «Стиль в стиле Jeopardy», где команды должны решать ряд головоломок, каждый из которых разблокирует следующие очки.
Mayhem - суперкомпьютер, разработанный командой Pittsburgh, ForAllSecure.
Mayhem. Изображение предоставлено ForAllSecure
В этом году CGC Mayhem победил своих оппонентов. Часть вознаграждения команды за эту победу (вместе с 2 миллионами долларов) была приглашением на майм против людей на ежегодном конкурсе DEF CON Capture the Flag.
С 5 по 7 августа Mayhem поднялся против некоторых из лучших конкурирующих хакерских команд в стране. Результат "" src = "// www.allaboutcircuits.com/uploads/articles/Defcon_3.jpg" />
Изображение предоставлено r00tz Asylum
Согласно его веб-сайту, убежище обычно обслуживает детей в возрасте от 8 до 16 лет.
Помимо предоставления детям инструментов и навыков для собственного взлома, r00tz также воспитывает их в отношении роли кибербезопасности в своей жизни и в мире в целом.
Еще один момент, заслуживающий внимания, заключается в том, что у r00tz есть явная цель обучения навыкам хакерства как инструмента «навсегда». Например, один из прошлогодних переговоров был назван «White Hat Hacking», в котором «белая шляпа» относится к этической или социально ответственной деятельности.
Вдоль этих строк, программа привлекла детей к «щедростям ошибок», в которых компании платят за обнаружение и репортаж о слабых сторонах своих систем безопасности.
В качестве примечания, в этом году Apple впервые приняла участие в индустрии «bug bounty»:
Бонус
Как обычно, DEF CON 2016 провела множество семинаров на этаже.
В качестве примера, вот демонстрация участника, взламывающего малину Pi с помощью Black Magic Probe: