ব্ল্যাক হ্যাট এবং ডিফকোতে কী দেখতে হবে

এই সপ্তাহের ব্ল্যাক হ্যাট এবং ডিফকন কনফারেন্সে বড় সংবাদগুলির ভবিষ্যদ্বাণী করার চেষ্টা করা অত্যন্ত কঠিন, যদি না অসম্ভব। সাধারণত শেষ মুহূর্তে সর্বাধিক আকর্ষণীয় গল্পগুলি পপ আপ - হ্যাকাররা সত্যিই বড় আলোচনা প্রকাশ করার জন্য বন্ধ করে দেয় কারণ তারা জঘন্য আইনজীবীকে তাদের বন্ধ করতে না চান। এবং এমনকি যখন আপনি মনে করেন যে কি ঘটছে, কখনও কখনও শো এর একটি কেন্দ্র কেন্দ্র পর্যায়ে নিতে এগিয়ে যায়, Defcon হিসাবে তিন বছর আগে যখন Dateline এনবিসি প্রতিবেদক মিশেল Madigan গোপনে চলচ্চিত্র শো অংশগ্রহণকারী চেষ্টা করার জন্য কনফারেন্স থেকে রান আউট ছিল।

ব্ল্যাক হ্যাট, আরো কর্পোরেট ইভেন্ট, এবং তার অসার বোন কনফারেন্স, ডিফকন, লাস ভেগাসে প্রতি বছর পর এক অনুষ্ঠিত হয়। বুধবার এবং বৃহস্পতিবার এই বছরের ব্ল্যাক হ্যাট কনফারেন্স হয়। রবিবারের মাধ্যমে defcon শুক্রবার রান।

তাই লাস ভেগাস এই সপ্তাহে কিছু বিশৃঙ্খলার আশা। কিছু চমক প্রত্যাশা আপনি উপস্থিত হন, একটি হ্যাঙ্গআউট আশা কিন্তু এই বিষয়গুলির কিছু আকর্ষণীয় নিরাপত্তা বিষয়গুলির জন্যও দেখুন:

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার সরাতে কিভাবে]

1) এটিএম জ্যাকপট আঘাত

এই বছরের সবচেয়ে প্রত্যাশিত বক্তব্য Barnaby থেকে আসে জ্যাক, পূর্বে জুনিপার নেটওয়ার্কগুলির। জ্যাক গত কয়েক বছর ধরে এটিএম (অটোমেটেড টেলার মেশিন) দিয়ে প্রায়শই কাজ করে চলেছে এবং পণ্যগুলিতে পাওয়া কিছু বাগ সম্পর্কে কথা বলার জন্য প্রস্তুত। আমরা এখনো জানিনা যাদের এটিএম দুর্বল কিনা - অথবা এমনকি নির্মাতারাও প্রকাশ পাবে - কিন্তু এটিএমগুলি দুর্বলতা গবেষকদের জন্য একটি সবুজ ক্ষেত্র।

ব্ল্যাক হ্যাট কনফারেন্স ডিরেক্টর জেফ মোস বলেছেন যে এটিএম বাগগুলির কাজটি এর স্মরণে আছে ভোটকেন্দ্র গবেষণা যে কয়েক বছর আগে এসেছিল - যা সিস্টেমগুলিতে গুরুতর নিরাপত্তার দুর্বলতা দেখিয়েছে এবং অনেক সরকারি সংস্থাগুলি ই-ভোটিং শুরু করার পদ্ধতি পুনর্বিবেচনা করেছে।

জ্যাকের বক্তব্য বিতর্কিত। গতবছর ব্ল্যাক হ্যাট কনফারেন্সের শেষ মুহূর্তে জিনপার এটিতে টানেন, এটিএম প্রস্তুতকারীদের অনুরোধে। কিন্তু এখন একটি নতুন কোম্পানীর জন্য কাজ করছি, আইওএঅ্যাক্টিভ, জ্যাক এটএম ​​আক্রমণের কয়েকটি নতুন উপায় দেখানোর পরিকল্পনা করছে, দূরবর্তী হামলা সহ তিনি তার বক্তব্যের বর্ণনা অনুযায়ী "মাল্টি প্ল্যাটফর্ম এটম রুটকিট" কে কীভাবে কল করবেন তা প্রকাশ করবেন।

"আমি সবসময় 'টার্মিনেটর ২' এ দৃশ্যটি পছন্দ করেছি যেখানে জন কনর একজন এটিএম, ইন্টারফেস তার আতরি কার্ড রিডার এবং মেশিন থেকে নগদ উদ্ধার। আমি মনে করি যে বাচ্চা বীট পেয়েছি, "জ্যাক তার বিমূর্তে লিখেছেন।

2) DNS

দুই বছর আগে, ড্যান কামিনস্কি উন্মোচন করে বিশ্বব্যাপী শিরোনাম করেছে ডিএনএস (ডোমেন নাম সিস্টেম) ইন্টারনেটে কম্পিউটারের ঠিকানা সন্ধানের জন্য ব্যবহৃত একটি ত্রুটি। এই বছর, কামিনস্কি আবার ব্ল্যাক হ্যাটে কথা বলছে - এই সময় ওয়েব নিরাপত্তা সরঞ্জামগুলিতে। কিন্তু তিনি একটি প্রেস কনফারেন্সে অংশগ্রহণের জন্য চাপ সৃষ্টি করেছেন যেখানে তিনি এবং আইসিএএনএন (ইন্টারনেট করপোরেশন ফর অ্যাসাইনড নাম ও নাম্বার) এবং ভেরি সাইনের প্রতিনিধিগণ ডোমেন নাম সিস্টেম নিরাপত্তা এক্সটেনশান (DNSSEC) - DNS এর একটি নতুন উপায় নিয়ে আলোচনা করবেন যা একটি স্তর সরবরাহ করে যে কম্পিউটারটি ইন্টারনেটের সাথে সংযুক্ত, সেগুলি আসলে কি বলে।

প্রায় দুই সপ্তাহ আগে, ICANN একটি DNSSEC কী দিয়ে রুট সার্ভারের প্রথম ক্রিপ্টোগ্রাফিক সাইন ইন নিয়ে সভা করে। DNSSEC এখনও ব্যাপকভাবে সমর্থিত হয় না, কিন্তু ICANN আশা করে যে একটি রুট জোন সাইন করে, এটি অন্যদের তাদের সার্ভার এবং ক্লায়েন্ট সফ্টওয়্যার প্রোটোকলের সমর্থন করতে অনুপ্রাণিত করবে।

কামিন্সস্কি মত গবেষকরা বলছেন যে DNSSEC এর ব্যাপক গ্রহণ একটি সম্পূর্ণ গুচ্ছ অনলাইন আক্রমণের "আমরা কিভাবে ডিএনএসইএসসি শুধুমাত্র DNS দুর্বলতা মোকাবেলার যাচ্ছে তা আমরা দেখছি, কিন্তু মূল দুর্বলতা কিছু আমরা নিরাপত্তা আছে," Kaminsky একটি সাক্ষাত্কারে বলেন। "আমরা DNSSEC এর সাথে সমস্ত সমস্যার সমাধান করতে যাচ্ছি না … কিন্তু ডিএনএসএসইসি ঠিকানার প্রমাণীকরণের একটি পূর্ণ শ্রেণী প্রমাণ আছে।"

3) মোবাইল বাগগুলি

ক্র্যাক করুন! এই বছর ব্ল্যাক হ্যাট এ যে জিএসএম নিরাপত্তা গবেষকরা কী করতে যাচ্ছেন তা এভাবেই মার্কিন যুক্তরাষ্ট্র ও ইউরোপীয় মোবাইল নেটওয়ার্ক অপারেটরদের জন্য একটি প্রধান মাথা ব্যাথা হতে পারে। Kraken ওপেন সোর্স জিএসএম ক্র্যাকিং সফটওয়্যার যা শুধু সম্পূর্ণ হয়েছে। কিছু অত্যন্ত অপ্টিমাইজড রেইনবো টেবিল (কোডের তালিকা যা এনক্রিপশন-ব্রেকিং প্রক্রিয়ার গতি বাড়িয়ে তুলতে সাহায্য করে) এর সাথে সংযুক্ত, এটি হ্যাকারকে জিএসএম কল এবং বার্তা ডিক্রিপ্ট করার একটি উপায় দেয়।

Kraken কি করবেন না বাতাস। কিন্তু আরেকটি জিএসএম-স্নিফিং প্রকল্প - AirProbe নামে - এটি একটি বাস্তবতা তৈরি করার জন্য। এই সরঞ্জামগুলিতে কাজ করে এমন গবেষকরা বলছেন যে তারা দীর্ঘদিন ধরে কীভাবে গুপ্তচরবৃত্তি এবং নিরাপত্তার গাইকগুলি পরিচিত আছে তা নিয়মিত ব্যবহারকারীদের দেখাতে চান: যেটি T-Mobile এবং AT & T এর মতো বাহক দ্বারা ব্যবহৃত A5 / 1 এনক্রিপশন আলগোরিদিম দুর্বল, এবং সহজেই হতে পারে ভাঙা।

কিন্তু জিএসএম এনক্রিপশনটি কেন ভাঙা যায় যখন আপনি কেবল ফোকাস ব্যাজেসেশনের সাথে সংযোগ স্থাপন করতে এবং এনক্রিপশনটি ড্রপ করতে পারেন? এটা ঠিক কি ক্রিস Paget লাস ভেগাস ডেমো পরিকল্পনা এই সপ্তাহে, যেখানে তিনি বলেন, তারা তাদের অংশগ্রহণের অংশগ্রহণকারীদের আমন্ত্রণ জানাতে হবে কুপিত। একটি মজার ডেমো হওয়া উচিত, যদি এটি আইনি হয়। পাগল মনে হয় এটা। তিনি একটি দূরত্বে RFID ট্যাগগুলি পড়ার জন্য তিনি "বিশ্ব রেকর্ড" আহ্বান করেছেন - শত শত মিটার - যা তিনি ব্ল্যাক হ্যাট টক এ আলোচনা করবেন।

অন্য গবেষক, যা কেবলমাত্র গ্রেগকে হিসাবে পরিচিত, মোবাইল ডিভাইসে দূষিত জিএসএম নেটওয়ার্ক বেস স্টেশন এবং উপাদান নির্মাণ সম্পর্কে কথা বলতে হবে। "আমাদের বিশ্বাস করুন, আপনি * এই আলাপের সময়কালের জন্য আপনার ফোনটি বন্ধ করতে চাইবেন"। আলাপের বর্ণনাটি পাঠ করে।

এবং এক সপ্তাহের মধ্যে সিটিব্যাংকের ভর্তি পরীক্ষায় অংশ নেওয়ার ফলে এটি নিরাপত্তার সাথে জড়িত ছিল। আইফোন অ্যাপটি দেখতে আরেকটি আলাপ থাকবে তাকআউট সিকিউরিটি এর "অ্যাপ এ্যাটট্যাক", যা মোবাইল অ্যাপ্লিকেশনে অনিরাপদতার উপর আলোকপাত করবে।

4) শিল্পকৌশল দুঃস্বপ্ন

সিমেন্সের এই মাসটি স্বাদ পেয়েছে যা এটির প্রতিক্রিয়া জানাচ্ছে বাস্তব জগৎ SCADA (সুপারভিসরি কন্ট্রোল এবং ডেটা অর্জন) আক্রমণ, যখন কেউ একটি অত্যাধুনিক কীট তার উইন্ডোজ ভিত্তিক ম্যানেজমেন্ট সিস্টেম আক্রমণ আক্রমন। কিন্তু স্কেডা বিশেষজ্ঞরা বলছেন যে সিমেন্স শুধু অসফল ছিল, এবং এই ধরনের আক্রমণটি খুব সহজেই কোম্পানির প্রতিযোগীদের যে কোনও অংশে নেমে যেতে পারে। প্রকৃতপক্ষে, শিল্পকৌশল নিয়ন্ত্রণ ব্যবস্থার নিবিড় নিরাপত্তা বিষয়গুলি রয়েছে- এই বছর ব্ল্যাক টুপিতে তারা তাদের নিজস্ব ট্র্যাক পেয়েছে।

গত 10 বছরে, রেড টাইগার সিকিউরিটির প্রতিষ্ঠাতা জোনাথন পোলেট, 120 SCADA সিস্টেমের উপর নিরাপত্তা মূল্যায়ন চালানো হয়েছে, এবং সে সম্পর্কে কথা বলবে যেখানে নিরাপত্তা দুর্বলতাগুলি সর্বাধিক ফসল তুলতে পারে। প্লেট বলেন যে অনেক নেটওয়ার্ক আইটি এবং শিল্প সিস্টেমের মধ্যে কোনও ব্যক্তির ভূমিকর গড়ে তুলতে পারে না - কম্পিউটার যে প্রায়ই ঝুঁকিতে থাকে কারণ কেউ তাদের সম্পূর্ণ মালিকানা গ্রহণ করতে পারে না।

পোলেট যেখানে এই বাগগুলি দেখাবে অবকাঠামো - তার সংস্থা 38,000 দুর্বলতাগুলির উপর তথ্য সংগ্রহ করেছে - এবং তাদের জন্য লিখিত হয়েছে এমন অপব্যবহারের ধরন। "আপনি শূন্য দিনের দুর্বলতার জন্য অপেক্ষা করতে হবে না," তিনি বলেন,. "ইতিমধ্যে সেখানে অনেক শোষণ আছে।"

5) ওয়াইল্ডকার্ড!

মালিকানাধীন গোষ্ঠীর জিরো, যিনি গত সপ্তাহের শো রিভিউ এর প্রাক্কালে ড্যান কামিনস্কি এবং অন্যদের হ্যাক করেছেন? জিএসএম দিয়ে গেসে ফিড্ড বা এ টি এন্ড টি স্টপ পেইজ কি হবে? একটি বিপজ্জনক এটিএম বিক্রেতা Barnaby জ্যাক এর আলাপ একটি শেষ মিনিটের আইনী চ্যালেঞ্জ লঞ্চ হবে? Defcon এর সামাজিক প্রকৌশল প্রতিযোগিতা আর্থিক পরিষেবা শিল্পের কেউ একটি গসপেল গাট্টা কারণ? মৌমাছিদের একটি ঘনঘন রিভেরার পুলের উপর আক্রমণ করবে? কে জানে, কিন্তু ভেগাসে, অপ্রত্যাশিত আশা।

রবার্ট ম্যাকমিলন আইডিজি নিউজ সার্ভিসের জন্য কম্পিউটার নিরাপত্তা এবং সাধারণ প্রযুক্তি ব্রেকিং নিউজ জুড়েছেন। @ ববমসিমিলান এ টুইটারে রবার্টের অনুসরণ করুন। রবার্টের ই-মেইল ঠিকানাটি [email protected]