Milhares de hackers, pesquisadores e profissionais de segurança desceram nas conferências de segurança da Black Hat e Def Con em Las Vegas esta semana, uma peregrinação anual voltada para compartilhar as últimas pesquisas, hacks e conhecimentos dentro da comunidade de segurança. E o TechCrunch estava no local para relatar os shows consecutivos e cobrir algumas das últimas pesquisas.
A CrowdStrike foi destaque e recebeu um prêmio de "falha épica" que certamente não desejava. Mas a empresa reconheceu que errou e lidou com seu escândalo várias semanas após lançar uma atualização de software defeituosa que causou um apagão global de TI. Hackers e pesquisadores de segurança pareciam em grande parte dispostos a perdoar, embora talvez não esquecer facilmente.
À medida que outra rodada de conferências Black Hat e Def Con chega ao fim, relembramos alguns dos destaques e das melhores pesquisas do show que você pode ter perdido.
Hackeando robôs Ecovac para espionar seus donos pela internet
Pesquisadores de segurança revelaram em uma palestra no Def Con que era possível sequestrar uma variedade de robôs domésticos Ecovacs, como aspiradores de pó e cortadores de grama, enviando um sinal Bluetooth malicioso para um robô vulnerável em proximidade. A partir daí, o microfone e a câmera embarcados podem ser ativados remotamente pela internet, permitindo que o invasor espie qualquer pessoa ao alcance do som e da imagem do robô.
A má notícia é que a Ecovacs nunca respondeu aos pesquisadores, nem ao pedido de comentário do TechCrunch, e não há evidências de que os bugs tenham sido corrigidos. A boa notícia é que ainda temos esta captura de tela incrível de um cachorro feita pela câmera embarcada de um robô Ecovacs hackeado.
O jogo de longo prazo de infiltrar o jogo de ransomware LockBit e expor seu líder
Um intenso jogo de gato e rato entre o pesquisador de segurança Jon DiMaggio e o líder do esquema de extorsão e ransomware LockBit, conhecido apenas como LockBitSupp, levou DiMaggio por um buraco de coelho de coleta de inteligência de código aberto para identificar a identidade do hacker notório.
Em sua série de diários altamente detalhada, DiMaggio, inspirado por uma dica anônima de um endereço de e-mail supostamente usado por LockBitSupp e por um desejo enraizado de obter justiça para as vítimas da gangue, finalmente identificou o homem, chegando lá antes mesmo de os agentes federais nomearem publicamente o hacker como o russo Dmitry Khoroshev. No Def Con, DiMaggio contou sua história de sua perspectiva para uma sala lotada pela primeira vez.
Hacker desenvolve microfone a laser que pode ouvir as teclas do seu teclado
O renomado hacker Samy Kamkar desenvolveu uma nova técnica destinada a determinar furtivamente cada toque no teclado de um laptop mirando um laser invisível através de uma janela próxima. A técnica, demonstrada no Def Con e como explicado pela Wired, "aproveita a acústica sutil criada ao tocar teclas diferentes em um computador", e funciona contanto que o hacker tenha linha de visão do laser para o laptop-alvo em si.
Injeções de prompt podem enganar facilmente o Microsoft Copilot
Uma nova técnica de injeção de prompt desenvolvida pela Zenity mostra ser possível extrair informações sensíveis do chatbot companheiro alimentado por IA da Microsoft, Copilot. O diretor de tecnologia da Zenity, Michael Bargury, demonstrou o exploit na conferência Black Hat, mostrando como manipular o prompt do AI do Copilot para alterar sua saída.
Em um exemplo que ele postou no Twitter, Bargury mostrou ser possível inserir código HTML contendo um número de conta bancária controlado por um atacante malicioso e enganar o Copilot para devolver esse número de conta em respostas enviadas para usuários comuns. Isso pode ser usado para enganar pessoas desprevenidas a enviar dinheiro para o local errado, a base de alguns golpes comercias populares.
Seis empresas salvas de pesados resgates, graças às falhas de ransomware em sites de vazamentos
O pesquisador de segurança Vangelis Stykas investigou dezenas de gangues de ransomware e identificou possíveis brechas em sua infraestrutura de frente pública, como seus sites de vazamento de extorsão. Em sua palestra na Black Hat, Stykas explicou como encontrou vulnerabilidades na infraestrutura web de três gangues de ransomware - Mallox, BlackCat e Everest - permitindo-lhe obter chaves de descriptografia para duas empresas e notificar outras quatro antes que as gangues pudessem implantar ransomware, salvando no total seis empresas de resgates pesados.
Os ransomwares não estão melhorando, mas as táticas que as autoridades estão usando contra as gangues que criptografam e extorquem suas vítimas estão ficando mais inovadoras e interessantes, e essa pode ser uma abordagem a considerar com as gangues no futuro.