CONFidence 2010 właśnie się kończy, w imprezie znacząco nazwanej ‘game over’. miałem przyjemność uczestniczyć i nawet opowiedzieć o bezpieczeństwie IPv6 (prezentacja znajduje się w dziale prezentacje). małe podsumowanie sesji na których byłem:
- Jak poznałem Twoją dziewczynę - nie można było pozbyć się ciągłego wrażenia że sesja jest nastawiona bardziej na autoreklamę niż coś rewolucyjnego, tym bardziej że część demonstrowanych technik miała bardzo dyskusyjną skuteczność, ale nienajgorzej się tego słuchało - chodziło o to jak w serwisach typu FaceBook podszywać się pod znajomych znajomych
- 2010 – rok exploitów - dobra sesja sponsora CONFidence, rzeczowo podsumowująca to co się działo w 2010 roku
- Lockpicking - niestety nie byłem, ale zarówno sesja jak i późniejszy konkurs na 'rozkuwanie się w parze' zrobił furorę na CONFidence
- Dev and blind - nieco hermetyczna sesja, ale pare dosyć ciekawych uwag co do współpracy pomiędzy developerami i ludźmi od bezpieczeństwa i testów penetracyjnych
- Zarządzanie serwerem z użyciem DSSH - podobnie jak poprzednia, bardzo konkretnie adresująca jeden konkretny problem z którym zmierzyła się popularna w Czechach firma integratorska
- Nowe podatności w masowo wykorzystywanych technologiach - co ciekawe, Pavol nie pokazał nic nowego, ale to co pokazywał i tak było imponujące - od "w biegu" łamanego RFID w układach stosowanych w transporcie publicznym (również naszym, polskim), po łamanie szyfrowania A5/1 i A5/3 (gdy rozpoczną się wdrożenia LTE w końcu będzie można korzystać z IPsec zestawianych per-rozmowa, a nie zamkniętych schematach szyfrowania które mimo skompromitowania są uznawane przez operatorów za wystarczające)
- Odkryce i wizualizacja protokołów sieciowych za pomocą narzędzi do wyrównywania sekwencji biologicznych - ciekawe badania kolegow z PCSS, niestety zabrakło mi jakoś jasnego wytłumaczenia do czego to konkretnie ma służyć oprócz zadania, które prowadzący przedstawił na początku (badania transmisji z zamkniętego oprogramowania do otwartej biblioteki dostarczonej przez twórcę tegoż oprogramowania)
- Łamanie aplikacji w środowiskach z dzielonym hostingiem - prosta demonstracja jak można się podszywać za kogoś innego w środowiskach gdzie PHP jest współdzielone pomiędzy wieloma użytkownikami w ramach systemu operacyjnego, lub twórcy kodu przepisują go wprost z popularnych książek - żadna rewelacja, ale z demem pokazane co i jak
- Ukierunkowane ataki - od bycia ofiarą do kontrataku - świetna sesja Andrzeja Dereszowskiego, który pokazał jak można zaatakować 'exploitującego' - a dokładniej platformę Poison Ivy i przejąc kontrolę, prowadzić monitoring, etc. bez wiedzy 'właściciela botnetu' - naprawdę coś co warto obejrzeć, parę miesięcy pracy i świetny rezultat - tylko pogratulować!
- Paranoja czy zawyżone standardy bezpieczeństwa - Tomas na pewno miał jakiś pomysł na tą sesję, ale wyraźnie przeszkadzała konieczność mówienia po angielsku, mijanie się z faktami (i to dosyć rażące) w paru miejscach oraz zakończenie sesji 30 minut przed czasem - zdezorientowało to uczestników :) parę ciekawych choć nierealnych (wytknięte przez Nicka Nikiforakiska 'jedno główne hasło' ośmieszało nieco stwierdzenie o 'paranoicznym' bezpieczeństwie...) pomysłów... cóż, na pewno można to przedstawić lepiej i w sposób bardziej przemyślany następnym razem