30 июля Лас Вегас стал столицей хакеров, нет он не стал ей постоянно и вы можете быть уверены, что в этом
городе банкоматы не будут воровать у вас деньги. Просто, ежегодно, в это время в Лас Вегасе проводится всемирный съезд хакеров, где они делятся с общественностью теми уязвимостями, которые им удалось обнаружить в системах и рассказывают о мерах, которые, по их мнению, необходимо предпринять для устранения этих уязвимостей. Носит это мероприятие символичное имя Black Hat.
На Black Hat в этом году проводились в Caeser’s Palace. Были зачитаны 50 докладов о самых примечательных уязвимостях, которые былиобнаружены за этот и предыдущий год, были обмены опытом и мнениями. Некоторые, как например Дон Бейли (Don Bailey) старший консультант по безопасности iSEC Partners выступил с докладом о возможности взлома систем сигнализации, основанных на GSM методах оповещения и GPS систем, которые дадут возможность злоумышленникам, не только вычислить автомобиль, но и привести его в нужный район, где можно совершить на него нападение. А в случае угона, подменить метку на определителе с одного автомобиля на другой, что делает определение его местонахождения невозможным.
Чарли Миллер выступил с докладом о возможности заражения вирусом аккумулятора MacBook и выводом его из строя.
Аргентинские специалисты из компании Onapsis продемонстрировали взлом систем под управлением ERP SAP (Информационная система управления финансами, используемая большинством банков).
Нейт Лоусон и Телор Нельсон продемонстрировали взлом паролей наиболее популярных систем, защищенных криптографическим методом, когда одновременно на сервер посылается два запроса, но один из них — неверный, но именно реакция на ложный пароль приходит к тому пользователю, который ввел верный пароль, в то время, когда его данные получает злоумышленник.
Россиянин Александр Поляков из Digital Security показал, что системы, основанные на движке SAP, вообще не выдерживают никакой критики с точки зрения безопасности.
Было высказано мнение, что все современные браузеры содержат изъяны с точки зрения безопасности, но Safary
и Chrome.
Разумеется, что была высказана не только критика этих систем, но и предложены меры борьбы с уязвимостями, и были предложены утилиты, которые временно закрывают существующие бреши в безопасности, пока разработчики не закроют их.
По окончании конференции был проведен конкурс на получение ежегодных призов Pwnies Awards наиболее отличившимся хакерам и наиболее уязвимым системам и устройствам. Всего таких номинаций было 8, но была еще одна номинация на лучшую песню на хакерскую тему.
Итак вот они эти номинации и их герои:
1. В номинации на самую глючную серверную систему приз получил ASP.NET Framework Padding Oracle ( CVE-3332-2, 010 ). Получили ее Джулиано Риццо, Тай Дуонг.
Джулиано и Тай показали, что ASP.NET выполняет любую команду Oracle, запущеную на удаленном ASP.NET приложении и совершает заданные действия на сервере.
2. В номинации на самый большой клиентский баг (ошибку) приз получил FreeType
vulnerability in iOS (CVE-2011-0226). Получил премию Comex (не все хакеры хотят, чтобы их настоящие имена были известны, а у некоторых, псевдоним более известен, чем их настоящие имена).
Под клиентом в данном случае подразумевается браузер. В двух словах, шрифты ведут себя как хотят и, более того, в них можно еще и загрузить «полезную нагрузку», т.е. вирус или шпионскую программу.
3. В номинации на самую лучшую ошибку в нарушении прав системы приз получило ядро Windows kernel win32k user-mode callback (MS11-034) и Тарджей Мандт. Он обнаружил более 40 уязвимостей в ядре Windows в течении года.
4. В номинации на самое инновационное исследование приз получил Петр Баня за разработку метода перевода программных кодов в текстовую программу и воссоздания программ с «дополнительной полезной нагрузкой». В этой номинации мог бы участвовать и наш Ефим Бушманов, если бы не поспешил опубликовывать свои работы по расшифровке кода Skype.
5. В номинации на самое высшее достижение в области безопасности приз получил pipacs — этот человек в течении многих лет помогал многим победителям своими советами и подсказками, указывал на многие прорехи в безопасности, оставаясь все время в тени. Его заслуги были засчитаны наибольшими всеми участниками встречи и он заслужил всеобщее уважение своими работами в области безопасности.
6. В номинации на самого худшего оборудования премию получил RSA SecurID token compromise
производитель: RSA.
RSA произвел ключи безопасности, взломав которые злоумышленники проникли на сервер Lockheed-Martin и других компаний, включая банки.
7. В номинации самой лучшей песни на тему хакеров премию получил репер Geohot за »The Light It Up Contest»
8. В номинации за самый лучший ляп в безопасности получила корпорация Sony, которая, после того, как Geohot опубликовал jailbreak для PS3 решила судиться и попыталась стереть все, что могла из интернета. А после взлома своей системы обмена мультимедиа пыталась замять скандал, не предпринимая мер безопасности. И, даже отрицала, что данные ее пользователей (по оценкам от 25 до 77 миллионов) были украдены. А после того, как были взломаны серверы системы PlayStation, просто отключила их на два месяца, затеяв разбирательство, кто виноват, в результате которого была разогнана почти все команда, поддерживающая безопасность и пришлось начинать все с нуля.
9. В номинации эпическое исполнение награду получил вирус Stuxnet, как уникальный в своем роде. Этот вирус был разослан по всему миру с одной целью: вывести из строя центрифугу по обогащению урана и помешать иранской ядерной программе. Цели он не достиг, но хлопот принес немало, обратив на себя пристальное внимание всего компьютерного мира.
You must be logged in to post a comment.