татко Крокодил

Ден втори на конгреса. Забележителен с това, че пих две кафета и пак ми се спеше.

Начална важна новина, хората от предния ден, които говореха за големия китайски firewall ми писаха обратно и казаха, че тоя тип логове (активните заявки от firewall-а) са им интересни, та който има логове от повечко време на webserver-а и иска да свърши едно добро дело, нека да ми пише да му дам малко pattern-и и в един момент списък адреси, за които да се погледне :)

Започна с “State of the internet censorship”, като описаха накратко различни държави, спряха се на методите за изследване (накратко, инсталирайте си ooniprobe) и че в момента има работна група в IETF, която да реши/специфицира дали както има Security секция в RFC-тата, да има такава за влиянието на протокола в/у неща като човешки права, цензура и т.н..

Следваха lightning talk-ове, в които имаше няколко интересни неща:
holocm, което трябва да разгледам по-внимателно, проста configuration management система;
nfc.wtf, app за android за работа/атака с nfc четци и карти;
Story-based hacking challenge е идея за стандартния тип hacking challenge, но с интересна история, да зарибява повече хората (темата за историите съм я споменавал, това звучи като доста добра идея), и
RobustIRC, интересна идея за irc клъстер, който да не пада и да не се split-ва, трябва да издиря хората и да видя дали не мога да deploy-на нещо такова.

Brain-computer interfaces лекцията не беше особено интересна, в общи линии нищо ново – каза се, че има такива устройства (в общи линии ЕЕГ апарати) и че има OSS разработки за тях.

Лекцията за Apertus Axiom беше интресна, хората разработват open hardware професионална/полупрофесионална видео камера и са стигнали доста далеч, но за момента все още имат само 3 бр., които са за development. Надявам се, че за още една година ще имат нещо съвсем работещо и в някакъв момент ще се намери начин и цената на камерите да слезе в някакви нормални граници (или да ни услужат за тестове около OpenFest…).

Гледах лекциите за Франция и Еквадор, но първата малко я проспах, щото имах работа, втората не беше нещо особено (в общи линии там режимът изглежда малко по-неприятен от българския).

Perl Jam лекцията беше най-смешната на тоя конгрес (не вярвам някой да успее да я стигне). Лекторът показа exploit в тривиален код (който дори е от стандартните примери на CGI.pm) и разни недомислици в езика (като имплицитното вярване на данните от hash-ове и масиви). Леко прегракнах от смях…

Лекцията за атаки в/у VoLTE (Voice over LTE) се оказа интересна, най-вече защото ми запълни някои неясноти около стандарта (по някаква причина си мислех, че е нещо като телефонията при gsm, а то се оказа просто един SIP в/у по-гарантиран канал). Атаките са много близки до това, което е известно от VoIP-а (например можеш директно да си говориш с някой чужд телефон в същата мрежа и да си казваш каквото си искаш caller-id) и като цяло изглежда, че телекомите не са съвсем наясно с IP-то и какво може да се прави с него. Още по-забавно е как за един тест засилили малко повече SIP INVITE-и към IMS-а на един телеком и той леко се шашнал…

И завършихме деня с гледане на “goto fail”, лекцията-обзор на проблемите на TLS (избрано подмножество от тях, за всичките вероятно няма да стигнат няколко дни). Доста полезно за всички, които не са наясно колко трудна е криптографията (не толкова сложна, колкото пълна с доста опасни проблеми) и които не са запознати с това колко трагичен е TLS-а (и как нямаме нещо по-свястно).

Tags: 32c3, събития

This entry was posted on Tuesday, December 29th, 2015 at 01:54 and is filed under General. You can follow any responses to this entry through the RSS 2.0 feed. You can skip to the end and leave a response. Pinging is currently not allowed.