بلیک ہیٹ 2017: بہترین (اور خوفناک) ہیکس

بلیک ہیٹ کانفرنس محققین ، ہیکرز ، اور دنیا کی سکیورٹی کے قریب کے ہر فرد کو ایک دوسرے سے جمع اور سیکھنے کا موقع ہے۔ یہ ایک ہفتے کا سیشن ، ٹریننگ ، اور - لامحالہ the زیادہ سے زیادہ لاس ویگاس علاقے میں کچھ ناقص فیصلہ سازی کرنے کا ہے۔

اپنے 20 ویں سال میں ، بلیک ہیٹ 2017 ایک عکاس نوٹ پر شروع ہوا۔ فیس بک کے سی ایس او ، ایلکس اسٹاموس نے کانفرنس کے ابتدائی دنوں کی طرف مڑ کر دیکھا۔ اس کے ل it ، یہ ایک ایسی جگہ تھی جس کو قبول کیا جائے ، اور برادری سے سیکھا جائے۔ انہوں نے اسی برادری کو چیلنج کیا کہ وہ زیادہ ہمدرد ہوں ، اور مختلف تنوع کا خیرمقدم کرکے ہیکروں کی اگلی نسل کے لئے تیاری کریں۔

بلیک ہیٹ سیشن ہمیشہ ہی حیرت انگیز ، اور کبھی خوفناک ، سیکیورٹی تحقیق کی مثالوں کو دیکھنے کے لئے جگہ رہا ہے۔ اس سال ، ہم نے دیکھا کہ ایپل پے کے ویب انٹرفیس کو بیوقوف بنانا ، الٹراساؤنڈ کا استعمال کرتے ہوئے ہوور بورڈ کو کیسے گرانا ، اور یہ سیکھا کہ سائبر حملے سے ہوا کا کتنا خطرہ ہوسکتا ہے۔

ایک سیشن میں ٹیسلا ماڈل ایس ہیکرز کی تینوں افراد کی واپسی ہوئی ، جنہوں نے نئے حملوں کا مظاہرہ کیا۔ گاڑیاں زیادہ جڑ جانے کے بعد ان کی تحقیق جاری رکھنا یقینی ہے۔ بھی ایک بڑا ہیکر ہدف؟ پرنٹرز۔

ایک اور قابل ذکر بات صنعتی انفراسٹرکچر پر حملہ کرنے کی طرف۔ پچھلے سال یوکرین پاور پاور گرڈ کے خلاف دو کامیاب حملوں کے ساتھ ، بجلی گھروں اور کارخانوں جیسے اہم انفراسٹرکچر کا حصول ایک بڑا مسئلہ ہے۔ اس بار ، ہم نے دیکھا کہ بلبلوں - ہاں ، باقاعدگی سے بلبلوں کو مہنگے ، نازک پمپوں کو تباہ کرنے کے لئے بدنیتی پر مبنی پے لوڈ کے طور پر استعمال کیا جاسکتا ہے۔

شاید اس سال کے شو کی سب سے نمایاں کارنامہ cryptoanalysis کے میدان میں تھا۔ نفیس تہینکس کا استعمال کرتے ہوئے ، ایک ٹیم SHA-1 ہیش کا پہلا تصادم پیدا کرنے میں کامیاب رہی۔ اگر آپ کو یقین نہیں ہے کہ اس کا مطلب کیا ہے تو ، پڑھیں کیونکہ یہ بہت ہی عمدہ ہے۔

20 سال بعد بھی ، ہیکرز کے لئے بلیک ہیٹ اب بھی ایک اہم مرحلہ ہے۔ لیکن مستقبل غیر یقینی ہے۔ نیشنل اسٹیٹ سائبر حملے معمولی واقعات کی نذر ہو رہے ہیں اور یہ خطرات پہلے سے کہیں زیادہ بڑے ہیں۔ ہم اس کے ساتھ کس طرح معاملہ کریں گے یہ ابھی تک واضح نہیں ہے۔ شاید بلیک ہیٹ 2018 کے جوابات ہوں گے۔ اس وقت تک ، اس سال کے نیچے بلیک ہیٹ میں سے کچھ مزید دلکش لمحات چیک کریں۔

1 بڑا اور بڑا

شو کی 20 ویں سالگرہ کے موقع پر ، اہم کانفرنس صرف ایک بڑے کانفرنس روم کے بجائے ایک بڑے اسٹیڈیم میں رکھی گئی تھی۔ یہ شو گذشتہ چند سالوں میں اچھل پڑا ہے۔



کامیابی کا 2 شکار

اس سال شو میں دالانوں میں ہجوم ایک پریشانی تھی ، اور اوپر والے جیسے حالات غیر معمولی نہیں تھے۔



3 سیکیورٹی برادری کو چیلنج کرنا

فیس بک کے سی ایس او ایلکس اسٹاموس نے ایک تقریر میں 2017 کے بلیک ہیٹ کی کلیدی تقریر کی جو سیکیورٹی برادری کے خاندانی ماحول کی طرح کے ماحول کے لئے برابر حصے کی تعریف تھی اور اس سے بہتر کام کرنے کا چیلنج ہے۔ انہوں نے سامعین سے مطالبہ کیا کہ وہ کم طبق. اشاعت پسند ہوں ، اور یہ تسلیم کریں کہ ڈیجیٹل سیکیورٹی کے داغوں میں اضافہ ہوا ہے ، جس نے 2016 کے امریکی انتخابات میں ہیکنگ اور معلوماتی حملوں کے کردار کا حوالہ دیا۔



4 الٹراسونک گن حملہ ڈرون ، ہوور بورڈز

آلات اپنے ارد گرد کی دنیا کو سمجھنے کے ل to سینسر کا استعمال کرتے ہیں ، لیکن ان میں سے کچھ سینسر چھیڑ چھاڑ کے تابع ہیں۔ ایک تحقیقی ٹیم نے یہ ظاہر کیا کہ وہ کس طرح الٹرا ساؤنڈ کا استعمال ڈرون کو گھمانے کے لئے ، ہوور بورڈ گرانے کے ل. ، اور VR سسٹم کو بے قابو طور پر گھماؤ کے لئے استعمال کرسکتے ہیں۔ حملہ ابھی کے لئے محدود ہے ، درخواستیں دور رس ہوسکتی ہیں۔



5 کیا بلبل ہیکنگ کا مستقبل ہیں؟

شاید نہیں ، لیکن مرینا کروٹوفیل نے یہ ظاہر کیا کہ پانی کے پمپ میں والو نظام پر حملہ کرنے سے بلبلوں کو بنانے میں کس طرح استعمال کیا جاسکتا ہے جس سے واٹر پمپ کی استعداد میں کمی واقع ہوتی ہے اور وقت کے ساتھ پمپ کی ناکامی کے نتیجے میں جسمانی نقصان ہوتا ہے۔ اپنی پیش کش سے ، کروٹوفیل نے یہ ظاہر کرنے کی کوشش کی کہ غیر محفوظ آلات ، جیسے والوز ، ناولوں کے ذریعہ پمپوں کی طرح محفوظ آلات پر حملہ کرسکتے ہیں۔ بہر حال ، بلبلوں کے لئے کوئی اینٹی وائرس نہیں ہے۔



6 بگ بائونسیاں اور بیئر

حالیہ برسوں میں بگ فضل پروگراموں میں توسیع دیکھنے میں آئی ہے ، جہاں کمپنیاں محققین ، دخول جانچنے والوں ، اور ہیکرز کو کیڑے کی اطلاع دہندگی کے لئے نقد انعام دیتے ہیں۔ محقق جیمز کیٹل نے اپنے سیشن میں ہجوم کو بتایا کہ وہ بیک وقت 50،000 ویب سائٹس کی جانچ کے لئے ایک طریقہ جمع کرتا ہے۔ اس نے راستے میں کچھ غلط کاروائیاں کیں ، لیکن اس عمل میں ،000 30،000 سے زیادہ کمایا۔ انہوں نے کہا کہ ابتدائی طور پر ان کے باس نے بیئر پر خودکار کوشش میں کمائی جانے والی کسی بھی رقم پر خرچ کرنے پر اصرار کیا ، لیکن کیٹل کی کامیابی کی روشنی میں ، انہوں نے اکثریت کو خیرات میں عطیہ کرنے اور بیئر پر تھوڑا سا خرچ کرنے کا انتخاب کیا۔



ونڈ فارموں پر حملہ کرنا

محقق جیسن اسٹگس نے ونڈ فارموں کی سیکیورٹی کے ایک جامع جائزہ کی رہنمائی کی ، جس کی وجہ سے ان کی ٹیم نے 300 فٹ کے کتائی والے بجلی گھروں کی تعمیر کی۔ نہ صرف جسمانی تحفظ کمزور تھا (بعض اوقات ، صرف ایک لاک) ، بلکہ ڈیجیٹل سیکیورٹی اس سے بھی کمزور تھی۔ ان کی ٹیم نے کئی ایسے حملے تیار کیے جن سے ہوا کے کھیتوں کا تاوان پکڑا جاسکتا ہے اور یہاں تک کہ جسمانی نقصان بھی ہوسکتا ہے۔ اسٹکس نیٹ کے بارے میں سوچو ، لیکن بڑے پیمانے پر ، موت کے بڑے بھنوروں کے لئے۔



گارڈ پر پیونی ایکسپریس

پچھلے سال ، پونی ایکسپریس اپنے نیٹ ورک مانیٹرنگ کا سامان لے کر آئی اور ایک وسیع پیمانے پر برائی رس پوائنٹ پوائنٹ اٹیک کا پتہ لگایا جو گزرنے والے آلات کے لئے دوستانہ نیٹ ورک کی نقل کرنے اور انہیں رابطہ قائم کرنے کی دعوت دینے کے لئے تشکیل دیا گیا تھا۔ اس سال ، پونی نے بلیک ہیٹ کی نیٹ ورک سیکیورٹی ٹیم کے ساتھ کام کیا ، لیکن پچھلے سال کے حملے کی اتنی بڑی چیز کا پتہ نہیں چلا - کم از کم ، ایسی کوئی چیز جو بلیک ہیٹ سیشن میں کسی تربیتی مشق کا حصہ نہیں تھی۔ یہ پی ڈبلیو پرو سینسر نیٹ ورک کی سرگرمیوں کی نگرانی کے لئے پوری کانفرنس میں شامل کئی لوگوں میں سے ایک تھا۔

پر



9 اپنے پرنٹر پر بھروسہ نہ کریں

نیٹ ورک پرنٹرز کو طویل عرصے سے محققین نے بنیادی اہداف کے طور پر دیکھا ہے۔ وہ انٹرنیٹ سے منسلک ، ہر جگہ عام ہیں اور اکثر بنیادی سلامتی کا فقدان رکھتے ہیں۔ لیکن جینس مولر نے ظاہر کیا کہ اس کے اندر ہی گنتی ہے۔ فائلوں کو طباعت شدہ مواد میں تبدیل کرنے کے لئے تقریبا nearly ہر پرنٹر کے استعمال کردہ پروٹوکول کا استعمال کرکے ، وہ متعدد حملے کرنے میں کامیاب رہا۔ وہ پچھلی پرنٹ ملازمتیں نکال سکتا تھا ، اور یہاں تک کہ دستاویزات پر متن یا نقشوں کو زیر کرتا تھا۔ ان کے بیان کردہ حملوں کا وجود تب تک موجود رہے گا جب تک کہ کوئی ان عشروں پرانے پروٹوکول سے باز آؤٹ نہ ہوجائے۔



10 سپر کولیڈر

ہیش کے افعال ہر جگہ موجود ہیں ، لیکن قریب پوشیدہ ہیں۔ ان کا استعمال معاہدوں کی تصدیق ، ڈیجیٹل طور پر سافٹ ویئر پر دستخط کرنے ، اور یہاں تک کہ محفوظ پاس ورڈز کے لئے استعمال کیا جاتا ہے۔ ایک ہیش فنکشن ، جیسے SHA-1 ، فائلوں کو نمبروں اور حروف کی تار میں تبدیل کرتا ہے ، اور کوئی بھی دو ایک جیسے نہیں سمجھے جاتے ہیں۔ لیکن محقق ایلی برزٹین اور ان کی ٹیم نے ایک ایسا طریقہ وضع کیا جہاں دو مختلف فائلیں اسی ہیش کے ساتھ ختم ہوجاتی ہیں۔ اسے تصادم کہا جاتا ہے ، اور اس کا مطلب ہے کہ SHA-1 دروازے کے کیل کی طرح مردہ ہے۔



11 ایک ٹیسلا ہیکنگ (دوبارہ)

سن 2016 میں ، محققین کی ایک تینوں نے یہ ظاہر کیا کہ وہ کس طرح ٹیسلا ماڈل ایس کا کنٹرول حاصل کرنے میں کامیاب ہیں ، اس سال ، ٹینسنٹ کین لاب کے محققین اپنے حملے سے قدم بہ قدم چلنے کے لئے واپس آئے۔ لیکن یہ سب کچھ ٹھیک نہیں ہوا: انہوں نے ٹیسلا کے اپنے ابتدائی حملے کے تخفیف کا بھی جائزہ لیا اور اپنے نئے حملے پیش کیے۔ اس ٹیم نے کاروں کا ایک جوڑا دکھایا جس میں اپنی لائٹس چمک رہی تھیں اور موسیقی کے لئے وقت پر اپنے دروازے کھول رہے ہیں۔



ویب پر ایپل کی تنخواہ ہیکنگ

جب اس کا آغاز پہلی بار ہوا ، تو میں نے ایپل پے کے بارے میں بڑے پیمانے پر تحریری طور پر لکھا ، جس میں اس کے کریڈٹ کارڈ کے اعداد و شمار کو تبدیل کرنے اور اس بات کی تعریف کی گئی کہ ایپل آپ کی خریداریوں کا پتہ لگانے کے قابل کیسے نہیں تھا۔ لیکن تیمور یونسوف کو یقین نہیں آیا۔ اسے معلوم ہوا کہ ویب پر ایپل پے کا استعمال کرتے ہوئے اسناد چھین کر دوبارہ چلانے کا حملہ کرنا ممکن تھا۔ ان کریڈٹ کارڈ کے بلوں پر نگاہ رکھنا بہتر ہے۔



افرات سے 13 صنعتی روبوٹس کو کنٹرول کرنا

پولیٹیکنو دی میلانو اور ٹرینڈ مائیکرو سے تعلق رکھنے والی ٹیم کی نمائندگی کرنے والے محققین کی ایک تینوں نے روبوٹ کی حفاظت سے متعلق اپنے نتائج پیش کیے۔ آپ کے دوستانہ رومباس نہیں بلکہ فیکٹریوں میں پائے جانے والے محنتی اور طاقت ور صنعتی روبوٹ ہیں۔ انہوں نے متعدد اہم کمزوریوں کو پایا جو کسی حملہ آور کو روبوٹ کا کنٹرول ضبط کرنے ، مینوفیکچرنگ کے عمل میں نقائص متعارف کرانے اور حتی کہ انسانی آپریٹرز کو ممکنہ طور پر نقصان پہنچانے کی سہولت فراہم کرسکتے ہیں۔ مزید پریشانی یہ دریافت ہے کہ انٹرنیٹ سے کئی ہزاروں صنعتی روبوٹ جڑے ہوئے ہیں۔



14 آگے کیا ہے؟

بلیک ہیٹ ایک اور سال کے لئے کیا جاتا ہے ، لیکن ڈیجیٹل سیکیورٹی کے ساتھ پہلے سے کہیں زیادہ نظر آتا ہے اور قیمتی ہوتا ہے ، آنے والا سال یقینی طور پر کچھ دلچسپ حیرت کا باعث ہوتا ہے۔