Startol a Black Hat hekkerkonferencia

A Black Hat konferencia mindig nagy érdeklődést vált ki a biztonság iránt érdeklődők körében. Ez persze nem is csoda, hiszen az egyik olyan eseményről van szó, amely a hekkerkedés legújabb trükkjeit igyekszik feltárni a publikum számára. A Black Hat a napokban érkezett az idei, amerikai állomásához. Már július 30-ától oktatásokat tartanak a szervezők a meghívott biztonsági szakértők bevonásával, azonban a konferencia ténylegesen ma startol, és több mint 50 előadással várja az érdeklődőket.

A szervezők szerint ezúttal legalább húsz különféle sérülékenységre fog fény derülni. A hekkerkedés pedig igencsak változatos lesz, hiszen az előadók a szokásos célpontok mellett a mobil készülékeket, az USB-s eszközöket, a nyomtatókat és az ipari rendszereket sem kímélik. Különös figyelem összpontosul az iPhone-ra és az Android alapú készülékek biztonsági gyengeségeire.

Michael Sutton, a Zscaler Labs kutatója a legkorszerűbb nyomtatók és szkennerek esetében alkalmazott, beágyazott webszervereket fogja górcső alá venni, és bemutatja, hogy egy támadó miként tud hozzáférni e készülékekhez, majd dokumentumokat, faxokat eltulajdonítani. Sutton úgy véli, hogy e hálózathoz csatlakoztatható készülékek esetében a védelem korántsem kielégítő, amit ki is lehet használni.

Matt Johansen és Kyle Osborn kutatók az elmúlt időszakban egyebek mellett a Google Chrome OS-re irányították a figyelmüket, és a konferencián beszámolnak az általuk elért eredményekről. Állítólag egy olyan hibát találtak, amely lehetőséget biztosít a támadók számára az elektronikus levelezés lehallgatására, cookie-k összegyűjtésére valamint dokumentumok kiszivárogtatására.

Dillon Beresford, az NSS Labs szakértője a Siemens Simatic S7 PLC (Programmable Control Logic) egyik sérülékenységének veszélyeit fogja érzékeltetni. A szakember a biztonsági hibát már a májusi TakeDownCon konferencián szerette volna leleplezni a nyilvánosság előtt, de végül a Siemens kérése visszakozott. A Siemens ugyanis attól tartott, hogy a biztonsági hiba napvilágra kerülése addig komolyabb kockázatot jelenteni, amíg nem készülnek el a megfelelő patch-ek.

Dino Dai Zovi kutató is érdekes előadást tervez, amely az iOS 4-gyel kapcsolatos biztonsági megfontolásokra tér ki. Célja, hogy olyan ajánlásokat osszon meg a közönséggel, amelyek révén vállalati környezetekben is biztonságosabbá tehető az Apple mobil eszközeinek használata.

Moxie Marlinspike, a Whisper Systems alapítója az SSL-t fogja alaposan szemügyre venni, és a hitelesítésszolgáltatók infrastruktúrájának különféle gyenge pontjaira igyekszik majd rávilágítani. Marlinspike szerint ugyanis ezek az infrastruktúrák sem mentesek a biztonsági résektől, amit a Comodo idei esete is alátámasztott. A Comodo incidense során többek között a Google, a Yahoo valamint a Skype egyes tanúsítványai is sérültek, így azokat vissza kellett vonni, és alkalmazások - főleg webböngészők - frissítésére is szükség volt. A szakértő egy olyan kliensoldali, Firefox-hoz telepíthető eszközt fog bemutatni, amely az egyes weboldalak megbízhatóságának ellenőrzését segíti elő.

A Black Hat előadóinak sorából nem maradt ki Charlie Miller sem, aki a mostani rendezvényen azt fogja szemléltetni, hogy miként lehet egy mikrovezérlő hekkelésével az Apple MacBook, MacBook Pro és MacBook Air számítógépek akkumulátorainak vezérlését, illetve a hozzájuk tartozó firmware-t manipulálni. Miller arra jött rá, hogy az Apple az egyik mikrovezérlőben két jelszót mentett el, amelyek közül az egyik teljes jogosultságot biztosít az általa kiszemelt firmware-hez.