CONFidence 2008

W dniach 16-17 maja w Krakowie odbyła się konferencja CONFidence, jedna z największych w Polsce imprez poświęconych bezpieczeństwu komputerowemu. HACK.pl przygotował relację z tego niezwykle ciekawego wydarzenia. Zapraszamy do lektury!

W tym roku wszystkie wykłady w ramach CONFidence odbywały się w Centrum Sztuki i Techniki Japońskiej Manggha. Położenie nad samym brzegiem Wisły i niesamowite widoki na Wawel skutecznie umilały przerwy pomiędzy wykładami. Samo przygotowanie logistyczne także było doskonałe – od pomocnych hostess po zaplecze gastronomiczne. Narzekać można jedynie na niewygodne krzesła, ale nie do końca wiemy czy brak komfortu spowodowany był niedoskonałościami konstrukcyjnymi czy może naszymi problemami natury fizycznej J

Jednak najważniejsze w CONFidence były wykłady prowadzone przez takich prelegentów jak Joanna Rutkowska, Petko d. Petkova, Raula Chiese czy Tomasza Miklasa.

Dzień I

Sama konferencja rozpoczęła się od wykładu wspomnianej Joanny Rutkowskiej. Można było usłyszeć o znanym już projekcie Bluepill i problemach związanych z wirtualizacją. Wykład był ciekawy i pomimo dużej ilości technicznych informacji przyciągał uwagę słuchaczy.

Joanna Rutkowska - Security Challenges in Virtualized Environments

Kolejne dwa wykłady opisywały błędy w systemie Windows Vista (Dan Griffin) i MacOS (Allesio L.A PennasiLico). Trzeba przyznać, że sposób przedstawienia informacji dotyczących błędów w MacOS był zdecydowanie przyjemniejszy, a to za sprawą ogromnej charyzmy i poczucia humory Allesio. Oczywiście oba wykłady były przeprowadzone w pełni profesjonalnie.

Dan Griffin - Hacking Windows Vista

Prawdziwą perełką był wykład Alberto Ravelliego dotyczący SQL Injection. SQL Injection wydaje się być już dobrze znanym błędem, o którym możemy przeczytać w niezliczonej ilości książek i dokumentacji. Ravelli pokazał jednak, że błąd ten można wykorzystać na wiele różnych, niezwykle ciekawy sposobów. Ludzie obecni na Sali mogli obserwować jak Włoch uzyskuje dostęp do pulpitu serwera, na którym uruchomiono podatną aplikację. Kolejne wydanie autorskiego programu Alberto (sqlninja) będzie posiadało możliwość przeprowadzenia takiego ataku.

Alberto Revelli - Building the bridge between the WebApp and the OS: GUI access through SQL Injection

Pozostałe wykłady przeprowadzone przez Łukasza Bromirskiego („Welcome to the new IP reality – Best practises that failed for YouTube"), Felixa Kronlage („Keeping your OpenBSD machines easily up-to-date"), Angello Rosiello („Antiphishing Security Strategy") i Sarah Deacon („Are we ready for Cyber war?") także były niezwykle ciekawe i umożliwiały poznanie nowych zagadnień związanych z bezpieczeństwem. Podsumowując, pierwszy dzień CONFidence obfitował w świetne wykłady.

Dzień II

Drugi dzień zaczął się od wykładów dwóch członków GNUCitizen – Adriana Pastora i Petko d. Petkova. Adrian Pastor prezentował techniki pozwalające włamywać się do takich urządzeń jak kamery internetowe czy telefony stacjonarne. Petko d. Petkov, znany w sieci jako pdp, omawiał błędy spotykane na stronach internetowych korzystających z takich technologii jak JavaScript, aplety Java czy animacje Flash. Na koniec prelekcji Petkov uruchomił exploit typu 0-day, pozwalający na uruchomienie dowolnego kodu na komputerze ofiary, która odwiedzi specjalnie spreparowaną stronę.

Adrian Pastor - Cracking into embedded devices and beyond!

Na uwagę zasługiwały także wykłady Raula Chiesy, w których przedstawione zostały zagrożenia związane z użytkowaniem systemów SCADA a także szczegóły projektu Hackers Profiling Project.

Raoul Chiesa, Alessio L.R. Pennasilico - SCADA Security

Z ogromnym zainteresowaniem słuchaczy spotkała się prezentacja prowadzona przez naszego redakcyjnego Kolegę – Tomka Miklasa oraz Johna Fitzgeralda – byłego Dyrektora programów EMEA w organizacji badawczej i edukacyjnej SANS. Prowadzony przez Nich wykład („Code and Money – the source of all evil") był jednym z najciekawszych na konferencji pomimo tego, że był "nietechniczny". Opisywane zagadnienia były niezwykle ciekawe a prezentacja skłaniała do własnych przemyśleń.

John Fitzgerald, Tomasz Miklas - Code and Money - the source of all evil

W sobotę można było posłuchać także o zaawansowanych technikach walki ze SPAMem, które prezentował pracownik firmy IronPort - Grzegorz Wróbel oraz o bezpieczeństwie sieci bezprzewodowych (Wojciech Świątek).

Podsumowując, CONFidence było naprawdę świetną konferencją, na której można było posłuchać niezwykle ciekawych wykładów, poznać wspaniałych i otwartych ludzi a także nacieszyć się przepięknymi widokami. Gorąco zapraszamy na następne edycje CONFidence!

Realizacja: SIPLEX Studio