Вход Регистрация
Введите Ваш E-mail адрес и Вы будете первым, кто получит новые статьи.

Статьи

Интернет умирает | TechSNAP 279 | Вещание Юпитера

  1. Прямая загрузка:
  2. RSS-каналы:
  3. Станьте сторонником на Patreon :
  4. Показать заметки:

Почему Интернет нуждается в собственной версии исследователей рака, минуя защиту от чипов и булавок и награду Pwnie Awards 2016 от Blackhat!

Плюс ваши вопросы, наши ответы и многое, многое другое!

Благодаря:


Благодаря:



Прямая загрузка:

HD видео | Мобильное видео | MP3 Audio | OGG Audio | YouTube | HD Торрент | Мобильный торрент

RSS-каналы:

HD Video Feed | Подача мобильного видео | MP3 Audio Feed | Ogg Audio Feed | iTunes Feed | Поток торрента

Станьте сторонником на Patreon :

Станьте сторонником на Patreon :

Показать заметки:

Исправление этого интернета, прежде чем он снова сломается

  • «То, что мы называем Интернетом, не было нашей первой попыткой создания глобальной сети передачи данных, охватывающей весь земной шар. Это было только первое, что сработало ».
  • «Нет никаких гарантий, что Интернет будет успешным. И если мы не будем осторожны, мы можем все испортить. Это случилось раньше, и мы можем сделать это снова ».
  • «Каминский, который выступил с докладом для более чем 6000 участников Black Hat USA 2016, заявил, что проблемы, которые необходимо решать в сообществе безопасности, носят политический, технический характер и как сообщество безопасности сотрудничает».
  • «В интернете нет эквивалента« парня », который работает над раком. Нам нужны институты и системы. Нам нужно что-то вроде NIH (Национальные институты здоровья) для кибер. Для этого нужно хорошее и стабильное финансирование », - сказал Каминский. Исследования, решение проблем и решения слишком часто проводятся в вотчинах, которые редко разделяют коллективные решения, необходимые для решения важных проблем безопасности дня. "Я обеспокоен. Я обеспокоен нашей способностью к инновациям и нашей способностью создавать, и я обеспокоен тем, что мы не создаем такую ​​инфраструктуру, чтобы сделать Интернет безопасным местом ».
  • «Используя подход, основанный на NIH, Камински утверждал, что интернет поможет большому количеству глубоко приверженных экспертов в области безопасности работать независимо и в стороне от коммерческого интереса, что побуждает сектор безопасности быстро находить решения для решения больших проблем безопасности. «Нам нужно внести изменения, и нам нужно изучить методы программирования и методы, которые люди используют для создания безопасных вещей»
  • «Итак, я надеюсь ответить на этот вопрос - забыть о слоях абстракции и политике - как мы можем заставить 100 ботаников работать над проектом в течение 10 лет, не прерывая их и не беспокоя их и не заставляя их делать разные вещи. Как ты это делаешь? То, как вы этого не добиваетесь, это то, как мы делаем это сегодня в InfoSec - и это благодаря свободному времени небольшого числа высокооплачиваемых консультантов. Мы можем добиться большего, чем это »
  • «Каминский не рассматривает подход NIH как панацею от всего, что беспокоит мир безопасности. На самом деле, в своем выступлении он описал деликатный баланс, когда сообщество безопасности извлекает выгоду из более широкой администрации, не будучи вовлеченным в потенциальную политику. Он утверждает, что контроль, жадность и компании, движимые прибылью, убили Интернет 90-х годов. Он утверждает, что AOL пытался создать огороженный сад, контролировать все и зарабатывать миллиарды. Но этот интернет провалился »
  • «Есть две модели интернета. Есть огороженный сад и свобода. Сад в стенах гласит: «Хорошо, вот твоя среда, иди и попробуй ее использовать». Другая модель заключается в том, что люди могут мириться с вещами, а другие могут использовать и злоупотреблять ими. Людям не нужно спрашивать разрешения, которое им не нужно просить. Может быть, это работает, а может и нет ».
  • Apple, Facebook, Google и Microsoft, ведут нас к своим собственным версиям AOLs, огороженным садом Интернета?
  • Как часто интернет-браузеры вашей семьи покидают Facebook?
  • Он предупреждает, что точно так же, как огороженный сад AOL угрожал бесплатному Интернету 1990-х годов, государственный контроль над шифрованием может оказать такое же удушающее воздействие на инновации и кибер-свободы. «Давайте прекратим дебаты о шифровании. Это на самом деле бесполезно. Это отнимает всю энергию у того, что нам нужно исправить ».
  • Возглавив список исправлений Камински, он разработал лучшие способы для сообщества безопасности коллективно продвигать мяч безопасности вперед, а не рассматривать решения в области безопасности как отдельные гонки для победы. «Давайте возьмем наши неясные знания и реальный опыт и сделаем их доступными для всего сообщества безопасности», - сказал он. Обмен знаниями и решениями позволяет нам быстрее находить недостатки и исправлять их еще быстрее ».
  • Речь идет не о самой выплескиваемой вульне с самым крутым именем или самой быстрой фиксацией, а о том, чтобы быть в ней надолго, и на самом деле исправить вещи.

Исследователи обходят защиту чипов и выводов, атакуя терминалы PoS

  • «Платежная индустрия все больше зависит от стандартов безопасности. Тем не менее, краеугольные камни все еще не сломаны даже при использовании последних версий этих платежных систем, в основном из-за того, что они сосредоточены на стандартах, а не на безопасности ».
  • «К этому моменту компании, выпускающие кредитные карты, по большей части перешли от кредитных карт« считывания и подписи »к картам с чипами и пин-кодами; По словам исследователей, технология, известная как EMV (Europay, MasterCard и Visa), которая должна предоставить потребителям дополнительный уровень безопасности, начинает испытывать некоторый износ ».
  • Кроме в США
  • Переход чиповой карты в США стал катастрофой
  • «Нир Вальтман и Патрик Уотсон, исследователи из корпорации NCR, провели в среду в Black Hat ряд вредоносных транзакций, демонстрируя, как они могут захватить данные Track 2 и обойти защиту чипов и выводов».
  • «Вместо того чтобы атаковать операционную систему устройств POI и POS, исследователи обошли большую часть встроенной системы безопасности. Это включает в себя интегрированные схемы криптографической защиты. В конце концов, взломать крипто очень сложно. Это потому, что криптография - это просто математика, а математика (по большей части) работает. Но криптография - это только часть общей системы безопасности, другие части которой уязвимы для атак. Это стало еще проще, поскольку большая часть информации, которую команда искала в своих атаках, не была зашифрована на платежном устройстве ».
  • «В своей первой демонстрации дуэт использовал Raspberry Pi для захвата пакетов данных Track 2 в режиме реального времени. Посредством пассивного компромисса «человек посередине» Wireshark обнаружил два взаимодействия из данных, введенных в пин-ап с запущенным программным обеспечением для производства, которое в настоящее время находится на свободе. Эти двое отказались указать название компании, но заявили, что говорили с поставщиком и попросили их внедрить соединения TLS, но сказали, что не могут, поскольку они используют старое оборудование ».
  • «Искаженные данные могут быть преобразованы в читаемые биты, данные об истечении срока действия служебного кода, дискреционные данные и т. Д., Данные, которые могут подсказать хакеру, является ли карта чип-картой».
  • Пара показала, как легко было бы использовать злонамеренную форму, чтобы обмануть потребителя при повторном вводе его PIN-кода или CVV на карточном компьютере. «Потребители доверяют кнопочным панелям, они обычно думают, что ввели их неправильно»
  • «По словам двух исследователей, злоумышленники могут скомпрометировать пинпад, введя форму Malform.FRM в этом случае, когда никого нет в магазине, и быстро измените ее обратно на настроенное сообщение« Добро пожаловать! ». Как Valtman, так и Watson выступают за то, чтобы контактные площадки использовали сильные криптоалгоритмы и допускали только подписанные обновления белого списка. Контактные площадки в точках продаж, как правило, сертифицированы PCI, но два указанных PCI не требуют шифрования в локальной сети, и именно так злоумышленник может провести атаку MiTM ».
  • Поэтому они использовали API платежного терминала, чтобы обманным путем заставить пользователя ввести CVV, чтобы они могли его захватить.
  • Кроме того, они социальным путем заставляют пользователя думать, что он неправильно набрал свой ПИН-код, и заставляют его ввести его повторно. Один из которых не ожидается программным обеспечением, а взломан программным обеспечением злоумышленников
  • «Потребители никогда не должны повторно вводить свой ПИН-код, поскольку это контрольная раздача о том, что пин-код может быть скомпрометирован», - заявил Вальтман, прежде чем добавить, что он обычно посещает магазины, которые позволяют ему расплачиваться своими Apple Watch, поскольку он находит технологию более безопаснее, чем EMV »
  • «Это круто, но не безопасный стандарт», - сказал Нир.
  • «В рамках наших демонстраций мы будем включать обход EMV, избегая защиты ПИН-кодами и очистку PAN от различных каналов».
  • Слайды
  • Дополнительное покрытие

2016 Pwnie Awards!

Обратная связь:

Округлять:

Похожие

Microsoft постоянно собирает отзывы о Windows 7 от клиентов и партнеров по нескольким каналам. Эта обратная связь ...
Microsoft постоянно собирает отзывы о Windows 7 от клиентов и партнеров по нескольким каналам. Эта обратная связь приводит к улучшениям, которые помогают улучшить совместимость, надежность, производительность и удобство использования. Пакет обновления объединяет все эти обновления вместе с дополнительными усовершенствованиями в единый пакет и помогает обеспечить актуальность ваших систем. Обновление 20 февраля 2011 года. Также смотрите
Как ты это делаешь?
Apple, Facebook, Google и Microsoft, ведут нас к своим собственным версиям AOLs, огороженным садом Интернета?
Как часто интернет-браузеры вашей семьи покидают Facebook?

Новости