让我说,拉斯维加斯规则开始!而且,我目前上涨约$ 10,000。我有这个漂亮的一块地卖给你。不管怎么说,黑帽的第一天是一流的,一如往常。它保留了最好的安全会议的标题可用,如果你必须选择一个刚一年,这应该是它。我计划写一篇覆盖,但要走出今天的快速摘要你所有的主题至少有两个以上的文章。这是我今天的议程
- 糟糕的寿司:在钓鱼者自己的游戏中打败他们- 即进入细节上的网络钓鱼者如何思考,行动,并从中获利优秀的会话。Nitesh Dhanjani和比利·里奥斯(扬声器)向我们展示了如何钓鱼网站创建,共享信息和代码,基本上是懒惰。我肯定会在这个问题上更详细地未来几天的博客,但亮点是那个钓鱼者存储在网站上的数据被盗(信用卡号码,社会安全号码,ATM卡销等),他们已经侵入或网站像留言簿。更糟糕的是,他们根本不保护他们的数据被盗的访问。没有密码,没有加密,没有被感染的服务器硬化他们使用存储该上,什么也没有!这意味着,所有需要一个做找到自己这个信息是逆向工程一个真正的钓鱼者的网站,看看他们的PHP脚本,并找出它们存储的数据。然后干脆去那里抢窃取数据。任何人都可以通过访问http://www.phishtank.com找到一个积极的钓鱼网站,一个众所周知的网站,对已知的恶意钓鱼网站,类似于一个URL黑名单站点的主机信息。卖东西像信用卡,他们发现一个网站叫vipdump在那里你可以买到美国窃取信用卡号码各20 $。 Vipdump is just one of hundreds of such sites, all of which use some form of anonymous payment system like egold or WU. And in case you didn’t know phishers call their stolen account numbers “dumps”. So one card number is one dump. They went on to talk about skimmers, the phishing community network, code sharing, etc. But I’ll leave that for another blog.
- 利用优势:滥用SSLVPNs (Michael Zusman)——Michael在演讲开始时详细介绍了他是如何使用现有的财富500强公司网站的FQDN从主要CA购买证书的!当填写请求表单时,他只是选中了声明证书将不会在internet上使用而只用于内部测试的框。幸运的是,迈克尔也表示大多数CA拒绝了他的请求。但只要一个CA就能破坏聚会。这对你意味着什么?想象一下:一个用户的DNS缓存在他们的客户端中毒了,所以网站(与你拥有的新证书相关)指向一个http代理。在现场演示中,使用的代理是TSeep代理。攻击者不在中间。用户访问有问题的网站,通过TSeep代理,他将您拥有的闪亮的新证书交给用户。用户浏览器查看cert,因为FQDN和其他字段是完美的,CA是可信的,所以它永远不会弹出任何内容,骄傲地在页面底部显示锁图标,它又胖又笨,很高兴。因此,现在MITM代理将所有请求转发给真实的网站,然后再转发给用户。 Walla!!! The attacker sees everything the user sends or receives from the real website in the clear and neither the client nor the real server have any idea. Scary! The rest of the talk was about ActiveX vulnerabilities that can be exploited on the sslvpn client side of the house. An live exploit was demoed using a non-cisco sslvpn vendor during the session. The Vendor in question has recently posted a patch for it. So more to come on that topic too, mostly because I have to figure out how Cisco’s SSLVPN protects against these attack vectors and get back to you on it.
嗯,我的时间很短,以后必须发布我参加的其他会议。但是很快就会看到他们的标题:虚拟安全启示录的四骑士,以及通过网络流分析检测恶意软件。
这个博客是我自己的观点,而不是我的员工的观点