Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

30C3

2014.01.04. 19:15 | buherator | Szólj hozzá!

Idén is volt szerencsém ellátogatni a Chaos Computer Club éves kongresszusára, a 30. Chaos Communication Congress-re (30C3). Belegondolva, ez a társaság már akkor az XC3 szervezésével foglalatoskodott, amikor én még meg sem születtem! A CCC mostanra a világ egyik legnagyobb és minden bizonnyal legpatinásabb hacker rendezvényévé nőtte ki magát - néhány éve a "hatalmas" szóval leírható Berlini Kongresszusi Központpól a rendezvényt a még nagyobb hamurgi létesítménybe kellett költöztetni, melynek nagyelőadói leginkább a Galaktikus Szenátus üléstermére emlékeztetnek, az épület folyosóin barangolva pedig négy nap után is komplett új épületszárnyakba botlik az ember, ahol addig ismeretlen geek kolóniák vertek tanyát.

A teljes rendezvényt egy ember egy alkalom alatt minden bizonnyal képtelen átlátni, a változás pedig évről évre olyan mértékű, hogy átfogó beszámolót adni legfeljebb a gonzó újságírás megközelítéseit bevetve lehetne. Én most néhány, számomra emlékezetes előadást illetve pillanatot emelnék ki annak reményében, hogy sikerül átadnom néhányat azok közül az elvek, megközelítések közül, melyek a CCC-t (a rendezvényt és a szervezetet egyaránt) olyanná tették, amilyen, és amiket semmilyen szponzor, hosztessz sereg vagy ajándékcsomag sem tud pótolni.

X

A hacker konferenciák programjában hagyományosan kiemelt helyen szerepelnek a (jelen blog gerincét is adó) biztonsági témájú előadások, így elsőként nézzük meg Ilja van Sprundel prezentációját az X kliens és szerver biztonságáról! Az előadás egyrészt jó példa arra, hogy egyetlen felkészült kutató is képes szignifikánsan hozzájárulni az alapvető szoftver-infrastrukturánk biztonságosabbá tételéhez, ehhez azonban hosszú, kitartó munkára van szükség. Srundel több mint egy évig foglalkozott a témával, és az előadás pillanatában a problémakör csak egy kis szeletén sikerült átrágnia magát, de ez egyáltalán nem vált az előadás kárára. A cél ugyanis nem egy csomó bug, vagy egy mindent vivő exploit bemutatása volt, hanem az, hogy a jelen lévő szakértő közönségnek (akiknek nem kell minden évben újra elmagyarázni, hogy mi az a memória korrupció...) megmutassa azokat a hónapok alatt feltárt ösvényeket, melyeken keresztül az X dzsungele feltérképezhető és "gyarmatosítható" lehet.

failoverfl0w

Az idén Wii U hackelésben utazó failoverfl0w csapat remek példaként szolgál az "egységben az erő" filozófiájára: a játékkonzol tokától bokáig történő széthackeléséhez (legalább) három, specializált szakértelemmel rendelkező kutató összefogására volt szükség, és bár végül nem mindegyikük munkája vezetett egyformán fontos eredménre, egymás motiválása és az egészséges belső verseny nélkül ez a projekt valószínűleg nem valósulhatott volna meg. Ehhez kapcsolódóan az előadást már csak azért is érdemes megnézni, hogy lássuk, az olyan exploit-zsenik, mint @comex is ugyanúgy végigszívnak ezer tévutat és adott esetben téglásítják a saját gépüket a semmiért, mint más földi halandó - szóval nem kell megrettenni a kudarctól, hanem ezredszerre is újra kell kezdeni az agyalást, az ezerháromszázharminchetedik sikeres kísérlet után annál édesebb lesz a győzelem!

Házi űrközpont

Travis Goodspeed igazi mintahacker, akinek nem mindennapi kognitív kapacitása mellé elképesztő kreativitás, szorgalom és nem utolsó sorban rendkívül szórakoztató, laza stílus párosul. Munkái általában nem valamilyen világmegváltó témát érintenek (bár például a legutóbbi Snowden leakből kiderül, hogy a firmware rootkiteket az NSA már jó ideje használja), inkább valami hardverközeli bütykölésre (kénsavval meg elektronmikroszkóppal...) kell számítani, aminek a végén minden alkalommal végigfut az ember fejében a gondolat, hogy "Banyek, ez a srác megcsinálta!".

Jelen esetben arról van szó, hogy Travis megvett egy leselejtezett radar dómot egy hadihajóról, amit felállított a kertben, aztán köréépített vezérlést és informatikát, hogy tesztőleges (látható) műhold kommunikációját meg tudja figyelni (majd dekódolni). Ez egy olyan projekt, aminek megvalósításához egyrészt kicsit ki kell szakadni az otthonos 0-1 univerzumból, másrészt sok apró, egymástól alapvetően különböző feladatot kell úgy megoldani, hogy végül a komponensek harmónikusan együttműködjenek. Az sikerhez vezető út itt sem rövid vagy könnyű, de az biztos, hogy menőbb téma a bárpultnál a kerted végében működő radarállomás (a csajozós/pasizós szövegek legyártását mindenkire rábízom), mint hogy hogyan reszelted össze random cég Java-Lotus-Outlook-Debian-... kompozícióját.  

A PoC||GTFO legújabb 30c3-s különkiadása innen letölthető (Travis a helyszínen jelentkezőknek a nyomtatott példányok mellé zsírkrétákat osztott a színezős feladatok megoldásához :)

Együttműködés

A CCC-k meghatározó elemei az önszerveződő workshopok, beszélgetések, projektek és más mikroprogramok, melyeket a látogatók szerveznek látogatóknak. A repertoárban a hagyományos (bit)hegesztős témákon túl hangsúlyosan szerepelnek a politikai, kulturális és szórakoztató programok. Bár a magam részéről általában ellene vagyok annak, hogy "széknek használok egy asztalt" meg a "kettőt lapoztam a szakácskönyvben" típusú próbálkozásokat egy kalap alá vegyük a hackelés eredeti területeivel, de az biztos, hogy jól esik egy-egy több órás debug-maraton után elbeszélgetni a helyi mesterekkel, hogy pl. hogyan érdemes Lappföldön szeszt főzni.

Ezeknek az összejöveteleknek a legnagyobb előnye azonban nem elsősorban ez, hanem az emberek összehozása. A hivatalos honlapon elérhető (de szintén közösségileg szerkesztett) étlapon mindenki megtalálhatja a számára releváns témákat, és ezen keresztül a hasonló érdeklődésű embereket is, ami egy ilyen széles közösséget mozgató rendezvény esetében különösen fontos. 

Én a SCADA Strangelove csoport által szervezett ipari vezérlőrendszerekkel foglalkozó workshopra jutottam el, ahol a tesztkörnyezetként működő kisvasutat ugyan nem sikerült kisiklatni, de végre nekiállhattam játszani egy igazi ipari PLC-vel (sikerült is lefagyasztani :), és válthattam pár szót néhány ICS pentesztelésben jártas szakival.

Mivel gyakran az így létrejött ismeretségek segítenek hozzá egy-egy téma kidolgozásához (általában szakmai segítségen, inspiráción keresztül), elmondhatjuk, hogy a közösségi élet megfelelő támogatása (amihez elég egy wikioldal, valamint megfelelő számú asztal és szék biztosítása) az, ami egy konferenciát passzív fogyasztóból a szakmai vérkeringésben aktív szerepet játszó, számottevő tényezővé emelhet. 

Az idei terveim között szerepel (legalább) egy ilyen program összehozása. Eddig a "Drunken Debugging" cím körül forognak a gondolataim, de szívesen fogadok javaslatokat! :)

Kikapcsolódás

Végül, de nem utolsó sorban had ejtsek néhány szót a kikapcsolódásról. A CCC (mint a vérbeli hacker konferenciák általában) nem zár be a nap végén, hanem (hasonlóan egy nyári fesztiválhoz) folyamatos programot nyújt a résztvevők számára. A mindig nyüzsgő HackCenter mellett folyamatosan működő konyha és bárpult, teázó és egy hatalmas party hangár ("lounge") várja a megfáradt hackereket. Utóbbi helyszínen korrekt fénytechnika, a demoscene jelenlétét sugalló vetítések, egy kiszuperált vízágyú, profi hangcucc és persze profi DJ-k biztosítják a felhőtlen szórakozást olyan minőségben, hogy az ember a végkimerülés határán is fájó szívvel indul el a szállására néhány óra kényszerű alvásért.

Ezek a gondos szervezésről és végtelen odafigyelésről tanúskodó elemek bizonyítják, hogy a CCC-t ma is ugyanolyan elkötelezett csapat szervezi, mint 30 éve, akiknek a célja évről évre a kategória legjobb rendezvényének összehozása, melyet nem írhat felül semmilyen üzleti, anyagi vagy akár személyes szempont. 

Remélem idén év végén a mostaninál is nagyobb, legalább ilyen lelkes csapattal sikerül majd újra tiszteletünket tenni német barátainknál, addig viszont dolgozzunk közösen azon, hogy néhány évtized múlva mi is úgy emlékezhessünk vissza erre az időszakra, mint amikor valami jó és maradandó dolog elkezdődött!

Címkék: esemény ccc 30c3 chaos communication congress

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.