32c3 – ден първи
by Vasil KolevПърви ден на 32c3.
(пристигнахме вчера, нямаше проблеми с пътуването, даже си намерихме маса за assembly-то, като ни комбинираха с Balccon хората)
(който е изпуснал нещо, може да го гледа на relive)
Откриването беше леко дървено, с двама човека, четящи от листчета, като най-важната част беше, че е добре да се спазва принципа за 6 часа сън, 2 яденета и 1 душ ВСЕКИ ДЕН.
Keynote беше странен, някаква бежанка говореше някакви неща, но аз издържах 10-20 минути и излязох, понеже нищо от това не ми звучеше релевантно към конгреса или изобщо да ми е интересно.
След това Joana Rutkowska направи една лекция на темата stateless laptop. Като малко background, след като се занимаваше да прави PCI rootkit-ове и да чупи какво ли не, седна с някакви хора да разработва Qubes OS, което е в общи линии сериозно компартаментализирана операционна система с някакво интересно ниво на сигурност. В talk-a обясняваше за проблемите на X86 и като цяло как може да се направи stateless laptop, който да може да се пази от това някой да намаже firmware с нещо неприятно. Има post в блога ѝ с paper-а по темата, и две други интересни неща от лекцията ѝ бяха книгата от intel за какво мислят/могат да правят със ME и че някакви хора работят в/у open-source SSD.
Лекцията за red star OS изтървах, понеже се заговорих с разни хора, та може да пиша за нея по-нататъка.
“How the Great Firewall discovers hidden circumvention servers” беше интересно, като по външни наблюдения как изглежда, че големия китайски firewall намира tor node-ове и т.н.. Нямаше нещо много гениално, но имаха идея как може да се разпознаят връзките от там, които тестват дадена услуга, и дори открих няколко в моите логове (питах ги дали може да са им полезни и им пратих sample). Ако проявят интерес, може да grep-ваме малко. Повече информация има в paper-а им.
“The Great Train Cyber Robbery” беше в някои отношения лекция за влакови ентусиасти. Имаше описание на системите, които се използват за контрол на железопътните мрежи, и стандартното описание на сигурност, от която и преди 15 години щеше да ни е срам. Липса на криптиране, default-ни пароли, buffer overflow-ове и всичките подобни работи.
“Build your own 3G network” беше интересно най-вече от гледната точка колко ужасяващи неща се налага да се допишат, за да има работеща 3g мрежа – купчина протоколи, ужасно усложнени системи, слаба стандартизация, като цяло нормалните телекомски неща. Някой хубав ден може и да пуснем такива мрежи, като вече всичко е минало на LTE:)
Shopshifting лекцията беше съвсем очаквано доста притеснителна. Накратко, протоколите за комуникация м/у терминала и payment processor-а позволяват тривиално да се правиш на друг терминал, или да се пъхаш м/у терминал и каса, като една съвсем проста атака позволява да се направиш на POS терминала на който си искаш и от него да refund-ваш пари в някаква карта. Силно си заслужава да се гледа.
Последната лекция, за Post-quantum cryptography я гледахме от хотела. Генералният ми извод е, че това, което имаме в момента е много далеч от реално приложения, за да замести RSA и DH – огромни ключове, при системата за подписване и са stateful (т.е. части от ключа могат да се ползват само веднъж). Депресираща работа.
p.s. Валяк, взел съм ти тениска.
December 28th, 2015 at 13:53
How the Great Firewall discovers hidden circumvention servers [32c3] https://www.youtube.com/watch?v=NgYdmRR7JtY 52:33 – 53:03
December 29th, 2015 at 11:03
Лекцията за redstar OS изглежда доста обещаващо. Поне от първите няколко минути.
Ще я изгледам с голям интерес.
Но като цяло ми се струва, че тази година конгреса е доста по-слаб от предишната или поне темите не са толкова интересни, колкото бяха преди.
December 29th, 2015 at 11:10
@Любомир, по-скоро не, аз си намерих достатъчно интересни неща за гледане, не мисля, че е по-слаб. Няма го Appelbaum, но останалите работи са си тук :)