מה לצפות ב Black Hat ו Defcon

מנסה לחזות את החדשות הגדולות השבוע ב Black Hat ו Defcon כנסים מאוד מסובך, אם לא בלתי אפשרי. בדרך כלל, הסיפורים המעניינים ביותר צצים ברגע האחרון ממש - האקרים נוטים להיאחז בחשיפת השיחות הגדולות, כי הם לא רוצים עורכי דין עצבנים לסגור אותם. וגם כאשר אתה חושב שאתה יודע מה קורה, לפעמים אחד מראה את המדרגות קדימה לקחת את הבמה, כפי Defcon עשה לפני שלוש שנים, כאשר Datline NBC הכתב מישל Madigan היה נגמרו של הכנס על ניסיון בסתר להראות סרטים המשתתפים.

Black Hat, האירוע הארגוני יותר, ועידת אחותה פרועה, Defcon, מתקיימים אחד אחרי השני בלאס וגאס. כנס Black Hat השנה יתקיים ביום רביעי וחמישי. Defcon פועל מיום שישי עד יום ראשון.

אז צפו כמה כאוס השבוע בלאס וגאס. צפו כמה הפתעות. אם אתה משתתף, מצפה להנגאובר. אבל גם לחפש כמה סיפורים אבטחה מעניינים על נושאים אלה:

[המשך קריאה: כיצד להסיר תוכנות זדוניות מהמחשב Windows PC]

1) להכות את קופה כספומט

השנה ביותר של הצפוי לדבר מגיע Barnaby ג'ק, לשעבר של ג'וניפר נטוורקס. ג 'ק כבר משתעשע עם כספומטים (מכונות כספומט אוטומטי) במשך השנים האחרונות והוא מוכן לדבר על כמה באגים הוא מצא את המוצרים. אנחנו עדיין לא יודעים מי כספומטים פגיעים - או אפילו אם היצרנים יפורסמו - אבל כספומטים הם שדה ירוק לחוקרי פגיעות.

מנהל הוועידה של Black Hat, ג'ף מוס, אומר שהעבודה על באגים של ATM מזכירה המחקר של מכונת ההצבעה, שיצא לפני כמה שנים - שהראה פגיעות אבטחה רצינית במערכות וגרם לסוכנויות ממשלתיות רבות לחשוב מחדש על הדרך בה הן משחררות את ההצבעה האלקטרונית.

שיחתו של ג'ק שנוי במחלוקת. ג'וניפר משכה אותו ברגע האחרון לפני הוועידה של Black Hat בשנה שעברה, לבקשת יצרניות כספומט. אבל עכשיו עובד עבור חברה חדשה, IOActive, ג 'ק מתכננת להראות כמה דרכים חדשות לתקוף כספומטים, כולל התקפות מרחוק. הוא גם יגלה את מה שהוא מכנה "multi-platform ATM rootkit", על פי תיאור של שיחתו.

"תמיד אהבתי את הסצנה ב 'שליחות קטלנית 2' שבה ג'ון קונור הולך עד כספומט, ממשקים את העטרי שלו לקורא הכרטיסים ומביא את הכסף מהמכונה, אני חושב שהילד הזה היכה אותי ", כותב ג'ק בתמצית שלו.

2) DNS

לפני שנתיים הגיע דן קמינסקי לכותרות ברחבי העולם על ידי גילוי פגם ב- DNS (Domain Name System) המשמש לחיפוש כתובות של מחשבים באינטרנט. השנה, קמינסקי מדבר שוב ב Black Hat - הפעם על כלי אבטחה באינטרנט. אבל הוא גם היה טפח להשתתף במסיבת עיתונאים שבה הוא ונציגים של ICANN (תאגיד האינטרנט עבור שמות מוקצים ומספרים) ו VeriSign ידונו שם תחום מערכת Extensions (DNSSEC) - דרך חדשה לעשות DNS המספק רמה של ביטחון כי מחשבים המחוברים לאינטרנט הם מה שהם באמת טוענים.

לפני כשבועיים, ICANN ניהלה את החתימה הראשונה הצפנה של שרת שורש עם מפתח DNSSEC. DNSSEC עדיין לא נתמך באופן נרחב, אבל ICANN מקווה כי על ידי חתימה על אזור השורש, זה ידרבן אחרים לתמוך בפרוטוקול השרת שלהם ואת תוכנת הלקוח.

חוקרים כמו קמינסקי אומר כי אימוץ נרחב של DNSSEC יכול לרסן חבורה שלמה של התקפות מקוונות. "אנחנו כבר מסתכלים על איך DNSSEC הולך לכתוב לא רק DNS פגיעויות, אבל כמה פגיעויות הליבה שיש לנו בביטחון", אמר קמינסקי בראיון. "אנחנו לא הולכים לפתור את כל הבעיות האלה עם DNSSEC … אבל יש בכיתה שלמה של פגיעויות אימות כי DNSSEC עושה כתובת."

3) באגים ניידים

לשחרר את קראקן! זה בדיוק מה שחוקרי האבטחה של GSM יעשו ב Black Hat השנה, במה שיגרום בסופו של דבר לכאב ראש גדול עבור מפעילי רשתות סלולריות בארה"ב ובאירופה. Kraken היא קוד פתוח GSM פיצוח תוכנה זה עתה הושלמה. בשילוב עם כמה טבלאות קשת מאוד אופטימיזציה (רשימות של קודים המסייעים להאיץ את תהליך שבירת הצפנה), זה נותן האקרים דרך לפענח שיחות GSM והודעות.

מה קראקן לא עושה הוא למשוך את השיחות מתוך אוויר. אבל יש עוד פרויקט רחרוח GSM - שנקרא AirProbe - זה מחפש להפוך את זה למציאות. החוקרים העובדים על כלים אלה אומרים כי הם רוצים להראות למשתמשים רגילים מה מרגלים חנוני אבטחה ידועים במשך זמן רב: כי אלגוריתם ההצפנה A5 / 1 בשימוש על ידי ספקים כגון T-Mobile ו- AT & T הוא חלש, והוא יכול בקלות שבור.

אבל למה לשבור את הצפנת ה- GSM כאשר אתה יכול פשוט הטריק טלפונים לתוך חיבור עם בסיס מזויף ואז ירידה ההצפנה? זה בדיוק מה כריס Paget מתכננת הדגמה בלאס וגאס השבוע, שם הוא אומר שהוא יזמין המשתתפים בכנס יש שיחות שלהם יורט. צריך להיות הדגמה מהנה, אם זה חוקי. פאג'ט חושב שכן. הוא פיתח גם את מה שהוא מכנה "שיא העולם" לקריאת תגי ה- RFID מרחוק - מאות מטרים - שאותם הוא ידון בשיחת בלק האט.

חוקר אחר, הידוע רק בשם "הגרוגק" ידבר על בניית רשת זדונית רשת בסיס תחנות ורכיבים על התקנים ניידים. "תסמוך עלינו, אתה תרצה * לכבות את הטלפון שלך במשך כל השיחה הזאת, "נאמר בתיאור הדיבור. ובשבוע שנבעק בהודאתו של סיטיבנק, כי הוא פגע בביטחון iPhone App, עוד לדבר כדי לצפות יהיה Lookout אבטחה של "App Atackack", אשר ישפוך אור על חוסר ביטחון ביישומים ניידים.

4) סיוט תעשייתי

סימנס יש טעם של החודש איך זה להגיב על בעולם האמיתי SCADA (פיקוח פיקוח ונתונים הרכישה), כאשר מישהו שיחרר תולעת מתוחכמת לתקוף מערכות ניהול מבוססות Windows שלה. אבל מומחים SCADA אומרים כי סימנס היה פשוט מזל, וכי סוג זה של התקפה יכול בקלות לקחת את כל המתחרים של החברה מדי. למעשה, יש הרבה בעיות אבטחה פגע במערכות בקרה תעשייתית - כל כך הרבה שהם מקבלים המסלול שלהם ב Black Hat השנה.

במהלך 10 השנים האחרונות, ג 'ונתן פולט, מייסד האדום טייגר אבטחה, יש הערכות אבטחה על מעל 120 מערכות SCADA, והוא ידבר על איפה פגיעויות אבטחה צפויים לגדול למעלה. פולט אומר שרשתות רבות פיתחו סוג של קרקע לא-אנושית בין מערכות IT ומערכות תעשייתיות - מחשבים שבדרך כלל נמצאים בסיכון, משום שאף אחד לא באמת מצליח לקחת עליהם בעלות מלאה.

פולט ידבר על המקומות שבהם מופיעים הבאגים האלה התשתית - החברה שלו אספה נתונים על 38,000 פגיעויות - ועל סוגי המנצלים שנכתבו עבורם. "אתה לא צריך לחכות לפגיעות של יום אפס, "אמר. "כבר יש שם הרבה מנצחים".

5) תווים כלליים?

האם הקבוצה של אפס לבעלות, שפוצצה את דן קמינסקי ואחרים, ערב שובו של המופע בשבוע שעבר? האם ה- FDS או AT & T יעצרו את Paget מלהתעסק עם GSM? האם יצרנית כספומט זועמת תפתח אתגר משפטי של הרגע האחרון לשיחתו של ברנבי ג'ק? האם דפקון של הנדסה חברתית תחרות לגרום למישהו בתעשיית השירותים הפיננסיים לפוצץ אטם? האם נחיל דבורים יפגע בבריכה בריוויירה? מי יודע, אבל ב Vegas, לצפות לא צפוי.

רוברט מקמילן מכסה את אבטחת המחשב ואת הטכנולוגיה הכללית חדשות חדשות טובות עבור שירות חדשות IDG. עקוב אחר רוברט בטוויטר ב @bobmcmillan. כתובת הדואר האלקטרוני של רוברט היא [email protected]