DEF CON 27演示了mcu、医疗设备、汽车等的现实世界安全问题
最近的黑客攻击是一个机会,让安全问题成为焦点,无论是对捍卫电子产品完整性的人,还是对电子产品完整性的人。雷竞技最新app
最近的黑客攻击是一个机会,让安全问题成为焦点,无论是对捍卫电子产品完整性的人,还是对电子产品完整性的人。雷竞技最新app
如果你听过这个,请打断我。如何让电气工程师参加有关安全的讲座?
告诉他们有免费的食物,然后锁在他们身后的门。
在今年的传感器博览会上,一位安全专家对我们的EiC说,这是一个笑话(或多或少?)这似乎是令人沮丧的准确。
虽然安全不是典型的EE最喜欢的谈话主题,但它仍然是这个行业的重要组成部分。如果工程师忽略了考虑其设计中的安全性,包括基于硬件的安全性和固件的空中更新,它们会留下漏洞,耗费效率,可销售性等广泛影响的漏洞。
如果你不知道有那么多的人和机器人在不断地破坏世界各地的安全系统,那你一定是生活在岩石下面。但你有没有想过这些人是谁,我们有什么办法对付他们?
DEF CON是在拉斯维加斯举行的一个以安全为重点的会议,它是开始学习黑客文化和了解困扰电子系统的一些风险的绝佳场所。如果你能从这次会议中学到什么的话,那就是——从医疗设备到微控制器再到汽车——如果你设计了它,黑客很可能正在密谋进入它。
什么是DEF CON?
家里有人喜欢80年代的警匪片《山街蓝调》吗?对你们来说,DEF CON.将提醒您旧时骗局向官员解释他的刑事方法以及如何对付他们。不同之处在于,“议员”在善待者的职业生涯结束时不是老年人,而是大多数在比赛顶部的年轻人。
事实上,当被问到罪犯会去DEF CON吗?,答案是“是的。”他们也上高中,上大学,在你的工作场所工作,政府。还有律师、执法人员、公民自由主义者、密码学家和黑客。嘘。别告诉任何人。“(This same response has apparently been on the conference's FAQ page for at least a decade.)
我们之前报道过这个节目2016年DEF CON 24,关于可破解蓝牙门锁的章节至今仍值得一读。而且,即使是DEF CON的大师们可能也没有意识到这一点微控制器级的物联网安全和普通的硬件工程师一样。
与大多数技术会议不同,该展会的网站不是一个非常明确的指导,即在黑客文化之外的目标。组织者希望您挖掘,搜索和探索,就像他们在职业生涯中一样。
我做了一些探索让你开始,这里有一些我走到的洞察力。
欺骗扬声器
通过安全研究员Shiela Ayelen Berta提供的这次谈判的标题:“通过在微控制器上注入恶意有效载荷”的回理硬件设备“。虽然在执行方面,但毫无疑问地覆盖了典型的ee的头,但该概念仍然是一个重要的概念。
今年的阵容还包括这样的条目,因为“Quantum Computer是对加密术语的威胁?当前最先进技术的实际概述,Quantesum Technologies和QuintessenceLabs Inc.的Andreas Baumhof可能是另一个亮点“D0 N0 H4RM:一个保健安全谈判”由安全专家,医学专家,医学专家和一些人讨论所需的东西医疗领域安全。
图片来自DEF CON.
HTTP去同步攻击:攻击隔壁的蜂窝
而HTTP请求被视为独立的实体。在这次谈话中,介绍了一些技术,使攻击者能够突破所谓的隔离。这位匿名的发言人描述了他是如何炸毁各种商业和军事场所,并造成巨大破坏的。显然,这位主持人当时戴着一顶“白帽”,因为指出了缺点而获得的5万美元奖金就是证据。
《黑客pac: iOS用户空间中的黑客指针认证》(HackPac: Hacking Pointer Authentication in iOS User Space),作者:白晓龙、郑敏(Spark)
认为你是安全的,因为你正在使用苹果?再想一想!指针身份验证(Pauth)是iOS中的最新安全机制。其实现中的缺陷将漏洞暴露给代码重用攻击。作者展示了如何使用此缺陷来启动JOP(跳转编程)攻击。
发言者还介绍了一个新的工具PAC-gadget,它可以自动在pauth保护的二进制文件中查找JOP gadget。
DEF CON研讨会
EES应该意识到黑客对他们设计的设备和所用的连接方法感兴趣。DEF CON的研讨会提供有关如何防御各种设备和系统攻击的动手培训,以及如何启动它们。
例如, ”黑客wi - fi“ 和 ”在生态系统范围内寻找漏洞“有两个标题可以使工程师的耳朵振作起来,特别是如果他们最近整合到设备中。如果他们开发了起搏器或可穿戴者,也许寒意可能会爬上另一个设计师的脊椎,并看到另一个名为”的工作坊“黑客医疗设备“在名单上。
其他感兴趣的讲习班可能包括吸引我眼球的这些:
布伦特·斯通博士的《在10分钟内逆向工程17+辆汽车》
这是一个很好的CAN总线用于汽车应用。如果一个军事研究人员在十分钟内用自动化技术在现场演示中对17辆车的网络进行逆向工程,那就太可惜了。
Besim Altinok和Bahtiyar Bircan的“红色团队和蓝色队的高级无线开发”
在这里,一些黑客学习如何攻击无线网络,另一些则学习如何防御这些攻击。了解如何攻击并获得对WPA2-PSK和WPA2-Enterprise Wi-Fi网络的访问,绕过网络访问控制,并获得对活动目录环境的管理控制。
山姆·鲍恩(Sam Bowne)和伊丽莎白·比德科姆(Elizabeth Biddlecome)的《反向工程Android应用》(Reverse Engineering Android Apps)
在实际的Android应用中找到缺陷,并了解如何在您自己的应用中避免在安全错误中进行安全错误。Android系统的开放性使应用程序易于解压缩,分析,修改和重新包装。在本次研讨会中,目标包括来自Fills Fargo,Microsoft,Lyft,Whatsapp,整个食物,IBM,哈佛,进步和印度政府的应用程序。
“黑客世界杯”
计算机安全会议如果没有书呆子之战?
看看世界上最好的黑客们吧!来自DEF CON的图像
在艰苦的72小时内,由行业工人,学生和政府承包商组成的团队试图闯入彼此的计算机系统并窃取受害者的信息。今年最好的网络盗贼(在过去七年的第五次)是来自卡内基梅隆大学的Pwning(PPP)的格子议会。
(对外行人来说,“Pwn”的意思是征服、羞辱和支配被压垮的对手。)
“这些比赛远远不只是游戏,”扎克·韦德(Zach Wade)说卡内基梅隆大学的计算机科学学院PPP的队长之一。“他们将安全界人士聚集在一起,分享和测试可以用来加强我们每天使用的系统和设备安全的新想法。
来自世界各地有16支球队,卡内基梅隆面临僵硬的竞争。Hit Carnegie Mellon,Hitconxbfkin“从台湾放置第二,团队来自中国的茶叶送货员是第三。
听着,我们知道DEF CON的大部分工作都超出了工程师的范围。但是,考虑一下黑客在DEF con学习什么以及为什么学习,你可能会发现,这与典型的情感表达比你可能愿意相信的更相关。
你参加了def con吗?您的设计安全问题是什么?在下面的评论中分享您的经验。
