สิ่งที่ควรระวังที่ Black Hat และ Defcon

การพยายามคาดการณ์ข่าวใหญ่ในงาน Black Hat และ Defcon ในสัปดาห์นี้เป็นเรื่องที่ยุ่งยากมากหากไม่เป็นไปไม่ได้ โดยปกติเรื่องราวที่น่าสนใจที่สุดจะปรากฏขึ้นในนาทีสุดท้าย - แฮกเกอร์มีแนวโน้มที่จะระงับการเปิดเผยการสนทนาที่ยิ่งใหญ่มาก ๆ เพราะพวกเขาไม่ต้องการให้ทนายความที่กระวนกระวายใจจะปิดตัวลง บางครั้งการแสดงหนึ่งก้าวไปข้างหน้าเพื่อใช้เวทีกลางเช่นเดียวกับ Defcon เมื่อสามปีที่แล้วเมื่อ Dateline NBC ผู้สื่อข่าว Michelle Madigan ถูกเรียกใช้งานออกจากการประชุมเพื่อพยายามแอบเข้าร่วมการแสดงภาพยนตร์

Black Hat กิจกรรมขององค์กรมากขึ้นและการประชุมน้องสาวที่ดื้อด้าน Defcon จัดขึ้นทุกๆปีที่ Las Vegas การประชุม Black Hat ปีนี้เป็นวันพุธและพฤหัสบดี Defcon ทำงานวันศุกร์ถึงวันอาทิตย์

ดังนั้นคาดว่าจะมีความสับสนวุ่นวายในสัปดาห์นี้ที่ลาสเวกัส คาดว่าน่าประหลาดใจบางอย่าง หากคุณกำลังเข้าร่วมคาดหวังว่าอาการเมาค้าง แต่ยังมองหาเรื่องราวความปลอดภัยที่น่าสนใจในหัวข้อต่อไปนี้

[อ่านเพิ่มเติม: วิธีลบมัลแวร์ออกจากเครื่องพีซีที่ใช้ Windows ของคุณ]

1) กดปุ่ม Jackpot ATM

การพูดคุยที่คาดมากที่สุดในปีนี้มาจาก Barnaby Jack ซึ่งเคยเป็น Juniper Networks แจ็คเคยชินกับเครื่องเอทีเอ็ม (เครื่องเบิกเงินสดอัตโนมัติ) มาหลายปีที่ผ่านมาและพร้อมที่จะพูดถึงข้อบกพร่องบางอย่างที่พบในผลิตภัณฑ์ เรายังไม่ทราบว่าตู้เอทีเอ็มของคุณอ่อนแอหรือแม้แต่ผู้ผลิตจะได้รับการเปิดเผย แต่เอทีเอ็มเป็นช่องสีเขียวสำหรับนักวิจัยที่มีช่องโหว่

ผู้อำนวยการประชุม Black Hat Jeff Moss กล่าวว่างานเกี่ยวกับข้อบกพร่องของเอทีเอ็มเป็นที่ระลึกถึง งานวิจัยด้านการลงคะแนนเสียงซึ่งออกมาเมื่อไม่กี่ปีก่อนซึ่งแสดงให้เห็นถึงความเสี่ยงด้านความปลอดภัยอย่างร้ายแรงในระบบและทำให้หน่วยงานรัฐบาลหลายแห่งหันมาคิดทบทวนวิธีการที่พวกเขากลิ้งออกการโหวตแบบอิเล็กทรอนิกส์

การพูดคุยของแจ็คเป็นเรื่องที่ถกเถียงกันอยู่ Juniper ดึงมันในนาทีสุดท้ายก่อนการประชุม Black Hat ปีที่แล้วตามคำร้องขอของผู้ผลิตเครื่องเอทีเอ็ม แต่ตอนนี้กำลังทำงานให้กับ บริษัท ใหม่ IOActive แจ็ควางแผนที่จะแสดงวิธีการใหม่ ๆ ในการโจมตีเครื่องเอทีเอ็มซึ่งรวมถึงการโจมตีระยะไกล เขายังจะเปิดเผยสิ่งที่เขาเรียกว่า "multi-platform ATM rootkit" ตามคำอธิบายของการพูดคุยของเขา

"ฉันชอบฉากใน 'Terminator 2' ที่ John Connor เดินขึ้นไปยังเครื่องเอทีเอ็ม Atari ไปอ่านการ์ดและดึงเงินจากเครื่องฉันคิดว่าฉันมีเด็กตี "แจ็คเขียนในนามธรรมของเขา

2) DNS

สองปีที่ผ่านมาแดน Kaminsky ทำหัวทั่วโลกโดยการเปิดโปง ข้อบกพร่องใน DNS (Domain Name System) ใช้เพื่อค้นหาที่อยู่ของคอมพิวเตอร์บนอินเทอร์เน็ต ในปีนี้ Kaminsky กำลังพูดอีกครั้งที่ Black Hat ซึ่งเป็นเครื่องมือรักษาความปลอดภัยบนเว็บ แต่เขาก็ถูกทาบทามเพื่อเข้าร่วมในงานแถลงข่าวซึ่งเขาและตัวแทนจาก ICANN (Internet Corporation for Assigned Names and Numbers) และ VeriSign จะหารือเกี่ยวกับ Domain Extension (DNSSEC) ซึ่งเป็นวิธีใหม่ในการทำ DNS ที่มีระดับ เชื่อมั่นว่าคอมพิวเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ตเป็นสิ่งที่พวกเขาอ้างว่าเป็นจริง

ประมาณสองสัปดาห์ที่ผ่านมา ICANN เป็นประธานในการลงนามในการเข้ารหัสลับครั้งแรกของเซิร์ฟเวอร์หลักที่มีคีย์ DNSSEC DNSSEC ยังไม่ได้รับการสนับสนุนอย่างกว้างขวาง แต่ ICANN หวังว่าการลงนามในโซนรากจะกระตุ้นให้ผู้อื่นสนับสนุนโปรโตคอลในเซิร์ฟเวอร์และซอฟต์แวร์ไคลเอ็นต์

นักวิจัยเช่น Kaminsky กล่าวว่าการยอมรับอย่างกว้างขวางของ DNSSEC สามารถยั้งทั้งกลุ่มได้ ของการโจมตีออนไลน์ "เรากำลังมองหาวิธีที่ DNSSEC จะแก้ไขช่องโหว่ของ DNS ไม่เพียง แต่ช่องโหว่หลักบางส่วนที่เรามีในด้านความปลอดภัย" Kaminsky กล่าวในการสัมภาษณ์ "เราจะไม่แก้ปัญหาเหล่านี้ทั้งหมดด้วย DNSSEC … แต่มีช่องโหว่ด้านการตรวจสอบสิทธิ์ทั้งหมดที่ DNSSEC กำหนดไว้"

3) ข้อบกพร่องบนมือถือ

ปลดปล่อย Kraken! นี่เป็นสิ่งที่นักวิจัยด้านความปลอดภัยของ GSM กำลังดำเนินการอยู่ที่ Black Hat ในปีนี้ซึ่งอาจเป็นสาเหตุสำคัญสำหรับผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่ในสหรัฐฯและยุโรป Kraken เป็นซอฟต์แวร์โอเพ่นซอร์สของ GSM ที่เพิ่งเสร็จสิ้น จะช่วยให้แฮกเกอร์สามารถถอดรหัสการโทรและข้อความ GSM ได้

สิ่งที่ Kraken ไม่ได้ทำคือดึงสายเรียกเข้าออกจากเครื่อง อากาศ แต่มีโครงการดัดแปลง GSM อีกโครงการหนึ่งคือ AirProbe ซึ่งกำลังมองหาเพื่อสร้างความเป็นจริง นักวิจัยที่ทำงานเกี่ยวกับเครื่องมือเหล่านี้กล่าวว่าพวกเขาต้องการที่จะแสดงให้ผู้ใช้ทั่วไปทราบว่าผู้สอดแนมและผู้เชี่ยวชาญด้านความปลอดภัยรู้มานานแล้วว่าอัลกอริทึมการเข้ารหัส A5 / 1 ที่ใช้โดยผู้ให้บริการเช่น T-Mobile และ AT & T อ่อนแอและสามารถทำได้อย่างง่ายดาย หัก

แต่ทำไมแบ่งการเข้ารหัส GSM เมื่อคุณสามารถหลอกลวงโทรศัพท์ลงในการเชื่อมต่อกับฐานข้อมูลปลอมแล้วปล่อยการเข้ารหัส? นั่นเป็นเพียงสิ่งที่คริสพาเก็ทวางแผนที่จะสาธิตในลาสเวกัสในสัปดาห์นี้ซึ่งเขากล่าวว่าเขาจะเชิญผู้เข้าร่วมการประชุมเข้ารับการขัดขวาง ควรเป็นตัวอย่างสนุก ๆ ถ้าเป็นไปตามกฎหมาย Paget คิดว่ามันเป็น เขายังได้พัฒนาสิ่งที่เขาเรียกว่า "world record" สำหรับการอ่านแท็ก RFID ในระยะทางไกลหลายร้อยเมตรซึ่งเขาจะคุยกันที่ Black Hat talk

นักวิจัยอีกคนหนึ่งที่รู้จักกันในชื่อ The Grugq, จะพูดเกี่ยวกับการสร้างสถานีฐานเครือข่าย GSM ที่เป็นอันตรายและส่วนประกอบบนโทรศัพท์มือถือ "เชื่อใจเราคุณจะต้องการปิดโทรศัพท์ตลอดช่วงเวลาของการพูดคุยนี้" คำอธิบายของการพูดอ่าน

และในสัปดาห์ที่ถูกเตะออกไปพร้อมกับการยอมรับของธนาคารซิตี้แบงก์ว่ามันทำให้เกิดความสับสนในเรื่องนี้ แอพพลิเคชัน iPhone "Talk Atttack" ซึ่งจะหลั่งไหลเข้าสู่ความไม่ปลอดภัยในแอพพลิเคชันบนมือถือ

4) ฝันร้ายทางอุตสาหกรรม

ซีเมนส์มีรสชาติในเดือนนี้ว่าอะไรที่ตอบสนองต่อ (SCADA) ในโลกแห่งความเป็นจริง (real-world) (SCADA) เมื่อมีผู้บุกรุกเข้าไปในระบบการจัดการที่ใช้ระบบปฏิบัติการวินโดวส์ แต่ผู้เชี่ยวชาญของ SCADA กล่าวว่าซีเมนส์โชคร้ายเพียงอย่างเดียวและการโจมตีประเภทนี้อาจทำให้คู่แข่งของ บริษัท เสียไปได้อย่างง่ายดาย ในความเป็นจริงมีปัญหาด้านความปลอดภัยมากมายที่ทำให้ระบบการควบคุมภาคอุตสาหกรรมเกิดปัญหา - จำนวนมากที่พวกเขากำลังติดตามตัวเองที่หมวกดำในปีนี้

ในช่วง 10 ปีที่ผ่านมา Jonathan Pollet ผู้ก่อตั้ง Red Tiger Security, ได้ดำเนินการประเมินความปลอดภัยในระบบ SCADA กว่า 120 ระบบและเขาจะพูดถึงช่องโหว่ด้านความปลอดภัยที่น่าจะเกิดขึ้น Pollet กล่าวว่าเครือข่ายหลายแห่งได้พัฒนาพื้นที่ชายแดนระหว่างระบบไอทีกับระบบอุตสาหกรรมซึ่งเป็นคอมพิวเตอร์ที่มักมีความเสี่ยงเนื่องจากไม่มีใครจริงๆดูเหมือนจะเป็นเจ้าของกรรมสิทธิ์ของพวกเขาอย่างสมบูรณ์ Polar จะพูดถึงข้อบกพร่องเหล่านี้ที่แสดงขึ้นมา โครงสร้างพื้นฐาน - บริษัท ของเขาได้รวบรวมข้อมูลเกี่ยวกับ 38,000 ช่องโหว่ - และประเภทของการหาประโยชน์ที่ได้รับการเขียนขึ้นสำหรับพวกเขา "คุณไม่ต้องรอให้ช่องโหว่ zero-day" เขากล่าว "มีอยู่แล้วการหาประโยชน์จำนวนมากออกไปที่นั่น"

5) Wildcard!

กลุ่ม Zero for Owned ที่เจาะ Dan Kaminsky และคนอื่น ๆ ในวันส่งคืนเมื่อสัปดาห์ที่แล้วหรือไม่? feds หรือ AT & T หยุด Paget จาก messing กับ GSM? ผู้ขายเครื่องเอทีเอ็มที่น่ารังเกียจจะเปิดตัวความท้าทายทางกฎหมายในนาทีสุดท้ายกับการพูดคุยของ Barnaby Jack หรือไม่? การประกวดวิศวกรรมทางสังคมของ Defcon จะทำให้คนในอุตสาหกรรมบริการทางการเงินพังปะเก็นหรือไม่? ฝูงผึ้งจะรบกวนสระน้ำที่ริเวียร่าหรือไม่? ใครจะรู้ได้บ้าง แต่ในสเวกัสคาดว่าจะไม่คาดฝัน

โรเบิร์ตแมคมิลแลนครอบคลุมความปลอดภัยของคอมพิวเตอร์และข่าวเทคโนโลยีทั่วไปสำหรับข่าวบริการ IDG News ติดตาม Robert ที่ Twitter ที่ @obobcmillan ที่อยู่อีเมลของ Robert คือ [email protected]