Mikko Hypponen: Three types of online attack
Black Hat, l'événement le plus corporate, et sa conférence sœur, Defcon, se tiennent l'un après l'autre chaque année à Las Vegas. La conférence Black Hat de cette année aura lieu mercredi et jeudi. Defcon se déroule du vendredi au dimanche.
Attendez-vous à du chaos cette semaine à Las Vegas. Attendez-vous à quelques surprises. Si vous y allez, s'attendre à une gueule de bois. Mais regardez aussi des histoires de sécurité intéressantes sur ces sujets:
1) Frapper le Jackpot ATM
Le discours le plus attendu de cette année vient de Barnaby Jack, anciennement de Juniper Networks. Au cours des dernières années, Jack a fait le tour des guichets automatiques (distributeurs automatiques de billets) et est prêt à parler de certains des bugs qu'il a trouvés dans les produits. Nous ne savons pas encore à qui les guichets automatiques sont vulnérables - ou même si les fabricants seront divulgués - mais les guichets automatiques sont un champ vert pour les chercheurs sur la vulnérabilité. Jeff Moss, directeur de la conférence Black Hat, dit que les travaux sur les bogues ATM rappellent la recherche sur les machines à voter qui a été publiée il y a quelques années - qui a révélé de graves failles de sécurité dans les systèmes et a amené de nombreux organismes gouvernementaux à repenser la façon dont ils procédaient au vote électronique.
Juniper l'a tirée à la dernière minute avant la conférence Black Hat de l'année dernière, à la demande des fabricants d'ATM. Mais travaillant maintenant pour une nouvelle société, IOActive, Jack prévoit de montrer plusieurs nouvelles façons d'attaquer les guichets automatiques, y compris les attaques à distance. Il révélera également ce qu'il appelle un «rootkit multi-plateforme ATM», selon une description de son discours.
«J'ai toujours aimé la scène dans 'Terminator 2' où John Connor se dirige vers un ATM, des interfaces son Atari au lecteur de carte et récupère de l'argent de la machine.Je pense que j'ai battu ce garçon, "Jack écrit dans son résumé.
2) DNS
Il y a deux ans, Dan Kaminsky a fait les manchettes dans le monde entier une faille dans le DNS (Domain Name System) utilisé pour rechercher les adresses d'ordinateurs sur Internet. Cette année, Kaminsky parle de nouveau à Black Hat - cette fois-ci sur les outils de sécurité Web. Mais il a également été invité à participer à une conférence de presse où lui et des représentants de l'ICANN (Internet Corporation pour les noms et numéros attribués) et VeriSign discuteront des extensions de sécurité du système de noms de domaine (DNSSEC) - une nouvelle façon de
Des chercheurs comme Kaminsky disent que l'adoption généralisée de DNSSEC pourrait freiner tout un tas des attaques en ligne. «Nous avons examiné comment le protocole DNSSEC permettrait de traiter non seulement les vulnérabilités du DNS, mais aussi certaines des principales vulnérabilités que nous avons en matière de sécurité», a déclaré M. Kaminsky dans une interview. "Nous n'allons pas résoudre tous ces problèmes avec DNSSEC … mais il existe toute une classe de vulnérabilités d'authentification que DNSSEC résout."
3) Bugs mobiles
Libérez le Kraken! C'est exactement ce que les chercheurs en sécurité GSM vont faire au Black Hat cette année, ce qui pourrait finalement devenir un casse-tête majeur pour les opérateurs de réseaux mobiles américains et européens. Kraken est un logiciel de cracking GSM open-source qui vient d'être terminé. Combiné à des tables arc-en-ciel hautement optimisées (listes de codes qui accélèrent le processus de cryptage), il permet aux hackers de déchiffrer les appels et les messages GSM.
Ce que Kraken ne fait pas, c'est de retirer les appels air. Mais il y a un autre projet de reniflage de GSM - appelé AirProbe - qui cherche à en faire une réalité. Les chercheurs travaillant sur ces outils disent qu'ils veulent montrer aux utilisateurs réguliers ce que les espions et les geeks de sécurité savent depuis longtemps: que l'algorithme de chiffrement A5 / 1 utilisé par les transporteurs tels que T-Mobile et AT & T est faible, et peut être facilement cassé.
Mais pourquoi briser le cryptage GSM alors que vous pouvez simplement tromper les téléphones en vous connectant à une fausse station de base, puis abandonner le cryptage? C'est exactement ce que Chris Paget projette de faire à Las Vegas cette semaine, où il dit qu'il invitera les participants à la conférence à faire intercepter leurs appels. Ça devrait être une démo amusante, si c'est légal. Paget pense que c'est. Il a également développé ce qu'il appelle le «record du monde» pour lire des étiquettes RFID à une distance de plusieurs centaines de mètres dont il parlera lors d'une conférence Black Hat.
Un autre chercheur, connu seulement sous le nom de The Grugq, parlera de la construction de stations de base de réseau GSM malveillants et des composants sur les appareils mobiles. "Faites-nous confiance, vous * voudrez * éteindre votre téléphone pour la durée de cette conversation", lit-on dans la description de la conversation.
Et une semaine qui a débuté avec l'admission de Citibank qu'elle avait foiré la sécurité sur son iPhone App, une autre conférence à surveiller sera "App Atttack" de Lookout Security, qui fera la lumière sur les insécurités dans les applications mobiles.
4) Cauchemar industriel
Siemens a eu ce mois-ci un avant-goût de ce que attaque SCADA (contrôle de supervision et acquisition de données) dans le monde réel, lorsque quelqu'un a déclenché un ver sophistiqué attaquant ses systèmes de gestion Windows. Mais les experts du SCADA disent que Siemens a été malchanceux, et que ce type d'attaque aurait pu facilement faire tomber tous les concurrents de l'entreprise. En fait, il y a beaucoup de problèmes de sécurité qui tourmentent les systèmes de contrôle industriel - tellement qu'ils obtiennent leur propre voie à Black Hat cette année.
Au cours des 10 dernières années, Jonathan Pollet, fondateur de Red Tiger Security, a effectué des évaluations de sécurité sur plus de 120 systèmes SCADA, et il parlera de l'endroit où les failles de sécurité sont les plus susceptibles d'apparaître. Pollet dit que de nombreux réseaux ont développé une sorte de no man's land entre les systèmes informatiques et industriels - des ordinateurs qui sont souvent en danger parce que personne ne semble vraiment les prendre en charge complètement.
5) Wildcard!
Est-ce que le groupe Zero for Owned, qui a piraté Dan Kaminsky et d'autres à la veille du show de la semaine dernière, revient? Est-ce que les fédéraux ou AT & T vont arrêter Paget de jouer avec GSM? Est-ce qu'un vendeur d'ATM furieux lancera un défi juridique de dernière minute à la conférence de Barnaby Jack? Le concours d'ingénierie sociale de Defcon incitera-t-il quelqu'un dans l'industrie des services financiers à faire sauter un joint? Un essaim d'abeilles infestera-t-il la piscine de la Riviera? Qui sait, mais à Vegas, attendez-vous à l'inattendu.
Robert McMillan couvre la sécurité informatique et les nouvelles générales de dernière heure pour The IDG News Service. Suivez Robert sur Twitter à @bobmcmillan. L'adresse électronique de Robert est [email protected]
Chez Black Hat: un avocat pour vandaliser votre piratage
L'EFF a lancé un nouveau service de consultation gratuit pour les chercheurs en sécurité chez Black Hat .
À Quoi s'attendre chez SAP Sapphire
La conférence SAP de Sapphire débute la semaine prochaine à Orlando, préparant le terrain pour que la société vende ses clients La conférence SAP de Sapphire démarre la semaine prochaine à Orlando, ouvrant la voie à la vente par l'entreprise de ses visions pour les applications basées sur le cloud, l'informatique en mémoire et la mobilité.
Comment trouver un emploi chez Microsoft - Carrières chez Microsoft
Vous cherchez un emploi chez Microsoft? Ce post parle de la façon d`obtenir un emploi dans Microsoft et Carrières chez Microsoft et les étudiants à domicile essentiels doivent faire d`abord.