Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

EuSecWest 2012 beszámoló - Második nap

2012.09.26. 08:00 | buherator | Szólj hozzá!

Kutyacica élménybeszámójának második része a csütörtöki napról a Tovább után

A csütörtök számomra olyan volt mint egy 8 órás Godot-ra várva elõadás. Még szerda este megjött Ralf-Philipp Weinmann, basebandhacker extraordinaire, akinek volt egy félkész baseband exploitja*. A nap azzal telt hogy erre vártam, de sajnos végül nem tudta befejezni, még úgy sem, hogy dvorak-ot is bevonta a dologba. (Ha nem ismerõsek a nevek, Vincenzo Iozzo-val karöltve többszörös Pwn2Own gyõztesekrõl van szó, õk nyertek elsõként iPhone-on, majd Blackberry-n, illetve idén Vincenzo és Willem hozták el a 2. helyet a browser Pwn2Own-on.)

Ezzel együtt azért voltak elõadások is. A Veracode-os srácok megismételték az Android jogosultságokat API-khoz való párosításával kapcsolatos munkájukról szóló elõadásukat még a BH-rõl. Egy Trend Micrós arc arról beszélt, hogyan lehet megfertõzni már APK formátumban leledzõ Android app-okat (a nehézséget a dalvik bájtkód közvetlen buherálása valamint a dokumentálatlan bináris xml formátum jelentette), sajnos azonban részleteket gyakorlatilag nem mondott így ez teljes unalom volt. Kár érte mert a cégnél aki a munkát igazából megcsinálta az a dex2jar-t fejlesztõ srác, szóval rá még kíváncsi is lettem volna. Ezután Julien Bachmann iOS appok auditálásáról beszélt, õszinte leszek: ebbõl annyi maradt meg hogy a "Keychain Dump"-ot "Kitchen Dump"-nak ejtette folyamatosan ami ötödszörre már rendkívül mulatságos volt ("and that's how we can dump the kitchen!").

A végére még két elõadás maradt, Corey és Max az Intrepidustól megint az NFC alkalmazásokról beszélt, ezt most nem részletezem mert ma felraktak egy jó összefoglalót a blogjukra .

Legvégül pedig Alexander Chemeris az UmTRX-et mutatta be. Alexander egy érdekes figura, a Qualcomm-hoz hasonló cégeket utálja :) pedig mi szeretjük mert jó arc és innovációt hoz az iparba. Egy klasszik FOSS harcos srácról van szó, akit konkrétan a mobil kommunikációs piac zárt kódú és méginkább zárt hardware-ű mivolta zavar és ez a cucc, amit a cége a Fairwaves fejleszt nem más, mint egy teljesen nyílt-forrású hardverfejlesztés SDR transceiver GSM hálózatokhoz. Na, ezt nem tudom magyarul, de a lényeg, hogy ez maga a rádió hardver, az analóg-digitális jelátalakítást elvégzõ full-duplex adó, ami egy Ethernet kapcsolaton keresztül ráköthetõ a GSM/UMTS stack felsõbb (2+) rétegeit megvalósító szoftverre, mint például az OpenBTS. A bottom line, hogy korábban erre az USRP volt az egyetlen "megfizethetõ" ($2000) alternatíva, ami azonban nem nyílt forrású, helyette most itt van már az UmTRX. Magam részérõl utálom a flaky USRP-ket, tudnám díjazni ha ez tényleg jobban menne, bár nekem van szerencsém ezek helyett olyan commercial-grade cuccokkal dolgozni mint az Anritsu dobozok, de sajnos ezek túl drágák hogy legtöbb esetben szóba jöjjenek.

Hát nagyjából ennyi volt a konferencia. Bennem maradt hiányérzet, mert mind a baseband feltörés, mind Thomas Roth (@stacksmashing) "Phone Bootlader Security" elõadása elmaradt, de azért összességében nem volt rossz.

*Ez az egész baseband cucc egy izgalmas külön világ, amire reméltem, hogy most egy csomó fény vetül. Bár ez sajnos most elmaradt - mindenképpen ajánlom RPW 'All Your Base Are Belong To Us' cimū elõadását, a CCC-n is leadta The Baseband Apocalypse címen úgyhogy ki is lehet youtube-ozni.

Címkék: esemény beszámoló eusecwest az olvasó ír

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.