W ostatni weekend to jest 15-16 Maj 2k9 miałem przyjemność uczestniczyć( tak ja w zeszłym roku z resztą 
) w piątej już edycji konferencji traktującej o bezpieczeństwie IT Confidence 2009. Na wstępie powiem co mi się chyba już zdarzyło na tym blogu, że lepszej konferencji od Confidence w Polsce nie było i jak na razie nie widać „rywala” 
.
Postępując chronologicznie:
/* Podróż */
W tym roku bez żadnych dodatkowych kłopotów z PKP( tak tak ,warto o tym wspomnieć ,bo w tamtym roku czekaliśmy z Coldwind’em ok.3.5h na spóźniony pociąg, a jego delay time co 45min był sukcesywnie inkrementowany o kolejne 45 
) w sielankowej atmosferze podziwiając krajobrazy ,przemierzaliśmy z Gyn’em kolejne setki kilometrów. Gdzieś po drodze do przedziału zainjectował się j00ru i już pełną tegoroczną ekipa zmierzaliśmy do celu.
/* Camp place */
Camp place tudzież miejsce noclegowania to dość nietuzinkowy tegoroczny pomysł organizatorów nazwany Hackers’ Squad.
Pomysł polegał na umieszczenie uczestników we dwóch hostelach przy czym uczestniczy trafiali do pokojów w sposób losowy . Powiem szczerze, że na początku miałem mieszane uczucia co do tego pomysłu, ale ostatecznie muszę postawić wielkiego plusa za hostel/śniadania i ekipę jaką można tam było poznać . Dodatkowym atutem
hostelu była jego lokalizacja , jakieś 300m od Kina Kijów gdzie odbywała się konferencja
Fotka z pokoju:
j00ru & me
/* Before party */
Kolejna innowacja . Jako, że Kino Kijów ma własny klub to organizatorzy postanowili wykorzystać i tą możliwość do zagospodarowania nam pierwszego wieczoru poprzez projekcje następujących tytułów:
Gry Wojenne (Wargames)
Metropolis
PI
Wróg Publiczny (Enemy of the State)
H4ck3rs Are People Too
me & Gynvael Coldwind na seansie w klubie Kijów
Napisałem „oglądając”, bo wytrwaliśmy do końca pierwszego filmu , ale w sumie bez większych strat, bo widziałem wcześniej już:
H4ck3rs Are People Too jak najbardziej polecam i jakby ktoś nie reflektował tego dokumentu to jest to video o społeczności związanej z security, a film ten został po raz pierwszy zaprezentowany na DefCon’e 2008.
PI – bardzo klimatyczny film, polecam jeżeli lubisz nie przeciętne kino
Gry Wojenne – ten film właśnie udało mi się obejrzeć w całości w klubie i powiem, że czasami był zabawny:D Najlepszy tekst z filmu:
Teacher: “Who first suggested the idea of reproduction without sex?”
David: “Your wife?”
I tak upłynął pierwszy wieczór.
/* Dzień pierwszy */
Kolejną delikatna zmianą, która pojawiła się w tym roku (można ją było odczuć rano)jest godzina rozpoczęcia się wykładów. Przesunięto ją z 9:00 na 10:00 (imo bardziej ludzka godzina).
Oczywiście jak to zwykło bywać na konferencjach po rejestracji zostaliśmy obdarzeni przez piękne hostessy torbą z gadgetami:
Konferencje rozpoczęła się prezentacja:
Bruce Schneier’a – „Reconceptualizing Security”
Mówił on o tym jak odczuwamy bezpieczeństwo ,kiedy czujemy się bezpieczni, a tak w ogóle nie jest oraz kiedy jesteśmy bezpieczni, a tego bezpieczeństwa nie odczuwamy. No…., moim zdaniem prezentacja nietuzinkowa ze szczyptą filozofii tak jak lubię, widać tu po prostu wieloletnie doświadczenie w branży oraz ogrom przemyśleń na temat security. Mistrzostwo po prostu;).
Joanna Rutkowska – „Thoughts about Trusted Computing”
Bardzo dobra prezentacja (czego można się było z resztą spodziewać;)) ,m.in. omawiająca składniki
Trusted Computing: takie jak : TPM,TXT,VT. W szczególności muszę wspomnieć, że forma samej prezentacji przypadła mi do gustu ponieważ slajdy były przejrzyste(bez zbędnego przerostu formy nad treścią oraz wodotrysków), czarne tło kilka bloków/schematów objaśniających bieżące zagadnienie i to wszystko. Co do ciekawostek to Joanna zapowiedziała opublikowanie najnowszych badań w najbliższe wakacje m.in. na temat Trusted Computing . Czyżby wspomniane komponenty nie były tak bezpieczne jak zakładają ich twórcy ?Przekonamy się w wkrótce.
Eddie Schwarz – „Understanding Social Networking Threats Using Live Threat Intelligence”
Prezentacja dość na czasie zważając na to, że niektórzy wydają się żyć portalami społecznościowymi.
no i nadszedł czas na …
/* Lunch Break */
Jeżeli chodzi o same snacki, które są cały czas dostępne podczas konferencji to jest git, ale niestety ja jako wielki smakosz musze niestety przyznać minusa za obiad, bo to były dania w stylu:
„prawie zupa” oraz „prawie szaszłyk”. Także zdecydowanie to nie było to co misie lubią najbardziej. W swojej opinii nie byłem osamotniony ,bo moje zdanie podzieliło jeszcze parę osób, także coś w tym musi być 
.
Po wydłużonym lunch’u ,zdecydowałem się( tak tak ,sesje NIESTETY zostały podzielone po 3’im wykładzie) na prezentacje:
Alexander Kornbrust – “Oracle SQL Injection in Webapps”
Dla mnie interesująca prezentacja z tego względu, że o ile przeprowadznie pentestów na bazach MSSQL czy MySQL to jest chleb powszedni to jednak bazy Oracle chodź tak powszechne i lubiane w świecie biznesu to widywane są przeze mnie rzadko, a wręcz wcale. Także miło było zobaczyć co do „zaoferowania” mają funkcjonalności w różnych wersjach baz Oracle podczas ataków np. SQL (Blind) Injection .
Walter Belgers – „Lockpicking 101”
To był jeden z wyczekiwanych przeze mnie tematów ponieważ panowie zajmujący się Lockpicking’em mieli pojawić się na zeszłorocznej konferencji, a niestety się to nie udało. To co można było zobaczyć na prezentacji to masa różnego rodzaju zamków oraz metod, którymi można je otworzyć w sposób mniej lub bardziej inwazyjny. Widać było także wieloletnie doświadczenie prelegenta w tej branży.
Zabawna historia związana z tym tematem, którą przytoczę wydarzyła się wieczorem podasz powrotu do hostelu kiedy to równocześnie doszliśmy do drzwi(ja,Gyn,j00ru) i cześć ekipy loockpickerów już w środku kamienicy. Chwila konsternacji ,każdy uderza się po kieszeni gdzie te klucze po czym ,któryś lockhackerów chciał się pochwalić skillem i zamierzając otworzyć zamek niczym szpieg z krainy deszczowców świecąc miniaturowa latarką zaczął wyciągać picka ,ja nacisnąłem po prostu dzwonek do drzwi i ktoś otworzył je od wewnątrz ..hahah..byłem szybszy. Kolejny raz potwierdza się reguła, że najprostsze metody są najlepsze .
Michał Sajdak – „Zdalny root na ruterze klasy SOHO”
Prezentacja ok., bez jakiś większych rewelacji, ale ukazująca potencjał wykorzystania błędów w tanich powszechnie używanych router’ach .
Martin Mocko – “Race to baremetal: UEFI and hypervisors”
Interesująca prezentacja oraz ciekawa dyskusja, która wywiązała się tuż po niej, pomiędzy Joanna( w tym temacie to było do przewidzenia ) oraz prelegentem.
. Tam trzeba było po prostu być.
… i tak minął pierwszy dzień prelekcji. Wieczorem w klubie kijów było o czym rozmyśla jak i dyskutować, także pozytywnie .
/* Dzień drugi */
Rich Smith – „VAASeline: VNC Attack Automation Suite”
Rich jest członkiem firmy Immunity, myślę, że jest to firma, którą większość z was kojarzy m.in. przez takie projekty jak CANVAS czy Immunity Debugger. Rich stworzył bardzo użyteczną biblioteka dla pythona ułatwiającą proces automatyzacji ataków na VNC, której moim zdaniem warto się przyjrzeć;).
Jacob Appelbaum – „Tor Network”
Było technicznie ,było filozoficznie czyli bardzo dobra mieszanka.
Na tej prezentacji można było się dowiedzieć o tym jak działa sieć tor jak można stać się jej aktywnym węzłem , itd. , ale nie tylko. Jacob wspomniał także jaki jest sens tworzenia takiej sieci. Na szczęście w Polsce nie mamy takich problemów jak np. w Chinach, że rządowi nie podoba się youtube no to trach!!! i nikt już nie zobaczy kolejnego odcinka Tiger Team’u, a dzięki Tor’wi można to ominąć. Prelegent wspominał także o takich krajach, w których anonimowość, jaką daje Tor np. dziennikarzom, którzy piszą otwarcie na swoich blogach o tym co nie podoba się im w ich kraju ,jest na wagę ich życia.
Zabawną historią była opowieść o dwóch obozach FBI, które wzajemnie się kłócą czy Tor przynosi im więcej korzyści czy kłopotów .
Alessio Pennasilico – „Bakeca.it DDoS: How evil forces have been defeated.”
Hehhe jeden z moich ulubionych prelegentów confidence. Niesamowity sposób opowiadania oraz zabawny akcent (wyrażenie brzmiące “eso hon” rozkminiałem sporo czasu w tamtym roku, aż udało mi się odganąć, że chodzi tu o „and so on” ). Jeżeli chodzi o sprawy techniczne związane z prezentacja to tak jak w temacie Alessio opowiadał o ataku DDoS na firmę Bakeca.it ( coś ala allegro),
która pozwoliła mu jak widać zresztą ( i brawa dla niej) na opisania i opowiedzenie całego zdarzenia.
Genialnie opowiedziane kolejne kroki postępowania ataku oraz środków przeciw działania.
Michael Kemp – „Rootkits are awesome: Insider Threat for Fun and Profit”
To wystąpienie było mega zabawne, a zarazem tragiczne . Inaczej skomentować tego nie mogę, bo jeżeli, ktoś pokazuje listing Dll’ek wykorzystywanych przez dwie aplikacje, porównuje je, dochodzi do wniosku że są one identyczne i na tej podstawie stwierdza, że obie aplikacje działają identycznie to sorry Po prostu po parunastu minutach słuchania zacząłem się obawiać o tego człowieka jak daleko posunie się on w swoich fantazjach i jak wiele osób naskoczy na niego po prezentacji .
Tłumaczyć go może jedynie fakt, że tak jak wspomniał na samym wstępie był na dużym kacu i nie bardzo pamięta jak wrócił do hotelu:D…mam też nadzieje, że cała tą prezentacje tworzył w podobnym stanie wtedy jestem w stanie o tym zapomnieć. Oczywiście zgodnie z moimi oczekiwaniami po prezentacji znalazło się „parę” osób entuzjastycznie (tak to nazwijmy ) wytykających prelegentowi pewne nieścisłości w jego rozumowaniu. No niestety, Michael chciał zareklamować swoją nową firmę,
ale imo nie robi się tego w takim stylu .
Raoul Chiesa – „Corporate Security and Intelligence: the dark links”
Niestety obiecałem, że nic nie powiem . Prezentacja naprawdę bardzo ciekawa, a fakty przerażające.
I tym sposobem dotarliśmy do końca konferencji……
Podsumowując, wielki plus dla orgów za przygotowania i organizacje pozostaje mi tylko mieć nadzieję, że za rok znów się tam pojawię .
