কালো টুপি 2016 এ ভাল এবং ভয়ঙ্কর জিনিস

ব্ল্যাক হ্যাট হ'ল সুরক্ষার গবেষক, হ্যাকার এবং শিল্পের মিলন যা লাস ভেগাসে তিনটি কাজ করার জন্য মিলিত হয়: সর্বশেষতম হুমকির রূপরেখা দেখান, কীভাবে ভাল লোক এবং খারাপ লোকেরা পরাজিত হতে পারে এবং উপস্থিতদের উপর আক্রমণ চালাতে পারে তা দেখান। এই বছরে শো উপস্থিতদের বিরুদ্ধে একটি, গাড়ি হ্যাক সহ এটিএম থেকে নগদ চুরি করার নতুন উপায় এবং স্মার্ট লাইটব্লবগুলি কেন আমাদের ধারণা হিসাবে নিরাপদ হতে পারে না তা সহ প্রচুর ভীতিজনক আক্রমণ দেখেছে। তবে আমরা আশানুরূপ অনেক কারণও দেখতে পেয়েছি, যেমন বিপজ্জনক সার্ভারগুলি চিহ্নিত করার জন্য মেশিনগুলি শেখানো, সুরক্ষা হুমকির মোকাবেলায় কর্মচারীদের প্রশিক্ষণ দিতে ডানজিওনস এবং ড্রাগনগুলি ব্যবহার করে এবং অ্যাপল কীভাবে আপনার আইফোনের সুরক্ষা পরিচালনা করে। এটি সবই বলা হয়েছিল, একটি মনমুগ্ধকর বছর।

ভাল

হ্যাঁ, অ্যাপল ব্ল্যাক হ্যাটে একটি বাগ অনুদানের প্রোগ্রাম ঘোষণা করেছে। তবে এটি ছিল অ্যাপল এর সিকিউরিটি ইঞ্জিনিয়ারিং এবং আর্কিটেকচারের প্রধান, ইভান কারস্টিকের উপস্থাপনার মাত্র 10 মিনিট। পূর্ববর্তী 40 মিনিটের সময় তিনি অ্যাপল ব্যবহারকারীদের ডিভাইস এবং ডেটা, দুর্বলতাগুলি থেকে এবং নিজে থেকেই যেভাবে সুরক্ষিত করে তার জন্য অভূতপূর্ব গভীর ডুব দেওয়ার প্রস্তাব দিয়েছিলেন। এবং হ্যাঁ, এটিতে একটি সৎ-থেকে-গড ব্লেন্ডার ব্যবহার করা জড়িত।

ইন্টারনেট অফ থিংস ডিভাইসগুলি যত বেশি জনপ্রিয় হয়ে উঠছে, সুরক্ষা পেশাদাররা আরও বেশি উদ্বিগ্ন হয়ে উঠছে। এগুলি, সর্বোপরি, মাইক্রোকম্পিউটারযুক্ত ডিভাইসগুলি নেটওয়ার্কগুলিতে সংযুক্ত এবং কোড চালানোর ক্ষেত্রে সম্পূর্ণ সক্ষম। এটি একজন আক্রমণকারীর স্বপ্ন। সুসংবাদটি হ'ল, কমপক্ষে ফিলিপের হিউ সিস্টেমের ক্ষেত্রে, লাইটব্লাব থেকে লাইটবাল্বের উপরে ঝাঁপ দেওয়ার জন্য একটি কীট তৈরি করা খুব কঠিন। খারাপ খবর? আক্রমণকারীদের নেটওয়ার্কে যোগ দেওয়ার জন্য হিউ সিস্টেমগুলি চালিত করা আপাতদৃষ্টিতে খুব সহজ।

প্রতিটি ব্যবসায়ের প্রতিটি সুরক্ষা প্রশিক্ষণের মধ্যে এই উপদেশ অন্তর্ভুক্ত রয়েছে যে কর্মীদের কখনই অজানা উত্স থেকে ইমেলগুলিতে লিঙ্কগুলি ক্লিক করা উচিত নয়। এবং কর্মচারীরা নির্বিশেষে তাদের ক্লিক করতে ফাঁকি দেওয়া অবিরত। ড। জিনাইদা বেনেনসন, এরলানজেন-নুরেমবার্গ বিশ্ববিদ্যালয় থেকে, এই সিদ্ধান্তে উপনীত হয়েছেন যে কর্মীরা কৌতূহল এবং অন্যান্য অনুপ্রেরণাগুলি প্রতিরোধ করবেন বলে আশা করা যুক্তিসঙ্গত নয়। আপনি যদি এগুলি জেমস বন্ড হতে চান তবে আপনার এটিকে কাজের বিবরণীতে রাখা উচিত এবং সেই অনুযায়ী তাদের প্রদান করা উচিত।

সুরক্ষা গবেষণা এবং সম্পাদন অনেকটা মনে-অবিশ্বাস্যরকম ক্লান্তিকর হতে পারে তবে মেশিন লার্নিংয়ের নতুন কৌশলগুলি শীঘ্রই একটি নিরাপদ ইন্টারনেটের দিকে নিয়ে যেতে পারে। গবেষকরা বোটনেট কমান্ড এবং নিয়ন্ত্রণ সার্ভারগুলি সনাক্ত করার জন্য মেশিনগুলিতে শিক্ষার জন্য তাদের প্রচেষ্টা সম্পর্কে বিস্তারিত ব্যাখ্যা করেছিলেন, যা দুষ্ট লোকদের সংক্রামিত কম্পিউটারগুলির কয়েক লক্ষ (যদি মিলিয়ন না হয়) নিয়ন্ত্রণ করতে দেয়। সরঞ্জামটি এই জাতীয় খারাপ কার্যকলাপের উপর idাকনা রাখতে সহায়তা করতে পারে তবে এটি সমস্ত ভারী গবেষণা ছিল না। তাদের অধিবেশন শেষ করার জন্য, গবেষকরা প্রমাণ করলেন যে কীভাবে মেশিন লার্নিং সিস্টেমগুলি একটি প্যাসেবল টেলর সুইফট গান তৈরি করতে ব্যবহার করা যেতে পারে।

কে জানে হোটেল নেটওয়ার্ক কোনও পোষ্য সরবরাহের সম্মেলনের জন্য ভাল হতে পারে তবে ব্ল্যাক হ্যাটের পক্ষে নয়। সম্মেলনটি পরিচালনা করার জন্য নিজস্ব সম্পূর্ণ পৃথক পৃথক নেটওয়ার্ক এবং একটি চিত্তাকর্ষক নেটওয়ার্ক অপারেশন কেন্দ্র রয়েছে। দর্শকদের কাঁচের প্রাচীরের মধ্য দিয়ে অনেক জ্বলজ্বল পর্দা, হ্যাকার চলচ্চিত্র এবং এনওসি-র দীর্ঘমেয়াদী সুরক্ষা বিশেষজ্ঞরা পর্যবেক্ষণ করতে পারবেন, যা পুরোপুরি সজ্জিত হয়ে বিশ্বব্যাপী পরবর্তী ব্ল্যাক হ্যাট সম্মেলনে স্থান পেয়েছে।

আইটি সুরক্ষা উইঙ্কস এবং হোয়াইট-টুপি হ্যাকাররা কেবলমাত্র সুরক্ষা প্রশিক্ষণ পেতে পারে না, তবে তারা আসলে তাদের প্রয়োজন হয় না। বিক্রয় কর্মী, এইচআর টিম, এবং কল সেন্টার ক্রু প্রয়োজনীয় সুরক্ষা প্রশিক্ষণগুলি বুঝতে বা প্রশংসা করে না এবং তবুও তাদের সত্যিকারের তাদের সুরক্ষা গেমটি বাড়িয়ে তোলার দরকার আপনার you গবেষক টিফাইন রোমান্ড লাতাপি সুরক্ষার প্রশিক্ষণকে একটি ভূমিকা পালনকারী খেলা হিসাবে কাজ করার পরামর্শ দিয়েছেন। তিনি দেখতে পান যে এটি সম্পূর্ণরূপে কাজ করেছে এবং সুরক্ষা দল এবং বাকী কর্মীদের মধ্যে উল্লেখযোগ্যভাবে নতুন ব্যস্ততা তৈরি করেছে। অন্ধকূপ এবং ড্রাগন, কেউ?

স্ক্যাম ফোন কল একটি বিশাল সমস্যা। আইআরএস কেলেঙ্কারিগুলি অসম্পর্কিত আমেরিকানদের নগদ অর্থের জন্য কাঁটাতে রাজী করে। পাসওয়ার্ড রিসেট স্ক্যাম কল কৌশলগুলি কল গ্রাহকদের ডেটা দেওয়ার জন্য। প্রফেসর জুডিথ তাব্রন, একজন ফরেনসিক ভাষাতত্ত্ববিদ আসল কেলেঙ্কারী কলগুলির বিশ্লেষণ করেছেন এবং আপনাকে সেগুলিতে সহায়তা করার জন্য একটি দ্বি-অংশ পরীক্ষা তৈরি করেছেন। এটি পড়ুন এবং শিখুন, ঠিক আছে? এটি একটি সহজ এবং সার্থক কৌশল।

ভয়ঙ্কর

পুনি এক্সপ্রেস এমন ডিভাইসগুলি তৈরি করে যা অপ্রয়োজনীয় যে কোনও কিছুর জন্য নেটওয়ার্ক আকাশসীমা পর্যবেক্ষণ করে, এবং এটিও একটি ভাল বিষয়, কারণ সংস্থাটি এই বছর ব্ল্যাক হাটে একটি ম্যান-ইন-দ্য-মিডল আক্রমণ আবিষ্কার করেছিল। এই ক্ষেত্রে, কোনও দূষিত অ্যাক্সেস পয়েন্ট ফোন এবং ডিভাইসগুলিকে নেটওয়ার্কে যোগ দেওয়ার জন্য বোকা বানানোর জন্য, এটিটিকে একটি নিরাপদ, বন্ধুত্বপূর্ণ নেটওয়ার্ক বলে মনে করেছে যা ডিভাইসটি আগে দেখেছিল। এটি করতে গিয়ে আক্রমণকারীরা প্রায় 35, 000 লোককে ঠকিয়েছিল। যদিও এটি দুর্দান্ত যে সংস্থাটি আক্রমণটি চিহ্নিত করতে সক্ষম হয়েছিল, কিন্তু এটি এত বিশাল যে সত্য ছিল যে এই আক্রমণগুলি কীভাবে সফল হতে পারে তার একটি স্মরণিকা।

গত বছর, চার্লি মিলার এবং ক্রিস ভ্যালাসেক উপস্থাপন করেছিলেন যা অনেকে ধারণা করেছিলেন তাদের গাড়ি হ্যাকিংয়ের ক্যারিয়ারের শীর্ষস্থান। তারা এই বছর আরও সাহসী আক্রমণ নিয়ে ফিরে এসেছিল, গাড়ি যখন কোনও গতিতে চলতে থাকে তখন স্টিয়ারিং হুইলটির ব্রেক বা ন্যাব নিয়ন্ত্রণ প্রয়োগ করতে সক্ষম। পূর্ববর্তী আক্রমণগুলি কেবল তখনই চালানো যেতে পারে যখন গাড়ীটি 5Mph বা তার চেয়ে কম ভ্রমণ করবে। এই নতুন আক্রমণগুলি চালকদের জন্য বড় ঝুঁকি তৈরি করতে পারে এবং আশাকরি অটো প্রস্তুতকারীরা তাড়াতাড়ি প্যাচ করবে। তাদের পক্ষে, ভালাসেক এবং মিলার বলেছিলেন যে তারা গাড়ি হ্যাকিং সম্পন্ন করেছে, তবে অন্যকে তাদের পদক্ষেপ অনুসরণ করতে উত্সাহিত করেছিল।

আপনি যদি মিঃ রোবটকে দেখেন তবে আপনি জানেন যে পার্কিংয়ের আশেপাশে ইউএসবি ড্রাইভ চালিয়ে কোনও ভুক্তভোগীর কম্পিউটার সংক্রামিত করা সম্ভব। কিন্তু এটি কি সত্যিই কাজ করে? গুগলে জালিয়াতি বিরোধী ও অপব্যবহার গবেষণার শীর্ষস্থানীয় এলি বার্সটেইন এই বিষয়ে একটি দ্বি-অংশ আলোচনা করেছিলেন। প্রথম অংশে একটি সমীক্ষা বিস্তারিত হয়েছে যা স্পষ্টভাবে দেখিয়েছিল এটি কাজ করে (এবং পার্কিংগুলি হলওয়েগুলির চেয়ে ভাল)। দ্বিতীয় অংশটি বিশদভাবে ব্যাখ্যা করেছে, ঠিক কীভাবে কোনও ইউএসবি ড্রাইভ তৈরি করতে হয় যা কোনও কম্পিউটারকে পুরোপুরি গ্রহণ করতে পারে। আপনি নোট নিয়েছেন?

গত ছুটির দিনে শপিংয়ের মরসুমে ড্রোনগুলি হট আইটেম ছিল এবং এটি কেবল গিক্সের জন্যই নয়। একটি উপস্থাপনা দেখিয়েছিল যে কীভাবে ডিজেআই ফ্যান্টম 4 শিল্প বেতার নেটওয়ার্কগুলিকে জ্যাম করতে, কর্মীদের উপর গুপ্তচরবৃত্তি করা এবং আরও খারাপ ব্যবহার করতে পারে। কৌশলটি হ'ল অনেক সমালোচক, শিল্প সাইটগুলি সংবেদনশীল কম্পিউটারগুলিকে সুরক্ষিত করার জন্য "এয়ার গ্যাপ" নামে অভিহিত করে। মূলত, এটি এমন নেটওয়ার্ক এবং ডিভাইস যা বাইরের ইন্টারনেট থেকে বিচ্ছিন্ন। তবে ছোট, কসরতযোগ্য ড্রোনগুলি তাদের পরিবর্তে ইন্টারনেট এনে দিতে পারে।

মেশিন লার্নিং বিভিন্ন প্রযুক্তি শিল্পে বিপ্লব ঘটাচ্ছে এবং এর মধ্যে স্ক্যামার রয়েছে। ব্ল্যাক হ্যাটের গবেষকরা প্রমাণ করেছিলেন যে কীভাবে মেশিনগুলিকে অত্যন্ত কার্যকর বর্শা ফিশিং বার্তা তৈরি করতে শেখানো যেতে পারে। তাদের সরঞ্জাম উচ্চ-মান লক্ষ্যমাত্রা নির্ধারণ করে এবং তারপরে প্রাসঙ্গিক এবং অপ্রত্যাশিতভাবে ক্লিকযোগ্য উভয় বার্তা তৈরি করার জন্য ভুক্তভোগীর টুইটগুলি স্কোর করে। দলটি তাদের স্প্যাম বট দিয়ে দূষিত কিছু ছড়িয়ে দেয়নি, তবে স্ক্যামাররা এই কৌশলগুলি অবলম্বন করে তা কল্পনা করা শক্ত নয়।

আপনি কোনও হোটেলে ফ্রি ওয়াই-ফাই প্রত্যাশা করছেন এবং এটি প্রয়োজনীয় সুরক্ষিত নয় তা বুঝতে আপনি যথেষ্ট সচেতন হতে পারেন। তবে কোনও এয়ারবিএনবি বা অন্যান্য স্বল্প-মেয়াদী ভাড়া, সুরক্ষার পক্ষে সম্ভবত সবচেয়ে খারাপ নিরাপত্তা থাকতে পারে। কেন? কারণ রাউটারে আপনার শারীরিক অ্যাক্সেস পাওয়ার আগে অতিথিদের অর্থ, তারা সম্পূর্ণরূপে এটির মালিক হতে পারে। জেরেমি গ্যাল্লোয়ের আলাপে হ্যাকার কী করতে পারে (এটি খারাপ!), সুরক্ষিত রাখতে আপনি কী করতে পারেন এবং সম্পত্তির মালিক এই ধরনের আক্রমণ প্রতিরোধ করতে কী করতে পারেন সে সম্পর্কে বিস্তারিত আলোচনা করেছে। এটি এমন একটি সমস্যা যা দূরে যাচ্ছে না।

ব্ল্যাক হ্যাটের সবচেয়ে ব্যাপক আলোচনার মধ্যে র‌্যাপিড's-এর সিনিয়র পেনটেস্টার ওয়েটন হেকার প্রতারণা করলেন যে জালিয়াতির জন্য নতুন মডেল কী হতে পারে। তার দৃষ্টিভঙ্গিতে আপোসযুক্ত এটিএম, পয়েন্ট অফ সেল মেশিন (মুদি দোকানে যেমন) এবং গ্যাস পাম্পগুলির একটি বিশাল নেটওয়ার্ক অন্তর্ভুক্ত। এগুলি রিয়েল-টাইমে ভুক্তভোগীর অর্থ প্রদানের তথ্য চুরি করতে পারে এবং তারপরে মোটরযুক্ত পিন-পুশিং ডিভাইসের সাহায্যে দ্রুত তাদের প্রবেশ করতে পারে। একটি এটিএম স্পাইং নগদ, এবং ভবিষ্যতের একটি দৃষ্টিভঙ্গির মাধ্যমে আলোচনার সমাপ্তি ঘটে যেখানে স্ক্যামাররা ব্যক্তিদের ক্রেডিট কার্ডের তথ্য না কিনে, পেমেন্ট স্ক্যামের বিশাল রিয়েল-টাইম নেটওয়ার্কে অ্যাক্সেস পায়।

পেমেন্ট সিস্টেমে আক্রমণ সম্পর্কিত বিশদ বিবরণে এটি ব্ল্যাক হ্যাটে একমাত্র উপস্থাপনা ছিল না। অন্য একদল গবেষক কীভাবে রাস্পবেরি পাই এবং কিছুটা চেষ্টা করে চিপ কার্ডের লেনদেন থেকে ব্যক্তিগত তথ্যের ওডলসকে বাধা দিতে সক্ষম হয়েছিল তা দেখিয়েছিলেন। এটি কেবল উল্লেখযোগ্য নয়, কারণ চিপ কার্ডগুলি (একেএ ইএমভি কার্ড) ম্যাগসাইপ কার্ডের চেয়ে বেশি সুরক্ষিত হিসাবে বিবেচিত হয়, তবে আমেরিকা সবেমাত্র চিপ কার্ডগুলি দেশীয়ভাবে চালু করতে শুরু করেছে।

পরের বছর নতুন গবেষণা, নতুন হ্যাক এবং নতুন আক্রমণ নিয়ে আসবে। তবে ব্ল্যাক হ্যাট 2016 বছরের জন্য এই সুরটি সেট করেছে, এটি দেখায় যে কোনও হ্যাকারের কাজ (সাদা হোক বা কালো-টুপি হোক) সত্যই কখনই সম্পন্ন হয় না। এখন আপনি যদি আমাদেরকে ক্ষমা করবেন, আমরা আমাদের ক্রেডিট কার্ডগুলি ছিঁড়ে ফেলব এবং বনভূমিতে একটি ফ্যারাডে খাঁচায় থাকব।