1、终结者2现实版，让ATM自动吐钞

　　今年最值得期待的演讲会是来自曾在瞻博网络工作过的Barnaby Jack，Jack过去数年一直从事ATM(自动取款机)安全研究，本次大会他将会精彩呈现他发现的部分漏洞，ATM目前是漏洞研究的绿地。

　　Black Hat大会主席Jeff Moss说ATM漏洞研究使人想起几年前的投票机漏洞研究，当时发现了投票系统的严重漏洞，迫使许多政府机构重新考虑他们的电子投票方式。

　　Jack的演讲备受争议，大会收到了多家ATM厂商的严正警告，在去年的Black Hat大会，直到最后一分钟瞻博才决定让Jack上，今年情况不同了，Jack已经离开瞻博到了IOActive，他打算在今年的大会上展示几种新型ATM攻击方法，包括远程攻击，根据大会主办方的活动说明，Jack还会透露所谓的“跨平台ATM Rootkit”。

　　Jack在他的摘要中写道：“我喜欢终结者2中的场景，John Connor走到ATM前，将他的Atari连接到读卡器，然后ATM就自动吐出现金，我已经让它变成了现实”。

　　(译者乱评：这和前不久前在国内出现的山寨ATM机完全不是一回事，Jack可以让任何一家银行的真实ATM自动吐钱，技术含量谁高谁低?)

　　2、DNSSEC是否能保DNS万无一失?

　　两年前，Dan Kaminsky揭露了让世人震惊的DNS漏洞，Kaminsky今年会继续出现在Black Hat大会上，但这次的演讲主题变成了Web安全工具，他也将参加一场记者招待会，将和来自ICANN和VeriSign的代表讨论DNS安全扩展(DNSSEC)。

　　大约两周前，ICANN才将互联网12台DNS根服务器完成DNSSEC的部署，目前DNSSEC还没有得到广泛支持，ICANN希望通过自己的实践，推动这一技术的普及。

　　Kaminsky表示普及DNSSEC将有效遏制网络攻击，他说：“我们正在研究如何让DNSSEC不仅可以解决DNS漏洞，还要让它解决一些核心漏洞，当然，DNSSEC不能解决所有问题，但它解决了身份验证相关的全部漏洞”。

　　(译者乱评：DNSSEC能杜绝DNS污染吗?Google加密搜索何时能才能用上!)

　　3、移动bug，普通人也能玩窃听

　　GSM安全研究人员今年将出现在Black Hat的演讲台上，这可能是美国和欧洲移动网络运营商最不想看到的，Kraken是刚刚放出的开源GSM破解软件，结合高度优化的彩虹表(rainbow table)，让解密GSM通话和短消息成为一件易事。

　　Kraken所做的就是监听空气中的通话，另外还有一个GSM嗅探项目 – AirProbe，使用这些工具的研究人员说他们现在想将这些技术展现给普通人，而对于那些间谍和安全爱好者早已不是什么秘密了，A5/1加密算法现在可以轻松破解，而T-Mobile，AT&T等运营商的GSM网络正是使用了这个加密算法。

　　Chris Paget将做这方面的主题演讲，他将会在大会上现场演示拦截听众的通话(当然得到邀请的听众是很幸运的，但回家后可能也会捉摸是否要将手机扔进垃圾桶)，如果合法的话，这将是一个有趣的演示，Paget还开发出了他称作“世界纪录”的RFID标签阅读器，可以在几百米远读取到RFID标签信息，在本次Black Hat上他也会就此做一些讨论。

　　另一位研究人员Grugq将会演讲如何构建恶意GSM网络基站和移动设备上的组件，他的演讲主题描述写道：“相信我们，在演讲期间你会有关掉手机的想法”。

　　另一个值得关注的演讲与移动应用程序攻击有关，随着智能手机的普及，移动应用安全问题也摆在了世人的面前，不要存在侥幸心理，听了该主题演讲的人一定会谨慎使用移动应用程序的。

　　(译者乱评：以后打电话小声点，是不是别人就窃听不到了?重要事情还是当面谈比较稳妥啊!)

9 7 3 1 2 4 8 :

本文来源：51CTO 作者：黄永兵