Tūkstančiai įsilaužėlių, tyrėjų ir saugumo profesionalų šią savaitę atvyko į „Black Hat“ ir „Def Con“ saugumo konferencijas Las Vegase – kasmetinę piligriminę kelionę, kurios tikslas – dalytis naujausiais tyrimais, įsilaužimais ir žiniomis visoje saugumo bendruomenėje. O „TechCrunch“ buvo vietoje, kad praneštų apie nuolatines laidas ir apžvelgtų kai kuriuos naujausius tyrimus.
„CrowdStrike“ užėmė svarbiausią vietą ir atsiėmė „epinio nesėkmės“ apdovanojimą, kurio tikrai nenorėjo. Tačiau bendrovė pripažino, kad susimaišė ir sutvarkė savo skandalą praėjus kelioms savaitėms po to, kai išleido klaidingą programinės įrangos naujinį, kuris sukėlė pasaulinį IT sutrikimą. Atrodė, kad įsilaužėliai ir saugumo tyrinėtojai iš esmės nori atleisti, nors gal ir nelengvai pamiršta.
Pasibaigus kitam „Black Hat“ ir „Def Con“ konferencijų etapui, apžvelgiame kai kuriuos svarbiausius pasirodymo įvykius ir geriausius tyrimus, kurių galbūt praleidote.
„Ecovac“ robotų įsilaužimas, siekiant šnipinėti jų savininkus internetu
Saugumo tyrinėtojai „Def Con“ pokalbyje atskleidė, kad buvo įmanoma užgrobti įvairius „Ecovacs“ namų dulkių siurblius ir žoliapjoves, siunčiant kenkėjišką „Bluetooth“ signalą pažeidžiamam robotui, esančiam arti. Iš ten integruotą mikrofoną ir kamerą galima suaktyvinti nuotoliniu būdu per internetą, todėl užpuolikas gali šnipinėti visus, esančius roboto ausyje ir fotoaparate.
Blogos naujienos yra tai, kad „Ecovacs“ niekada neatsakė į tyrėjų ar „TechCrunch“ prašymą pakomentuoti, ir nėra įrodymų, kad klaidos kada nors buvo ištaisytos. Geros naujienos yra tai, kad vis dar gavome šią neįtikėtiną šuns ekrano kopiją, padarytą iš nulaužto Ecovacs roboto kameros.
Ilgas žaidimas, skirtas įsiskverbti į išpirkos reikalaujantį žaidimą „LockBit“ ir sunaikinti jo lyderį
Intensyvus katės ir pelės žaidimas tarp saugumo tyrinėtojo Jono DiMaggio ir LockBit išpirkos ir turto prievartavimo reketo lyderio, žinomo tik kaip LockBitSupp, nuvedė DiMaggio į atvirojo kodo žvalgybos duomenų rinkimo triušio duobę, kad nustatytų žinomo įsilaužėlio tapatybę realiame pasaulyje.
Savo labai išsamioje dienoraščių serijoje DiMaggio, paskatintas anoniminio el. pašto adreso, kurį tariamai naudojo LockBitSupp, ir giliai įsišaknijusio noro gauti teisingumą gaujos aukoms, pagaliau atpažino vyrą ir pateko ten dar prieš tai, kai federaliniai agentai viešai paskelbė. įsilaužėlį pavadino Rusijos piliečiu Dmitrijus Choroševas. „Def Con“ metu DiMaggio pirmą kartą papasakojo savo istoriją iš savo perspektyvos sausakimšame kambaryje.
Hacker sukuria lazerinį mikrofoną, kuris girdi klaviatūros paspaudimus
Garsus įsilaužėlis Samy Kamkar sukūrė naują techniką, kuria siekiama slaptai nustatyti kiekvieną nešiojamojo kompiuterio klaviatūros bakstelėjimą, nukreipiant nematomą lazerį pro netoliese esantį langą. Technika, demonstruota „Def Con“ ir kaip paaiškino Wired, „pasinaudoja subtilia akustika, sukurta paspaudus skirtingus kompiuterio klavišus“, ir veikia tol, kol įsilaužėlis turi tiesioginį matymo liniją nuo lazerio iki taikinio. pats nešiojamasis kompiuteris.
Greitos injekcijos gali lengvai apgauti „Microsoft Copilot“.
Nauja „Zenity“ sukurta greito įpurškimo technika rodo, kad galima išskirti neskelbtiną informaciją iš „Microsoft“ AI maitinamo pokalbių roboto „Copilot“. „Zenity“ vyriausiasis technologijų pareigūnas Michaelas Bargury pademonstravo išnaudojimą „Black Hat“ konferencijoje, parodydamas, kaip manipuliuoti „Copilot AI“ raginimu pakeisti jo išvestį.
Viename pavyzdyje, kurį jis paskelbė „Twitter“, Bargury parodė, kad buvo įmanoma įvesti HTML kodą, kuriame yra banko sąskaitos numeris, kurį valdė piktybinis užpuolikas, ir apgauti Copilotą, kad šis grąžintų tą banko sąskaitos numerį atsakymuose, grąžintuose paprastiems vartotojams. Tai gali būti naudojama siekiant apgauti nieko neįtariančius žmones siųsti pinigus į netinkamą vietą, o tai yra kai kurių populiarių verslo sukčių pagrindas.
Šešios įmonės išgelbėjo nuo didelių išpirkų dėl išpirkos reikalaujančių programų trūkumų svetainėse
Saugumo tyrinėtojas Vangelis Stykas užsimojo aprėpti dešimtis išpirkos reikalaujančių grupuočių ir nustatyti galimas jų viešosios infrastruktūros spragas, pavyzdžiui, turto prievartavimo nutekėjimo vietas. Savo kalboje „Black Hat“ Stykas paaiškino, kaip aptiko trijų išpirkos reikalaujančių gaujų – Mallox, BlackCat ir Everest – interneto infrastruktūros spragas, leidžiančias gauti iššifravimo raktus dviem įmonėms ir pranešti dar keturioms, kad gaujos galėtų įdiegti išpirkos reikalaujančias programas. iš viso šešios įmonės iš didelių išpirkų.
Išpirkos reikalaujančios programos negerėja, tačiau teisėsaugos taktika, kurią taiko prieš aukas šifruojančias ir prievartaujančias gaujas, tampa vis naujoviškesnė ir įdomesnė, ir tai galėtų būti būdas, į kurį reikėtų atsižvelgti kuriant gaujas.