Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Békével jöttünk - helyzetjelentés a 27C3-ról

2010.12.29. 20:06 | buherator | 1 komment

Harmadik napunkat töltjük a 27. Chaos Communication Congress-en, Berlinben, a poszokat hiányolók kedvéért most következzen egy szedett-vetett beszámoló az eddigi eseményekről:

A konferencia előadáskínálata még a tavalyinál is erősebb, a prezentációk pedig remekül kiegészítik egymást. Az ilyen előadás-csoportok közül a legjelentősebb talán a GSM-hackelés, amely már múlt évben is komoly figyelmet kapott. Míg azonban 2009-ben a hatóság letiltotta a programozható rádiókkal megvalósítani kívánt GSM-lehallgatás demóját, addig most már az első napon élőben láthattuk, hogy hogyan lehet bemérni majd lehallgatni mobiltelefonokat egy laptop, két másik, 2000 Ft-os telefon, valamint néhány terányi szivárványtábla segítségével! A támadás megvalósításához szükséges összes tartozék könnyen beszerezhető, így már senki sem ringathatja magát abban a reményben, hogy a hívásainak lehallgatásához nem éri meg adott mennyiségű erőforrást felhasználni, a HACK számára viszont legalább egy izgalmas projektlehetőség adódott.

A múltba tekintő témák nyilván itt is gyakran a Stuxnet köré csoportosulnak, az ezzel fogalalkozó előadások közül FX "Hogyan írjunk saját disassemblert?" című értekezését sikerült steamen megnéznem. Ebben amellett, hogy gépi-utasítás-szintű bepillantást nyerhettünk az állítólagos kiberfegyver kódjába, olyan új nézőpontból tekinthettünk az általa okozott problémára, amely tulajdonképpen a biztonsági szakértők szavahihetőségét illetve kompetenciáját kérdőjelezi meg: Miért hasraütéssel becsüljük a féreg keletkezésének idejét, mikor a fordító által elhelyezett mettaadatok tartalmazzák a fordítások idejét? Miért hívják egyáltalán Stuxnet-nek, ha a kódban nem található utalás ilyen karakterláncra?

És bár az ipari vezérlőrendszerek biztonságának fontosságát Berlinben sem vonja kétségbe senki, Ertunga Arsal és Tereknz Flotow SAP biztonságról szóló előadását is szeretném kiemelni, amit minden SAP üzemeltetőnek kötelező anyag kellene hogy legyen. Ezeken a rendszereken keresztül is igen komoly dolgok manipulálhatók, és mint kiderült, az üzleti folyamatokra fókuszáló architektúra kényelmes környezetet biztosít a támadóknak és rootkitjeiknek is, egyáltalán nem valószínűtlen tehát, hogy a "kiberkatonák" már rég megszállták a kritikus üzleti rendszereinket!

A fentiek mellett persze rengeteg izgalmas programon vehetünk részt a Dunkin Donuts humán DDoS-olásától kezdve az igazságügyi DNS-szakértés workshopokig, most viszont be kell fejeznem a poszt írását, hogy meghallgassam, hogyan fogok ingyen sörözni a következő fesztiválszezonban :)

Majdnem elfelejtettem: Élő streamek nézhetők a 27c3.fem-net.de címen, a felvételek pedig folyamatosan kerülnek fel a SecurityTube-ra

Címkék: esemény sap gsm stuxnet 27c3

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

b. á. 2010.12.30. 18:24:30

pseudo-offtopic /*ha megengedtek egy szellemi ökölcsapásként büntető faviccet*/: egy igazságügyi DNS vizsgálatot valakinek a fésűje vagy fogkeféje alapján én is meg tudnék csinálni pár óra alatt. Ja, vagy domain name service? Azt sem tudnám, hogyan kezdjek hozzá :)