【51CTO.com 7月29日外电头条】要预测本周举办的两大顶级黑客大会Black Hat和Defcon会呈现什么重大消息可不容易,因为最刺激的一幕往往产生在最后一刻,Black Hat和Defcon每年都会在赌城拉斯维加斯举办一次,前后不过相差一两天时间,因此人们称之为姊妹会议,今年的Black Hat会议定于周三和周四,Defcon大会定于周五和周六举办。纵观今年拟定的演讲主题,今年的两会将重要有以下五大看点。
1、终结者2现实版,让ATM主动吐钞
今年最值得等待的演讲会是来自曾在瞻博网络工作过的Barnaby Jack,Jack过去数年一直从事ATM(主动取款机)安全研究,本次大会他将会出色浮现他发明的部分漏洞,ATM目前是漏洞研究的绿地。
Black Hat大会主席Jeff Moss说ATM漏洞研究使人想起几年前的投票机漏洞研究,当时发明了投票系统的严重漏洞,迫使许多政府机构重新考虑他们的电子投票方法。
Jack的演讲备受争议,大会收到了多家ATM厂商的严正警告,在去年的Black Hat大会,直到最后一分钟瞻博才决定让Jack上,今年情况不同了,Jack已经离开瞻博到了IOActive,他打算在今年的大会上展现几种新型ATM攻击方法,包含远程攻击,根据大会主办方的运动阐明,Jack还会流露所谓的“跨平台ATM Rootkit”。
Jack在他的摘要中写道:“我爱好终结者2中的场景,John Connor走到ATM前,将他的Atari连接到读卡器,然后ATM就主动吐呈现金,我已经让它变成了现实”。
(译者乱评:这和前不久前在国内呈现的山寨ATM机完整不是一回事,Jack可以让任何一家银行的真实ATM主动吐钱,技巧含量谁高谁低?)
2、DNSSEC是否能保DNS万无一失?
两年前,Dan Kaminsky揭穿了让世人震惊的DNS漏洞,Kaminsky今年会持续呈现在Black Hat大会上,但这次的演讲主题变成了Web安全工具,他也将参加一场记者招待会,将和来自ICANN和VeriSign的代表讨论DNS安全扩大(DNSSEC)。
大约两周前,ICANN才将互联网12台DNS根服务器完成DNSSEC的安排,目前DNSSEC还没有得到广泛支撑,ICANN盼望通过自己的实践,推动这一技巧的普及。Kaminsky表现普及DNSSEC将有效遏制网络攻击,他说:“我们正在研究如何让DNSSEC不仅可以解决DNS漏洞,还要让它解决一些核心漏洞,当然,DNSSEC不能解决所有问题,但它解决了身份验证相干的全部漏洞”。
(译者乱评:DNSSEC能杜绝DNS污染吗?Google加密搜索何时能才干用上!)
3、移动bug,普通人也能玩窃听
GSM安全研究人员今年将呈现在Black Hat的演讲台上,这可能是美国和欧洲移动网络运营商最不想看到的,Kraken是刚刚放出的开源GSM破解软件,联合高度优化的彩虹表(rainbow table),让解密GSM通话和短消息成为一件易事。
Kraken所做的就是监听空气中的通话,另外还有一个GSM嗅探项目 – AirProbe,应用这些工具的研究人员说他们现在想将这些技巧展现给普通人,而对于那些间谍和安全爱好者早已不是什么机密了,A5/1加密算法现在可以轻松破解,而T-Mobile,AT&T等运营商的GSM网络正是应用了这个加密算法。
Chris Paget将做这方面的主题演讲,他将会在大会上现场演示拦阻听众的通话(当然得到邀请的听众是很荣幸的,但回家后可能也会捉摸是否要将手机扔进垃圾桶),如果合法的话,这将是一个有趣的演示,Paget还开发出了他称作“世界纪录”的RFID标签浏览器,可以在几百米远读取到RFID标签信息,在本次Black Hat上他也会就此做一些讨论。
另一位研究人员Grugq将会演讲如何构建恶意GSM网络基站和移动设备上的组件,他的演讲主题描写写道:“信任我们,在演讲期间你会有关掉手机的想法”。
另一个值得关注的演讲与移动利用程序攻击有关,随着智能手机的普及,移动利用安全问题也摆在了世人的面前,不要存在侥幸心理,听了该主题演讲的人必定会谨慎应用移动利用程序的。
相关阅读