Das System durchbrechen, um es zu reparieren: Die "Hacker", die nach Sicherheitslücken suchen

Schubladen reparieren (Kann 2019).

$config[ads_text] not found
Anonim

Das System durchbrechen, um es zu reparieren: Die "Hacker", die nach Sicherheitslücken suchen


Von White-Hat-Hackern bis hin zu Sicherheitsfirmen sind die Leute, die versuchen, unsere Geräte zu hacken, ein wichtiger Teil des Sicherheitsechosystems.

In der Regel beschwört der Begriff "Hacker" Visionen von zwielichtigen Personen, die sich über Tastaturen beugen, und nutzt dabei umfangreiches technisches Wissen, um ruchlose Taten zu vollbringen. Zwar gibt es viele bekannte ethische Hacker, die so ihren Anfang hatten, aber es gibt auch eine Reihe von ihnen, die heute ihre Karriere oder Forschung zur Verbesserung der Sicherheit vorantreiben.

Während einige es als eine Karriere für Unternehmen machen, die Belohnungen für gemeldete Fehler anbieten, genießen andere einfach die Herausforderung, zu versuchen, ein System zu brechen. Andere nehmen es immer noch auf sich, die Sicherheit von Geräten zu testen, von denen sie annehmen, dass sie verwundbar sind (fragen Sie einfach EE Anthony Rose nach BLE Smart Locks).

Wissenschaftler, Sicherheitsexperten und "Hacker" widmen ihre Zeit und ihre Fähigkeiten der Identifizierung und Eindämmung von Sicherheitsbedrohungen. Diese Fachleute stoßen an die Grenzen von Systemen, um ihre Widerstandsfähigkeit gegen potenzielle Bedrohungen zu testen, damit wir sie beheben können, bevor sie genutzt werden.

Hier sehen Sie einen Blick auf die Arbeit der Menschen, die sich in unsere Systeme und Geräte einmischen - zu unserem Vorteil.

Biometrische Sicherheit

Physische Sicherheit auf persönlichen Geräten ist zu einem alltäglichen Merkmal geworden. Zum Beispiel gibt es jetzt eine große Anzahl von Smartphone-Geräten und Laptops, die es Benutzern erlauben, sich mit ihren Fingerabdrücken anzumelden.

Zuletzt hat Apple das iPhone X ausgerollt, das per Gesichtserkennung freigeschaltet werden kann. Das Unternehmen bewirbt das Feature als wesentlich sicherer als Fingerabdruck-Scans, mit 1 zu 1 Millionen Genauigkeit im Vergleich zu den 1 in 500, 00 Genauigkeit im Fingerabdruck (von falsch positiven Erkennung). Das System soll "aufmerksamkeitsbewusst" sein, so dass es weiß, wenn Sie Ihr Gerät betrachten, und 30.000 Punkte mit Infrarot abbilden, um mehr als nur oberflächliche physikalische Merkmale in einem 2D-Bild zu erhalten. Es sollte mit oder ohne Make-up unter verschiedenen Lichtbedingungen arbeiten und im Allgemeinen eines der fortschrittlichsten Gesichtserkennungsgeräte sein, die unter Verwendung von "Anti-Spoofing-Neuralnetzwerken" verfügbar sind, um falsch-positive Scans zu verhindern.

Seit dem Start dieser neuen Funktion haben jedoch mehrere Gruppen daran gearbeitet, zu beweisen, dass die Sicherheit der Gesichtserkennung verletzlich ist. Sie tun dies, indem sie das Feature auf den Prüfstand stellen.

Wired führte eine Reihe von Experimenten mit sehr detaillierten und strukturierten Masken aus Silikon, Vinyl und Gelatine durch. Experten halfen dem Team dabei, eine individuelle, flächenbündige Maske zu kreieren, die das Abbild eines Individuums nachahmt und die Haarfollikel in den Augenbrauen nachahmt. In einer Reihe von Versuchen konnten sie das iPhone nie erfolgreich entsperren.

Eine andere Gruppe in Vietnam namens Bkav behauptet, das System mit einem 3D-gedruckten Gesicht mit Papierausschnitten von Augen, Mund und Nase des Opfers erfolgreich besiegt zu haben. Das Team beschreibt den 3D-Druck als sehr detailliert, mit einem gründlichen Scan des Gesichts des Besitzers. Ein Video, das online läuft, zeigt das Team dabei. In Anbetracht ihrer Methode ist jedoch viel rudimentärer als viele andere Versuche, die Authentizität ihrer Demonstration wurde in Frage gestellt.

Es wurde auch gezeigt, dass es möglich ist, dass Zwillinge und Familienmitglieder sich gegenseitig ähneln, um ihre Telefone zu entsperren. Aber für einen böswilligen Benutzer, um ein zufällig ausgerichtetes Telefon zu entsperren, würde ein hochauflösender 3D-Scan ihres Gesichts eine Menge Aufwand und Zeit erfordern, ebenso wie einige Kenntnisse darüber, wie das Gerät diese Funktionen authentifiziert.

Unabhängig davon, ob ihre Methoden erfolgreich sind oder nicht, hilft die Arbeit dieser Gruppen dabei, die Methoden zu identifizieren, die möglicherweise funktionieren, um die Gesichtserkennungssysteme des iPhones zu übertreffen. Für den Fall, dass sie erfolgreich sind, kann Apple zur Kenntnis nehmen, wie sie es gemacht haben, und möglicherweise Updates ausrollen, um es zu sichern.

Infotainment-Sicherheit in Automobilen

Die Sicherheit in Kraftfahrzeugen ist eine relativ neue Domäne, da nun mehr Fahrzeuge mit intelligenten Systemen ausgestattet sind. Als Reaktion darauf wurde 2016 die Future of Automotive Security Technology Research (FASTR) von Aeris, Intel und Uber ins Leben gerufen, um Sicherheitslücken zu schließen, indem Standards und Normen entwickelt und das Bewusstsein dafür geschärft wurde.

In jüngster Zeit haben Forscher der Sicherheitsfirma Ixia gezeigt, dass das Infotainment-System, das heute in den meisten Fahrzeugen Standard ist, besonders anfällig ist. Dies liegt hauptsächlich daran, dass sie sich frei mit Geräten wie Ihrem Smartphone verbinden, und die meisten Benutzer werden sie mit vertraulichen Daten wie Kontakten, Textnachrichten und Anruflisten synchronisieren. Solche Informationen werden sicher auf Telefonen gespeichert - aber sobald sie auf dem Infotainment-System gespeichert sind, sind sie unverschlüsselt und im Klartext.

Die Ingenieure von Ixia betonten außerdem, dass diese Infotainment-Systeme über leicht zugängliche Debugging-Tools Zugriff auf andere Funktionen und Informationen haben und diese kontrollieren können. Dadurch können Benutzer Informationen extrahieren oder sich mit Einstellungen für Systeme wie GPS herumschlagen.

Die Forscher zeigten diese Sicherheitslücken, indem sie einen USB-Stick mit einigen BASH-Skripten anschlossen. Sie waren nicht nur in der Lage, diese Daten zu extrahieren, sondern luden sie auch automatisch hoch, indem sie sich automatisch mit ungesicherten Wi-Fi-Verbindungen verbanden, und konnten sogar GPS-Koordinaten extrahieren, um nahezu Echtzeit zu verfolgen.

Diese Arbeit ist wichtig, um aufzuzeigen, wie anfällig Infotainment-Systeme für Autos sind, und indem sie genau zeigen, was sie extrahieren können und wie sie den Autoherstellern helfen können, die Sicherheit des Infotainmentsystems genauer zu überdenken.

Bild mit freundlicher Genehmigung von GM.

Google Vulnerability Rewards-Programm

Im Jahr 2012 startete Google Pwnium, einen Wettbewerb mit Preisen im Wert von über einer Million Dollar für jeden, der im Chrome-Browser Fehler finden kann. Der größte verfügbare Preis betrug 60.000 US-Dollar für Fehler, die die Beharrlichkeit von Chrome / Windows 7-Betriebssystemen unter Verwendung nur von Bugs in Chrome selbst ermöglichten - mit anderen Worten: ein Fehler, der die volle Kontrolle über das System ermöglichte.

Nicht einmal zwei Wochen nach dem Start des Wettbewerbs hat ein russischer Student namens Sergey Glazunov einen Fehler im Browser gemeldet. Der Fehler ermöglichte die Umgehung der Chrome-Browser-Sandbox durch Ausnutzen eines Fehlers. Einmal umgangen, kann fast jede Aktion mit vollen Benutzerrechten ausgeführt werden.

Alle Fehler, die erfolgreich in den Wettbewerb eingebracht wurden, werden von Google gepatcht und helfen dem Unternehmen, seinen Browser so sicher wie möglich zu halten. Durch die Bereitstellung von finanziellen Anreizen werden Hacker motiviert, Fehler im Unternehmen zu melden, und Google kann die Hilfe von Personen außerhalb des Unternehmens nutzen.

Google hat das "Pwnium" -Projekt 2014 zugunsten seines Vulnerability Rewards-Programms verschrottet, aber der Geist ist derselbe. Im Jahr 2016 zahlte Google über $ 3 Millionen an Prämien für gemeldete Sicherheitslücken (oder "Bug Bounties") aus. Ihre Philosophie scheint zu sein, dass, wenn Menschen versuchen, Schwachstellen in ihren Produkten zu finden, sie lukrativer sein wollen, um diese Informationen an Google selbst (und nicht an den Höchstbietenden) zu verkaufen.


Die Fähigkeiten, die Hacker gefährlich machen, sind die gleichen Fähigkeiten, die Schwachstellen identifizieren können, aus denen sie Kapital schlagen. Im Wettrüsten zwischen Unternehmen und böswilligen Dritten ist es schön zu wissen, dass einige Leute, die die Grenzen unserer Technologie austesten, auf unserer Seite sind.