Black Hat和Defcon黑客大会的五大看点 - 开源中国社区
Float_left Icon_close
Black Hat和Defcon黑客大会的五大看点
红薯 2010年07月29日

Black Hat和Defcon黑客大会的五大看点

红薯 红薯 发布于2010年07月29日 收藏 2 评论 18

阿里云高性能云服务器,2折起! >>> >>>  

要预测本周举行的两大顶级黑客大会Black Hat和Defcon会出现什么重大新闻可不容易,因为最刺激的一幕往往发生在最后一刻,Black Hat和Defcon每年都会在赌城拉斯维加斯举办一次,前后不过相差一两天时间,因此人们称之为姊妹会议,今年的Black Hat会议定于周三和周四,Defcon大会定于周五和周六举行。纵观今年拟定的演讲主题,今年的两会将主要有以下五大看点。

1、终结者2现实版,让ATM自动吐钞

今年最值得期待的演讲会是来自曾在瞻博网络工作过的Barnaby Jack,Jack过去数年一直从事ATM(自动取款机)安全研究,本次大会他将会精彩呈现他发现的部分漏洞,ATM目前是漏洞研究的绿地。

Black Hat大会主席Jeff Moss说ATM漏洞研究使人想起几年前的投票机漏洞研究,当时发现了投票系统的严重漏洞,迫使许多政府机构重新考虑他们的电子投票方式。

Jack的演讲备受争议,大会收到了多家ATM厂商的严正警告,在去年的Black Hat大会,直到最后一分钟瞻博才决定让Jack上,今年情况不同了,Jack已经离开瞻博到了IOActive,他打算在今年的大会上展示几种新型 ATM攻击方法,包括远程攻击,根据大会主办方的活动说明,Jack还会透露所谓的“跨平台ATM Rootkit”。

Jack在他的摘要中写道:“我喜欢终结者2中的场景,John Connor走到ATM前,将他的Atari连接到读卡器,然后ATM就自动吐出现金,我已经让它变成了现实”。

(译者乱评:这和前不久前在国内出现的山寨ATM机完全不是一回事,Jack可以让任何一家银行的真实ATM自动吐钱,技术含量谁高谁低?)

2、DNSSEC是否能保DNS万无一失?

两年前,Dan Kaminsky揭露了让世人震惊的DNS漏洞,Kaminsky今年会继续出现在Black Hat大会上,但这次的演讲主题变成了Web安全工具,他也将参加一场记者招待会,将和来自ICANN和VeriSign的代表讨论DNS安全扩展 (DNSSEC)。

大约两周前,ICANN才将互联网12台DNS根服务器完成DNSSEC的部署,目前DNSSEC还没有得到广泛支持,ICANN希望通过自己的实践,推动这一技术的普及。

Kaminsky表示普及DNSSEC将有效遏制网络攻击,他说:“我们正在研究如何让DNSSEC不仅可以解决DNS漏洞,还要让它解决一些核心漏洞,当然,DNSSEC不能解决所有问题,但它解决了身份验证相关的全部漏洞”。

(译者乱评:DNSSEC能杜绝DNS污染吗?Google加密搜索何时能才能用上!)

3、移动bug,普通人也能玩窃听

GSM安全研究人员今年将出现在Black Hat的演讲台上,这可能是美国和欧洲移动网络运营商最不想看到的,Kraken是刚刚放出的开源GSM破解软件,结合高度优化的彩虹表(rainbow table),让解密GSM通话和短消息成为一件易事。

Kraken所做的就是监听空气中的通话,另外还有一个GSM嗅探项目 – AirProbe,使用这些工具的研究人员说他们现在想将这些技术展现给普通人,而对于那些间谍和安全爱好者早已不是什么秘密了,A5/1加密算法现在可 以轻松破解,而T-Mobile,AT&T等运营商的GSM网络正是使用了这个加密算法。

Chris Paget将做这方面的主题演讲,他将会在大会上现场演示拦截听众的通话(当然得到邀请的听众是很幸运的,但回家后可能也会捉摸是否要将手机扔进垃圾 桶),如果合法的话,这将是一个有趣的演示,Paget还开发出了他称作“世界纪录”的RFID标签阅读器,可以在几百米远读取到RFID标签信息,在本 次Black Hat上他也会就此做一些讨论。

另一位研究人员Grugq将会演讲如何构建恶意GSM网络基站和移动设备上的组件,他的演讲主题描述写道:“相信我们,在演讲期间你会有关掉手机的想法”。

另一个值得关注的演讲与移动应用程序攻击有关,随着智能手机的普及,移动应用安全问题也摆在了世人的面前,不要存在侥幸心理,听了该主题演讲的人一定会谨慎使用移动应用程序的。

(译者乱评:以后打电话小声点,是不是别人就窃听不到了?重要事情还是当面谈比较稳妥啊!)

4、除了IT可以Hack,工业领域也可以

西门子本月首次尝到了SCADA(supervisory control and data acquisition)被攻击的滋味,其基于Windows的管理系统受到了诡异的蠕虫攻击,但也有SCADA安全专家认为是西门子的运气不好,因为这 种攻击可以轻易拿下任何竞争对手的产品,事实上,很多工业控制系统都存在大量的安全问题。

在过去的10年里,红虎(Red Tiger)安全公司创始人Jonathan Pollet已经在超过120个SCADA系统上执行了安全评估,他将在演讲中指出哪些地方是最容易出现安全漏洞的。红虎已经收集了38000个漏洞数 据,并且编写了针对这些漏洞的攻击代码,Pollet说:“你不必等待零日漏洞,现在已经有很多漏洞在那里摆着”。

(译者乱评:神啊,给我一串代码吧,我家的电表读数老是居高不下呀!)

5、或许会有意外,充满压力的黑客大会

在上周黑掉了Kevin Mitnick和Dan Kaminsky等其他黑客的Zero for Owned小组会回到Black Hat吗?AT&T会阻止Paget关于GSM漏洞的演讲吗?愤怒的ATM厂商会在最后一分钟用法律手段阻止Barnaby Jack的演讲吗?Defcon的社会工程竞赛会让金融服务行业的人抓狂吗?谁说得清呢,因为拉斯维加斯总是一个充满意外的地方。

(译者乱评:看来每个行业都有很大的鸭梨啊,希望这一届两会不会放我们鸽子!)

文/51CTO

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:Black Hat和Defcon黑客大会的五大看点
分享
评论(18)
最新评论
0
真想看看两会 有视频的没?
0
这才叫真正的两会。多有水平的。
0
是不错哈,吃了没有阿
0
今天天气不错~
0
正如IT界卽被定為“社會邊缘化群體”以“技术”為宗旨,又舆社會本身無法切割,做技术做軟件,本為服務於社會大衆,但誰又能肃清所谓自己没有任何“政治”取向性,卽有染指,確多為“指鹿為馬”,無法確定和把握其“政治正確性”和歴史觀,其後又將矛頭指向政府,實在無語……
0
完結,如有人認以上討論有違本站宗旨,本人今後不再參付與本站所谓“討論”。
0
但我且不清楚,業界新聞評論與社會問題如何切割?卽本站為專業技术論壇,又有業界新聞且允許參加評論發表個人看法又如何不違“原則”,不論樓上那位是否代表本站官方立場!请问,如卽定技术原則,為何又提供所谓“新聞”讓衆人參與討論?因我個人意見是“站長”是否能把握尺度,才是關鍵,如何采纳“專製原則”,岂能不為大衆所指,卽有違開放性原則,限製“原論自由”最後把所有問題指向“GFW”,扣上專製專政主議的帽子!!
0

引用来自“绿悠悠”的评论

引用来自“李心陽”的评论

引用来自“红薯”的评论

引用来自“李心陽”的评论

在國内,誰讓ATM自動吐鈔,那他至少被判十年,甚至有可能無期,這事不是没有發生過,呵呵,這點在國外就很自由了,在规定範圍内,有言在先是可以的,可我們國内,有谁敢……

八杆子挨不上,别又扯上这些污七八糟的事儿了,打住吧:)

語次不清,看不懂,两者之間有没有關係怎么了,雖並無關係就不能比較一下嗎,雖然那不是什么黑客事件,頂多意外,也同樣也引伸了一個社會與法治的問題。

这里是技术网站。

行,尊重站點管理规定……
這也衹是則新聞,本人也祇是對本聞看法提出一些見解,就事論事,並無對其它問題引發其它爭議的本意,支持本站管理方向原則,希望一如卽往……
0

引用来自“李心陽”的评论

引用来自“红薯”的评论

引用来自“李心陽”的评论

在國内,誰讓ATM自動吐鈔,那他至少被判十年,甚至有可能無期,這事不是没有發生過,呵呵,這點在國外就很自由了,在规定範圍内,有言在先是可以的,可我們國内,有谁敢……

八杆子挨不上,别又扯上这些污七八糟的事儿了,打住吧:)

語次不清,看不懂,两者之間有没有關係怎么了,雖並無關係就不能比較一下嗎,雖然那不是什么黑客事件,頂多意外,也同樣也引伸了一個社會與法治的問題。

这里是技术网站。
0

引用来自“红薯”的评论

引用来自“李心陽”的评论

在國内,誰讓ATM自動吐鈔,那他至少被判十年,甚至有可能無期,這事不是没有發生過,呵呵,這點在國外就很自由了,在规定範圍内,有言在先是可以的,可我們國内,有谁敢……

八杆子挨不上,别又扯上这些污七八糟的事儿了,打住吧:)

語次不清,看不懂,两者之間有没有關係怎么了,雖並無關係就不能比較一下嗎,雖然那不是什么黑客事件,頂多意外,也同樣也引伸了一個社會與法治的問題。
0

引用来自“李心陽”的评论

在國内,誰讓ATM自動吐鈔,那他至少被判十年,甚至有可能無期,這事不是没有發生過,呵呵,這點在國外就很自由了,在规定範圍内,有言在先是可以的,可我們國内,有谁敢……

八杆子挨不上,别又扯上这些污七八糟的事儿了,打住吧:)
0
在國内,誰讓ATM自動吐鈔,那他至少被判十年,甚至有可能無期,這事不是没有發生過,呵呵,這點在國外就很自由了,在规定範圍内,有言在先是可以的,可我們國内,有谁敢……
0
这些真的都是我难以想象的。。
0
真正的黑客就是如此
0
都是xxxxx级别的
0
黑帽会议确实是高水平的会议!
0
技术!技术!真正的黑客应该眼里只有技术
0
发布安全,强迫责任.
顶部