Neste ano não houve nada típico no Hacker Summer Camp, composto por BSides LV, Black Hat USA e DEF CON. Uma mistura variada de pessoas compareceu para estudar, interagir, hackear e se divertir. Incluindo uma inundação rara em Las Vegas na quinta-feira que causou caos em um cassino.
A semana passada, que não foi típica, ofereceu um vislumbre de normalidade para aqueles que participaram. A presença dos eventos foi notável, pois em 2021 eles foram muito prejudicados pelo baixo comparecimento e pelo receio da Covid-19. Segue um resumo dos tópicos mais importantes, assuntos mais relevantes e notícias mais quentes dos eventos deste ano.
Investigação da Nota Fiscal Eletrônica
A amada Zoom videoconferência foi destacada na DEF CON por Patrick Wardle, criador da Fundação Objective-See, para uma técnica de hacking que o permitiu, usando a versão macOS do Zoom, adquirir privilégios amplos e acesso total ao sistema operacional macOS.
Pen Test Partners descobriu um defeito nos tablets eletrônicos de bagagem de voo usados por alguns pilotos de aeronaves da Boeing que permitiria a um inimigo mudar os dados e levar os pilotos a fazer cálculos arriscados, conforme declarado em um relatório da Reuters.
O satélite operado pela SpaceX, Starlink, que oferece serviços de internet para mais de 36 países, foi mostrado vulnerável a um ataque de hacker. O pesquisador belga Lennert Wouters comprovou que era possível realizar injeção de falha em um terminal usuário que era utilizado para gerenciar o satélite com um modchip de apenas US$ 25. Ele revelou essa descoberta durante o evento Black Hat.
O pesquisador James Kettle desenvolveu uma nova forma de ataque de contrabando de pedidos HTTP que lhe permitiu hackear Amazon e Akamai, violar TLS e explorar servidores Apache, de acordo com o relatório da The Daily Swig, da Portswigger.
O editor Eduard Kovacs divulgou notícias sobre uma falha de grande magnitude no eCos SDK, criado pela Faraday Security e discutido no DEF CON. Esta ferramenta é utilizada em uma ampla gama de roteadores, pontos de acesso e repetidores de rede, segundo seu relatório.
Para aqueles seguidores da FUD, a PC Magazine tem uma ótima lista de “Os 14 Maiores Medos que Vimos na Black Hat 2022”. O que os mantêm alertas são as mensagens de texto que rodeiam o MFA, o “dedo invisível” que assume o controle do seu dispositivo touchscreen e um palavrão da Microsoft ao lançar seu Antimalware Early Launch (ELAM).
Durante as reuniões, questões para serem discutidas são levantadas.
A principal contribuição de Chris Krebs para o Black Hat foi a sua crença de que a abordagem dos EUA para segurança da informação é positiva. Contudo, ele indicou que as defesas cibernéticas dos EUA estão focadas demais em Estados-nação em detrimento de questões mais imediatas como ransomware, o que ele considerou pessimista.
Os debates sobre a Guerra da Ucrânia e o Log4j foram destaque nas conferências. A ESET informou sobre ataques cibernéticos ao país aos participantes do Black Hat. Empresas como a CyCognito alertaram que não estamos livres das ameaças Log4j. O subsecretário para a política no Departamento de Segurança Interna, Robert Silvers, disse no relatório da SiliconAngle que as organizações provavelmente lidarão com problemas Log4j por pelo menos uma década.
Victor Zhora, vice-diretor do Serviço de Comunicações Especiais da Ucrânia, disse aos presentes na Black Hat que, desde a invasão russa de seu país, incidentes de cibersegurança aumentaram em 300%. A visita não foi divulgada anteriormente, de acordo com uma notícia da Voz da América.
Durante a sessão do DEF CON, o diretor de Cibernética Chris Inglis disse ao jornalista Kim Zetter que ele estava se concentrando em “três ondas de ataques” que aumentaram progressivamente nos últimos anos, conforme relatado pelo Nextgov.
A primeira onda teve como alvo aqueles que mantinham informações e sistemas vulneráveis. Por outro lado, a segunda onda visou às funções críticas, mantendo dados e sistemas em risco. Finalmente, o terceiro ataque focou na confiança, como foi evidenciado durante o ataque à Pipeline Colonial. – Nextgov.
Para a DEF CON, foi o 30º ano de existência do evento, que os organizadores de eventos promoveram como um Retorno de Hacker, não um aniversário.
Estes últimos dois anos têm sido muito intensos, de acordo com uma declaração oficial do fórum DEF CON.
Uma pandemia global deu origem à versão segura do DEF CON 28. Para o DC29, tivemos que estabelecer algumas restrições e regras apertadas, o que nos trouxe uma versão híbrida do con. Embora fosse certamente melhor do que nada, não foi a completa experiência DEF CON. Desejamos que o DEF CON 30 seja cheio da energia de uma reunião presencial, então estamos denominando-o ‘Hacker Homecoming’.
Revise e compartilhe este artigo.
- Vestindo-se com um boné preto, uma camisa branca, uma calça jeans e sapatos escuros.
- O Executivo Federal divulgou recentemente uma série de ações para enfrentar a pandemia de coronavírus.
- Calorosamente, eu gostaria de te fazer um pedido.
- Malware é um programa prejudicial que pode ser usado para furtar dados confidenciais.
- Vulnerabilidades de segurança são vulnerabilidades que podem ser aproveitadas para pôr em risco o sistema.