Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

DerbyCon 2.0 beszámoló

2012.10.20. 18:30 | buherator | 4 komment

Spala Feri és Tóth Laci kiérdemelték, hogy előadhassák az idei DerbyCon-on a később Hacktivity-n is bemutatott "Adatbázis hackelésről másképp" című alkotásukat, mellyel azt hiszem sikerült ismét megerősíteni kishazánk körvonalait a nemzetközi IT-biztonsági térképen. Feri - akiben Hacktivity szervezőt is tisztelhetünk, egyébként pedig a Deloitte-nál szakért - volt olyan kedves, és összefoglalta tengeren túli tapasztalatait (az anyagot angolul kaptam, fordítás tőlem):

LaciFeriMenniAmerika

Egy fél mondat, hogy miért is keletkezett ez az írás. Egyszer volt hol nem volt, Tóth Lacival úgy döntöttünk, hogy megpróbáljuk meghódítani Amerikát és beadtuk több konferenciára is a mi kis kutatásunkat. Aminek az lett az eredménye, hogy az idén másodszor megrendezésre kerülő DerbyCon (Loisville, Kentucky) elfogadta a témát és meghívtak minket előadni. Így esett, hogy ketten felkeredtünk és szeptember végén átrepültünk a nagy víz túloldalára mutatni egy kis Oracle kung-fut az amerikaiaknak.

Először is elszeretném mondani, hogy ez volt az első látogatásom az USA-ban, szóval egyes észrevételek mások számára magátólértetődőek lehetnek. Azt hiszem mindnyájan tudjátok, hogy ez egy telejsen más világ, és a legtöbb dolog szokatlan egy Közép-Kelet Európából érkező látogató számára. Ez a hacker konferenciákra is igaz. Bizonyos szemszögből a DerbyCon olyan mint a Hacktivity, vannak szponzorok, lockpickerek, srácok a helyi hackerspace-ből, ajándéktárgyak, stb. De a legtöbb előadás, vagyis a legtöbb előadó különböző. Az amerikai előadók nem prezentációt tartanak, hanem show-t csinálnak. Bár ezek a srácok ugyanúgy penteszterek és IT szakemberek, de tudnak szórakoztatni, el tudják adni magukat. Ezt pedig nem szabad alábecsülni, én szakiként, értékelve a tudást és a bináris kung-fu-t azt mondom, hogy ez nem elég, és messze le vagyunk maradva ezek mögött az arcok mögött. Szakmai szempontból sok előadás semmi újat nem mondott, én (és gondolom nagyrészt ti is) tisztában voltam azzal, hogy nem jó ötlet minden adatunkat kiadni a Facebooknak, Twitternek, Google-nek, vagy mindenemet a mobilomon tárolni, de Tom Eston és Kevin Johnson Social Zombies előadása megnevettetett, jól éreztem magam és jól szórakoztam közben. És ez nem csak a "könnyed" előadásokra igaz, Rob Fuller és Chris Gates a carnal0wnage-ból mutatott pár király trükköt és hasznos eszközt, melyeket behatolásztesztelések közben fejlesztettek ki, és ők is szórakoztató módon adták elő mindezt. Jó, persze nem minden előadó showman (mint Joe McCray - lásd: Hacktivity), de a legtöbb annyira könnyeden, felszabadultan nyomja, hogy még ha nem is mondd semmi újat, akkor sem érzed úgy, hogy elvesztegetted az időt.

A szentimentális összefoglaló után néhány szóban az előadásokról:

A nyitóünnepség után HD Moore mutatta be egyik kutatását, melynek keretében portscaneket futtatgatott [a teljes Internetre kiterjedően - a szerk.], és statisztikákat készített az azonosított szolgáltatásokról és azok eloszlásáról a különböző IP címeken. Mély szakmai szinten nem sok újdonságot hallottunk, de az előadás érdekes volt, egy remek keynote a csodás Metasploit atyjától. HD-t Dan Kaminsky követte, aki olyan örök kedvenc IT-biztonsági problémákról beszélt, mint a véletlengenerálás vagy az SQL injection - miért léteznek még mindig ezek a problémák, és hogy lehetne őket véglegesen megoldani? Még egy keynote egy ikonikus IT-sec formától, úgy két órán belül láttam HD Moore-t és Dan Kaminsky-t egy színpadon, nem rossz! De haladjunk tovább, egyp7 a Metasploit jogosultságkiterjesztési lehetőségeiről beszélt, ami unalmasnak tűnhet, de hányan tudtátok, hogy Metasploiton belül lehet C programokat fordítani? Johnny Long a Hackers For Charity-ről beszélt, ezzel kapcsolatban két megjegyzés: Először is tudtátok, hogy a DerbyCon 2.0-n többet (kb. 30 ezer dollárt, ha jól emlékszem) gyűjtöttek nekik, mint az egész DefCon?  Másodszor, el kéne gondolkoznunk a programban való részvételen, nem? Lehet hogy el kellene hívnunk Johnny-t a 2013-as Hacktivityre...

Visszatérve az előadásokhoz, Matthew Sullivan saját készítésű eszközét, a Cookie Cadert mutatta be, ami a HTTP session hijackinget könnyíti meg, megér egy pillantást.

Bevallom nem ültünk bent minden előadáson (nem is tudtunk volna, mivel 4+1 párhuzamos szekció volt), mert ellógtunk városnézni, na meg próbáltunk is párat. Amúgy tudtátok, hogy Muhammad Ali Lousville-ből származik? Építettek is egy nagy múzeumot a tiszteletére, ahol egy lány(!) osztálynak tartottak tanulmányi kirándulást amíg ott voltunk. Baromi érdekes volt ez is, az egész Ali Centernek volt egy ilyen "Légy büszke!", "Bármit elérhetsz!" hangulata, ami nem csoda, ha valaki látott legalább
egy dokumentumfilmet Aliról, akkor ezen nem lepődik meg, viszont az amerikaiak úgy általában is ilyen felfogásban élnek és ezt már fiatalkorban megismertetik a gyerekekkel. A tizenéves kiscsajok is járkáltak körbe a füzetükkel és fel kellett írniuk ezeket az idézeteket, gondolatokat. Jó, persze van aki erre azt mondja, hogy agymosott amcsik, de valahogy mégiscsak működik ez az egész. Mégiscsak boldogabbnak tűnnek valahogy. És ha már belekezdtem ebbe a kitekintésbe, még egy dolgot megnéztünk, a baseball ütő múzeumot és gyárat. Ugyanis az amerikai profi baseball liga (MLB) játékosainak nagy többsége Loiusville-ben gyártott (Louisville Slugger) ütőt használ és most már nekünk is van egy-egy kicsinyített :). Ja és még valami.. ettünk igazi amerikai steaket, felejtsétek el amit itthon adnak, kihoztak egy kb 40 dekás húst egy kb fél kilós krumplival, és az íze… hiába na, mindent a maga helyén kell enni. És most már értem miért nagydarabok az amerikaiak...

Összegezve a gondolataimat az első amerikai konferenciámról:
- Nem egy pályán focizunk. Ezt úgy értem, hogy a DerbyCon egy kis konferencia, de ott volt Johnny Long, HD Moore, Dan Kaminsky, Jeff Moss, és még sokan mások (megjegyezném, hogy a DerbyCon nem állja az előadók utazási vagy szállásköltségét. 200 dollárt kapsz, vagy két ingyen jegyet)
- Az amerikai közönség teljesen más. Nevetnek, tapsolnak, és a teljes előadást interaktívvá teszik. Odamennek az előadókhoz az előadás után, hogy csak annyit mondjanak, "ez jó volt, haver!", "köszi, jól szórakoztam!", ésatöbbi. Ezt nevezzük amerikai mentalitásnak azt hiszem.
- Nem elég csinálnod egy remek technikai előadást, úgy kell kung-fuznod, hogy közben szórakoztatod is a veled szemben ülőket. Nem csak azért, mert lehet hogy nem értik a l33t részeket, hanem azért, mert a többségük szórakozni is szeretne a tanulás mellett. Szóval süss vigyort a közönség arcára és mutasd meg mit tudsz, ez a legjobb kombináció!

Végezetül fogadjátok szeretettel Feriék prezentációját:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

dnet 2012.10.23. 19:04:38

"valahogy mégiscsak működik ez az egész. Mégiscsak boldogabbnak tűnnek valahogy." – a háború béke, a szabadság szolgaság, a tudatlanság erő ;)

Talán a legszebben egy amerikai jogász hölgy írta le a különbséget az egyesült államokbeli és európai konferenciák közt 27C3-mon, rávilágítva arra, hogy utóbbin az emberek foglalkoznak politikával is. Nem véletlen, hogy „tengeren innen” sikerült az ACTA elutasításával távol(abb) tartani a „túlparton” már mindennapok részévé vált, DMCA által körvonalazott abszurd jogi világot, ami alapján jó pár reverse engineer srácot vegzáltak már „odaát”. És akkor még a szoftverszabadalmakat ne is említsük...

eax_ 2012.10.24. 17:40:22

@dnet: "a tudatlanság erő"

Kemeny szavak.

"DMCA által körvonalazott abszurd jogi világot"

Muhaha. A francia "jogi vilag"-ot nezted mar? A nemetet? A magyart?