Kolejna garść ogłoszeń. W skrócie: dwa livestreamy (PL - czw. 19:00, EN - pt. 19:00) i dwie konferencje na których się pojawię w tym roku (
PWNing i
Programistok). Dłuższa wersja poniżej:
- Livestream PL: 21.07 19:00 na gynvael.coldwind.pl/live. Temat będzie niejako rozwinięciem odpowiedzi na pytanie które padło na/po ostatnim streamie o fuzzowaniu, czyli jak rozpoznać, czy błąd który znalazł fuzzer jest groźny (eksploitowalny w rozumieniu code exec). W zasadzie wyczerpującej odpowiedzi nie uda mi się udzielić na streamie, a to co powiem sprowadzi się do podstaw niskopoziomowego bezpieczeństwa aplikacji (garść tagów: buffer overflow, memory corruption, stack, execution model, memory model, zabezpieczenia przeciweksploitacyjne (tak, jest takie słowo) (no dobra, może nie było wcześniej, ale już jest)). Dla przypomnienia, oprócz kanału na YouTube mamy również kanał IRCowy dla widzów streama - #gynvaelstream @ irc.freenode.org.
- Livestream EN: 22.07 19:00 UTC+2 na gynvael.coldwind.pl/live-en. Postaram się pokazać rozwiązanie zadania Zippy (WBE300) z CONFidence CTF (ew. jeśli będę miał problem z uruchomieniem Zippy by mlen, to pokaże Revenge of Bits (STEG200)) - jedno z nich jest niejako oparte o mój research, a drugie sam stworzyłem, więc powinno pójść szybko. Drugim punktem programu będzie nowe crackme barta opublikowane kilka dni temu na z3s (spoiler alert: w drugiej części posta podobno jest rozwiązanie) - tutaj pójdzie mi wolno i będę się cały czas gubił (tj. nie rozwiązywałem wcześniej tego crackme), więc rozwiązywanie może się przeciągnąć na kolejny stream (lub kolejne sto streamów).
- Programistok: 1.10, Białystok - Maciej z devstyle.pl (być może pamiętacie ten odcinek DevTalk) namówił mnie na pojawienie się na drugiej edycji konferencji Programistok, która odbędzie się pierwszego października w Białymstoku. Moja prelekcja pt. "Diabeł tkwi w szczegółach (albo: jak działają błędy bezpieczeństwa)" odbędzie się nie długo po północy, to jest o 9:15 nad ranem (a przynajmniej tak jest wpisana w agendę; zresztą, zachęcam do rzucenia na nią okiem; strasznie mnie ciekawi prelekcja "Raster Shadery’ na Commodore 64" Michała Taszyckiego). Konferencja jest płatna, ale raczej po stronie symbolicznej opłaty (w zeszłym roku podobno to było 20 PLN).
- Security PWNing Conference 2016: 7-8.11, Warszawa - no i do znudzenia będę przypominać o Security PWNing Conference, czyli konferencji przy której coś tam staram się pomagać. Większość prelegentów jest już znana i można się z nimi zapoznać na stronie konferencji; będą m.in. Borys Łącki z Bothunters/LogicalTrust, James Forshaw i Mateusz Jurczyk z Google Project Zero, Krzysztof Kotowicz i jeszcze jedna osoba (TBA; sirdarckcatowi, który pierwotnie miał się pojawić, coś wypadło) z Google Security Team, Marek Marczykowski-Górecki z projektu Qubes OS, Michał Sajdak z Securitum/Sekurak.pl czy Piotr Konieczny z Niebezpiecznika. Będzie jeszcze kilka innych osób, ale zostaną one ogłoszone później (CFP zostało zamknięte dopiero wczoraj, a dostaliśmy dwa razy więcej zgłoszeń niż mamy slotów, więc jeszcze chwilkę to potrwa). Konferencja jest płatna - obecna cena wejściówki to około 1110 PLN (cena jeszcze trochę podskoczy w górę w ostatnim tygodniu).
I chyba tyle. Do zobaczenia jutro/w piątek wieczorem.
Comments:
Czy przełamywanie zabezpieczeń za pomocą inżynierii społecznej zamiast czysto technicznych metod można w ogóle nazwać hackingiem? Wielu stwierdzi, że nie, ponieważ inżynieria społeczna opiera się głównie na niskim poziomie wiedzy użytkowników, którzy nie przestrzegają podstawowych zasad bezpieczeństwa, ale przecież sukces exploitów wynika między innymi z niedoskonałości technologi, którą tworzyli i nadal w większości tworzą ludzie mający nikłe pojęcie o bezpieczeństwie. Programista ma programować. Nie musi się znacz na bezpieczeństwie. Przykładem mogą być exploity na programy antywirusowe, o których Pan wspominał. Pomijam również fakt, że ludzie co by nie mówić są maszynami. W końcu tak nas definiuje biologia molekularna.
Add a comment: