• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Black Hat 2012 přinesl Stephensona, kybernetické zbraně i odvetné útoky

Pavel Houser
31. 7. 2012
| Články

V Las Vegas proběhla konference Black Hat, kterou lze (spolu s DefConem, jenž má však stejného pořadatele) pokládat za jednu z největších akcí v oblasti IT bezpečnosti. Příspěvky opět pokryly celou řadu témat, od ukázek konkrétních exploitů bankovních systémů k debatám o účasti vlád na vývoji malwaru.

Název Black Hat je vlastně mírně zavádějící, nejde o žádnou akci na pomezí počítačové kriminality – i když v minulosti některé příspěvky opravdu vyvolaly žaloby nebo alespoň pokusy o ně a nátlak vyžadující stažení prezentací; proto se mimochodem uvažovalo i o tom, že by program konference nebyl dopředu zveřejňován.

Apple a Microsoft nejen jako předměty útoků

Letos se akce účastnilo kolem 10 000 odborníků. Prezentaci zde měl poprvé za 15 let trvání konference Apple, nicméně přednáška manažera bezpečnosti platforem Apple Dallase De Atleyho o zabezpečení systému iOS byla řadou posluchačů kritizována jako „produktová prezentace“. Větší zájem vzbudil Jonathan Zdziarski ze společnosti ViaForensics, který naopak předváděl, jak lze bezpečnostní mechanismy iOS obcházet.

Pokud pomineme objev zero day zranitelnosti, další způsoby podle Zdziarskiho v zásadě vyžadují mít k zařízení fyzický přístup, nicméně pak prý dokáže ovládnout i telefon chráněný heslem – ať už jde o extrakci informací ze zařízení nebo i o instalaci malwaru.

Hlavní problém má spočívat ve zranitelnosti komponenty iOS KeyChain. „Monukultura“ systémů Applu navíc vede k tomu, že kdo dokáže ovládnout jeden telefon, má cestu otevřenou ke všem (i když i iOS pochopitelně existuje ve více verzích). Co se týče instalace malwaru do iPhonu chráněného heslem, Zdiarski dokázal do telefonu připojeného k počítači i tak přenést svůj kód, který čekal a aktivoval se po odemčení zařízení.

Naopak Microsoft se na rozdíl od Applu konference účastní již tradičně a při této příležitosti vyhlašuje svá ocenění Blue Hat. Hlavní cenu ve výši 200 000 dolarů letos získal Vasilis Pappas. Microsoft na rozdíl od konkurence ale neplatí za žádné reportování zranitelností ve svém softwaru, naopak do soutěže jsou přihlašovány obranné technologie. Letos se všechny vítězné práce zaměřily na to, jak znesnadnit exploity typu ROP (returned oriented programming). Technologie navržené v rámci loňského ročníku soutěže se již mezitím stihly stát i součástí nejnovější verze bezplatného bezpečnostního nástroje MS EMET (verze 3.5, zatím ve vydána jako preview).

Od kyberpunku ke Stuxnetu

Keynote na letošním Black Hatu přednesl sci-fi spisovatel Neal Stephenson, autor kyberpunkového bestelleru Sníh. Ve svém dalším románu Kryptonomicon (kromě toho, že je to prostě kniha o kryptografii, Turingovi/Enigmě etc.) např. předpověděl existenci „datového ráje“, jež by nepodléhal žádné legislativě. Neúspěšně byl tento projekt realizován na ostrově Sealand, nyní o „plovoucích serverech“ uvažuje např. projekt WikiLeaks. Stephenson ovšem v zahajovací řeči nehovořil ani tak o bezpečnosti IT, ale o sci-fi, kosmickém programu, technologickém pokroku (mezí ho jeho zpomalení), počítačových hrách, šermu i svém odporu k sociálním sítím. O Facebooku neměl iluze, zklamal ho ale Twitter. Stephenson se těšil, že díky limitujícímu rozsahu příspěvků by výsledkem mohla být jakási haiku, nicméně síť je namísto toho prostě zaplavena zbytečnými odkazy směřujícími ven.

Z hlediska on-line bezpečnosti je prý Stephenson nyní klidný a fatalistický, nepoužívá žádné šifrování e-mailů ani speciální nástroje pro ochranu soukromí; podle něj to všechno sice po technické stránce funguje, ale komunikace se pak stává neefektivní.

Debata se rozpoutala ohledně legitimity používání kybernetických zbraní, jako byl Stuxnet. Zakladatel konference Jeff Moss podobné akce obhajoval. Podle něj jde o způsob, jak poškodit klíčovou infrastrukturu protivníka bez toho, aby při tom byly přímo ohroženy lidské životy. Měly snad USA a Izrael namísto toho íránské odstředivky na obohacování uranu bombardovat? Moss se domnívá, že jde o nekrvavý způsob použití síly, konečně je k dispozici „něco mezi rétorikou a řízenou střelou“. Miko Hyponnen z finské společnosti F-Secure ovšem soudí, že debata o etičnosti podobných prostředků je stejně zbytečná, protože se prostě staly realitou. Bezpečnostní odborníci nejsou placeni za to, aby přemýšleli, zda je to správné, ale jak se s tím naučit žít.

Lstivé karty a pomsta útočníkům

Z prezentovaných hacků zaujala demonstrace dvou způsobů, jak napadnout pokladní systémy pro zpracování platebních karet. V prvním případě, který převedli výzkumníci z britské společnosti MWR InfoSecurity, se systém ošidí tak, že transakce se ve skutečnosti nezpracuje, takže podvodník může „nakupovat“ zadarmo. Ve druhém případě pak speciálně upravená karta do systému rovnou vnese malware. Ten pak shromažďuje dále zadaná čísla a PINy karet.

Útočník se po nějaké době vrátí a na svou kartu si pak tyto údaje dokáže i rovnou jednoduše uložit. Příliš podrobností ovšem v tomto případě oznámeno nebylo, což je ovšem pochopitelné, protože zranitelnost se má týkat systémů aktuálně používaných (v Británii). Britská Cards Association v této souvislosti uvádí, že podvody tohoto typu ale zatím nezaznamenala. Navíc dodává, že popsaný postup by se týkal výhradně maloobchodních systémů, s bankomaty takto manipulovat nelze. Míra karetních podvodů v Británii je prý dnes nejnižší od roku 2000.

Dan Kaminsky, odborník na systém DNSSEC, zde mluvil o svém dalším projetu, nástroji, který by fungoval jako doplněk do webového prohlížeče a upozorňoval na cenzuru nebo pozměnění informace (na úrovni státního firewallu, poskytovatele Internetu apod.). Hlavním problémem podle něj není samotné omezování obsahu (budiž, třeba podle toho, jak nákladnou verzi připojení si kdo koupil), ale hlavně to, že není transparentní – uživatel by měl vědět, že přístup k určitému obsahu je mu odepřen. Svého času to takto dělal s výsledky vyhledávání Google v Číně, mimochodem, jaká je v tomto ohledu situace dnes?

Firma nCircle Security provedla mezi účastníky Black Hatu průzkum, zda se pokoušeli zaznamenané útoky oplácet. Výsledek: 64 % říká ne, 23 % jednou, 13 % často. Technický ředitel nCircle Tim Keanini k tomu uvedl, že v realitě mohou být odvetné útoky ještě mnohem častější, protože pochopitelně ne každý se k nim chce přiznávat. Zásada oko za oko je ale podle Keaniniho nebezpečná, pro většinu firem je rozhodně výhodnější na pomstu zapomenout. Odveta, především pokud je vedena impulzivně, může zasáhnout i někoho jiného než skutečného pachatele, a to je ještě jen jeden z možných problémů.

Po BlackHatu nyní aktuálně v Las Vegas běží sesterská konference DefCon, o té ale více v tradičním čtvrtečním přehledu.

Rubriky: Akce a událostiInternetPodnikový softwareSecurity

Související příspěvky

Zprávičky

Polský premiér obvinil ruské hackery z útoku na weby vládních stran před volbami

16. 5. 2025
Sophos představil XDR řešení pro synchronizované zabezpečení
Zprávičky

Největší americkou kryptoměnovou burzu Coinbase napadli hackeři

16. 5. 2025
Zprávičky

Brusel obvinil provozovatele TikToku z porušování pravidel EU, hrozí mu pokutou

15. 5. 2025
Články

Izraelská společnost Cato Networks ztrojnásobí kapacitu svého pražského vývojového centra

15. 5. 2025

Zprávičky

750 zaměstnanců ČSOB se díky Atosu zvládlo rychle přesunout do domácích kanceláří

Proofpoint koupí Hornetsecurity za miliardu dolarů, posílí pozici v Evropě

ČTK
17. 5. 2025

Americká společnost působící v oblasti kybernetické bezpečnosti Proofpoint se chystá převzít svého evropského konkurenta

Polský premiér obvinil ruské hackery z útoku na weby vládních stran před volbami

ČTK
16. 5. 2025

Polský premiér Donald Tusk dnes obvinil ruské hackery z útoku na internetové stránky své

Sophos představil XDR řešení pro synchronizované zabezpečení

Největší americkou kryptoměnovou burzu Coinbase napadli hackeři

ČTK
16. 5. 2025

Na největší americkou kryptoměnovou burzu Coinbase zaútočili hackeři. Získali data k omezenému počtu účtů,

Trump nechce, aby Apple vyráběl v Indii; pře se kvůli tomu s šéfem podniku

ČTK
16. 5. 2025

Americký prezident Donald Trump si nepřeje, aby americká společnost Apple vyráběla své produkty v

Informační systémy státní správy asi bude nově monitorovat vládní centrum

ČTK
16. 5. 2025

Komunikační a informační systémy státní správy asi bude do budoucna místo ministerstva vnitra monitorovat

Brusel obvinil provozovatele TikToku z porušování pravidel EU, hrozí mu pokutou

ČTK
15. 5. 2025

Evropská komise (EK) obvinila provozovatele čínské platformy TikTok z porušování pravidel EU kvůli netransparentnosti

ÚOHS začal posuzovat převzetí Dotykačky softwarovou skupinou Seyfor

ČTK
15. 5. 2025

Úřad pro ochranu hospodářské soutěže (ÚOHS) začal posuzovat převzetí společnosti Dotykačka, která poskytuje pokladní

T-Mobile v prvním čtvrtletí zvýšil provozní zisk o 5 % na 3,44 miliardy

ČTK
15. 5. 2025

Operátor T-Mobile zvýšil v prvním čtvrtletí provozní zisk EBITDA o 4,8 procenta na 3,438

Tiskové zprávy

Acer uvádí monitory řady ProCreator s certifikací Calman a nástrojem Acer Creator Hub

Nové monitory Predator posouvají hranice díky obnovovací frekvenci 500 Hz a 4K QD-OLED panelům

Acer představuje Swift X Duo – notebook pro tvůrce s grafickými kartami NVIDIA GeForce RTX řady 50 pro notebooky

Huawei představuje řešení pro datová centra na bázi AI

Květen je měsícem růstu, můžete růst s Windows 11 jen za €20.00!

MPO: Zrušení amerického omezení vývozu AI čipů nechává prostor pro rozvoj českého průmyslu a mezinárodní spolupráce

Zpráva dne

Květen je měsícem růstu, můžete růst s Windows 11 jen za €20.00!

Květen je měsícem růstu, můžete růst s Windows 11 jen za €20.00!

Redakce
15. 5. 2025

Kupte Windows 11 CDkey od Goodoffer24.com a můžete růst s tímto OS jak při...

Videa ITBiz.cz

Glenn Mallon, Dell Technologies

Elektronická recepční

FORXAI Mirror

Kamery pro průmysl a detekci požárů

Kamery pro vyhodnocení spokojenosti zákazníků

Kalendář

Kvě 27
Celý den

Kontajnery v praxi

Říj 1
Celý den

Cyber Attacks

Říj 21
Celý den

Bezpečnosť a dostupnosť dát

Zobrazit kalendář

Komentujeme

Chvála černých skřínek

Malé modely AI mají být velkým trendem

Pavel Houser
3. 1. 2025

V záplavě prognóz technologického vývoje (nejen) v roce 2025 zde prozatím trochu zapadlo jedno téma, které...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Slovník

.AAF

Atribut značky

CLV

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Operační systémy Podnikový software Právo Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT

Píšeme jinde

RSS ScienceMag RSS

  • Voda mohla vzniknout dříve, než se myslelo
  • Tajemná velekrysa měří 85 cm
  • Čeští vědci popsali mechanismus Fabryho choroby

RSS AbcLinuxu RSS

  • Konference OpenAlt 2025 hledá přednášející
  • Raspberry Pi Official Magazine 153
  • Novinky z vývoje Asahi Linuxu – květen 2025 / Linux 6.15

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.