Apa yang Harus Diperhatikan di Black Hat dan Defcon

Mencoba memprediksi berita besar di konferensi Black Hat dan Defcon minggu ini sangat rumit, jika bukan tidak mungkin. Biasanya cerita yang paling menarik muncul pada menit terakhir - peretas cenderung menunda mengungkapkan pembicaraan yang sangat besar karena mereka tidak ingin para pengacara gelisah untuk menutupnya. Dan bahkan ketika Anda berpikir Anda tahu apa yang sedang terjadi, kadang-kadang salah satu acara melangkah ke depan untuk menjadi pusat perhatian, seperti yang dilakukan Defcon tiga tahun lalu ketika reporter Dateline NBC, Michelle Madigan, kehabisan konferensi karena mencoba untuk secara diam-diam memfilmkan para peserta acara.

Black Hat, acara perusahaan yang lebih banyak, dan konferensi saudari yang tidak tertib, Defcon, diadakan satu demi satu setiap tahun di Las Vegas. Konferensi Black Hat tahun ini adalah pada hari Rabu dan Kamis. Defcon berjalan dari hari Jumat hingga Minggu.

Jadi, haraplah ada beberapa kekacauan minggu ini di Las Vegas. Harapkan beberapa kejutan. Jika Anda menghadiri, berharap hangover. Tetapi lihat juga beberapa cerita keamanan yang menarik tentang topik ini:

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

1) Menekan ATM Jackpot

Pembicaraan yang paling ditunggu tahun ini berasal dari Barnaby Jack, sebelumnya dari Juniper Networks. Jack telah bermain-main dengan ATM (mesin kasir otomatis) selama beberapa tahun terakhir dan siap untuk berbicara tentang beberapa bug yang dia temukan dalam produk. Kami belum tahu ATM mana yang rentan - atau bahkan jika produsen akan diungkapkan - tetapi ATM adalah bidang hijau bagi para peneliti kerentanan.

Direktur konferensi Black Hat Jeff Moss mengatakan pekerjaan pada bug ATM mengingatkan penelitian mesin pemungutan suara yang keluar beberapa tahun lalu - yang menunjukkan kerentanan keamanan yang serius dalam sistem dan menyebabkan banyak lembaga pemerintah memikirkan ulang cara mereka meluncurkan e-voting.

Pembicaraan Jack kontroversial. Juniper menariknya pada menit terakhir menjelang konferensi Black Hat tahun lalu, atas permintaan pembuat ATM. Tapi sekarang bekerja untuk perusahaan baru, IOActive, Jack berencana untuk menunjukkan beberapa cara baru menyerang ATM, termasuk serangan jarak jauh. Dia juga akan mengungkapkan apa yang dia sebut "rootkit ATM multi-platform," menurut deskripsi ceramahnya.

"Saya selalu menyukai adegan di 'Terminator 2' di mana John Connor berjalan ke ATM, antarmuka Atari ke pembaca kartu dan mengambil uang dari mesin. Saya pikir saya sudah mengalahkan anak itu, "tulis Jack dalam abstraknya.

2) DNS

Dua tahun lalu, Dan Kaminsky menjadi berita utama di seluruh dunia dengan mengungkap cacat dalam DNS (Domain Name System) yang digunakan untuk mencari alamat komputer di Internet. Tahun ini, Kaminsky berbicara lagi di Black Hat - kali ini di alat keamanan Web. Tapi dia juga disadap untuk berpartisipasi dalam konferensi pers di mana dia dan perwakilan dari ICANN (Perusahaan Internet Untuk Nama dan Nomor yang Ditetapkan) dan VeriSign akan membahas Ekstensi Keamanan Sistem Nama Domain (DNSSEC) - cara baru dalam melakukan DNS yang menyediakan level percaya diri bahwa komputer yang terhubung ke Internet adalah apa yang sebenarnya mereka klaim.

Sekitar dua minggu yang lalu, ICANN memimpin penandatanganan cryptographic pertama dari server root dengan kunci DNSSEC. DNSSEC belum didukung secara luas, tetapi ICANN berharap bahwa dengan menandatangani zona root, ia akan memacu orang lain untuk mendukung protokol di server dan perangkat lunak klien mereka.

Para peneliti seperti Kaminsky mengatakan bahwa adopsi DNSSEC secara luas dapat mengekang banyak serangan online. "Kami telah melihat bagaimana DNSSEC akan mengatasi tidak hanya kerentanan DNS, tetapi beberapa kerentanan inti yang kami miliki dalam keamanan," kata Kaminsky dalam sebuah wawancara. "Kami tidak akan menyelesaikan semua masalah itu dengan DNSSEC … tetapi ada seluruh kelas kerentanan autentikasi yang ditangani DNSSEC."

3) Bug seluler

Lepaskan Kraken! Itulah yang akan dilakukan oleh para peneliti keamanan GSM di Black Hat tahun ini, yang pada akhirnya bisa menjadi masalah besar bagi operator jaringan seluler AS dan Eropa. Kraken adalah perangkat lunak cracking GSM open source yang baru saja selesai. Dikombinasikan dengan beberapa tabel pelangi yang sangat optimal (daftar kode yang membantu mempercepat proses enkripsi-melanggar), itu memberi hacker cara untuk mendekripsi panggilan dan pesan GSM.

Apa yang tidak dilakukan Kraken adalah menarik panggilan keluar dari udara. Tetapi ada proyek GSM-sniffing lain - yang disebut AirProbe - yang ingin mewujudkannya. Para peneliti yang bekerja pada alat-alat ini mengatakan bahwa mereka ingin menunjukkan kepada pengguna biasa apa yang telah diketahui oleh mata-mata dan keamanan yang telah lama diketahui: bahwa algoritma enkripsi A5 / 1 yang digunakan oleh operator seperti T-Mobile dan AT & T lemah, dan dapat dengan mudah rusak.

Tapi mengapa melanggar enkripsi GSM ketika Anda dapat mengelabui ponsel agar terhubung dengan gangguan palsu dan kemudian menjatuhkan enkripsi? Itulah yang direncanakan Chris Paget untuk demo di Las Vegas minggu ini, di mana dia mengatakan dia akan mengundang peserta konferensi agar panggilan mereka dihadang. Harus menjadi demo yang menyenangkan, jika itu legal. Paget berpikir demikian. Dia juga telah mengembangkan apa yang dia sebut "rekor dunia" untuk membaca tag RFID di kejauhan - ratusan meter - yang akan dia bahas pada pembicaraan Black Hat.

Peneliti lain, yang hanya dikenal sebagai The Grugq, akan berbicara tentang membangun base station dan komponen jaringan GSM berbahaya di perangkat seluler. "Percayalah kepada kami, Anda akan * ingin * mematikan telepon Anda selama pembicaraan ini," uraian ceritanya berbunyi.

Dan pada seminggu yang dimulai dengan pengakuan Citibank bahwa itu telah mengacaukan keamanan pada perusahaannya. Aplikasi iPhone, pembicaraan lain yang akan ditonton adalah "App Atttack", yang akan menjelaskan ketidakamanan dalam aplikasi seluler.

4) Mimpi buruk industri

Siemens merasakan bulan ini seperti kontrol SCADA (pengawasan dan akuisisi data) di dunia nyata, ketika seseorang mengeluarkan cacing canggih yang menyerang sistem manajemen berbasis Windows-nya. Tetapi para ahli SCADA mengatakan bahwa Siemens hanya beruntung, dan bahwa jenis serangan ini dapat dengan mudah menjatuhkan pesaing-pesaing perusahaan juga. Bahkan, ada banyak masalah keamanan yang mengganggu sistem kontrol industri - begitu banyak yang mereka dapatkan di Black Hat tahun ini.

Selama 10 tahun terakhir, Jonathan Pollet, pendiri Red Tiger Security, telah menjalankan penilaian keamanan pada lebih dari 120 sistem SCADA, dan dia akan berbicara tentang di mana kerentanan keamanan kemungkinan besar akan muncul. Pollet mengatakan bahwa banyak jaringan telah mengembangkan sejenis tanah tanpa manusia antara TI dan sistem industri - komputer yang sering berisiko karena tidak ada yang benar-benar tampaknya mengambil kepemilikan penuh dari mereka.

Pollet akan berbicara tentang di mana bug ini muncul di infrastruktur - perusahaannya telah mengumpulkan data tentang 38.000 kerentanan - dan jenis-jenis eksploitasi yang telah ditulis untuk mereka. "Anda tidak harus menunggu kerentanan zero-day," katanya. "Sudah ada banyak eksploitasi di luar sana."

5) Wildcard!

Akankah kelompok Zero for Owned, yang meretas Dan Kaminsky dan yang lainnya pada malam minggu lalu akan kembali? Apakah FBI atau AT & T menghentikan Paget dari mengotak-atik GSM? Akankah vendor ATM yang marah meluncurkan tantangan hukum di menit terakhir ke pembicaraan Barnaby Jack? Kontes Social Engineering Will Defcon menyebabkan seseorang di industri jasa keuangan untuk meledakkan gasket? Akankah segerombolan lebah menduduki kolam di Riviera? Siapa yang tahu, tetapi di Vegas, mengharapkan yang tak terduga.

Robert McMillan mencakup keamanan komputer dan teknologi umum untuk Berita IDG News Service. Ikuti Robert di Twitter di @bobmcmillan. Alamat e-mail Robert adalah [email protected]