Разделы

Безопасность Интеграция Бизнес-приложения

Конференция хакеров: безопасных ИТ не существует

Не существует практически ни одной сферы информационных технологий, в которой пользователь мог бы чувствовать себя в полной безопасности, считают хакеры, выступавшие на всемирной хакерской конференции Defcon. На мероприятии они пытались продемонстрировать это друг другу и всему миру. «Досталось» не только компьютерам и ПО, но и биометрическим датчикам, банкоматам и сотовым телефонам.

Ежегодное событие, которое в этот раз проводится в Лас-Вегасе, собирает специалистов по электронному взлому и защите, хакеров и тех, кто с ними борется, для обмена информацией и демонстрации силы.

Гвоздем программы в этом году стали биометрические сканеры и легкость, с которой их можно «обмануть». На эти системы стали все чаще полагаться в банках, супермаркетах и некоторых аэропортах. Аналитик по безопасности Замбони (Zamboni) заявил, что атака на биометрические сканеры ничем не сложнее, чем на любые другие компьютерные системы. Не нужно подделывать отпечатки пальцев или изображения сетчатки глаза — достаточно атаковать Windows или Linux, на которых эти системы работают.

Радиоэтикетки RFID на поверку оказались ненадежными в плане обеспечения конфиденциальности: отслеживать их можно достаточно удаленно. Специалисты из Южной Калифорнии, основавшие компанию Flexilis, забрались на крышу отеля и с 20-метровой высоты следили за двигающимися этикетками. При вводе таких этикеток в американские паспорта, гражданин США, приехавший в другую страну, может легко стать жертвой похищения, будучи уязвим для террористов со сканером. Однако компании, внедряющие RFID, утверждают, что сигнал не распространяется дальше 6 метров. Аналитик ABI Research Эрик Михильсен (Erik Michielsen) заявил, что технологии RFID различаются по областям применения, и информация может быть зашифрована так, что не каждый человек со сканером сможет ее считать.

Роберт Моррис (Robert Morris), бывший ведущий исследователь АНБ, прочел лекцию об уязвимостях банкоматов, которые в будущем станут еще одним источником богатой добычи для хакеров. Он рассказал, что всего за тысячу долларов можно купить на eBay старый банкомат и перепрограммировать его, а затем выставить на улицу, ожидая тех, кто вставит карту и введет PIN-код.

Известный криптограф Фил Циммерманн (Phil Zimmermann), автор популярной программы PGP, посетовал на то, что интернет стал «трущобами, где задают тон преступники». Что касается безопасности работы во всемирной Сети, то здесь и хакеры, и эксперты по безопасности сошлись во мнении о самом ненадежном звене защиты — человеческом факторе. Если бы люди не ленились хотя бы выбирать пароли посложнее, злоумышленникам было бы гораздо сложнее. В доказательство были приведены пароли некоторых посетителей, которые удалось украсть в ходе конференции.

Эксперты подвели итоги в области ИБ и сделали прогноз на 2022 г.: в тренде будет гибридная работа
ИТ в госсекторе

Все, кто достаточно наивен, чтобы вводить свои реквизиты, пребывая в незащищенной беспроводной сети отеля, оказались жертвами эксперимента «Стена овец». На большом экране в зале можно было увидеть имена и пароли тех, кто входил в гостиничную сеть Wi-Fi. Среди попавшихся оказался инженер Cisco Systems, несколько сотрудников Apple и профессор Гарвардского университета.

Мероприятие «Встреча с федералами» посетили представители ФБР, АНБ, госказначейства (Treasury Department) и Департамента обороны США. Моррис и другие члены совета конференции заявили, что федералы хотели бы нанять «лучших и талантливейших» хакеров, но предупредили, что это предложение не распространяется на нарушителей закона. Агент Джим Кристи (Jim Christy) из Центра киберпреступности Департамента обороны сыграл с посетителями шутку. Он попросил всех встать, а затем сесть тех, кто «никогда не нарушал закон». Многие сели, но немало людей сделали это далеко не сразу.

За неделю до открытия конференции исследователь Майкл Линн (Michael Lynn) опубликовал информацию об уязвимостях в маршрутизаторах Cisco, используя которые можно в буквальном смысле «закрыть интернет». Линн и другие исследователи из Internet Security Systems нашли возможность перехватывать контроль над этими устройствами. «Дыра», которую обнаружили намного раньше, была закрыта Cisco в апреле, однако Линн показал, что она является типичной для маршрутизаторов компании и может быть применена к другим элементам ПО устройств. Cisco пыталась через суд запретить ISS разглашать информацию, но Линн уволился из ISS и все разгласил. По словам его адвоката Дженнифер Граник (Jennifer Granick), ФБР начало расследование его действий, которые, впрочем, вызвали симпатию среди участников коференции. «Мы никогда не сможем защитить Сеть, если не будем обнародовать и критиковать уязвимости», — сказал Дэвид Коуэн (David Cowan), управляющий партнер фирмы венчурного капитала Bessemer Venture Partners.

Подписаться на новости Короткая ссылка