Czarny kapelusz, czyli nowiny z największej konferencji hakerów

Czarny kapelusz, czyli nowiny z największej konferencji hakerów07.08.2013 13:00
Mariusz Kamiński

Konferencja Black Hat (oraz DEF CON) to unikalna i niepowtarzalna okazja do spotkania największych tuzów hakingu z rządowymi oficjelami z NSA, specjalistami od szeroko pojętego "IT security" i zwykłymi złodziejaszkami, którzy chcą narobić szkód podczas pobytu nielubianych osób. O czym mówiono na tegorocznym spotkaniu w Las Vegas?

Konferencja Black Hat (oraz DEF CON) to unikalna i niepowtarzalna okazja do spotkania największych tuzów hakingu z rządowymi oficjelami z NSA, specjalistami od szeroko pojętego "IT security" i zwykłymi złodziejaszkami, którzy chcą narobić szkód podczas pobytu nielubianych osób. O czym mówiono na tegorocznym spotkaniu w Las Vegas?

Nie jesteście tu mile widziani...

Tradycją spotkań Black Hat/DEF CON były konferencje i panele z udziałem panów z FBI, CIA i NSA. Mimo że osoby te zapewne nie mogły zbyt wiele opowiedzieć o własnej pracy, to jednak wiedza, którą przekazywały podczas spotkań, była za każdym razem cenna. Tym razem zgrzytu nie dało się uniknąć, bo po rewelacjach objawionych przez Snowdena specjaliści rządowi nie należą już do pożądanego towarzystwa, ani na konferencji, ani przy piwie w kasynie.

Jeff Moss zaapelował do federalnych o omijanie Black Hat szerokim łukiem ze względu na potencjalne nieprzyjemności, które mogą ich spotkać ze strony hakerów. Żeby było zabawniej, Jeff Moss jest płatnym pracownikiem Homeland Security, co zapewne gryzło nieco sumienie. Tak czy inaczej, zaproszono lisa do kurnika i na Black Hat pojawił się generał Keith Alexander, czyli głowa hydry zwanej NSA. Trochę przemawiał, usłyszał parę niemiłych rzeczy od widowni. Warto obejrzeć, jak spokojnie można sączyć propagandę w obliczu faktów i zmielić erystycznie wszystkie zadane pytania w papkę dla mas. Keith Alexander jest mistrzem w mówieniu o niczym, o czym przekonacie się, oglądając poniżej jego przemówienie z Black Hat 2013.

RSA skończył się na Kill 'Em All

Istnieją alternatywy dla RSA, ale ich posiadaczem (w dużej części) jest... BlackBerry. Chodzi tu o niezawodne i szczególnie wychwalane metody ECC, czyli kryptografię krzywych eliptycznych. Jest znacznie szybszy niż RSA, choć poziom bezpieczeństwa jest porównywalny. Czy za kilka lat wszystkie nasze dane padną łupem zmasowanego ataku na pokonane RSA? Brrr...

Nowe haki zadziwiają pomysłowością

Ciekawostką jest użycie kamery GoPro do śledzenia niczego nieświadomych użytkowników. Oprogramowanie jest tak dziurawe, że można to robić na kilka sposobów, a na towarzyszącym DEF CON-ie można było zdobyć kompletną wiedzę i biblioteki, żeby to robić. Oczywiście śledzenie odbywa się bezprzewodowo i bezstresowo.

Opisywano także metody podsłuchu połączeń komórkowych osiąganych poprzez modyfikację tzw. femtokomórek, czyli miniaturowych stacji bazowych/nadajników telefonii komórkowej. Jedno z takich urządzeń widać na zdjęciu poniżej. Są one wykorzystywane na stacjach metra (być może w warszawskim metrze?), bardzo wysokich budynkach, w których zasięg jest problemem etc.

Barnaby Jack miał wygłosić przemówienie na temat hakowania rozruszników serca, ale - jak być może słyszeliście - zmarł, więc panel odwołano. Rzecz była mocno wyczekiwana, bo temat jest kontrowersyjny i palący. Wszak nie może być tak, że osoby polegające na takich urządzeniach mają żyć w niepewności, czy ktoś przypadkiem nie podejdzie do nich z zaprogramowanym "zawałem" w laptopie. Wedle doniesień można się włamać do cudzego serca z odległości 10 metrów. Poniżej zdjęcie z udanej próby dobrania się do ustawień rozrusznika serca.

Nie można pominąć najnowszej mody związanej z włamaniami, czyli podkradaniem samochodów. Przejęcie kontroli nad naszą bryką (odpowiednio nowoczesną) jest możliwe, co mogliśmy niedawno obejrzeć na poniższym filmie. Mówiono także o dezaktywacji autoalarmów, które bezmyślnie sprzężono z systemem głównym samochodu i konsolą w niektórych modelach drogich samochodów.

Fałszywe zakończenie połączenia SSL/TLS umożliwia porwanie sesji Gmail na 5 minut (wystarczy, by pobrać newralgiczne dane) oraz sesji Outlook na znacznie dłuższy okres. Cóż, dla chcącego nic trudnego...

Jabłuszko nadgnite

Ostatnią ciekawostką z Black Hat będzie święte oburzenie na Apple'a ze względu na dość oczywistą i znaną już metodę porywania urządzeń, czyli "sposób na ładowarkę". Specjalnie sfabrykowana ładowarka zawiera złośliwy kod, który trafia do telefonu po jego podłączeniu i przejmuje kontrolę nad urządzeniem w celu zaspokojenia potrzeb włamywacza.

HTTPS - ciemne strony...

Jak to zrobić? Wystarczy podłączyć telefon do "ładowarki". Nie trzeba wykonywać jailbraku ani ustawiać niczego w telefonie. Na ekranie nic się nie dzieje, więc ofiara nie ma o niczym pojęcia.

Sekretem jest UDID "ładowarki", czyli unikalny numer identyfikacyjny. Numer ten informuje telefon, że urządzenie USB ma prawa developerskie, i może zainstalować, co mu się żywnie podoba, bez konieczności dodatkowej weryfikacji zaufania. Jedynym sposobem na zabezpieczenie telefonu jest nieodblokowywanie ekranu przed ładowaniem i na jego czas. W momencie odblokowania jest już za późno - telefon jest zainfekowany. Ładowarka jest prezentowana na zdjęciach poniżej. Czy iOS 7 rozwiąże ten problem? Miejmy nadzieję...

Źródło artykułu:WP Gadżetomania
© Gadżetomania·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na