Sonntag 19.Mai 2024 | 04:04 Uhr

| online: 130 Gäste 

  Leserreporter: Wer schöne Verschwörungslinks für mich hat: ab an felix-bloginput (at) fefe.de!
[zurück][ältere Posting][neuere Posting]  Montag, 14 Mai 2007 | Blog: 2 | No: 8886    

"Was denkt ihr denn so alle über Disclosure?

"Was denkt ihr denn so alle über Disclosure?

Kurzes Rating der Toorcon-Vorträge:

1. Beetle, WiFight Club — hab ich verpaßt, weil ich den Club irgendwie nicht gefunden habe, wo das stattfand.
2. Brad Hill, Sanity & Best Practices with WS-Security & Federated Identity — prima Talk, Brad Hill ist überhaupt hervorragend.
3. Pusscat, Automating Exploitation — ich hatte Befürchtungen, aber der Talk war gut; sie macht da ein Windbg-Plugin, um den Schritt zwischen Fuzzing und Exploit zu automatisieren. Man teilt dem Plugin mit, wo die Buffer sind, die man da overflowt, und der verfolgt dann den Heap und sagt einem, welcher String das war (und sogar ob der unterwegs tolower() oder ne Unicode-Konvertierung durchlaufen hat).
4. Rodney Thayer, Plastic Money — der Typ kam so ein bißchen nervig rüber am Anfang, aber hat dann doch überzeugt. War ein Vortrag über Kreditkarten-Sicherheit, eher so auf Management-Ebene, was da alles verkackt wird, wie in den USA die Kreditkartenfirmen anständige Security enforcen (offenbar eher wenig). Thumbs up.
5. Dan Griffin, Hacking Windows Vista Security — war nichts. Der hat da für irgendwelche neuen APIs Code geschrieben, um die zu demonstrieren.
6. Matt Peterson, Tits & Bits - The inside scoop of pr0n 2.0 content delivery — das war ein cooler Talk. Der hat da einmal das Geschäftsmodell von Porno-Hostern beleuchtet, und ein paar Trade Mags rumgereicht (ich erinnere mich an einen Artikel mit einer dicken Zitat-Zeile "When we needed Bukkake, we went to $XY and never looked back"), und erzählt, wie Level 3 darauf bestand, alle ihre angebotenen Seiten vor der Vertragsunterzeichnung zu prüfen (yeah right), und dann hat er eine Email seiner zuständigen Dell-Salesperson gezeigt, wo sie ihm irgendein two-for-one Angebot unterbreitet, und als PS meint, ihr und ihrem Ehemann hätten ihre Webseiten ja ganz großartig gefallen :-)
7. Adam Shostack, Security breaches are good for you, like a root canal — fand ich eher belanglos. Er hat erzählt, daß Disclosure von erfolgreichen Hackangriffen so gut wie nie dazu führt, daß den Firmen dann die Kunden weglaufen oder die Aktienkurse abstürzen.
8. Quinn Norton, Body Hacking - Functional Body Modification — hat genau das selbe erzählt, was sie auch auf dem Congress erzählt hat. Ich finde sowas ja immer eher nicht so groß, wenn Leute den selben Vortrag auf n Veranstaltungen bringen, aber mehr hat sie offenbar nicht.
9. RSnake, Master Recon-Tool (Mr. T) — boah war das schlecht. Fing damit an, da mit Javascript irgendwelche "Details" über Webbrowser abzufragen, von denen wir alle wissen, daß man sie abfragen kann, und griff dann voll ins Klo mit der Ansage, daß er ja demnächst einen Sniffer und ein nmap ohne OS-Detection (aber sonst mit allem) in Javascript hacken würde, aber bisher noch nicht die Zeit hatte.
10. Katie Moussouris, Vulnerability Disclosure Panel Remix — "Was denkt ihr denn so alle über Disclosure?" Nicht erwähnenswert.
11. Toby Kohlenberg, A taxonomy & tool for automated vulnerability chaining and path discovery — Oh Mein Gott war das schlecht.
12. dr.raid & Postmodern, Social networking sites: covert channels for Botnets — ich bin mir nicht sicher, ob der Talk eine Verarschung war oder nicht. Sie haben da offenbar auf myspace HTML-Kommentare mit PGP-signierten Nachrichten gefunden und halten das für einen Kontrollkanal für Botnetze. Kommandos beginnen offenbar mit "OMG LOL" :-) Highlight: sie haben eine Proof-of-Concept Implementation namens libOMG gehackt, und da Beispiel-Code gezeigt, der einen HTML-Kommentar extrahierte und dann damit ... system() aufrief! Jemand fragte dann nach, ob sie das wirklich so meinen, der Vortragende merkte erst mal gar nicht, worauf der Fragende hinaus wollte, und war dann eher peinlich berührt :-)
13. I)ruid, DisAsterisk — ein Fuzzing-Plugin für Asterisk. War eher peinlich, wie er da beschrieb, wie man auf der Commandline der Fuzzer an- und wieder ausschaltet. Äh, ja, das haben wir uns gedacht, daß das dann irgendwie geht. Ich bin ja eh eher nicht so überzeugt von Fuzzing. Das mit Scheiße werfen lasse ich lieber die Affen im Zoo machen.
14. Dan Kaminsky, Further Adventures In Visual Data Exploration — Dan hat die alten TCP-Sequenznummer-Visualisierung von Michal Zalewski mit OpenGL echtzeitfähig gemacht, war ein typischer Kaminsky-Talk, sehr lebhaft :-)
15. David Maynor & Robert Graham, Ferret and the continuing adventures of Data Seepage: Web 2.0 — GANZ ganz schlecht. "Man kann sniffen, und dann sieht man iTunes-Announcements von Apple-Deppen und AIM-Buddy-Listen von den ganzen AIM-Deppen"
16. Richard Johnson, Memory Manager Attack and Defense — nicht überzeugend. Auf Eusecwest hat der Typ auch nen Vortrag gehalten, der deutlich cooler war. Dieses Mal hat es irgendwie nur zu Platitüden gereicht und der Einsicht aus den 90ies, daß man Heap-Overflows angreifen kann.

Von den Lightning Talks hat am meisten der von Chris Abad gerockt, Web 4.0 — ein wunderbarer Rant. Der Mann sortiert als Beruf Spam bei Cloudscape, und offenbar hat er einen Spam zu viel lesen müssen, jedenfalls rantete der da, daß die Schwarte nur so krachte. Auf Youtube gibt es Videos, in denen Leute auf Videos antworten, in denen andere auf Videos von anderen antworten, die Videos zeigen, in denen jemand ein Video macht. "Und diese Leute beschützt ihr!" rief er :-) "Greift nicht die Computer an, greift die Leute an!" Web 4.0 ist ein Internet ohne Idioten, so seine Vision. Amen.

Twiter-Ticker