Hvad skal man se på Black Hat og Defcon?

At prøve at forudsige de store nyheder på denne uges Black Hat og Defcon konferencer er ekstremt vanskelig, om ikke umulig. Normalt kommer de mest interessante historier op i sidste øjeblik - hackere har en tendens til at holde af med at afsløre de rigtig store foredrag, fordi de ikke ønsker jittery advokater at lukke dem ned. Og selv når du tror, ​​du ved, hvad der foregår, af og til går et af showene fremad for at tage et centralt skridt, som Defcon gjorde for tre år siden, da Dateline NBC-reporter Michelle Madigan blev løsladt af konferencen for at forsøge at hemmeligt vise filmdeltagere.

Black Hat, den mere corporate begivenhed, og dens urokkelige søsterkonference, Defcon, afholdes hinanden hvert år i Las Vegas. Årets Black Hat-konference er onsdag og torsdag. Defcon løber fredag ​​til søndag.

Så vent lidt kaos i denne uge i Las Vegas. Forvent nogle overraskelser. Hvis du deltager, forvent en tømmermænd. Men også kig på nogle interessante sikkerhedshistorier om disse emner:

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

1) At ramme ATM Jackpot

Årets mest forventede tale kommer fra Barnaby Jack, tidligere af Juniper Networks. Jack har leget rundt med pengeautomater (automatiserede tellermaskiner) i de sidste par år og er klar til at tale om nogle af de fejl, han har fundet i produkterne. Vi ved endnu ikke, hvis pengeautomater er sårbare - eller selvom producenterne vil blive afsløret - men pengeautomater er et grønt felt for sårbarhedsforskere.

Black Hat-konferencestyreren Jeff Moss siger, at arbejdet med ATM-fejl minder om den stemmemaskine undersøgelse, der kom ud for nogle år siden - som viste alvorlige sikkerhedsproblemer i systemerne og fik mange statslige organer til at genoverveje, hvordan de rullede ud e-afstemning.

Jacks tale er kontroversielt. Juniper trak det i sidste øjeblik forud for sidste års Black Hat-konference, efter anmodning fra pengeautomater. Men nu arbejder han for et nyt firma, IOActive, Jack planlægger at vise flere nye måder at angribe pengeautomater på, herunder fjernangreb. Han vil også afsløre, hvad han kalder en "multi-platform ATM rootkit", ifølge en beskrivelse af hans tale.

"Jeg har altid set scenen i 'Terminator 2', hvor John Connor går op til en pengeautomat, grænseflader hans Atari til kortlæseren og henter penge fra maskinen. Jeg tror, ​​jeg har det barn slået ", skriver Jack i sin abstrakte.

2) DNS

For to år siden lavede Dan Kaminsky overskrifter over hele verden ved at afdække en fejl i DNS (Domain Name System) bruges til at slå op adresserne på computere på internettet. I år taler Kaminsky igen på Black Hat - denne gang på websikkerhedsværktøjer. Men han er også blevet brugt til at deltage i en pressekonference, hvor han og repræsentanter fra ICANN (Internet Corporation For Assigned Names and Numbers) og VeriSign vil diskutere Domain Name System Security Extensions (DNSSEC) - en ny måde at gøre DNS, der giver et niveau af tillid til, at computere, der er forbundet med internettet, er det, de rent faktisk hævder at være.

ICANN præsenterede for to uger siden den første kryptografiske underskrift af en rodserver med en DNSSEC-nøgle. DNSSEC understøttes endnu ikke bredt, men ICANN håber, at det ved at underskrive en rodzone vil stimulere andre til at understøtte protokollen i deres server- og klientprogrammer.

Forskere som Kaminsky siger, at udbredt vedtagelse af DNSSEC kunne bremse en hel masse af online-angreb. "Vi har set på, hvordan DNSSEC skal imødegå ikke kun DNS sårbarheder, men nogle af de væsentligste sårbarheder, vi har i sikkerhed," sagde Kaminsky i et interview. "Vi vil ikke løse alle disse problemer med DNSSEC … men der er en hel klasse af godkendelsesproblemer, som DNSSEC adresserer."

3) Mobile bugs

Slip løs Kraken! Det er bare hvad GSM-sikkerhedsforskere skal gøre på Black Hat i år, i hvad der i sidste ende kan blive en stor hovedpine for amerikanske og europæiske mobilnetoperatører. Kraken er open source GSM cracking software, der netop er afsluttet. Kombineret med nogle højt optimerede regnbueborde (lister over koder, der hjælper med at fremskynde krypteringsprocessen), giver det hackere mulighed for at dekryptere GSM-opkald og meddelelser.

Hvad Kraken ikke gør, er at trække opkaldene ud af luft. Men der er et andet GSM-sniffing-projekt - kaldet AirProbe - der søger at gøre det til en realitet. Forskerne, der arbejder med disse værktøjer, siger, at de vil vise almindelige brugere, hvilke spioner og sikkerhedsnekter i lang tid har kendt: at A5 / 1-krypteringsalgoritmen, der anvendes af bærere som T-Mobile og AT & T, er svag og kan nemt brudt.

Men hvorfor bryde GSM kryptering, når du simpelthen kan lure telefoner til at forbinde med en falsk basestation og derefter slippe kryptering? Det er netop det, Chris Paget planlægger at demo i Las Vegas i denne uge, hvor han siger, at han vil invitere konferencedeltagere til at få deres opkald aflyttet. Skal være en sjov demo, hvis det er lovligt. Paget synes det er. Han har også udviklet det, han kalder "verdensrekordet" til at læse RFID-tags i en afstand - hundreder af meter - som han vil diskutere ved en Black Hat-tale.

En anden forsker, kun kendt som The Grugq, vil tale om opbygning af ondsindede GSM-netværksbasestationer og komponenter på mobile enheder. "Stol på os, du vil * have brug for * at slukke for din telefon i løbet af denne tale", siger talens beskrivelse.

Og i en uge blev det startet med Citibank's indrømmelse om, at det havde ødelagt sikkerheden på sin iPhone app, en anden snak med at se, vil være Lookout Security's "App Atttack", som vil kaste lys over usikkerheder i mobile applikationer.

4) Industrielt mareridt

Siemens har smagt denne måned om, hvordan det svarer til en real-world SCADA (overvågningskontrol og dataindsamling) angreb, når nogen frigør en sofistikeret orm, der angriber sine Windows-baserede styringssystemer. Men SCADA-eksperter siger, at Siemens bare var uheldig, og at denne type angreb nemt kunne have taget ned nogen af ​​selskabets konkurrenter også. Faktisk er der masser af sikkerhedsspørgsmål, der plager industrielle kontrolsystemer - så mange, at de får deres eget spor på Black hat i år.

I løbet af de sidste 10 år har Jonathan Pollet, grundlæggeren af ​​Red Tiger Security, har gennemført sikkerhedsvurderinger på over 120 SCADA-systemer, og han vil snakke om, hvor sikkerhedssvagheder sandsynligvis vil opstå. Pollet siger, at mange netværk har udviklet en slags ingenmandsland mellem it og industrielle systemer - computere, der ofte er i fare, fordi ingen virkelig synes at tage det fulde ejerskab af dem.

Pollet vil tale om, hvor disse fejl opstår i infrastrukturen - hans firma har indsamlet data om 38.000 sårbarheder - og de typer udbytter, der er skrevet til dem. "Du behøver ikke at vente på nulldagssårbarheder," sagde han. "Der er allerede mange udbytter derude."

5) Wildcard!

Vil den Zero Owned Group, hvem hackede Dan Kaminsky og andre på tærsklen til sidste uges show tilbage? Vil feds eller AT & T stoppe Paget fra at messe med GSM? Vil en irat ATM-sælger starte en sidste øjebliks juridisk udfordring for Barnaby Jacks tale? Vil Defcon's Social Engineering-konkurrence føre til, at nogen i finansbranchen blæser en pakning? Vil en sværm af bier angribe poolen ved Rivieraen? Hvem ved, men i Vegas forventer det uventede.

Robert McMillan dækker computersikkerhed og generel teknologi, der bryder nyheder til IDG News Service. Følg Robert på Twitter på @bobmcmillan. Roberts e-mail-adresse er [email protected]