WhatTheNet at WhatTheHack

Ein weiteres Highlight war der fünfte Vortrag heute, der sich mit dem Thema Bluetooth-Sicherheit auseinandergesetzt hat. Ansprechend aufbereitet wurden die technischen Grundlagen angerissen und anschliessend übergeleitet auf real existierende Schwächen in aktueller Hardware. Abgerundet wurde das ganze von einer Live-Demonstration des Car-Whisperers, einer Möglichkeit, mit BT-Freisprecheinrichtung ausgestatteten Fahrzeugen und/oder Headsets, Mitteilungen zukommen zu lassen, oder, ganz böse, die Kommunikation im Fahrzeug zu belauschen.
Ein sehr guter Vortrag, aber jetzt ist erstmal eine Pizza fällig.

In den nächsten beiden Vorträgen die ich mir heute reingezogen habe konnten die Erwartungen, die am Vormittag geschürt worden sind leider nicht zu meiner vollsten Zufriedenheit erfüllt werden. Während der Vortrag zu Anonymous communications noch relativ interessant, gut vorbereitet und flüssig präsentiert worden ist hat der anschliessende Bericht über die Analyse von Hintergrundrauschem im Internet wenig neues gebracht.

Kernpunkt des Anonymous-Vortrages war die Software TOR (The Onion Router), deren Funktionsweise sowie die Verbreitung. Auch wenn das Konzept prinzipiell einen vernünftigen Eindruck gemacht stehe ich dem ganzen noch etwas misstrauisch gegenüber, da ein richtiger Mix eigentlich nicht gegeben ist.

Der nächste Vortrag lief unter dem Titel "Monitoring Internet Background Radiation". Prinzipiell eine nette Idee, auch wenn sie nicht gerade neu ist - allerdings hat es dem Referenten entweder an geeignetem Material oder an Hintergrundwissen gefehlt, den prinzipiell sah das ganze eher dilletantisch implementiert aus. Viele interessante Aspekte dieses Themas wurden nur marginal tangentiert, andere blieben ganz offen. Ob einfach das Material zur Untermalung gefehlt hat kann ich nicht sagen, ich hatte mir wesentlich mehr davon versprochen.

Jaja ich weiss, selber machen wenns einem nicht passt... vielleicht beim nächsten Mal.

Heute war ich ausnahmsweise mal früh auf den Beinen und habe mir direkt ab 10 Uhr zwei Vorträge angehört. Während sich der erste mit den Gegebenheiten ausserhalb der uns gewohnten IT-Infrastruktur beschäftigt hat wurde im zweiten Vortrag ein neues Apache-Modul vorgestellt, welches den zahlreichen Exploits in schlechten Web-Programmen Einhalt gebieten soll.

"Physical Security" veranschaulichte anhand einiger schöner Beispiele, dass auch in den Bereichen Zutrittskontrolle, Benutzerauthentifikation und Abschottung viele elementare Dinge falsch laufen: Neben den obligatorischen Backdoors in Zugangskontrollsystemen wurden dabei Videoüberwachung, mangelhaftes Schlüsselmanagement, schlecht geschulte undd/oder unmotivierte Mitarbeiter bemängelt. Alles in allem ein recht unterhaltsamer Vortrag, gewürzt mit einem lustigem Mitschnitt aus einer Überwachungsanlage.

mod_security, mit dem sich der zweite von mir gewählte Vortrag des heutigen Tages beschäftigt hat war ebenfalls ein relativ interessanter Vortrag. Auch wenn ich dem ganzen bereits nach den ersten beiden Folien misstrauisch gegenüber gestanden bin hat sich meine Meinung im weiteren Verlauf des Vortrages wieder etwas relativiert. mod_security, ein Modul für den Apache übernimmt im Endeffekt die Funktion einer Application-Level-Firewall mit einem Heute war ich ausnahmsweise mal früh auf den Beinen und habe mir direkt ab 10 Uhr zwei Vorträge angehört. Während sich der erste mit den Gegebenheiten ausserhalb der uns gewohnten IT-Infrastruktur beschäftigt hat wurde im zweiten Vortrag ein neues Apache-Modul vorgestellt, welches den zahlreichen Exploits in schlechten Web-Programmen Einhalt gebieten soll.

"Physical Security" veranschaulichte anhand einiger schöner Beispiele, dass auch in den Bereichen Zutrittskontrolle, Benutzerauthentifikation und Abschottung viele elementare Dinge falsch laufen: Neben den obligatorischen Backdoors in Zugangskontrollsystemen wurden dabei Videoüberwachung, mangelhaftes Schlüsselmanagement, schlecht geschulte und/oder unmotivierte Mitarbeiter bemängelt. Alles in allem ein recht unterhaltsamer Vortrag, gewürzt mit einem lustigem Mitschnitt aus einer Überwachungsanlage.

mod_security, mit dem sich der zweite von mir gewählte Vortrag des heutigen Tages beschäftigt hat war ebenfalls ein relativ interessanter Vortrag. Auch wenn ich dem ganzen bereits nach den ersten beiden Folien misstrauisch gegenüber gestanden bin hat sich meine Meinung im weiteren Verlauf des Vortrages wieder etwas relativiert. mod_security, ein Modul für den Apache übernimmt im Endeffekt die Funktion einer Application-Level-Firewall mit einem umfangreichen Zusatzangebot. Funktionell lassen sich zwei Kategorien abgrenzen: Sinnvoll und weniger sinnvoll. Zu den weniger sinnvollen zählen meiner Meinung nach alle Methoden, welche sich mit Input Validierung und Filterung beschäftigen - die Zeit bis das sinnvoll konfiguriert ist sollte meiner Meinung nach lieber in die Reparatur der eigentlichen Web-Anwendung gesteckt werden. Schick hingegen fand ich Funktionen wie Comment-Stripping, Link- und Cookie-Signing. Beim Link-Signing werden alle Hyperlinks auf der ausgelieferten Seite mit einem kryptographischem Hash versehen - wird nun einer dieser Links aufgerufen wird er nur als gültig bearbeitet wenn keiner der Parameter vom Benutzer editiert worden ist.

Alles in allem ein vielversprechneder Anfang, hoffentlich halten sich die Vorträge im weiteren Verlauf des Tages auf einem ähnlichen Niveau.