सम्मेलन में प्रकट होने वाली इंटरनेट-व्यापी समस्या

अगले सप्ताह के आयोजकों ब्लैक हैट यूरोप सम्मेलन एक सुरक्षा प्रस्तुति का वादा कर रहा है जो इंटरनेट का उपयोग करने वाले किसी भी व्यक्ति को प्रभावित कर सकता है, लेकिन अभी तक कोई विवरण जारी नहीं किया गया है।

वे कहते हैं कि 16 अप्रैल को होने वाली प्रस्तुति सुरक्षा के रूप में महत्वपूर्ण होगी पिछले जुलाई में ब्लैक हैट के सम्मेलन में शोधकर्ता दान कामिंस्की ने DNS (डोमेन नेम सिस्टम) में व्यापक रूप से त्रुटिपूर्णता के बारे में बताया।

कामिंस्की के शोध ने एक खतरनाक हमले के लिए कमजोर DNS सर्वरों को पैच करने के लिए बड़े पैमाने पर, उद्योग-व्यापी प्रयास को प्रेरित किया जो वेब सर्फर को पुनर्निर्देशित कर सकता था धोखाधड़ी वाली वेबसाइटों के लिए भले ही यूआरएल (यूनिफ़ॉर्म रिसोर्स लोकेटर) को अन्य हमले परिदृश्यों के बीच सही ढंग से टाइप किया गया हो।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

ब्लैक हैट का यूरोप सम्मेलन, एम्स्टरड में मैं, ऐप्पल के ओएस एक्स ऑपरेटिंग सिस्टम, ओपनऑफिस.org उत्पादकता सूट और एसएपी सॉफ्टवेयर में सुरक्षा समस्याओं पर अत्याधुनिक प्रस्तुतियां भी पेश करूंगा। इसके अलावा, सुरक्षा पेशेवरों के लिए 12 औजारों के साथ छह नई भेद्यताएं प्रकट की जाएंगी।

कुछ प्रस्तुतियों का विवरण ब्लैक हैट की वेबसाइट पर कुछ प्रस्तुतकर्ताओं के साथ हालिया ऑडियो साक्षात्कार के साथ उपलब्ध है।

यहां एक पूर्वावलोकन है कुछ प्रस्तुतियों में से:

- मेटाडेटा का उपयोग कर सामरिक फिंगरप्रिंटिंग: चेमा एलोनसो और एनरिक रांडो दिखाएंगे कि किसी वेबसाइट पर दस्तावेज़ों का विश्लेषण करके कंपनी के आंतरिक नेटवर्क के बारे में बहुत सारी जानकारी एकत्र करना संभव है। आंतरिक संरचना नाम, प्रिंटर और फ़ोल्डरों के साथ नेटवर्क संरचना, मिलान आईपी (इंटरनेट प्रोटोकॉल) पते को समझना संभव है। एलोनसो और रांडो दोनों कंप्यूटर इंजीनियरों हैं।

- फ़्रेंच आर्मी सिग्नल अकादमी में प्रमुख वैज्ञानिक एरिक फिलीओल का तर्क है कि ओपनऑफिस.org, ओपन-सोर्स ऑफिस उत्पादकता सूट, ने अपनी सुरक्षा को अप-टू- तारीख। माइक्रोसॉफ्ट के ऑफिस सूट के मुकाबले दुर्भावनापूर्ण OpenOffice.org दस्तावेज़ों को विकसित करना कहीं अधिक आसान है, जिसका अक्सर दुरुपयोग होता है। फिलीओल का कहना है कि ओपनऑफिस.org के साथ वैचारिक कमजोरियां हैं और इसे फिर से डिजाइन किया जाना चाहिए।

- तो आप एक ऐप्पल कंप्यूटर पर एक कीलॉगर रखना चाहते हैं लेकिन ट्रेस छोड़ना नहीं चाहते हैं? चार्ली मिलर और विन्सेंज़ो इज़ोजो एक प्रेजेंटेशन देंगे जो दिखाता है कि, एक बार मशीन का शोषण करने के बाद, अन्य कोड को मशीन पर न्यूनतम ट्रेस के साथ रखा जा सकता है। Iozzo ने ब्लैक हैट ऑडियो पूर्वावलोकन में कहा, "आपको कर्नेल को अपनी बाइनरी निष्पादित करने के लिए कॉल करने की आवश्यकता नहीं है।" "आप फोरेंसिक जांच के लिए कम निशान छोड़ देते हैं और यदि आप एक हमलावर हैं, तो यह एक बहुत अच्छी बात है।"

वे आईफोन को भी कवर करेंगे, जो ओएस एक्स मिलर के एक संशोधित संस्करण को चलाता है, जिन्होंने हाल ही में CanSecWest के PWN2OWN जीते मैक हैकिंग के लिए प्रतियोगिता, स्वतंत्र सुरक्षा मूल्यांकनकर्ताओं का एक प्रमुख विश्लेषक है। Iozzo Politecnico di Milano में एक छात्र है।

- एसएपी सिस्टम उनकी जटिलता के कारण समस्या निवारण के लिए कठिन हैं। सीवाईबीएसईसी के वरिष्ठ सुरक्षा शोधकर्ता मारियानो नुनेज़ डि क्रॉस, दिखाएंगे कि एसएपी प्रवेश परीक्षा कैसे करें, साथ ही साथ ओपन-सोर्स एसएपी प्रवेश परीक्षण ढांचे के सैपीटो का नवीनतम संस्करण दिखाएं। वह SAProuter को सुरक्षित करने के तरीकों पर भी सुझाव देंगे, जो प्रत्येक एसएपी कार्यान्वयन का एक घटक है जो सही तरीके से कॉन्फ़िगर नहीं होने पर सुरक्षा जोखिम उत्पन्न कर सकता है।

- इंटरनेट के नीचे आने वाले कुछ प्रोटोकॉल में त्रुटियां उत्पन्न हो सकती हैं जो डिज़ाइन कर सकती हैं एक हमलावर द्वारा शोषित किया जाना चाहिए। सौभाग्य से, प्रोटोकॉल का उपयोग करने वाले अधिकांश सिस्टम इंटरनेट का सामना नहीं कर रहे हैं और उन वाहकों और ऑपरेटरों द्वारा सुरक्षित हैं जो उनका उपयोग करते हैं। लेकिन अगर किसी को वाहक के नेटवर्क तक पहुंच मिलती है, तो शोधकर्ता एननो रे और डैनियल मेंडे के अनुसार हमले विनाशकारी हो सकते हैं। उनकी बात बीजीपी (सीमा गेटवे प्रोटोकॉल) और एमपीएलएस (मल्टी-प्रोटोकॉल लेबल स्विचिंग) को संबोधित करेगी।

ब्लैक हैट यूरोप मंगलवार, 14 अप्रैल, और बुधवार, 15 अप्रैल को प्रशिक्षण सत्र आयोजित करेगा, इसके बाद दो दिनों के ब्रीफिंग होंगे।