Black Hat ve Def Con 2024’ten en iyi hack’ler ve güvenlik araştırmaları
Binlerce hacker, araştırmacı ve güvenlik uzmanı bu hafta Las Vegas’taki Black Hat ve Def Con güvenlik konferanslarına akın etti. Bu yıllık hac, güvenlik topluluğuyla en son araştırmaları, hack’leri ve bilgileri paylaşmayı amaçlıyordu. Ve TechCrunch, arka arkaya düzenlenen gösterileri bildirmek ve en son araştırmalardan bazılarını ele almak için oradaydı.
CrowdStrike sahnenin merkezine oturdu ve kesinlikle istemediği bir “büyük başarısızlık” ödülü aldı. Ancak şirket hata yaptığını kabul etti ve küresel bir BT kesintisine yol açan hatalı bir yazılım güncellemesi yayınladıktan birkaç hafta sonra skandalıyla ilgilendi. Bilgisayar korsanları ve güvenlik araştırmacıları büyük ölçüde affetmeye istekli görünüyorlardı, ancak belki de kolayca unutamazlardı.
Black Hat ve Def Con konferanslarının bir turu daha sona ererken, fuarda yer alan ve muhtemelen kaçırdığınız bazı önemli noktalara ve en iyi araştırmalara bir göz atalım.
Ecovac robotlarını hackleyerek sahiplerini internet üzerinden gözetlemek
Güvenlik araştırmacıları, Def Con konuşmasında, yakın mesafedeki savunmasız bir robota kötü amaçlı bir Bluetooth sinyali göndererek bir dizi Ecovacs ev tipi vakum ve çim biçme makinesi robotunu ele geçirmenin mümkün olduğunu açıkladı. Buradan, yerleşik mikrofon ve kamera internet üzerinden uzaktan etkinleştirilebilir ve saldırganın robotun kulağına ve kamera görüntüsüne yakın olan herkesi gözetleme olanağı sağlar.
Kötü haber şu ki Ecovacs araştırmacılara veya TechCrunch’ın yorum talebine hiçbir zaman yanıt vermedi ve hataların düzeltildiğine dair hiçbir kanıt yok. İyi haber şu ki, hacklenmiş bir Ecovacs robotunun yerleşik kamerasından alınan bu inanılmaz köpek ekran görüntüsünü hâlâ alabiliyoruz.
LockBit fidye yazılımı oyununa sızma ve elebaşını ifşa etme uzun oyunu
Güvenlik araştırmacısı Jon DiMaggio ile LockBitSupp olarak bilinen LockBit fidye yazılımı ve gasp şebekesinin elebaşı arasındaki yoğun kedi-fare oyunu, DiMaggio’yu kötü şöhretli bilgisayar korsanının gerçek dünyadaki kimliğini belirlemek için açık kaynaklı istihbarat toplama konusunda zorlu bir yola sürükledi.
DiMaggio, LockBitSupp tarafından kullanıldığı iddia edilen bir e-posta adresinin anonim bir ihbarı ve çetenin kurbanları için adalet elde etme konusunda köklü bir arzuyla son derece ayrıntılı günlük serisinde, sonunda adamı teşhis etti ve federal ajanlar hacker’ı Rus uyruklu Dmitry Khoroshev olarak kamuoyuna açıklamadan önce bile oraya ulaştı. Def Con’da DiMaggio, hikayesini ilk kez kalabalık bir odaya kendi bakış açısından anlattı.
Hacker, klavyenizin tuş vuruşlarını duyabilen lazer mikrofon geliştirdi
Ünlü hacker Samy Kamkar, yakındaki bir pencereden görünmez bir lazeri hedefleyerek bir dizüstü bilgisayarın klavyesinden gelen her dokunuşu gizlice belirlemeyi amaçlayan yeni bir teknik geliştirdi. Def Con’da gösterilen ve Wired tarafından açıklanan teknik, “bir bilgisayardaki farklı tuşlara dokunarak oluşturulan ince akustikten yararlanıyor” ve hacker’ın lazerden hedef dizüstü bilgisayara doğru bir görüş hattı olduğu sürece işe yarıyor.
Hızlı enjeksiyonlar Microsoft Copilot’u kolayca kandırabilir
Zenity tarafından geliştirilen yeni bir istem enjeksiyon tekniği, Microsoft’un AI destekli sohbet robotu arkadaşı Copilot’tan hassas bilgileri çıkarmanın mümkün olduğunu gösteriyor. Zenity baş teknoloji sorumlusu Michael Bargury, Black Hat konferansında bu açığı göstererek Copilot AI’nın istemini çıktısını değiştirmek için nasıl manipüle edeceğini gösterdi.
Bargury, tweetlediği bir örnekte, kötü niyetli bir saldırgan tarafından kontrol edilen bir banka hesap numarası içeren HTML kodunun girilmesinin ve Copilot’un sıradan kullanıcılara gönderilen yanıtlarda bu banka hesap numarasını döndürmesinin mümkün olduğunu gösterdi. Bu, şüphesiz insanları yanlış yere para göndermeleri için kandırmak için kullanılabilir, bu da bazı popüler iş dolandırıcılıklarının temelidir.
Fidye yazılımı sızıntı sitelerindeki fidye yazılımı kusurları sayesinde altı şirket yüklü fidyelerden kurtuldu
Güvenlik araştırmacısı Vangelis Stykas düzinelerce fidye yazılımı çetesini araştırmaya ve gasp sızıntı siteleri gibi kamuya açık altyapılarındaki potansiyel açıkları belirlemeye koyuldu. Stykas, Black Hat konuşmasında, Mallox, BlackCat ve Everest olmak üzere üç fidye yazılımı çetesinin web altyapısında güvenlik açıkları bulduğunu ve bu sayede iki şirkete şifre çözme anahtarları ulaştırıp çeteler fidye yazılımı dağıtmadan önce dört şirkete daha haber vererek toplamda altı şirketi yüklü fidyelerden kurtardığını açıkladı.
Fidye yazılımları iyiye gitmiyor, ancak kolluk kuvvetlerinin kurbanlarını şifreleyip gasp eden çetelere karşı kullandığı taktikler daha yeni ve ilginç hale geliyor ve bu, çetelerin bundan sonra dikkate alabileceği bir yaklaşım olabilir.
Kaynak: https://techcrunch.com/2024/08/12/best-hacks-security-research-black-hat-def-con-2024/