Bu sene ki Black Hat 2006 Konferansı, daha fazla katılımcı, daha fazla konu ve de şimdiye kadar kilere kıyasla daha büyük bir mekan ile konferansı organize edenlere göre neredeyse on yıllık mazilerindeki en önemli aktivitelerden biri olmayı vaadediyor.
Bu konferans, bugüne kadar, bilgisayar hırsızlığındaki yeni eğilimlerin tartışıldığı bir yer olduğu kadar, daha önce bilinmeyen açıkların ortaya çıkarılmasını sağlayan güvenlik sürprizlerinin açıklandığı bir sahne görevi de görüyor.
2006’daki bilgisayar güvenliğine bakış
Bu yılın konu başlıkları, bilgisayarlarda yaşanmakta olan güvensizliğin bir listesi durumunda. Moss, yapılan konuşmaların her zaman endüstride yaşanmakta olanları yansıtmakta ayna görevi gördüğünü söylemişti. Gerçekten de, bu sene de durum farklı değil. Moss;
Konferans gündeminde, VoIP, Web uygulaması, Web 2.0 stili korsanlık ve karşı-mühendislik konulu pek çok konuşma var. Bence tüm bunlar, bundan sonrasında ortaya çıkacak güvenlik açıklarının birer yansıması.
Bu sene içerisinde, her şey gerçekten de değişti. Sadece bir ya da iki Web-tipi konuşmanın yerine milyonlarcası mevcut.
Güvenlik çevrelerinde ortaya çıkan yeni bir eğilim ise “network erişim kontrolü teknolojileri” veya Cisco’nun tabiriyle “NAC” (Juniper bunu UAC olarak adlandırmakta).
NAC, Black Hat toplantısında saldırı altında olacak.
StillSecure’nin şef stratejisti Alan Shimel internetnews.com’a yaptığı açıklamada şunları söyledi;
- Bu konu diğer büyük sergilerde olduğu gibi Black Hat’te de ana odak noktalardan birisini oluşturacak. Bu konudaki bir takım görüşler, NAC ürünlerini alt etmenin bir yolunu bulduklarını düşünen Insightix gibi şirketlerce gittikçe artan bir biçimde gündeme getirilecek.
Shimel, Networkler üzerinde, network erişim kontrolünü değişik metotlarla (DHCP, 802.1x, vs..) kurmanın fayda ve zararlarını irdeleyen güvenlik uzmanları arasında Insightix’in metodolojisinin tartışmalara yol açmasını bekliyor.
Diğer taraftan, bizzat “güvenlik ürünlerinde yaşanan güvenliksizlikler” de, konferanstaki pek çok sunumun ana teması durumunda. Shimel’e göre, toplantıda en az 15 yeni istismar yöntemi tartışılacak. Shimel
Bu konuda çalışan birey veya organizasyonların, araştırmalarını ne türde metodolojiler üzerine temellendirdiklerini görmek ilginç olacak.
Bazılarını akla yatkın bulacağız ve belki pazara farklı bir bakış açısı getirecekler. Diğerleri ise network mimarisindeki doğal bir takım güvenlik açıklarını göz ardı ederek sadece meselenin bir yüzünü değerlendirecekler.
Juniper’in Güvenlik Mühendisliği & Araştırma Bölümü yöneticisi Avishai Avivi, internetnews.com’a kendi takımının, IPS teknolojileri ve istismar teknikleri konularını araştıracaklarını söyledi. Avivi, geçtiğimiz yıllarda IP üzerinden ses iletimi (VoIP) güvenliğine ayrılmış sadece bir veya iki konuşma varken, bu seneki toplantıda tam bir bölümün bu konuya ayrılmış olmasına dikkatleri çekiyor:
Bu sene tüm bir gününüzü sadece VoIP sistemlerine nasıl sızabileceğinizi dinleyerek geçirebileceksiniz.
VoIP güvenliği her zaman ilgi çekmiştir ancak bu seneki durum bu konudaki araştırmaların gerçekten hakkını verdiklerini gösteriyor.
Muhtemelen VoIP sistemlerinde gizlenmiş pek çok önemli çatlak söz konusu. VoIP kullanımı arttıkça, bu çatlakların keşfedilme ihtimali de artıyor.
Black Hat 2006 Konferansının içeriğini aktardığımız yazının devamını BlackHat 2006: Günahlar Kentinde Güvensizlik Hissi-2 başlığı altında okuyabilirsiniz.
Kaynak : 