Black Hat USA, la quasi ventennale manifestazione sulla sicurezza, quest’anno in programma il 3 e 4 agosto al Mandalay Bay di Las Vegas, ha messo al centro dell’attenzione non solo i rischi delle piattaforme note ma anche quelli più recenti, come IoT e Connected cars. (ne abbiamo parlato ad esempio qui)
Certo infrastrutture critiche, data center e ogni tipo di vulnerabilità sono sempre nei pensieri degli specialisti di sicurezza, e svariati interventi sono non a caso dedicati ai bancomat e ai sistemi di pagamento.
Ma quest’anno non c’è dubbio che i punti di attrazione siano le sessioni dedicate agli oggetti in rete, che siano le cose dell’IoT, la mobilità in generale o i controlli delle auto.
In qualche modo controllo e sicurezza dei veicoli sono aspetti del più importante argomento di questa fase del mondo digitale. Il controllo delle auto gestite elettronicamente avviene attraverso il Can Bus, il trentennale sistema che può essere manipolato in molti modi da attacchi esterni.
CAN Bus, o Controller Area Network è uno standard introdotto negli Anni Ottanta da Robert Bosch e utilizzato in particolar modo in ambito automotive. Si tratta di un controller seriale per bus di campo utilizzato per collegare diverse unità di controllo elettronico e in grado di funzionare anche in ambienti fortemente disturbati.
Non è un caso che nel corso di Black Hat, Charlie Miller, già responsabile di sicurezza all’interno della NSA e oggi responsabile della sicurezza in Uber (qui la sua bio) e Chris Valasek, anch’egli con un ruolo di responsabilità nella sicurezza in Uber, hanno dedicato uno speech ai nuovi sistemi per frenare, sterzare ed accelerare l’auto altrui.
E se ancora non bastasse, sappiate che le tante info personali su AirB’n’b’ sono sempre più fonte d’ispirazione per i malintenzionati.
L’apertura dell’evento è stata affidata a Dan Kaminsky, ricercatore che divenne famoso nel 2008, partecipando alla Black Hat dettagliando un difetto del Dns che da allora è chiamato “Kaminsky flaw”. Quest’anno Kaminsky ha focalizzato il suo intervento sui rischi dell’architettura nascosta di Internet.
Molti sono gli interventi nello stesso filone. Erik Wu della start-up Acalvio ha titolato il suo intervento “Dark Side of the DNS Force”, discutendo gli attacchi DNS-based. Due ricercatori di sicurezza di SafeBreach, Itzik Kotler e Amit Klein, hanno scelto di raccontare come mettere in ginocchio il traffico HTTPS crittografato.
Uno degli speech più attesi è BadWPAD: Maxim Goncharov avvisa sui frequenti errori di configurazione del protocollo Web Proxy Auto Discovery, mettendo a rischio milioni di utenti.
Qui la lista di tutte le sinossi.
GATTacking Bluetooth Devices
Altri interventi evocano immagini più o meno cinematografiche, come $Hell on Earth, oppure GATTacking Bluetooth Smart Devices, nel quale si descrive il proxy Ble Mitm, un tool open source che apre i device IoT. Senza cinema, Colin O’Flynn di NewAE Technology parla dei virus nelle lampadine intelligenti.
In questi stessi giorni, sempre Las Vegas, ma pochi alberghi più in là, ospita la 24ma edizione della DefCon: l’incrocio di eventi rende ancora più irrespirabile l’aria desertica dell’agosto in Nevada.