Black Hat ve Defcon'da Ne İzlemeli?

Bu haftaki Black Hat ve Defcon konferanslarındaki büyük haberleri tahmin etmeye çalışmak imkansız değilse de son derece zor. Genellikle son dakikalarda en ilginç hikayeler ortaya çıkıyor - hackerlar gerçekten büyük müzakerelerin ifşa edilmesini istemiyorlar çünkü çılgın avukatların onları kapatmasını istemiyorlar. Ve ne olduğunu anladığınızı düşündüğünüzde bile, gösterilerinden biri, Defcon'un üç yıl önce, Dateline NBC muhabiri Michelle Madigan'ın, gösteriden katılımcıları gizlice film çekmeye çalışmak üzere konferanstan çıkarıldığı sırada yaptığı gibi, merkez sahneye götürecek adımlar atıyor.

Daha fazla kurumsal etkinlik olan Black Hat ve onun kız kardeşi olmayan konferansı Defcon, her yıl Las Vegas'ta birbiri ardına düzenleniyor. Bu sene Black Hat konferansı Çarşamba ve Perşembe günleri. Defcon Cuma gününden Pazar gününe kadar çalışıyor.

Bu hafta Las Vegas'ta biraz kaos bekleyelim. Bazı sürprizler bekliyoruz. Eğer katılıyorsanız, akşamdan kalma bekleyebilirsiniz. Ancak, bu konularla ilgili bazı ilginç güvenlik öykülerine de dikkat edin:

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl temizlersiniz]

1) ATM Jackpot’a isabet etme

Bu yılki en çok beklenen konuşma Barnaby’den geliyor Jack, eskiden Juniper Networks. Jack geçtiğimiz birkaç yıldır ATM'lerle (otomatik vezne makineleri) dolaşıyor ve ürünlerinde bulduğu bazı hatalardan bahsetmeye hazır. ATM'lerini kimin savunmasız olduğunu bilmiyoruz - ya da üreticiler açıklansa bile - ama ATM'ler savunmasız araştırmacılar için yeşil bir alan.

Black Hat konferans direktörü Jeff Moss, ATM hatalarının çalışmasını anımsatıyor Birkaç yıl önce ortaya çıkan oylama makinesi araştırması - sistemlerde ciddi güvenlik açıkları gösterdi ve birçok devlet kurumunun e-oy kullanma yöntemlerini yeniden gözden geçirmesine neden oldu.

Jack'in tartışması tartışmalı. Juniper, geçtiğimiz yılın Black Hat konferansının son dakikalarında ATM üreticilerinin talebi üzerine çekti. Ama şimdi yeni bir şirket olan IOActive için çalışan Jack, uzak saldırılar da dahil olmak üzere ATM'lere saldırmanın birkaç yeni yolunu göstermeyi planlıyor. Konuşmasının açıklamasına göre “çok platformlu bir ATM rootkit” dediği şeyi de açıklayacak.

"John Connor'ın bir ATM'ye, arayüzlere gittiği" Terminatör 2 "deki sahneyi hep sevdim Atari'nin kart okuyucusuna ve makineden parayı aldığını düşünüyorum. Bence o çocuğun yendiğini anladım "Jack soyutta yazıyor.

2) DNS

İki yıl önce, Dan Kaminsky dünya çapında manşetlerle dünyaya geldi Internet'teki bilgisayarların adreslerini aramak için kullanılan DNS'deki (Etki Alanı Adı Sistemi) bir kusur. Bu yıl Kaminsky, Black Hat'ta tekrar konuşuyor - bu sefer Web güvenlik araçları. Ama aynı zamanda ICANN (Atanan İsimler ve Sayılar için İnternet Kurumu) ve VeriSign'ın temsilcilerinin Alan Adı Sistemi Güvenlik Uzantıları (DNSSEC) - bir seviye sağlayan DNS yapmanın yeni bir yolu olduğu bir basın toplantısına katılmak üzere dokundu. Internet'e bağlı bilgisayarların gerçekte iddia ettikleri yönündedir.

Yaklaşık iki hafta önce ICANN, bir DNSSEC anahtarına sahip bir kök sunucunun ilk kriptografik işaretine başkanlık etti. DNSSEC henüz geniş çapta desteklenmiyor, ancak ICANN, bir kök bölge imzalayarak, diğerlerinin sunucusundaki ve istemci yazılımlarındaki protokolü desteklemeye teşvik edeceğini umuyor.

Kaminsky gibi araştırmacılar, DNSSEC'in yaygın şekilde benimsenmesinin bir bütünün tamamını tutabileceğini söylüyor. çevrimiçi saldırıların Kaminsky bir röportajda, "DNSSEC'nin yalnızca DNS açıklarını değil, güvenlik konusunda sahip olduğumuz güvenlik açıklarını da nasıl ele alacağına bakıyoruz." Dedi. "Bu sorunların tümünü DNSSEC ile çözmeyeceğiz… ancak DNSSEC'in yaptığı tüm kimlik doğrulama güvenlik açığı sınıfları var."

3) Mobil

Hatalar Kraken'i serbest bırak! Bu, GSM güvenlik araştırmacılarının, bu yıl ABD'de ve Avrupalı ​​mobil şebeke operatörleri için büyük bir baş ağrısına dönüşebilecekleri bir şey olduğunu söylüyor. Kraken, henüz tamamlanmış açık kaynaklı bir GSM kırma yazılımıdır. Son derece optimize edilmiş gökkuşağı tabloları (şifreleme-kırma işlemini hızlandıran kodların listeleri) ile birleştiğinde, korsanlara GSM çağrılarını ve mesajlarını şifresini çözmenin bir yolunu sunar.

Kraken'in yapamadığı şey çağrıları hava. Ama başka bir GSM koklama projesi var - AirProbe denilen - bu bir gerçeklik yapmak isteyen. Bu araçlar üzerinde çalışan araştırmacılar, düzenli kullanıcılara casusların ve güvenlik meraklılarının uzun zamandır bilinenlerini göstermek istediklerini söylüyor: T-Mobile ve AT & T gibi taşıyıcılar tarafından kullanılan A5 / 1 şifreleme algoritmasının zayıf olduğu ve

Ama neden telefonlarda sahte bir üsse bağlanarak telefon açıp şifreleme yapabildiğiniz zaman GSM şifrelemesini kırıyorsunuz? Bu, Chris Paget'in bu hafta Las Vegas'ta gösteri yapmayı planladığı şey, konferans katılımcılarının çağrılarını engellemek için davet edeceğini söylüyor. Yasalysa eğlenceli bir demo olmalı. Paget öyle düşünüyor. Aynı zamanda, RFID etiketlerini okumak için "dünya rekoru" nu - yüzlerce metrelik - Black Hat konuşmasında tartışacak olan "dünya rekoru" olarak da geliştirdi.

Sadece The Grugq olarak bilinen başka bir araştırmacı, Mobil cihazlarda kötü niyetli GSM şebeke baz istasyonları ve bileşenleri hakkında konuşmak olacaktır. "Bize güvenin, * bu konuşmanın süresi boyunca telefonunuzu kapatmak için * isteyeceksiniz", konuşmanın açıklamasını okuyor.

Ve Citibank'ın güvenliğinden mahrum bıraktığını kabul etmesiyle başlayan bir haftada. iPhone uygulaması, bir başka konuşmayla Seyret Security'nin mobil uygulamalarda güvensizliklere ışık tutacak olan “App Atttack” ı olacak.

4) Endüstriyel kabus

Siemens, bu ayın neye benzediğine dair bir tat aldı. Birisi Windows tabanlı yönetim sistemlerine saldıran sofistike bir solucan çıkardığında gerçek dünya SCADA (denetleyici kontrol ve veri toplama) saldırısı. Ancak SCADA uzmanları, Siemens'in sadece şanssız olduğunu ve bu tür saldırıların şirketin rakiplerinden herhangi birini kolayca alabileceğini söylüyorlar. Aslında, endüstriyel kontrol sistemlerini sıkıntıya sokan pek çok güvenlik sorunu var - o kadar çok ki bu sene Black Hat'ta kendi izlerini alıyorlar.

Geçtiğimiz 10 yıl boyunca Red Tiger Güvenlik'in kurucusu Jonathan Pollet, 120'den fazla SCADA sistemi üzerinde güvenlik değerlendirmelerini çalıştırdı ve güvenlik açıklarının en çok nasıl kırpılacağı hakkında konuşacak. Pollet, birçok ağın BT ve endüstriyel sistemler arasında bir tür insanlık alanı geliştirmediğini söylüyor. Bu riskler çoğu zaman risk altındadır çünkü hiç kimse tam olarak sahiplenmeyi göze alamaz.

Pollet bu hataların nereden geldiğini anlatacaktır. Altyapı - şirketi 38.000 güvenlik açıkları hakkında veri topladı - ve bunlar için yazılan sömürü türleri. “Sıfır gün kırılganlıklarını beklemek zorunda değilsiniz” dedi. "Orada zaten bir sürü istismar var."

5) Joker [

Geçen haftaki gösterinin geri dönüşünde Dan Kaminsky ve diğerlerini hack eden Sahip Olma Grubu'nun Sıfır'ı olacak mı? Federaller veya AT & T, Paget'in GSM'le uğraşmasını engelleyecek mi? Ilımlı bir ATM satıcısı, Barnaby Jack'in konuşması için son dakika yasal bir sorun başlatır mı? Defcon'un Sosyal Mühendislik yarışması mali hizmetler sektöründeki bir kişinin bir contayı havaya uçurmasına neden olacak mı? Arıların sürüsü Riviera'daki havuzu enfekte edecek mi? Kim bilir, ama Vegas'ta beklenmedik bir durum bekler.

Robert McMillan, IDG News Service için bilgisayar güvenliği ve genel teknoloji haberlerini kapsar. @bobmcmillan'da Robert'ı takip edin. Robert'in e-posta adresi [email protected]