【51CTO.com 7月29日外電頭條】要預(yù)測本周舉行的兩大頂級黑客大會Black Hat和Defcon會出現(xiàn)什么重大新聞可不容易，因為最刺激的一幕往往發(fā)生在最后一刻，Black Hat和Defcon每年都會在賭城拉斯維加斯舉辦一次，前后不過相差一兩天時間，因此人們稱之為姊妹會議，今年的Black Hat會議定于周三和周四，Defcon大會定于周五和周六舉行。縱觀今年擬定的演講主題，今年的兩會將主要有以下五大看點。

1、終結(jié)者2現(xiàn)實版，讓ATM自動吐鈔

今年最值得期待的演講會是來自曾在瞻博網(wǎng)絡(luò)工作過的Barnaby Jack，Jack過去數(shù)年一直從事ATM（自動取款機(jī)）安全研究，本次大會他將會精彩呈現(xiàn)他發(fā)現(xiàn)的部分漏洞，ATM目前是漏洞研究的綠地。

Black Hat大會主席Jeff Moss說ATM漏洞研究使人想起幾年前的投票機(jī)漏洞研究，當(dāng)時發(fā)現(xiàn)了投票系統(tǒng)的嚴(yán)重漏洞，迫使許多政府機(jī)構(gòu)重新考慮他們的電子投票方式。

Jack的演講備受爭議，大會收到了多家ATM廠商的嚴(yán)正警告，在去年的Black Hat大會，直到最后一分鐘瞻博才決定讓Jack上，今年情況不同了，Jack已經(jīng)離開瞻博到了IOActive，他打算在今年的大會上展示幾種新型ATM攻擊方法，包括遠(yuǎn)程攻擊，根據(jù)大會主辦方的活動說明，Jack還會透露所謂的“跨平臺ATM Rootkit”。

Jack在他的摘要中寫道：“我喜歡終結(jié)者2中的場景，John Connor走到ATM前，將他的Atari連接到讀卡器，然后ATM就自動吐出現(xiàn)金，我已經(jīng)讓它變成了現(xiàn)實”。

（譯者亂評：這和前不久前在國內(nèi)出現(xiàn)的山寨ATM機(jī)完全不是一回事，Jack可以讓任何一家銀行的真實ATM自動吐錢，技術(shù)含量誰高誰低？）

2、DNSSEC是否能保DNS萬無一失？

兩年前，Dan Kaminsky揭露了讓世人震驚的DNS漏洞，Kaminsky今年會繼續(xù)出現(xiàn)在Black Hat大會上，但這次的演講主題變成了Web安全工具，他也將參加一場記者招待會，將和來自ICANN和VeriSign的代表討論DNS安全擴(kuò)展（DNSSEC）。

大約兩周前，ICANN才將互聯(lián)網(wǎng)12臺DNS根服務(wù)器完成DNSSEC的部署，目前DNSSEC還沒有得到廣泛支持，ICANN希望通過自己的實踐，推動這一技術(shù)的普及。
Kaminsky表示普及DNSSEC將有效遏制網(wǎng)絡(luò)攻擊，他說：“我們正在研究如何讓DNSSEC不僅可以解決DNS漏洞，還要讓它解決一些核心漏洞，當(dāng)然，DNSSEC不能解決所有問題，但它解決了身份驗證相關(guān)的全部漏洞”。

（譯者亂評：DNSSEC能杜絕DNS污染嗎？Google加密搜索何時能才能用上?。?/p>

3、移動bug，普通人也能玩竊聽

GSM安全研究人員今年將出現(xiàn)在Black Hat的演講臺上，這可能是美國和歐洲移動網(wǎng)絡(luò)運(yùn)營商最不想看到的，Kraken是剛剛放出的開源GSM破解軟件，結(jié)合高度優(yōu)化的彩虹表（rainbow table），讓解密GSM通話和短消息成為一件易事。

Kraken所做的就是監(jiān)聽空氣中的通話，另外還有一個GSM嗅探項目 – AirProbe，使用這些工具的研究人員說他們現(xiàn)在想將這些技術(shù)展現(xiàn)給普通人，而對于那些間諜和安全愛好者早已不是什么秘密了，A5/1加密算法現(xiàn)在可以輕松破解，而T-Mobile，AT&T等運(yùn)營商的GSM網(wǎng)絡(luò)正是使用了這個加密算法。

Chris Paget將做這方面的主題演講，他將會在大會上現(xiàn)場演示攔截聽眾的通話（當(dāng)然得到邀請的聽眾是很幸運(yùn)的，但回家后可能也會捉摸是否要將手機(jī)扔進(jìn)垃圾桶），如果合法的話，這將是一個有趣的演示，Paget還開發(fā)出了他稱作“世界紀(jì)錄”的RFID標(biāo)簽閱讀器，可以在幾百米遠(yuǎn)讀取到RFID標(biāo)簽信息，在本次Black Hat上他也會就此做一些討論。

另一位研究人員Grugq將會演講如何構(gòu)建惡意GSM網(wǎng)絡(luò)基站和移動設(shè)備上的組件，他的演講主題描述寫道：“相信我們，在演講期間你會有關(guān)掉手機(jī)的想法”。

另一個值得關(guān)注的演講與移動應(yīng)用程序攻擊有關(guān)，隨著智能手機(jī)的普及，移動應(yīng)用安全問題也擺在了世人的面前，不要存在僥幸心理，聽了該主題演講的人一定會謹(jǐn)慎使用移動應(yīng)用程序的。

（譯者亂評：以后打電話小聲點，是不是別人就竊聽不到了？重要事情還是當(dāng)面談比較穩(wěn)妥?。。?/p>

4、除了IT可以Hack，工業(yè)領(lǐng)域也可以

西門子本月首次嘗到了SCADA（supervisory control and data acquisition）被攻擊的滋味，其基于Windows的管理系統(tǒng)受到了詭異的蠕蟲攻擊，但也有SCADA安全專家認(rèn)為是西門子的運(yùn)氣不好，因為這種攻擊可以輕易拿下任何競爭對手的產(chǎn)品，事實上，很多工業(yè)控制系統(tǒng)都存在大量的安全問題。
在過去的10年里，紅虎（Red Tiger）安全公司創(chuàng)始人Jonathan Pollet已經(jīng)在超過120個SCADA系統(tǒng)上執(zhí)行了安全評估，他將在演講中指出哪些地方是最容易出現(xiàn)安全漏洞的。紅虎已經(jīng)收集了38000個漏洞數(shù)據(jù)，并且編寫了針對這些漏洞的攻擊代碼，Pollet說：“你不必等待零日漏洞，現(xiàn)在已經(jīng)有很多漏洞在那里擺著”。

（譯者亂評：神啊，給我一串代碼吧，我家的電表讀數(shù)老是居高不下呀！）

5、或許會有意外，充滿壓力的黑客大會

在上周黑掉了Kevin Mitnick和Dan Kaminsky等其他黑客的Zero for Owned小組會回到Black Hat嗎？AT&T會阻止Paget關(guān)于GSM漏洞的演講嗎？憤怒的ATM廠商會在最后一分鐘用法律手段阻止Barnaby Jack的演講嗎？Defcon的社會工程競賽會讓金融服務(wù)行業(yè)的人抓狂嗎？誰說得清呢，因為拉斯維加斯總是一個充滿意外的地方。

（譯者亂評：看來每個行業(yè)都有很大的鴨梨啊，希望這一屆兩會不會放我們鴿子?。?/p>

【編輯推薦】

1. 八月的Defcon大賽將考驗黑客的社會工程能力  
2. 七強(qiáng)從451支隊伍中殺出 DefCon CTF黑客大賽資格賽結(jié)束  
3. 第一安全規(guī)則：假設(shè)你被黑了
4. “狗日的”騰訊續(xù)篇：計世網(wǎng)被“黑”？
5. 2010年CSO狀態(tài)報告出爐：在充滿艱難的道路上前行