Black Hat和Defcon黑客大會的五大看點
原創【51CTO.com 7月29日外電頭條】要預測本周舉行的兩大頂級黑客大會Black Hat和Defcon會出現什么重大新聞可不容易,因為最刺激的一幕往往發生在最后一刻,Black Hat和Defcon每年都會在賭城拉斯維加斯舉辦一次,前后不過相差一兩天時間,因此人們稱之為姊妹會議,今年的Black Hat會議定于周三和周四,Defcon大會定于周五和周六舉行。縱觀今年擬定的演講主題,今年的兩會將主要有以下五大看點。
1、終結者2現實版,讓ATM自動吐鈔
今年最值得期待的演講會是來自曾在瞻博網絡工作過的Barnaby Jack,Jack過去數年一直從事ATM(自動取款機)安全研究,本次大會他將會精彩呈現他發現的部分漏洞,ATM目前是漏洞研究的綠地。
Black Hat大會主席Jeff Moss說ATM漏洞研究使人想起幾年前的投票機漏洞研究,當時發現了投票系統的嚴重漏洞,迫使許多政府機構重新考慮他們的電子投票方式。
Jack的演講備受爭議,大會收到了多家ATM廠商的嚴正警告,在去年的Black Hat大會,直到最后一分鐘瞻博才決定讓Jack上,今年情況不同了,Jack已經離開瞻博到了IOActive,他打算在今年的大會上展示幾種新型ATM攻擊方法,包括遠程攻擊,根據大會主辦方的活動說明,Jack還會透露所謂的“跨平臺ATM Rootkit”。
Jack在他的摘要中寫道:“我喜歡終結者2中的場景,John Connor走到ATM前,將他的Atari連接到讀卡器,然后ATM就自動吐出現金,我已經讓它變成了現實”。
(譯者亂評:這和前不久前在國內出現的山寨ATM機完全不是一回事,Jack可以讓任何一家銀行的真實ATM自動吐錢,技術含量誰高誰低?)
2、DNSSEC是否能保DNS萬無一失?
兩年前,Dan Kaminsky揭露了讓世人震驚的DNS漏洞,Kaminsky今年會繼續出現在Black Hat大會上,但這次的演講主題變成了Web安全工具,他也將參加一場記者招待會,將和來自ICANN和VeriSign的代表討論DNS安全擴展(DNSSEC)。
大約兩周前,ICANN才將互聯網12臺DNS根服務器完成DNSSEC的部署,目前DNSSEC還沒有得到廣泛支持,ICANN希望通過自己的實踐,推動這一技術的普及。
Kaminsky表示普及DNSSEC將有效遏制網絡攻擊,他說:“我們正在研究如何讓DNSSEC不僅可以解決DNS漏洞,還要讓它解決一些核心漏洞,當然,DNSSEC不能解決所有問題,但它解決了身份驗證相關的全部漏洞”。
(譯者亂評:DNSSEC能杜絕DNS污染嗎?Google加密搜索何時能才能用上!)
3、移動bug,普通人也能玩竊聽
GSM安全研究人員今年將出現在Black Hat的演講臺上,這可能是美國和歐洲移動網絡運營商最不想看到的,Kraken是剛剛放出的開源GSM破解軟件,結合高度優化的彩虹表(rainbow table),讓解密GSM通話和短消息成為一件易事。
Kraken所做的就是監聽空氣中的通話,另外還有一個GSM嗅探項目 – AirProbe,使用這些工具的研究人員說他們現在想將這些技術展現給普通人,而對于那些間諜和安全愛好者早已不是什么秘密了,A5/1加密算法現在可以輕松破解,而T-Mobile,AT&T等運營商的GSM網絡正是使用了這個加密算法。
Chris Paget將做這方面的主題演講,他將會在大會上現場演示攔截聽眾的通話(當然得到邀請的聽眾是很幸運的,但回家后可能也會捉摸是否要將手機扔進垃圾桶),如果合法的話,這將是一個有趣的演示,Paget還開發出了他稱作“世界紀錄”的RFID標簽閱讀器,可以在幾百米遠讀取到RFID標簽信息,在本次Black Hat上他也會就此做一些討論。
另一位研究人員Grugq將會演講如何構建惡意GSM網絡基站和移動設備上的組件,他的演講主題描述寫道:“相信我們,在演講期間你會有關掉手機的想法”。
另一個值得關注的演講與移動應用程序攻擊有關,隨著智能手機的普及,移動應用安全問題也擺在了世人的面前,不要存在僥幸心理,聽了該主題演講的人一定會謹慎使用移動應用程序的。
(譯者亂評:以后打電話小聲點,是不是別人就竊聽不到了?重要事情還是當面談比較穩妥啊!)
4、除了IT可以Hack,工業領域也可以
西門子本月首次嘗到了SCADA(supervisory control and data acquisition)被攻擊的滋味,其基于Windows的管理系統受到了詭異的蠕蟲攻擊,但也有SCADA安全專家認為是西門子的運氣不好,因為這種攻擊可以輕易拿下任何競爭對手的產品,事實上,很多工業控制系統都存在大量的安全問題。
在過去的10年里,紅虎(Red Tiger)安全公司創始人Jonathan Pollet已經在超過120個SCADA系統上執行了安全評估,他將在演講中指出哪些地方是最容易出現安全漏洞的。紅虎已經收集了38000個漏洞數據,并且編寫了針對這些漏洞的攻擊代碼,Pollet說:“你不必等待零日漏洞,現在已經有很多漏洞在那里擺著”。
(譯者亂評:神啊,給我一串代碼吧,我家的電表讀數老是居高不下呀!)
5、或許會有意外,充滿壓力的黑客大會
在上周黑掉了Kevin Mitnick和Dan Kaminsky等其他黑客的Zero for Owned小組會回到Black Hat嗎?AT&T會阻止Paget關于GSM漏洞的演講嗎?憤怒的ATM廠商會在最后一分鐘用法律手段阻止Barnaby Jack的演講嗎?Defcon的社會工程競賽會讓金融服務行業的人抓狂嗎?誰說得清呢,因為拉斯維加斯總是一個充滿意外的地方。
(譯者亂評:看來每個行業都有很大的鴨梨啊,希望這一屆兩會不會放我們鴿子!)
【編輯推薦】
