Black Hat en Defcon worden elk jaar na elkaar gehouden in Las Vegas. Black Hat trapt dit jaar af vandaag en morgen, waarna het stokje tot en met zondag overgenomen wordt door Defcon. Er zullen dit jaar weer wat verrassingen zijn op de conferenties, jmaar toch zijn er bepaalde onderwerpen waar je zeker wat extra beveiligingsnieuws over kunt verwachten.

1. Pinautomaat Jackpot

Het praatje waar het meest naar uitgekeken wordt, is die van Barnaby Jack (voorheen van Juniper). Jack is flink in de weer geweest met pinautomaten en zal een aantal bugs bekend maken waar ze mee kampen. We weten nog niet welke pinautomaten kwetsbaar zijn (laat staan of het ook apparaten zijn die in Nederland staan) en of de producenten überhaupt bekend worden gemaakt, maar pinautomaten zijn in elk geval een grazige weide voor beveiligingsonderzoekers.

Black Hat directeur Jeff Moss zegt dat het werk aan bugs in pinautomaten hem doet denken aan het onderzoek naar de beveiliging van de stemmachines van een paar jaar geleden. Daardoor zijn vele overheidsorganen in Amerika anders gaan denken over de manier waarop ze elektronisch stemmen aan het uitrollen waren.

De presentatie van Jack is controversieel. Juniper heeft vorig jaar vlak voor de Black Hat conferentie besloten om de bevindingen niet naar buiten te brengen, op verzoek van de pinautomaatfabrikanten. Nu werkt Jack echter bij het bedrijf IOActive en zal Jack verscheidene manieren laten zien waarop je de machines digitaal kunt aanvallen, zelfs van afstand. Ook zal hij een rootkit onthullen voor meerdere pinautomaatplatformen, aldus Jack zelf.

“Ik ben altijd fan geweest van de scene in Terminator 2 waarbij John Connor naar een pinautomaat loopt, zijn Atari aansluit op de kaartlezer en geld uit de machine krijgt. Ik denk dat ik hem eindelijk overtroffen heb”, schrijft Jack in zijn briefing.

2. DNS

Twee jaar geleden haalde Dan Kaminsky wereldwijd de chocoladeletters in kranten door een fout in het DNS (Domain Name System) bloot te leggen. Dit jaar is Kaminsky weer aanwezig op Black Hat en heeft hij het over Web beveiligingstools.

Ook is hij present bij een persconferentie waarin hij en mensen van ICANN (Internet Corporation For Assigned Names) en VeriSign DNSSEC zullen bespreken. Ongeveer twee weken geleden sprak ICANN over de eerste cryptografische signatuur van een root server met een DNSSEC sleutel. DNSSEC wordt nog niet extreem breed ondersteund, maar ICANN hoopt dat door het signeren van de rootzone de vonk overslaat naar anderen die het protocol dan gaan ondersteunen in hun client en server software.

Onderzoekers zoals Kaminsky zeggen dat de wijdverbreide adoptatie van DNSSEC een hele hoop online aanvallen kan tegengaan. “We hebben gekeken hoe DNSSEC niet alleen tegen DNS kwetsbaarheden kan beschermen, maar ook andere belangrijke lekken die er zijn in de beveiligingstak”, zei Kaminsky in een interview. “We gaan niet alle problemen oplossen met DNSSEC, maar er is een volledige klasse aan authenticatiekwetsbaarheden die DNSSEC wel aanpakt.

3. Mobiele bugs

Laat het ‘Kraken’ monster maar los. Dat is precies wat de GSM beveiligingsonderzoekers gaan doen op Black Hat van dit jaar. Het kan een behoorlijke migraine opleveren voor de Amerikaanse en Europese mobiele operators.

Kraken is een open source GSM kraakprogramma dat net af is. In combinatie met de goed geoptimaliseerde rainbow tables biedt het hackers een manier om mobiele gesprekken en berichten te ontcijferen.

Kraken haalt geen gesprekken uit de lucht, maar daar is dan weer een ander tooltje voor die dat probeert, namelijk AirProbe. De onderzoekers die aan deze tools werken zeggen dat ze aan reguliere gebruikers willen laten zien wat spionnen en beveiligingsgeeks al tijden weten; namelijk dat het A5/1 encryptie algoritme dat door providers als T-Mobile en AT&T worden gebruikt zwak is en makkelijk gehackt kan worden.

Maar waarom zou je GSM-encryptie kraken als je telefoons ook gewoon kunt wijsmaken dat ze contact hebben met een nep basisstation en de encryptie dus laten vallen? Dat is namelijk precies wat Chris Paget gepland heeft voor zijn demo in Las Vegas, waar hij zal demonstreren aan bezoekers dat hun telefoontjes onderschept kunnen worden. Als het legaal is, kan het een erg leuke demo worden. Paget denkt in elk geval van wel. Hij heeft verder nog naar eigen zeggen het wereldrecord RFID lezen op afstand gevestigd, wat hij zal bespreken bij een Black Hat praatje. Op DefCon zal hij evengoed mobiele telefoons af gaan luisteren.

Een andere onderzoeker die slechts bekend is onder de naam ‘The Grugg’ zal op Black Hat een presentatie houden over het bouwen van kwaadaardige GSM netwerk basisstations en -componenten op mobiele apparaten. “Geloof ons, je wilt je telefoon uit hebben tijdens deze demo”, zo luidt de omschrijving van de presentatie.

Ook is er nog een praatje over de onveiligheden in mobiele applicaties van firma Lookout Security, genaamd App Attack.

4. De industriële nachtmerrie

Siemens heeft nog altijd de gore nasmaak in de mond van hoe het is om te reageren op een SCADA (supervisory control and data acquisition attack), aangezien iemand eerder deze maand een wormaanval lanceerde op de Windows draaiende managementsystemen van het bedrijf. Scada experts beweren echter dat Siemens slechts pech heeft gehad en dat dit type aanval met gemak ook de concurrenten had kunnen treffen.

In de laatste 10 jaar heeft Jonathan Pollet, oprichter van Red Tiger Security, beveiligingsassessments gedaan op meer dan 120 SCADA systemen en hij zal praten over de plekken waar lekken waarschijnlijk zullen gaan opduiken. Pollet beweert dat veel netwerken een soort niemandsland hebben gecreëerd tussen IT en industriële systemen. In dat niemandsland staan de systemen waar niemand volledig eigenaarsschap over neemt.

Pollet zal vertellen waar deze bugs naar voren komen in de infrastructuur (zijn bedrijf heeft 38.000 kwetsbaarheden verzameld) en de typen exploits die ervoor geschreven zijn uiteenzetten. “Je hoeft niet te wachten op zero-day lekken”, zegt hij. “Er zijn er al een hele hoop namelijk.

5. Browsers roggelen persoonlijke data op

Elk van de meest gebruikte webbrowsers is kwetsbaar voor exploits die ervoor zorgen dat ze persoonlijke data ophoesten, waar hackers vervolgens je bankrekening mee kunnen plunderen of andere aanvallen kunnen doen. Jeremiah Grossman, CTO van WhiteHat Security, zal tijdens de Black Hat conferentie een demo geven met de titlel ‘Breaking Browsers: Hacking Auto-Complete’. Volgens hem zijn geen van de tools die hij gaat gebruiken ingewikkeld.

Grossman zegt dat zijn exploits ervoor kunnen zorgen dat browsers hun data opgeven die met de Auto-Complete functie is opgeslagen. De data omvat informatie zoals naam, adres, e-mailadres, maar ook wachtwoorden voor online banking en creditcardgegevens.

Grossman moest verschillende exploits schrijven voor elke browser. Het is hem echter wel gelukt om de Auto-Complete van verschillende versies van de browsers Internet Explorer, Firefox, Safari en Chrome te compromitteren. Onder de versies zijn Internet Explorer 6 en 7, die gezamenlijk een derde van de browsermarkt innemen. Hij zegt verder dat hij de browserfabrikanten heeft ingelicht, maar dat geen van de partijen met een definitief plan is gekomen om het probleem op te lossen. Het feit dat er verschillende exploits nodig zijn voor elke browser, suggereert echter volgens Grossman dat het om problemen gaat in de code van de software van de browsers en hij denkt dat de problemen gerepareerd kunnen worden.

Deze demo kan wel eens erg interessant worden, aangezien dit probleem bijna iedereen aangaat en er blijkbaar geen hogere wiskunde voor nodig is om exploits hiervoor te vinden in elke browser. En dat werkt natuurlijk exploits door kwaadwillende hackers in de hand.

Bron: Techworld