A conferência de segurança da informação Black Hat 2013 ocorreu em Las Vegas nos dias 27 de julho a 1° de agosto. Reunindo especialistas da área, diversos palestrantes demonstraram técnicas de invasão e possibilidades de ataque vistas em público pela primeira vez. Confira um resumo de alguns dos temas, que podem ser conferidos no site da conferência (Veja site).
Invasão de iPhone por carregador
O trio formado por Billy Lau, Yeongjin Jang e Chengyu Song demonstrou como um iPhone pode ser hackeado quando conectado a um carregador especialmente criado para realizar a invasão. Para isso, um "computador-carregador" foi criado pelos pesquisadores.
saiba mais
NSA 'defende a liberdade', diz diretor da agência em conferência de hackers
Praga digital brasileira envia dados roubados usando site do governo
O "carregador" extrai o identificador único do iPhone (UUID) e cria um registro especial no site da Apple para liberar a execução de um aplicativo não autorizado previamente. Esse recurso é usado por desenvolvedores para testarem seus aplicativos ou por empresas que querem fazer uso de softwares internos não distribuídos publicamente. Em seguida, o "carregador" instala esse aplicativo no celular, possivelmente substituindo um app existente. A partir desse momento, o celular está comprometido.
A invasão não depende de um celular com "jailbreak", já que utiliza uma autorização concedida pela própria Apple. A falha estará corrigida na versão 7 do iOS, o sistema operacional do iPhone.
Atacando TVs inteligentes
Brechas em equipamentos de TV já eram conhecidas, mas novos ataques foram demonstrados na Black Hat. Aaron Grattafiori e Josh Yavor demonstraram ataques especificamente contra TVs da Samsung. Os problemas já foram corrigidos pela fabricante. Outro especialista, SeungJin Lee, comentou sobre maneiras gerais de atacar TVs inteligentes e como elas podem ser usadas por invasores. Entre as opções levantadas, está a de ativar a câmera e o microfone embutido na TV, de modo a espionar o local onde a vítima está.
Escondendo arquivos no celular
O pesquisador Josh 'm0nk' Thomas demonstrou como ocultar arquivos em memórias NAND - o tipo de memória presente em tablets e celulares, por exemplo. Segundo ele, arquivos podem ficar ocultos no dispositivo de tal maneira que até peritos podem ter dificuldade de encontrar os dados.
Publicidade maliciosa
Jeremiah Grossman e Matt Johansen demonstraram que é fácil criar um código malicioso e então distribui-lo por meio da compra de tráfego em redes de publicidade. Em um dos exemplos, um código distribuído como publicidade tentava realizar quebra de senhas, aproveitando-se do poder de processamento do computador do internauta sem que ele precisasse ser infectado ou aceitar qualquer aviso - apenas visualizar uma publicidade em um site qualquer.
Quebrando SSL
O trio formado por Angelo Prado, Neal Harris e Yoel Gluck demonstrou um ataque contra páginas que usam segurança SSL (HTTPS). Caso um atacante esteja na mesma rede que a vítima e possa capturar os dados, como ocorre em algumas redes Wi-Fi, é possível extrair certos "segredos" da transmissão, o que pode permitir ao invasor realizar o login no mesmo serviço que a vítima está usando. O ataque fica mais fácil quando elementos de uma página são estáticos. Não há uma solução prática para o problema no momento, e o ataque pode ser feito em menos de 30 segundos.
'Big Brother' com câmeras de segurança
Craig Heffner demonstrou como é possível obter as imagens filmadas por câmeras de segurança de diversos fabricantes. As brechas demonstradas são simples, o que levou Heffner a dizer as invasões são "como em Hollywood". Uma das falhas existe desde 2011, mas ainda ainda não foi corrigida. Com outra vulnerabilidade foi possível alterar as imagens gravadas por uma câmera e remover uma pessoa.
Milhares de câmeras vulneráveis foram encontradas pelo pesquisador. Uma delas mostrava imagem de um caixa, com todas as movimentações de um estabelecimento comercial.
Automatizando engenharia social
A "engenharia social" é o uso da "lábia" para convencer uma vítima a realizar uma ação, como executar um vírus. Embora seja normalmente considerada uma habilidade "social", os brasileiros Joaquim Espinhara e Ulisses Albuquerque demonstraram uma ferramenta capaz de analisar perfis no Twitter, criando automaticamente estatísticas que facilitam a criação de mensagens que podem ser bastante convincentes, sem que o invasor precise gastar tempo estudando manualmente a vítima.
Nenhum comentário:
Postar um comentário
deixe aqui seu comentário