DEF CON 2018

Com um público recorde de quase 30.000 participantes, durante 4 dias, hackers, pesquisadores, profissionais de segurança, estudantes, agentes do governo, simpatizantes e curiosos participaram deste evento que conta com palestras, workshops, atividades, gincanas, festas, música, campeonatos e muito mais.

Como todos os anos, muitas coisas acontecem na Def Con. Destacamos alguns itens que chamaram nossa atenção.

O voting machine hacking village ocorreu pela segunda vez. Este village (nome dado a áreas onde uma atividade de hacking específica ocorre na Def Con) tinha como foco tentar analisar e tentar quebrar a segurança de urnas eletrônicas norte americanas.

Depois de algumas horas, um hacker conseguiu transformar uma máquina de votação em uma jukebox, fazendo com que ela reproduzisse música e exibisse animações.

Os organizadores do Village configuraram versões simuladas de sites de painéis eleitorais de alguns estados norte americanos, onde os resultados são publicados, para identificar possíveis vulnerabilidades.

“Infelizmente, é tão fácil hackear os sites que relatam resultados eleitorais que não poderíamos fazê-lo nesta sala porque [hackers adultos] achariam isso chato”, disse Jake Braun, um dos organizadores do evento.

Então, na sexta-feira, quase 40 crianças hackers entre 6 e 17 anos analisaram os sites fictícios, e a maioria delas foi capaz de adulterar os resultados dos votos, alguns até mudando os nomes dos candidatos para coisas como “Bob o Construtor” e “Cabeça de Richard Nixon”.

Tais manifestações provocativas levaram a Associação Nacional dos Secretários de Estado (NASS), o grupo que representa os principais funcionários do Estado encarregados das eleições, a criticar o Def Con Voting Machine Hacking Village.

“Nossa principal preocupação com a abordagem adotada pelo DEFCON é que ele utiliza um pseudo-ambiente que não replica os sistemas eleitorais estaduais, as redes ou a segurança física”, disse o NASS.

Matt Bernhard, consultor de ciência de dados de uma ONG de Transparência Eleitoral disse que os pontos de discussão da NASS são típicos de autoridades eleitorais que defendem tecnologias já quebradas. Ele reconheceu que há algum mérito no argumento de que os especialistas em cibersegurança não podem recriar as condições exatas dos sistemas dos estados. “Mas eles estão totalmente indispostos para nos dar acesso”, disse Bernhard.

Outro destaque deste ano foi a pesquisa apresentada por Eyal Itkin e Yaniv Balmas, da empresa Israelense CheckPoint, sobre vulnerabilidades em máquinas de FAX.

Os pesquisadores demonstraram como é possível explorar uma multifuncional da empresa HP, enviando uma imagem por FAX que, ao ser processada, insere um código malicioso o qual permite a invasão da rede em que o aparelho está conectado.

A vulnerabilidade é do protocolo de FAX, de forma que, em teoria, a vulnerabilidade pode ser reproduzida em equipamentos de qualquer fabricante. A HP já lançou uma correção que impede esse tipo de ataque.

Outro ponto interessante foi uma palestra sobre a segurança dos dispositivos médicos. Esse assunto tem ganhado maior atenção nos últimos anos, por outro lado, vemos poucas pesquisas de segurança sobre os protocolos exclusivos usados ​​por esses dispositivos. Muitas das bombas de insulina, monitores cardíacos e outros gadgets encontrados em quartos de hospital usam protocolos antigos para se comunicar com as estações de enfermeiros e médicos; e, por este motivo, podem ser facilmente subvertidos.

O caso em questão é o protocolo RWHAT, um dos protocolos de rede usados ​​pelos dispositivos médicos para monitorar a condição e os sinais vitais de um paciente. Doug McKee, pesquisador sênior de segurança da equipe de Pesquisa Avançada de Ameaças da McAfee, descobriu uma fraqueza que permite que os dados sobre a condição do paciente sejam modificados por um invasor em tempo real, para fornecer informações falsas à equipe médica.

As ramificações são profundas: informações falsas podem levar o médico a prescrever medicamentos que o paciente não precisa; ou, pode-se pensar que um paciente está em repouso, quando na verdade eles está sob parada cardíaca.

Além disso, McKee descobriu que a falta de autenticação também permite que dispositivos invasores sejam colocados na rede e imitem monitores de pacientes.

Em um outro village relativamente recente, mas que tem tido bastante repercussão na Def Con é o Car Hacking, seus organizadores buscam construir uma comunidade em torno da descoberta de pontos fracos e da exposição de vulnerabilidades que poderiam impactar significativamente a segurança de todos os motoristas e passageiros na estrada hoje. Educar os pesquisadores de segurança sobre a funcionalidade dos sistemas de veículos, juntamente com a oportunidade de ganhar experiência prática trabalhando lado a lado com especialistas nesse campo, é uma das vantagens para os participantes. Aproveitar a vasta experiência que a comunidade de pesquisa em segurança traz para a Village pode aumentar a segurança e proteção dos veículos nas estradas hoje e nas próximas gerações.

Com a ascensão futura de veículos autônomos e mais conectados, surge um risco maior de hackear esses veículos com más intenções. Elon Musk, CEO do fabricante de automóveis Tesla, expressou preocupação sobre hackers terem acesso ao sistema da Tesla no passado.

Ele disse que impedir um “hack de toda a frota” é a principal prioridade de segurança da Tesla. Após a Def Con, Musk disse no Twitter que a Tesla planeja abrir seu software de segurança gratuitamente para outras montadoras:

Grande Q & A @defcon ontem à noite. Obrigado por ajudar a tornar a Tesla & SpaceX mais seguras! Planejando que o software de segurança de veículo Tesla de código aberto para uso gratuito por outros fabricantes de automóveis. Extremamente importante para um futuro seguro e autônomo para todos.

Como todos os anos, a Def Con é um evento imenso, com muitas atividades simultâneas. Qualquer pessoa envolvida ou curiosa sobre o tema segurança da informação deveria participar pelo menos uma vez na vida deste encontro.