SucheVerwaltung des BlogsKategorienKontaktMarkus Brückner |
Samstag, 31. Dezember 2005Dummer Werbespruch...Der dümmste Werbespruch seit langem: "Aus Erfahrung Brot". Auf den Papiertüten einer Bäckerei. Und nein, ich denk mir das mal wieder nicht aus... ![]() Jaja. Es geht doch nichts über Erfahrung... 22C3 Nachtrag: Die AufzeichnungenWeil ich gefragt wurde, wo die Aufzeichnungen zu finden sind: http://22c3.fem.tu-ilmenau.de. Keine Ahnung, wie lang der Link gültig ist, aber im Moment tut er. 22C3 Zusammenfassung Tag 4AllgemeinesDer Kongress ist zu Ende, es ist viel zu spät und mein Blog hat eben schonmal den kompletten Text gefressen. Daher also etwas kürzer... VorträgeSecure CodeDer Vortrag, auf den ich mich schon am Mittwoch gefreut hatte. Leider hat er die Erwartungen etwas enttäuscht. Zwar eine gute Zusammenfassung, aber nichts, worauf man mit etwas gesundem Menschenverstand beim Programmieren nicht selbst kommt. Hier hätte ich mir mehr Substanz erwartet. The Realtime thingHier bin ich quasi hängen geblieben, weil meine bessere Hälfte den hören wollte. Es hat sich nicht gelohnt. Der Sprecher war grottenschlecht, scheinbar unausgeschlafen und irgendwie langsam. Schade, das Thema hätte interessant sein können. Blackberry: call to arms, some providedSehr schöner Vortrag von zwei Leuten von Phenoelit zu den Sicherheiten und Unsicherheiten der RIM Blackberrys, auf die offenbar viele Manager so abfahren. Nettes Detail am Rand: einer der Sicherheitsmenschen von RIM saß im Publikum und hat aufgepasst, daß die Jungs nix falsches erzählen :) Security Nightmares 2006Amüsante Zusammenfassung der wichtigesten/interessantesten Sicherheitslücken letztes Jahr und ein Ausblick auf's nächste. Aber mal ehrlich: Manipulation des CAN-Bus (welches eigentlich) vom Radio aus? Hm... denkt nochmal nach... 22C3 Closing EventTim Pritlove macht die Lichter aus. Amüsante Zusammenfassung des Kongresses, aber vielleicht nix für zu Hause. FazitNächstes Jahr wieder. Viel zu lesen/nachzudenken/auszuprobieren/zu spielen in den nächsten Wochen und Monaten. Ich sollte meinen Arbeitgeber nach Urlaub fragen oder so. Ach ja: die Berliner haben offenbar keinen Winterdienst. Das Kongresszentrum dafür schon. Der ist schon bei 5cm Schnee mit der Schneefräse rumgehirscht. Ich vermute, im Thüringer Wald würde der nen Herzkasper bekommen. Jetzt schlafen... Freitag, 30. Dezember 200522C3 no comment.... :)Donnerstag, 29. Dezember 200522C3 Zusammenfassung Tag 3AllgemeinesDer Tag heute war eher etwas untechnischer für mich. Ein paar "Spaßvorträge" sind dabei. VorträgeAcademic tools and real-life bug finding in Win32Ein interessanter Vortrag, der alle Möchtegernhacker, die sich an dem "Win32" aufgehangen haben wohl etwas verschreckt haben dürfte. Inhalt waren theoretische Ansätze zur Sicherung von Software. So wurden automatische Beweiser vorgestellt, die in der Lage sind, die Korrektheit von Algorithmen zu beweisen (nachdem man das "klitzekleine" Problem der mathematischen Spezifikation eines solchen gelöst hat). Der größere Teil der Vortrags drehte sich ums Model-Checking. Damit kann man unter gewissen Randbedingungen Fehler in einem Programm finden. Der Vortragende hat sich hauptsächlich auf das Auffinden von Integeroverflows in kompiliertem Code als Beispiel beschränkt. Recht interessant und definitiv sehenswert. FuzzingDer wohl bisher schlechteste Vortrag überhaupt. Daß dieser Mensch allen Ernstes bekommen hat ist ja fast ein Verbrechen. Da der Saal brechend voll war habe ich mir den Vortrag mittels Livestream angetan. Ok, das allerdings dann maximal eine halbe Stunde. Der Vortrag (soweit ich ihn gesehen habe) erschöpfte sich in einer endlosen Auflistung von Tools, mit denen man irgendwelche Software fuzzen kann. Prima als Referenz, aber dafür hätte es eine Webseite auch getan. Disassembler Internals II: Automated Data Structure RecognitionEin kleiner Einblick in die Arbeitsweise von Disassemblern. Erst eine kleine Einführung in die einfacheren Sachen und dann ein paar fortgeschrittene Dinge wie Crossreferencing und Erkennung von Datenstrukturen. Der Sprecher war von der Firma iDefense, die im Security-Bereich ja nun kein unbeschriebenes Blatt sind. Ich muss mir den Vortrag nochmal in der Aufzeichnung anschauen. Interessant, aber ich habe nicht alles verstanden. Was nuschelt der Mensch aber auch so? WarTrackingEigentlich war ich nur sitzengeblieben. Aber der Vortrag war dann doch recht sehenswert. Allerdings... naja, der eine der Redner hätte sich mal seinen Nuschel-ich-erzähl-euch-ein-Geheimnis-Ton abgewöhnen können. Einige witzige Details über verschiedene Satellitensysteme. Memory allocator security*schnief* Den Vortrag wollte ich unbedingt sehen und dann kam ich zu spät. Mist! Aber die Teile, die ich davon noch erwischt habe rechtfertigen einen tieferen Blick in die Aufzeichnung. Fnord JahresrückblickDie etwas andere Nachrichtensendung. Fefe und Frank kommentieren verschiedene Nachrichten und Bilder, die im Laufe des Jahres so aufgelaufen sind. Sehr amüsant! Hacker JeopardyDas bekannte Spiel mit Begriffen rund um die Hackerkultur. Wir haben gelacht. Vor allem die Damen der Schöpfung sind gnadenlos untergegangen. :) FazitErwürgt den "Fuzzing"-Menschen! Die zwei Stunden hätte irgendwer was interessantes erzählen können. Außerdem schaue ich mir im Moment einige der Aufzeichnungen an. Mal schauen, was so interessantes dabei ist. 22C3 PanoramaHier mal ein kleiner Blick aus dem Videostudio, in dem FeM seine Streamingtechnik aufgebaut hat, in den Saal 1. Ein Klick auf das Bild bringt einen zur großen Variante. Der Saal 1 des bcc Berlin 22C3: Motorola A780 - Das Traumhandy aller FrauenDas Motorola A780, ein Linux-basierte Mobiltelefon, dürfte definitiv das Traumhandy aller Frauen sein. Zumindest wenn man die Software näher betrachtet, findet man interessante Teile des Gerätes... ![]() Da leuchten die Augen... 22C3 Zusammenfassung Tag 2So, der zweite Tag ist (bis auf obskure Apple-hab-dich-lieb-Vorträge) zu Ende. Zeit für die zweite Zusammenfassung... AllgemeinesHeute ging's für uns etwas später los. Eigentlich war geplant, den ersten Vortrag 12 Uhr zu hören, aber irgendwie waren die Angebote nicht interessant genug. Wir haben also fast absichtlich verschlafen. Außerdem war das Programm heute etwas schlanker (am Ende fast zu schlank, weil ein Vortrag verschoben wurde). Generell also ein entspannter Tag. Vorträge3G InvestigationsEine Pflichtveranstaltung. Schließlich wurde der Vortrag von Achim und btk gehalten. Die beiden hatten umfangreich recherchiert, wie denn die UMTS- und GPRS-Netze deutscher Provider so aufgebaut sind. Getroffen hat es T-Mobile und Vodafone (da E-Plus es nicht geschafft hat, eine Karte zu liefern). "Nette" Ideen, die die Provider da haben, wie ein Netz so auszusehen hat und was man alles in ihm treiben darf. Insgesamt eine interessante Zusammenfassung mit netten kleinen Hinweisen, wie man um die dümmsten Ideen der Provider so rumkommt. Aber Achim, mal ehrlich: OpenSYN verkauft sich gut, hm? Black Ops Of TCP/IP 2005.5Nach einer längeren Pause ein Vortrag, in dem ich eher zufällig gelandet bin. Es musste eben jemand auf die Kamera aufpassen. Der Zufall erwies sich als absoluter Glücksfall. Dan Kaminsky, der Vortragende ist definitiv ein sehr guter Alleinunterhalter. Interessante Details über die von ihm durchgeführten Analysen des weltweiten Domain Name Systems. Und schöne Bildchen hat er gezeigt. Es gab definitiv viel zu lachen und auch einiges zu staunen. Ach ja und es ging auch umfangreich gegen Sony. :) Autodafé: An Act of Software TortureInhalt des Vortrags war Fuzzing, eine Testtechnik, mit der man Bufferoverflows in Software finden. Dabei wird die Software mehr oder minder mit willkürlichen Daten bombardiert um sie so zum Absturz zu bringen und dabei Fehler zu finden. Problem ist hierbei, daß man zum vollständigen Durchtesten einer Software riesige Mengen an Testcases braucht. Um diese Menge etwas zu reduzieren kann man verschiedene Eigenschaften des zu testenden Codes auszunutzen. Um dieses zu automatisieren läuft die zu analysierende Software in einer Testumgebung, welche versucht "kritische" Testcases, also Tests, die wahrscheinlich Fehler auslösen werden, zuerst auszuführen. Damit ist es später unnötig, weitere gleichartige Testcases auszuführen. Der Vortrag war etwas schwer verständlich und die Folien mit zu vielen Effekten versehen (es gibt ernsthaft Leute, die Präsentationen in Flash machen?). Der Ansatz ist allerdings sicher interessant. Literarisches Code-QuartettVier Leute, ein Haufen Quellcode, eine Veranstaltung in der Art des Literarischen Quartetts. Gezeigt wurden Beispiele für besonders schlechten, ganz schlechten und ein wenig guten Code. Empfehlenswert für jeden, der ein wenig Seelenmassage bezüglich des eigenen Codes braucht. Informationsgehalt allerdings eher niedrig. FazitHeute war der Tag eher etwas dünn. Leider ist der Vortrag "Secure Code" auf Freitag verschoben worden. Ich bin also weiter gespannt, wie das aussehen wird. Die Vorträge, die ich gesehen habe, waren allerdings sehenswert. Mittwoch, 28. Dezember 2005Berlin bei NachtWir waren in der Pause ein wenig unterwegs und haben ein paar Bilder im Dunkeln gemacht. Vielleicht schaffen wir es ja morgen oder übermorgen auf die Straße unter den Linden etc. ![]() Das Kongresszentrum ![]() Ja, ich habe eine gewisse Affinität zu diesem Stengel. Der is aber auch nett... ![]() Das rote Rathaus. Etwas aus dem Rahmen gefallen... ähem... ![]() Jaha, in Berlin fällt Schnee ![]() Die Heart of Gold ist gelandet. Und wurde prompt eingeschneit. 328 GB...Soviel Traffic hat der Congress-Streamingserver in den letzten 2 Tagen in die Welt verschickt. Scheinbar sind die Vorträge recht gefragt... 22C3 Bilder (die Vierte)Noch zwei Bilderchen vom 22C3. Und ich hab es immernoch nicht geschafft, die Heart of Gold auf Chip zu bannen. *gnaa* Bis eben lief der Vortrag "Black Ops Of TCP/IP 2005.5" von Dan Kaminsky. Sehr geile One-Man-Show. Mehr zum Inhalt heute abend... ![]() Jap, das Leben ist anstrengend. (Unter dem Balken ist übrigens nichts besonderes, bevor jemand fragt...) ![]() Das bcc hat ne nette Architektur. 22C3 Tastaturen sind toll...Diese Tastatur hat zum letzten Mal jemanden mit einem klemmenden U geärgert... ![]() *knack* 22C3 Bilder (die Dritte)Noch ein paar Bilderchens... ![]() Blick in einen der Sääle. Der Vortrag, der gerade läuft war der schon erwähnte "Applied Machine Learning" ![]() Hier wird wirklich robuste Technik aufgefahren... (ein Toughbook, welches wirklich kaum kaputt zu bekommen ist) ![]() Die Dinger sorgen für die Bewegtbilder im Netz ![]() Der Ausblick von unserem Zimmer in Richtung Alex bei Nacht ![]() Der Ausblick vom selben Fenster weiter nach links in Richtung Spree Dienstag, 27. Dezember 200522C3 Zusammenfassung Tag 1So, der erste Tag des 22C3 ist (zumindest für mich) fast vorbei. Zeit für eine kleine Zusammenfassung... AllgemeinesGlücklicherweise ist unser Zimmer in 5-Minuten-Laufreichweite zum Kongresszentrum am Alex. Ergo kein großer Aufwand, hierher zu kommen. Keine S-Bahn, kein Auto, Bus etc. Sehr praktisch. Da das Kassensystem gerade abgestürzt war mussten wir leider etwas länger anstehen. Aber wir wurden ja mit Tee versorgt... Irgendwann durften wir dann unsere 75 EUR für die 4 Tage entrichten und ins Kongresszentrum rein. Glücklicherweise wurden wir gleich abgefangen und ins Videostudio geleitet. So konnten wir wenigstens unsere Sachen schön sicher verstauen. Die Technik, die FeM hier aufgefahren hat, um die Vorträge live ins Netz zu übertragen ist schon nicht schlecht. Der Tag war ganz gut gefüllt mit Vorträgen, zu denen ich später noch kommen werde. Glücklicherweise ist im Kongressbegleitheftchen die Umgebung auf einer kleinen Karte etwas genauer beschrieben. So sind bspw. die rundrum vorhandenen Fresstempel verzeichnet. Mittagessen gab's also bei Subway, direkt am Fernsehturm. Grundsätzlich ist das schon alles ganz nett organisiert hier. Ok, manchmal haben sie die Technik noch nicht so ganz im Griff (das WLAN ging erst gar nicht, dann immer mal sehr langsam... aber naja.), aber grundsätzlich läuft alles. VorträgeUnderstanding buffer overflow exploitationEin Vortrag über die Natur und das Ausnutzen von Bufferoverflows. Ok, nicht wirklich was neues für mich, aber die anderen Vorträge waren definitiv uninteressanter. Leider startete der Vortrag mit einiger Verspätung, was die Vortragende in einigen Zeitdruck brachte. Dann war ihr Vortrag leider mittelmäßig strukturiert. Sie hat den laut eigener Aussage schonmal im Rahmen eines zweitägigen Workshops gehalten und so massiv auf eine Stunde zusammenkürzen müssen. Jo, hat man deutlich gemerkt. Leider hat sie gut 30 minuten gebruacht, um zu erklären, wie Bufferoverflows zustande kommen. Der interessante Teil, wie man die nämlich ausnutzt, portabel macht und was es so für Gegenmaßnahmen gibt, kam dann mehr als zu kurz. Selbst wenn man wußte, worum es ging kam man nicht mit. Nun ja, den hätten wir uns also sparen können... Finding and Preventing Buffer OverflowsGleich weiter im Thema, weil's so schön war. Leider hatte die Vortragende vorher 10 Minuten überzogen, die bei diesem Vortrag dann natürlich gefehlt haben. Der Vortragende hat sich ernsthaft Mühe gegeben, diesen Makel auszubügeln, mit leidlichem Erfolg. Das Thema war relativ theoretisch gehalten, was dem Vortrag allerdings deutlich zugute kam. Durch die gute Struktur kam er zumindest in der Zeit durch. Insgesamt war einiges neues dabei, einige interessante Hinweise auf Software, die man sich zur Entdeckung und Verhinderung von Bufferoverflows mal näher anschauen kann. Recht nett, was die Forschung da so möglich macht. Insgesamt ein empfehlenswerter Vortrag. Videoüberwachung an deutschen HochschulenNach den beiden technischen Vorträgen zum Einstieg erstmal ein untechnischer zum Abkühlen (ok, ich hatte vorher schon 2 Stunden Pause gemacht...). Der Vortragende war ein Soziologiestudent von der Uni Bielefeld und hatte sämtliche ihm bekannte Hochschulen in Deutschland angeschrieben und um Hinweise zum Thema Videoüberwachung an der Hochschule gebeten. Die Ergebnisse reichten von offener Diskussion und Beantwortung der Fragen bis hin zu ablehnenden Briefen oder gar völliger Ignoranz. Im Vortrag wurden zwei völlig gegensätzliche Ansätze zur Videoüberwachung vorgestellt: einerseits die RWTH Aachen, mit zentraler Kontrolle, detailliert ausgearbeitetem Datensicherheitskonzept etc. und andererseits die Uni Münster, an der offensichtlich Überwachungschaos herrscht. Jeder macht, was er will, meist ohne die Studentenvertretungen/Betriebs- und Personalräte zu informieren. Andere Hochschulen bewegen sich scheinbar zwischen den beiden Extremen. Aus dem recht kurzen Vortrag (knapp 30 Minuten) entwickelte sich noch eine interessante Diskussion, in der verschiedene Leute aus dem Publikum Erfahrungen von ihren Hochschulen beigetragen haben. Ebenfalls empfehlenswert. Der Hammer: x86-64 und das um-schiffen des NX BitsIn dem Vortrag ging es um die Umgehung des sogenannten NX-Bits der neueren AMD-Prozessoren, welches verhindern soll, das bestimmte Datenbereiche im Arbeitsspeicher einfach ausgeführt werden können. So sollen die Folgen von Bufferoverflows abgemildert und eine Übernahme der Maschinen verhindert werden. Leider wollte der Vortragende keine Aufzeichnung, der Vortrag war sehr interessant. Writing better code (in Dylan)Sicher eine interessante Programmiersprache, dieses Dylan, aber mir hat irgendwie der Einstieg gefehlt. Ich hab nach 20 Minuten kapituliert. Applied Machine LearningDas Thema lernende Maschinen ist ja definitiv interessant. Allerdings hat man im Studium dazu meist mehrere Vorlesungen über verschiedene Semester hinweg. Der Vortragende hat versucht, alles in eine Stunde zu packen. Nun ja... das ist mißlungen. Da er leider auch noch schwer verständlich gesprochen hat, war der Vortrag insgesamt unbrauchbar. Covert channels in TCP/IP: attack and defenceVerstecken von Informationen in normalen TCP/IP-Verbindungen, um Kommunikation zu verbergen. Ok, nicht uninteressant. Leider war auch hier der Vortragende wieder schwer verständlich und die Einführung in das Thema mehr so Knall auf Fall. Ich behalte es zumindest als Hinweis auf ein Thema, was man sich mal in Ruhe zu Gemüte führen kann. Der Vortrag selbst hat mir nichts gebracht. FazitBisher lohnen sich die 75 EUR wie gesagt. Schauen wir mal, was der morgige Tag bringt. Für mich ist sowohl konzentrations- als auch interessentechnisch Sense für heute. Außerdem passt mein Hintern morgen nicht mehr in den Autositz. Breitgesessen, Mist! 22C3 Bilder (die Zweite)Nachdem wird ein wenig durch die (arschkalte) Nacht in Berlin gestapft sind, hier noch ein paar Bilderchens bei Nacht. Leider sind nur zwei was geworden, weil ich mein Stativ im Hotel vergessen habe. Mehr gibt es dann vielleicht heute abend vom Zimmer aus mit Stativ und Tele. Wir haben ja glücklicherweise perfekte Sicht auf Spree, Rotes Rathaus und Fernsehturm. ![]() Schön beleuchtet... ![]() Sie sind gelandet... Ach ja, diesen Tagebuchstil gibt's nur während des Congress'. Danach werde ich wieder faul. Jetzt erstmal noch ne Stunde "Applied Machine Learning (ich bin gespannt) und danach eine weitere Stunde "Covert channels in TCP/IP: attack and defence". Den letzten Slot zwischen 23 und 0 Uhr werde ich wohl frei lassen. Bisher lohnt sich der Eintritt...
(Seite 1 von 2, insgesamt 28 Einträge)
» nächste Seite
|