Postrehy z Luxemburgska (fotoblog)

Od pavol lupták

V sobotu som sa vrátil z Luxemburgska, kde som strávil štyri skvelé dni. Dôvod na návštevu Luxemburgska nebol len čisto pracovný (viedol som workshop o čipových kariet na konferencii hack.lu), ale v prvom rade som chcel návštíviť Luxemburgský hackerspace syn2cat , stretnúť sa s mojimi kamarátmi, ktorí tu natrvalo žijú už pár rokov a hlavne vidieť túto malú, ale zaujímavú krajinu.

hack.lu

Bezpečnostná konferencia hack.lu sa uskutočnila v priestoroch Alviss Parc Hotela umiestneného doslova na Luxemburgskom vidieku pár kilometrov od hlavného mesta. Luxemburgsko je drahá krajina (každý deň za prácou tu dochádza obrovské množstvo ľudí ako z Nemecka, tak Belgicka), takže vstupné na konferenciu bolo celkom vysoké (400-500 €).

Hneď pri vstupe som stretol môjho rumunsko-moldavského kamaráta žijúceho na Cypre - Andreia Costina, s ktorým som mal minulý rok na 26C3 krátky lightning talk o našom spoločnom projekte MFCUK. Andrei mal na hack.lu zaujímavú a dosť netradičnú prezentáciu o hackovaní tlačiarní.

Oficiálny štvrtkový deň konferencie otvoril Fyodor Yarochkin, rus žijúci na Tajvane pracujúci v oblasti analýz malwareu. Jeho prezentácia Intelligence analysis: insights of underground traders, tools of trade and more objasnila pravidlá a fungovanie čierneho trhu na čínskych a ruských webových forách s citlivými údajmi ako sú čísla platobných kariet, scany pasov, osobné SIM karty, či najpestrejšie osobné údaje. Fyodor okrem toho, že je to rus (narodený v Kyrgystane) ovláda slušne aj mandarínčinu, takže s analýzou obsahu ako ruských, tak čínskych fór nemá žiadny problém. Fyodor mi ukázal zaujimavé zariadenie - tajvanský telefón Huayu, ktorý umožňuje emuláciu čipových kariet Mifare Classic a Mifare DESFire (okrem toho obsahuje aj GPS, čítačku bar kódov...). Fyodor mi nedokázal povedať ako úplná je táto emulácia (či daný telefón dokáže odemulovať UID, teda nultý sektor, nultý blok karty vrátane obsahu karty alebo len obsah danej karty bez možnosti emulácie UID ako to vedia súčasné Nokia NFC telefóny), poprosil som ho teda o bližšiu analýzu uvedenej emulácie (a poskytol som mu dumpy jeho piatich tajvanských Mifare Classic 1kB kariet).  Celý tento telefón vyzerá byť čisto tajvanský projekt bez dostupnej anglickej dokumentácie (informácie o emulácii Mifare Classic sa mi podarilo nájsť tiež len v čínštine tu a google translate sa nezmieňuje bližšie o tom, ktoré časti danej karty je možné presne emulovať). V každom prípade uvedené zariadenie stojí len 100 USD a v prípade, že umožňuje plnú emuláciu kariet Mifare, je to vážna zbraň proti všetkým masívne používaným kartám Mifare Classic nielen na Slovensku, ale aj všade vo svete.

Ďalšia zaujímavá prezentácia bolo predstavenie projektu karmetasploit (projekt KARMA integrovaný do Metasploitu) umožňujúci emuláciu veľkého množstva služieb (napríklad falošný jabber server, SIP server, ..) samozrejme po získaní kontroly na linkovej/sieťovej vrstve.

Pre mňa zaujimavá prednáška bola prezentácia o detekovaní hardvérovych keyloggerov (a to dokonca na čisto softvérovej úrovni), ktoré sa už teraz dajú kúpiť aj na slovenskom trhu.

Jednoznačne najodbornejšiu prezentáciu mal argentínčan Aureliano Calvo z Core Labs (spoločnosti, ktorá vyvíja najlepši exploit framework Core Impact) o grafickej vizualizácii rozdielov aplikovaných patchov (pomocou nových vizualizačných techník nazvaných "preattentive attributes"). Uvedené techniky umožňujú hladať skryté (nielen bezpečnostné) chyby v uvedených patchoch ako aj určovať ich potenciálny spôsob zneužitia.

Ďalšia zaujimavá prezentácia All Your Baseband Are Belong To Us sa venovala hackovaniu GSM, špeciálne zaujímavá na tom bola demonštrácia exploitovania GSM stacku, spustenie podvrhnutého kódu a získanie kontroly nad baseband procesorom v mobilnom telefóne.

A posledná zaujimavá aj keď trochu šoumanská a príliš málo technická prezentácia bola prezentácia inda Saumila Shaha - Exploit Delivery - Tricks and Techniques.  Saumila som mal možnosť vidieť na viacerých konferenciách, v oblasti bezpečnosti webových aplikácií je celkom aktívny (napísal napríklad knihu Web Hacking: Attacks and Defense). Osobne som sa síce nič nové nedozvedel - len to, že sa celý web s bezpečnosťou rúti do pekiel (o čom nás vlastne presviedčajú všetci, ktorí do bezpečnosti webových aplikácií trochu vidia :-)

Luxemburgský hackerspace syn2cat

Luxemburgský hackerspace na rozdiel od toho Bratislavského má obrovskú plochu (čitáreň, dielňa, samostatný bar s chladničkou plnou Club Mate) a tiež veľkú podporu zo strany samotného mesta, vďaka čomu si môžu na Luxemburgské pomery dovoliť symbolické členské - len 6 € mesačne. Denne sa tam vyskytuje 5-10 ludí, počas prezentácií a špeciálnych akcií (ako bola after hack.lu párty) trochu viac. Zaujímave na tomto priestore je komunikačný jazyk, väčšina členov hovorí luxemburgsky (čo je niečo vzdialené nemčine), niektorí francúzsky, takže oficiálny jazyk na stretnutiach je obvykle angličtina.

Luxemburgsko je vo všeobecnosti zaujímavé tým, že všetci jeho obyvatelia sú multilingvisti - nemčina, francúzština a angličtina je povinná pre všetkých na základnej škole a na strednej škole si musia zvoliť svoj 4-tý jazyk (napríklad španielčinu, taliančinu, či iný). Zaujímave na tom je, že aj napriek tomu, že luxemburčina je už pár rokov kodifikovaný jazyk, na školách sa oficiálne neučí.

Afterpárty hack.lu prebiehala v syn2cat síce v malom obsadení, ale zase vo veľmi priateľskom duchu - zo Slovenska sme boli dvaja (Potmehúd a ja), Fyodor Yarochkin z Ruska, Aureliano Calvo z Argentíny, Saumil Shah z Indie, nejakí francúzki a luxemburgskí lokální hackeri.

Luxemburgské umenie

Obyvatelia Luxemburgska majú veľký vzťah k umeniu, ťažko povedať, či je to spôsobené historicky alebo faktom, že je tam dostatočne vysoká životná úroveň na to, že ľudia majú dosť času a priestoru sa tomu venovať. Navštívil som múzeum moderného umenia MUDAM.

Osobne sa mi veľmi páčila expozícia ATTILA CSÖRGŐ, ktorá pozostávala od konštrukcie špeciálnych mechanických zariadení - kladkostrojov s lankom na konštrukciu rôznych geometrických útvarov, až po zariadenia, ktorá v tme vytvárali zaujímavé sférické objekty.

Zaujímavá bola aj kolekcia röntgenových snímok bozkávajúcich sa milencov, či dotykov rúk od Roberta Gligorova. Jednoznačne najvtipnejšiu expozíciu mala Dana Wyse z umeleckej skupiny Jesus had a sister Production, ktorá parodovala potreby súčasného konzumného sveta pomocou univerzálnych drog, ktoré dokážu vyriešiť akýkoľvek problém (napríklad tabletky obsahujúce MDMA na účinnu a efektívnu komunikáciu s Vašim otcom). Inšpirovala sa úspešnými reklamami 50-70-tich rokov minulého storočia. Aj napriek tomu, že ide o moderné umenie za svoju kontraverznosť a nepochopenie zo strany bežných ludí bola viackrát zažalovaná.

V Luxemburgsku sa nachádza ešte jednu múzeum moderného umenia Casino Luxembourg, ktoré som bohužiaľ už nemal čas navštíviť. V každom prípade pri najbližšej návšteve Luxemburgska (možno budúco-ročný hack.lu) si ho určite nenechám ujsť.