Ano ang Panoorin sa Black Hat at Defcon

Sinusubukan upang mahulaan ang malaking balita sa Black Hat at Defcon conference ngayong linggo na ito ay lubhang nakakalito, kung hindi imposible. Karaniwan ang mga pinaka-kagiliw-giliw na mga kuwento pop up sa pinakadulo huling minuto - ang mga hacker ay may posibilidad na pigilan sa pagsisiwalat ang talagang malaking mga pag-uusap dahil hindi nila gusto jittery abogado upang sarhan ang mga ito pababa. At kahit na sa tingin mo alam mo kung ano ang nangyayari, kung minsan ang isa sa mga palabas ay nagsusumikap na kumuha ng sentro ng entablado, tulad ng ginawa ni Defcon tatlong taon na ang nakalilipas nang tumigil ang kumperensya ng Dateline NBC na si Michelle Madigan sa pagpupulong sa lihim na mga dumalo sa pelikula.

Ang Black Hat, ang mas maraming kaganapan sa korporasyon, at ang kumperensya ng kapatid na babae nito, ang Defcon, ay gaganapin isa-isa bawat isa sa Las Vegas. Ang kumperensya ng Black Hat ngayong taon ay sa Miyerkules at Huwebes. Ang Defcon ay nagpapatakbo ng Biyernes hanggang Linggo.

Kaya inaasahan ang ilang kaguluhan sa linggong ito sa Las Vegas. Inaasahan ang ilang mga surpresa. Kung ikaw ay nag-aaral, umasa ng isang hangover. Ngunit tingnan din ang ilang mga kagiliw-giliw na mga kwento sa seguridad sa mga paksang ito:

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

1) Pagpindot sa ATM Jackpot

Ang pinaka-inaasahang pahayag sa taong ito ay mula sa Barnaby Jack, dating ng Juniper Networks. Si Jack ay nakikipagtulungan sa mga ATM (mga automated teller machine) sa nakalipas na ilang taon at handa na upang pag-usapan ang ilan sa mga bug na natagpuan niya sa mga produkto. Hindi pa namin alam kung ang mga ATM ay maaaring mahina - o kahit na ang mga tagagawa ay ibubunyag - ngunit ang mga ATM ay isang berdeng larangan para sa mga mananaliksik na kahinaan.

Direktor ng Black Hat conference na si Jeff Moss ay nagsasabi na ang trabaho sa mga ATM bug ay nakapagpapaalaala sa ang pananaliksik sa pagmamanupaktura ng botika na ilang taon na ang nakalilipas - na nagpakita ng malubhang kahinaan sa seguridad sa mga sistema at naging sanhi ng maraming mga ahensya ng gobyerno na pag-isipang muli ang paraan ng paglulunsad ng e-voting.

Ang usapan ni Jack ay kontrobersyal. Ang dyuniper ay nakuha ito sa huling minuto bago ang conference ng Black Hat noong nakaraang taon, sa kahilingan ng mga gumagawa ng ATM. Ngunit ngayon nagtatrabaho para sa isang bagong kumpanya, IOActive, Jack plano upang ipakita ang ilang mga bagong paraan ng paglusob sa ATM, kabilang ang mga remote na pag-atake. Makikita rin niya kung ano ang tinatawag niyang "multi-platform ATM rootkit," ayon sa paglalarawan ng kanyang pahayag.

"Palagi akong nagustuhan ang eksena sa 'Terminator 2' kung saan si John Connor ay naglalakad hanggang sa isang ATM, mga interface ang kanyang Atari sa card reader at kinukuha ang cash mula sa makina. Sa tingin ko nakuha ko na ang kid matalo, "Isinulat ni Jack sa kanyang abstract.

2) DNS

Dalawang taon na ang nakaraan, Dan Kaminsky ginawa headline sa buong mundo sa pamamagitan ng uncovering isang kapintasan sa DNS (Domain Name System) na ginamit upang hanapin ang mga address ng mga computer sa Internet. Sa taong ito, si Kaminsky ay nagsasalita muli sa Black Hat - oras na ito sa mga tool sa seguridad sa Web. Gayunman, siya ay tapped upang lumahok sa isang press conference kung saan siya at ang mga kinatawan mula sa ICANN (Internet Corporation Para sa Nakatalagang Pangalan at Mga Numero) at VeriSign tatalakayin Domain Name System Security Extension (DNSSEC) - isang bagong paraan ng paggawa ng DNS na nagbibigay ng isang antas ng kumpiyansa na ang mga kompyuter na nakakonekta sa Internet ay ang kanilang tunay na inaangkin na.

Mga dalawang linggo na ang nakararaan, ang ICANN ay namuno sa unang cryptographic sign ng isang root server na may DNSSEC key. Ang DNSSEC ay hindi pa lubos na sinusuportahan, ngunit inaasahan ng ICANN na sa pamamagitan ng pagpirma sa isang root zone, ito ay mag-udyok sa iba upang suportahan ang protocol sa kanilang server at client software.

Mga mananaliksik tulad ng Kaminsky ay nagsabi na ang malaganap na pag-aampon ng DNSSEC ay maaaring mapuksa ang isang buong bungkos ng mga pag-atake sa online. "Kami ay tumitingin kung paano ang DNSSEC ay pagpunta sa address hindi lamang DNS kahinaan, ngunit ang ilan sa mga pangunahing kahinaan namin sa seguridad," Kaminsky sinabi sa isang pakikipanayam. "Hindi namin malulutas ang lahat ng mga problemang iyon sa DNSSEC … ngunit may isang buong klase ng mga kahinaan sa pagpapatunay na sinasagutan ng DNSSEC."

3) Mobile bug

Ilabas ang Kraken! Iyan lamang ang gagawin ng mga mananaliksik sa seguridad ng GSM sa Black Hat ngayong taon, kung ano ang maaaring maging isang pangunahing sakit ng ulo para sa mga operator ng U.S. at European mobile network. Ang Kraken ay open-source GSM crack na software na nakumpleto na lamang. Pinagsama sa ilang mga mataas na na-optimize na mga talahanayan ng bahaghari (mga listahan ng mga code na tumutulong mapabilis ang proseso ng pag-encrypt ng pag-encrypt), nagbibigay ito ng mga hacker ng isang paraan upang i-decrypt ang mga GSM na tawag at mensahe.

Ano ang hindi ginagawa ng Kraken ay ang mga tawag sa labas ng hangin. Ngunit may isa pang proyektong GSM-sniffing - na tinatawag na AirProbe - na naghahanap upang gumawa ng isang katotohanan. Ang mga mananaliksik na nagtatrabaho sa mga kagamitang ito ay nagsasabi na nais nilang ipakita ang mga regular na gumagamit kung ano ang kilala ng mga spies at security geeks na kilala sa loob ng mahabang panahon: na ang algorithm ng encryption ng A5 / 1 na ginagamit ng mga carrier tulad ng T-Mobile at AT & T ay mahina, at madali sirang.

Ngunit bakit masira ang GSM encryption kapag maaari mo lang lansihin ang mga telepono sa pagkonekta sa isang pekeng basestation at pagkatapos ay i-drop ang encryption? Iyan lang ang plano ni Chris Paget sa demo sa Las Vegas sa linggong ito, kung saan sabi niya ay anyayahan niya ang mga dadalo sa kumperensya na mahawakan ang kanilang mga tawag. Dapat maging isang masaya demo, kung ito ay legal. Sa palagay ni Paget ito. Naitaguyod din niya ang tinatawag niyang "rekord ng mundo" para sa pagbabasa ng mga tag ng RFID sa isang distansya - daan-daang metro - kung saan makikita niya ang pagtalakay sa Black Hat talk.

Isa pang mananaliksik, na kilala lamang bilang The Grugq, ay magsasalita tungkol sa pagbubuo ng mga nakakahamak na GSM network base station at mga bahagi sa mga mobile device. "Tiwala sa amin, gugustuhin * mong i-off ang iyong telepono sa tagal ng pahayag na ito," ang paglalarawan ng pahayag ng kababasahan.

At sa isang linggo na nagsimula sa pag-amin ng Citibank na nakaligtaan ang seguridad nito Ang iPhone app, ang isa pang pakikipag-usap sa panonood ay ang "App Atttack" ng Lookout Security, na magbibigay ng liwanag sa mga insecurities sa mga mobile application.

4) Pang-industriya bangungot

Nakakuha ang Siemens sa buwan na ito kung ano ang nais na tumugon sa isang Ang real-world SCADA (pangangasiwa ng kontrol at pagkuha ng data) na pag-atake, kapag ang isang tao ay naglabas ng isang sopistikadong uod na umaatake sa mga sistemang pamamahala ng Windows. Subalit sinabi ng mga eksperto ng SCADA na si Siemens ay malaswa lamang, at ang ganitong uri ng pag-atake ay madaling nakuha ang anumang kakumpitensya ng kumpanya. Sa katunayan, maraming mga isyu sa seguridad na nakakaapekto sa mga sistema ng pang-industriyang kontrol - napakaraming nakakakuha ng kanilang sariling track sa Black hat ngayong taon.

Sa nakaraang 10 taon, si Jonathan Pollet, ang tagapagtatag ng Red Tiger Security, ay nagpatakbo ng mga pagtatasa ng seguridad sa higit sa 120 mga sistema ng SCADA, at sasabihin niya ang tungkol sa kung saan ang mga kahinaan sa seguridad ay malamang na mag-crop up. Sinasabi ng pollet na maraming mga network ang bumuo ng isang uri ng lupain ng walang tao sa pagitan ng mga IT at pang-industriya na sistema - mga computer na kadalasang nanganganib dahil walang sinuman ang tila kumukuha ng kumpletong pagmamay-ari sa kanila.

Pollet ay magsasabi kung saan lumilitaw ang mga bug sa ang imprastraktura - ang kanyang kumpanya ay nakolekta ang data sa 38,000 kahinaan - at ang mga uri ng pagsasamantala na isinulat para sa kanila. "Hindi mo kailangang maghintay para sa mga zero-day na kahinaan," sabi niya. "Mayroong maraming mga nananamantala doon."

5) Wildcard!

Makakaapekto ba ang Zero for Owned group, na nag-hack sa Dan Kaminsky at iba pa sa gabi ng show return sa nakaraang linggo? Babaguhin ba ng mga fed o AT & T si Paget mula sa panggugulo sa GSM? Makakaapekto ba ang isang irate ATM vendor ng isang huling-minutong legal na hamon sa talk ni Barnaby Jack? Makakaapekto ba ang contest ng Social Engineering ng Defcon sa isang tao sa industriya ng serbisyo sa pananalapi upang humampas ng gasket? Makakaapekto ba ang isang kawan ng mga bubuyog infest ang pool sa Riviera? Sino ang nakakaalam, ngunit sa Vegas, inaasahan ang hindi inaasahang.

Robert McMillan ay sumasaklaw sa seguridad ng computer at pangkalahatang teknolohiya ng breaking balita para sa Ang IDG News Service. Sundin si Robert sa Twitter sa @bobmcmillan. Ang e-mail address ni Robert ay [email protected]