« Wie man iOS Videos auf deinem HDTV anschaut | Main | Mo 'Probleme: Apple Pay ist DOA »
Samstag, Juli 01, 2017
Was bei Black Hat und Defcon zu sehen ist
Der Versuch, die großen Neuigkeiten in dieser Woche Black Hat und Defcon Konferenzen vorherzusagen ist extrem schwierig, wenn nicht unmöglich. In der Regel die interessantesten Geschichten Pop-up in der letzten Minute-Hacker neigen dazu, auf die Offenlegung der wirklich großen Gespräche zu halten, weil sie nicht wollen, dass jittery Anwälte, um sie zu schließen. Und selbst wenn Sie denken, dass Sie wissen, was los ist, manchmal eines der Schauspiele, um im Mittelpunkt zu stehen, wie Defcon vor drei Jahren war, als Dateline NBC- Reporter Michelle Madigan aus der Konferenz herauskam, um zu versuchen, heimlich Film-Show-Teilnehmer zu sehen.
Black Hat, die mehr Corporate Event, und seine unbändige Schwester Konferenz, Defcon, werden nacheinander in jedem Jahr in Las Vegas gehalten. Die diesjährige Black Hat Konferenz findet am Mittwoch und Donnerstag statt. Defcon läuft Freitag bis Sonntag.
Also erwarte ein paar Chaos in dieser Woche in Las Vegas. Erwarten Sie einige Überraschungen. Wenn Sie teilnehmen, erwarten Sie einen Kater. Aber achten Sie auch auf einige interessante Sicherheitsgeschichten zu diesen Themen:
Schlagen Sie den ATM Jackpot
Das diesjährig am meisten erwartete Gespräch kommt von Barnaby Jack, früher von Juniper Networks. Jack hat in den vergangenen Jahren mit Geldautomaten (Geldautomaten) herumgefahren und ist bereit, über einige der Bugs zu sprechen, die er in den Produkten gefunden hat. Wir wissen noch nicht, wessen ATMs anfällig sind - oder auch wenn die Hersteller offen gelegt werden - aber Geldautomaten sind ein Grünfeld für Schwachstellenforscher.
Black Hat-Konferenzdirektor Jeff Moss sagt, dass die Arbeit an ATM-Bugs an die Voting-Maschinenforschung erinnert, die vor ein paar Jahren herauskam - was ernste Sicherheitslücken in den Systemen zeigte und viele Regierungsbehörden dazu veranlasste, die Art und Weise zu überdenken, wie sie e- Wählen.
Jacks Rede ist umstritten. Juniper zog es in der letzten Minute vor der letztjährigen Black Hat-Konferenz auf Anfrage von ATM-Machern. Aber jetzt arbeitet für ein neues Unternehmen, IOActive, Jack plant, mehrere neue Wege der Angriffs-ATMs, einschließlich Remote-Attacken zu zeigen. Er wird auch zeigen, was er ein "Multi-Plattform-ATM-Rootkit" nennt, nach einer Beschreibung seines Vortrags.
"Ich habe die Szene in" Terminator 2 "immer gemocht, wo John Connor zu einem Geldautomaten hinaufgeht, seinen Atari zum Kartenleser verbindet und Bargeld von der Maschine abruft. Ich glaube, ich habe das Kind geschlagen ", schreibt Jack in seiner Zusammenfassung.
DNS
Vor zwei Jahren machte Dan Kaminsky Schlagzeilen weltweit, indem er einen Fehler im DNS (Domain Name System) enthielt, der verwendet wurde, um die Adressen von Computern im Internet zu durchsuchen. In diesem Jahr spricht Kaminsky wieder bei Black Hat - diesmal auf Web Security Tools. Aber er wurde auch geklopft, um an einer Pressekonferenz teilzunehmen, wo er und Vertreter von ICANN (Internet Corporation für zugeordnete Namen und Zahlen) und VeriSign die Domain Name System Security Extensions (DNSSEC) besprechen werden - eine neue Art, DNS zu machen, Vertrauen, dass Computer mit dem Internet verbunden sind, was sie tatsächlich behaupten zu sein.
Vor etwa zwei Wochen hat ICANN die erste kryptografische Signatur eines Root-Servers mit einem DNSSEC-Schlüssel geleitet. DNSSEC ist noch nicht weit verbreitet, aber ICANN hofft, dass durch die Unterzeichnung einer Root-Zone wird es andere anspornen, das Protokoll in ihrer Server- und Client-Software zu unterstützen.
Forscher wie Kaminsky sagen, dass weit verbreitete Annahme von DNSSEC könnte eine ganze Reihe von Online-Angriffe zu bremsen. "Wir haben untersucht, wie DNSSEC nicht nur DNS-Schwachstellen ansprechen wird, sondern einige der zentralen Schwachstellen, die wir in Sicherheit haben", sagte Kaminsky in einem Interview. "Wir werden nicht all diese Probleme mit DNSSEC lösen ... aber es gibt eine ganze Klasse von Authentifizierungs-Schwachstellen, die DNSSEC adressiert."
Mobile Bugs
Entfessle die Kraken! Das ist genau das, was GSM-Sicherheitsforscher in diesem Jahr bei Black Hat machen werden, was letztlich zu Kopfschmerzen für US- und europäische Mobilfunkbetreiber werden könnte. Kraken ist Open-Source- GSM-Crack-Software , die gerade abgeschlossen ist. Kombiniert mit einigen hoch optimierten Regenbogen-Tischen (Listen von Codes, die dazu beitragen, den Verschlüsselungsprozess zu beschleunigen), gibt es Hackern eine Möglichkeit, GSM-Anrufe und Nachrichten zu entschlüsseln.
Was Kraken nicht macht, zieht die Anrufe aus der Luft. Aber es gibt noch ein GSM-Sniffing-Projekt namens AirProbe - das schaut, um das zu verwirklichen. Die Forscher, die an diesen Werkzeugen arbeiten, sagen, dass sie regelmäßige Benutzer zeigen wollen, was Spione und Sicherheits-Geeks seit langem wissen: dass der A5 / 1-Verschlüsselungsalgorithmus, der von Trägern wie T-Mobile und AT & T verwendet wird, schwach ist und leicht sein kann gebrochen.
Aber warum brechen GSM-Verschlüsselung, wenn Sie können einfach Tricks Telefone in Verbindung mit einer gefälschten basestation und dann verschlüsseln verschieben? Das ist genau das, was Chris Paget plant, in dieser Woche in Las Vegas zu gehen, wo er sagt, er lädt die Konferenzteilnehmer ein, ihre Anrufe abzufangen. Sollte eine lustige Demo sein, wenn es legal ist. Paget denkt, das ist es. Er hat auch entwickelt, was er den "Weltrekord" zum Lesen von RFID-Tags in einer Entfernung von Hunderten von Metern nennt - was er bei einem Black Hat-Gespräch besprechen wird.
Ein weiterer Forscher, der nur als The Grugq bekannt ist, wird über den Aufbau bösartiger GSM-Netzwerk-Basisstationen und Komponenten auf mobilen Geräten sprechen. "Vertrauen Sie uns, Sie wollen Ihr Telefon für die Dauer dieses Vortrages ausschalten", sagt die Rede des Vortrags .
Und in einer Woche, die mit der Aufnahme von Citibank abgestoßen wurde, dass es die Sicherheit auf der iPhone- App verwechselt hatte, wird ein weiterer Vortrag zum Lookout Security "App Atttack" sein, der die Unsicherheit in mobilen Anwendungen beleuchten wird.
Industrieller Albtraum
Siemens hat in diesem Monat einen Geschmack gemacht, wie es ist, auf einen echten SCADA-Angriff zu reagieren , wenn jemand einen anspruchsvollen Wurm, der seine Windows-basierten Managementsysteme angreift, entfesselt hat. Aber SCADA-Experten sagen, dass Siemens gerade Pech hatte, und dass diese Art von Angriff auch leicht von den Konkurrenten des Unternehmens abgenommen haben könnte. In der Tat gibt es viele Sicherheitsprobleme, die industrielle Steuerungssysteme plagen - so viele, dass sie ihren eigenen Track bei Black Hut in diesem Jahr bekommen.
In den vergangenen 10 Jahren hat Jonathan Pollet, der Gründer von Red Tiger Security, Sicherheitsüberprüfungen auf über 120 SCADA-Systemen durchgeführt, und er wird darüber reden, wo Sicherheitslücken am ehesten auftauchen. Pollet sagt, dass viele Netzwerke eine Art von Niemandsland zwischen IT und industriellen Systemen entwickelt haben - Computer, die oft gefährdet sind, weil niemand wirklich das Eigentum an ihnen zu nehmen scheint.
Pollet wird darüber reden, wo diese Bugs in der Infrastruktur auftauchen - sein Unternehmen hat Daten über 38.000 Schwachstellen gesammelt - und die Arten von Exploits, die für sie geschrieben wurden. "Du musst nicht auf Zero-Day-Schwachstellen warten", sagte er. "Es gibt schon viele Heldentaten da draußen."
Wildcard
Wird die Zero für Owned Gruppe, die Dan Kaminsky und andere am Vorabend der letzten Woche Show zurück gehackt ? Werden die FEDs oder AT & T auf Paget von messing mit GSM? Wird ein wütender ATM-Verkäufer eine letzte Minute der offiziellen Herausforderung für Barnaby Jacks Rede starten? Werde Defcon's Social Engineering Contest jemanden in der Finanzdienstleistungsbranche dazu veranlassen, eine Dichtung zu blasen? Wird ein Bienenschwarm den Pool an der Riviera befallen? Wer weiß, aber in Vegas, erwarte das Unerwartete.
[ Robert McMillan umfasst Computer-Sicherheit und allgemeine Technologie brechen Nachrichten für die IDG News Service. ]
Um diesen Artikel und andere Macworld-Inhalte zu kommentieren, besuchen Sie unsere Facebook- Seite oder unseren Twitter- Feed.
Bitte sehen Rolex Milgauss oder uhren fake