ब्लैक हैट और डेफकॉन पर क्या देखना है

इस हफ्ते के ब्लैक हैट और डेफकॉन सम्मेलनों में बड़ी खबरों की भविष्यवाणी करने की कोशिश करना बेहद मुश्किल है, अगर असंभव नहीं है। आम तौर पर सबसे दिलचस्प कहानियां आखिरी मिनट में खुलती हैं - हैकर्स वास्तव में बड़ी वार्ता का खुलासा करने के लिए रोकते हैं क्योंकि वे नहीं चाहते कि झटकेदार वकीलों उन्हें बंद कर दें। और यहां तक ​​कि जब आपको लगता है कि आप क्या जानते हैं, कभी-कभी शो में से एक केंद्र मंच लेने के लिए आगे बढ़ता है, क्योंकि डेफकॉन ने तीन साल पहले किया था जब डेटलाइन एनबीसी रिपोर्टर मिशेल मैडिगन गुप्त रूप से फिल्म शो में भाग लेने की कोशिश करने के लिए सम्मेलन से बाहर हो गया था।

ब्लैक हैट, अधिक कॉरपोरेट इवेंट, और इसकी असुरक्षित बहन सम्मेलन, डेफकॉन, लास वेगास में हर साल दूसरे के बाद आयोजित की जाती है। इस वर्ष का ब्लैक हैट सम्मेलन बुधवार और गुरुवार को है। डेफकॉन शुक्रवार से रविवार तक चलता है।

इसलिए लास वेगास में इस सप्ताह कुछ अराजकता की उम्मीद है। कुछ आश्चर्य की उम्मीद है। यदि आप भाग ले रहे हैं, तो हैंगओवर की उम्मीद करें। लेकिन इन विषयों पर कुछ रोचक सुरक्षा कहानियों को भी देखें:

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

1) एटीएम जैकपॉट को मारना

इस साल की सबसे ज्यादा अनुमानित बात बर्नाबी से आती है जैक, पहले जूनियर नेटवर्क के। जैक पिछले कुछ सालों से एटीएम (स्वचालित टेलर मशीन) के साथ घूम रहा है और उत्पादों में मिली कुछ बग्स के बारे में बात करने के लिए तैयार है। हम अभी तक नहीं जानते कि किसके एटीएम कमजोर हैं - या यहां तक ​​कि यदि निर्माताओं का खुलासा किया जाएगा - लेकिन एटीएम भेद्यता शोधकर्ताओं के लिए एक हरा क्षेत्र है।

ब्लैक हैट कॉन्फ्रेंस डायरेक्टर जेफ मॉस का कहना है कि एटीएम कीड़े पर काम याद दिलाता है मतदान मशीन शोध जो कुछ साल पहले आया था - जिसने सिस्टम में गंभीर सुरक्षा भेद्यताएं दिखायीं और कई सरकारी एजेंसियों ने ई-वोटिंग शुरू करने के तरीके पर पुनर्विचार करने का कारण बना दिया।

जैक की बात विवादास्पद है। जूनियर ने एटीएम निर्माताओं के अनुरोध पर पिछले साल के ब्लैक हैट सम्मेलन से पहले आखिरी मिनट में इसे खींच लिया। लेकिन अब एक नई कंपनी के लिए काम कर रहे, आईओएक्टिव, जैक रिमोट अटैक समेत एटीएम पर हमला करने के कई नए तरीके दिखाने की योजना बना रहा है। वह अपनी बात के विवरण के मुताबिक "मल्टी-प्लेटफॉर्म एटीएम रूटकिट" कहलाएगा।

"मुझे हमेशा टर्मिनर 2 में दृश्य पसंद आया है जहां जॉन कॉनर एटीएम, इंटरफेस तक चलता है कार्ड के पाठक के लिए उनकी अटारी और मशीन से नकदी वापस लेती है। मुझे लगता है कि मुझे उस बच्चे को हराया गया है, "जैक ने अपने सार में लिखा है।

2) DNS

दो साल पहले, दान कामिंस्की ने दुनिया भर में हेडलाइंस बनाया इंटरनेट पर कंप्यूटर के पते को देखने के लिए उपयोग किए जाने वाले DNS (डोमेन नाम सिस्टम) में एक दोष। इस साल, कामिंस्की फिर से ब्लैक हैट पर बात कर रही है - इस बार वेब सुरक्षा उपकरण पर। लेकिन उन्हें एक प्रेस कॉन्फ्रेंस में भाग लेने के लिए भी टैप किया गया है, जहां वह और आईसीएएनएन (असाइन किए गए नामों और संख्याओं के लिए इंटरनेट कॉर्पोरेशन) के प्रतिनिधियों और वेरीसाइन डोमेन नाम सिस्टम सुरक्षा एक्सटेंशन (DNSSEC) पर चर्चा करेंगे - एक स्तर प्रदान करने वाले DNS को करने का एक नया तरीका विश्वास है कि इंटरनेट से जुड़े कंप्यूटर वे वास्तव में होने का दावा करते हैं।

लगभग दो हफ्ते पहले, आईसीएएनएन ने एक DNS सर्वर कुंजी के साथ रूट सर्वर के पहले क्रिप्टोग्राफिक हस्ताक्षर की अध्यक्षता की थी। DNSSEC अभी तक व्यापक रूप से समर्थित नहीं है, लेकिन आईसीएएनएन उम्मीद करता है कि रूट ज़ोन पर हस्ताक्षर करके, यह दूसरों को उनके सर्वर और क्लाइंट सॉफ़्टवेयर में प्रोटोकॉल का समर्थन करने के लिए प्रेरित करेगा।

कामिंस्की जैसे शोधकर्ताओं का कहना है कि DNSSEC का व्यापक गोद लेने से पूरे समूह को रोक दिया जा सकता है। ऑनलाइन हमलों के। कामिंस्की ने एक साक्षात्कार में कहा, "हम देख रहे हैं कि कैसे DNSSEC न केवल DNS भेद्यता को संबोधित करने जा रहा है, बल्कि कुछ मूल भेद्यताएं हमारे पास सुरक्षा में हैं।" "हम DNSSEC के साथ उन सभी समस्याओं को हल नहीं करेंगे … लेकिन प्रमाणीकरण भेद्यता की एक पूरी कक्षा है जो DNSSEC पता करता है।"

3) मोबाइल बग

क्रैकन को उजागर करें! यही जीएसएम सुरक्षा शोधकर्ता इस वर्ष ब्लैक हैट में क्या करने जा रहे हैं, अंत में यू.एस. और यूरोपीय मोबाइल नेटवर्क ऑपरेटरों के लिए एक प्रमुख सिरदर्द बन सकता है। क्राकेन ओपन-सोर्स जीएसएम क्रैकिंग सॉफ्टवेयर है जो अभी पूरा हो चुका है। कुछ अत्यधिक अनुकूलित इंद्रधनुष तालिकाओं (कोड की सूचियां जो एन्क्रिप्शन-ब्रेकिंग प्रक्रिया को तेज़ी से बढ़ाने में मदद करती हैं) के साथ मिलकर, यह हैकर को जीएसएम कॉल और संदेशों को डिक्रिप्ट करने का एक तरीका देता है।

क्रैकन क्या नहीं करता है, कॉल को खींचता है वायु। लेकिन एक और जीएसएम-स्नीफिंग प्रोजेक्ट है - जिसे एयरप्रोब कहा जाता है - जो इसे वास्तविकता बनाने की तलाश में है। इन औजारों पर काम कर रहे शोधकर्ताओं का कहना है कि वे नियमित उपयोगकर्ताओं को दिखाना चाहते हैं कि कौन से जासूस और सुरक्षा geeks लंबे समय से ज्ञात हैं: कि टी-मोबाइल और एटी एंड टी जैसे वाहकों द्वारा उपयोग किया गया ए 5/1 एन्क्रिप्शन एल्गोरिदम कमजोर है, और आसानी से किया जा सकता है टूटा हुआ।

लेकिन जीएसएम एन्क्रिप्शन क्यों तोड़ें जब आप नकली बेसस्टेशन से जुड़ने के लिए फोन को आसानी से ट्रिक कर सकते हैं और फिर एन्क्रिप्शन ड्रॉप कर सकते हैं? क्रिस पेगेट इस हफ्ते लास वेगास में डेमो करने की योजना बना रहा है, जहां वह कहता है कि वह सम्मेलन में भाग लेने वालों को उनकी कॉल को रोकने के लिए आमंत्रित करेगा। यदि यह कानूनी है, तो एक मजेदार डेमो होना चाहिए। पैगेट सोचता है कि यह है। उन्होंने यह भी विकसित किया है कि उन्होंने आरएफआईडी टैग को एक दूरी पर पढ़ने के लिए "विश्व रिकॉर्ड" कहा है - सैकड़ों मीटर - जिसमें वह ब्लैक हैट टॉक पर चर्चा करेंगे।

एक अन्य शोधकर्ता, जिसे केवल द ग्रुगक के नाम से जाना जाता है, मोबाइल उपकरणों पर दुर्भावनापूर्ण जीएसएम नेटवर्क बेस स्टेशनों और घटकों के निर्माण के बारे में बात करेंगे। टॉक का विवरण पढ़ता है, "हमें विश्वास करें, आप * इस बात की अवधि के लिए अपने फोन को बंद करना चाहते हैं।"

और एक हफ्ते में जिसे सिटीबैंक के प्रवेश के साथ लात मार दिया गया था, जिसने इसकी सुरक्षा को गड़बड़ कर दिया था आईफोन ऐप, देखने के लिए एक और बात लुकआउट सिक्योरिटी की "ऐप एटैकैक" होगी, जो मोबाइल एप्लिकेशन में असुरक्षा पर प्रकाश डालेगी।

4) औद्योगिक दुःस्वप्न

सीमेंस को इस महीने का स्वाद मिला कि यह किस तरह प्रतिक्रिया देना है असली दुनिया स्काडा (पर्यवेक्षी नियंत्रण और डेटा अधिग्रहण) हमला, जब किसी ने एक परिष्कृत कृमि को अपने विंडोज-आधारित प्रबंधन प्रणालियों पर हमला किया। लेकिन एससीएडीए के विशेषज्ञों का कहना है कि सीमेंस सिर्फ दुर्भाग्यपूर्ण था, और इस प्रकार का हमला आसानी से किसी भी कंपनी के प्रतिस्पर्धियों को भी हटा सकता था। वास्तव में, औद्योगिक नियंत्रण प्रणालियों को प्रभावित करने वाले बहुत से सुरक्षा मुद्दे हैं - इतने सारे लोग कि इस वर्ष ब्लैक टोपी में उनका अपना ट्रैक प्राप्त हो रहा है।

पिछले 10 वर्षों में, लाल टाइगर सुरक्षा के संस्थापक जोनाथन पोलेट, ने 120 से अधिक एससीएडीए सिस्टम पर सुरक्षा आकलन चलाए हैं, और वह इस बात के बारे में बात करेंगे कि सुरक्षा भेद्यता सबसे अधिक होने की संभावना है। पोलेट का कहना है कि कई नेटवर्कों ने आईटी और औद्योगिक प्रणालियों के बीच एक प्रकार की कोई भी व्यक्ति विकसित नहीं की है - कंप्यूटर जो अक्सर खतरे में पड़ते हैं क्योंकि कोई भी वास्तव में उनका पूरा स्वामित्व नहीं लेता है।

पोलेट इस बात के बारे में बात करेगा कि ये बग कहां दिखाई दे रही हैं आधारभूत संरचना - उनकी कंपनी ने 38,000 भेद्यताओं पर डेटा एकत्र किया है - और उनके लिए लिखे गए शोषण के प्रकार। "आपको शून्य-दिन की कमजोरियों के लिए इंतजार नहीं करना है," उन्होंने कहा। "वहां पहले से ही बहुत सारे शोषण हैं।"

5) वाइल्डकार्ड!

क्या ज़ीरो के स्वामित्व वाले समूह, जिन्होंने पिछले सप्ताह के शो की पूर्व संध्या पर दान कामिंस्की और दूसरों को हैक किया था? क्या एफडीएस या एटी एंड टी ने जीएसएम के साथ गड़बड़ी से पैगेट को रोक दिया होगा? क्या एक परेशान एटीएम विक्रेता बर्नाबी जैक की बात को आखिरी मिनट की कानूनी चुनौती लॉन्च करेगा? क्या डेफकॉन की सोशल इंजीनियरिंग प्रतियोगिता किसी वित्तीय सेवा उद्योग में गैस्केट को उड़ाने का कारण बनती है? मधुमक्खियों का झुंड रिवेरा में पूल का उल्लंघन करेगा? कौन जानता है, लेकिन वेगास में, अप्रत्याशित होने की उम्मीद है।

रॉबर्ट मैकमिलन ने आईडीजी न्यूज सर्विस के लिए कंप्यूटर सुरक्षा और सामान्य तकनीक को तोड़ने वाली खबरें शामिल की हैं। @bobmcmillan पर ट्विटर पर रॉबर्ट का पालन करें। रॉबर्ट का ई-मेल पता [email protected]