CONFidence 2007 - po powrocie z pola bitwy :)

[TQM]

Hej ho!

Kto byl w Krakowie ten wie jak bylo, kto nie byl niech zaluje!

Prezentacje na prawde mocne - zwlaszcza Raoul dal zdrowo do myslenia ze swoim X.25 i prezentacja 'Oracle for penetration testers' - po porstu swietne!

Dinis Cruz (OWASP) bardzo fajnie prowadzil swoja prezentacjie - widac od razu ze robi to od dluzszego czasu. Swoja droga niedlugo mamy sie spotkac w Londynie wiec moze jakis wywiad na portal trafi... zobaczymy.

Ciekawa byla tez prezentacja o systemach IDS (Is your IDS better than mine - czy jakos tak). W sumie moze niewiele innowacyjnosci ale patrzac po minach ludzi zebranych na sali, wiele osob najwidoczniej nie zdawalo sobie sprawy z tego jak to na prawde wyglada (gubienie pakietow przez systemy IDS, kolizje, ilosc sygnatur vs. ilosc rozpoznawanych zagrozen, itd.). Ogolnie fajna sprawa aby odswiezyc sobie wiedze. Prezentacja moze nie porywajaca ale zasnac nie dawala moim zdaniem.

Co do konferencji - zapowiadalo sie mizernie ale szczena mi opadla jak dotarlem do hotelu i zobaczylem tlum ludzi do rejestracji! Dopiero wtedy zaczela sie cala zabawa - tym bardziej ze spotkalem kolege z uczelni z ktorym mieszkalem w jednym pokoju jakies 6-7 lat temu... no i wrocily stare tematy hehe!

Po sobotnich zajeciach wypad na miasto... Chyba jeden z najdrozszych pubow w 'okolicy' - za drinki wychodzilo drozej niz w Londynie (hahahaha!) ale bylo fajnie - zwlaszcza ze Raoul zaczal dalej opowiadac ciekawostki juz przy stole i wlasciwym szkle... Na prawde warto bylo sie tam pojawic a przede wszystkim lepiej zintegrowac sie z reszta ekipy.

Gdzies kolo 2 nad ranem (juz w innym lokalu) rozgorzala dyskusja co jest lepsze - grsecurity czy SELinux w aspekcie bezpieczenstwa, logowania i przedstawiania materialu dowodowego w sadzie No i nie zapominajmy o niesmiertelnych drukarkach iglowych - kufel za ich 'zdrowie'

Oczywiscie nie obeszlo sie bez ofiar - jeden kolega jak sam to slicznie ujal zostal zhackowany analogowo - po prostu ktos podprowadzil mu w PUBie (tym pierwszym) torbe pelna koszulek, na ktore wydal troche kasy... Wydaje mi sie ze w niedziele widzialem go usmiechnietego w jednej z nich wiec pewnie odzyskal swoj dobytek - przynajmniej taka mam nadzieje.

Na noc mielismy z kumplem wracac do niego - kawalek drogi od Krakowa, ale ze bylismy po alkoholu nikt nie podjal sie prowadzenia, za to bylo taxi i zakotwiczylismy u innego kolegi - trzech chlopa w jednym lozku, po tym jak przenieslismy kolege z podlogi (gdzie zalogowal sie do poduszki zamiast do laptopa na stoliku) na lozko. Obudzil nas o 6 rano jakis beznadziejny polski serial o tak ambitnych tekstach, ze poranny kac po dobrej imprezie jest zbawieniem!

Niedziela byla ciezka dla wielu osob (szczegolnie poranek) - niektorzy mieli nawet stany lekowe i zachowywali sie nadzwyczaj nerwowo hehe... dlatego tez pierwsze wyklady (zaczynaly sie o 9 rano) mialy dosc niska frekwencje. Nawet ci ktorzy dotarli mieli sporo kolizji i zgubionych pakietow w torze audio, tak wiec ich reakcje na otoczenie byly 'malo interaktywne' (ROTFL) ... ale temat drukarek iglowych powrocil, pozniej temat przedluzaczy (haha z tym tez byly jaja!)...

Pozniej gdzies w trakcie dnia Artek wygral X-Box'a 360 na stoisku CISCO - duzy z niego chlop i prace domowa odrobil (nawet pomimo tego ze wczesniej byl z nami w PUBie). Gratulacje raz jeszcze i szacunek wielki (+ pozdrowienia dla synka)... a dalej przyszla kolej na CtF...

Po walkach z kabelkologia i smiesznymi stacjami roboczymi ktore dzialaly jakby chcialy a nie mogly (a to interface up/down co pare sekund, a to zwieszka Firefox'a, a to BackTrack padl komus) w koncu wystartowalismy. Zadanie bylo przyjemne i skomplikowane nieco bardziej niz srednio.

W sieci (bez dostepu do interenetu) znajdowal sie serwer WWW z aplikacja ktora miala dziure. W bazie tej aplikacji stworzono dodatkowa tabele w ktorej umieszczono jeden wiersz zawierajacy zakodowane haslo, ktore trzeba wydobyc. Nazwe tabeli i kolumny znalismy, mielismy dostep do serwera przez WWW tylko - w sumie przegladarka byla wystarczajaca. W CtF wystartowalo sam juz nie wiem czy 6 czy 8 osob... Hash z bazy wydobyly 3 osoby - Artek, ja no i zwyciezca oczywiscie...

Nie wiem jak dalej Artek bo siedzial po drugiej stronie ale walka byla zacieta - tego jestem pewien... Przydal sie hint od organizatorow... pozniej zostalo zrobic brute-force na ograniczonym zakresie i podac haslo. Sztuka polegala tylko na tym jak na szybko przygotowac sobie slownik i pozniej sprawdzic kombinacje... w momencie gdy zwyciezca (zapomnialem jednak jego imienia - za to pamietam jego dredy hehe) zglosil ze ma odpowiedz, ja zamykalem ostatnie klamry w skrypcie perlowym ktory generowal mi slownik. Dalej bylo tylko jedno polecenie shell'a i bylaby odpowiedz - braklo okolo 1 minuty
Szczesliwy zwyciezca wyszedl z konferencji z Nitendo Wii, ktore bylo glowna nagroda z CtF.

Wygral najlepszy i o to chodzilo - zabawa byla swietna, wielkie dzieki dla organizatorow!

W trakcie CtF padlo jeszcze jedno stwierdzenie ktore wywolalo smiech na sali - gdy zwyciezca obracal monitor lekko w bok wypadl z niego kabel zasilajacy i pojawil sie (tu waz zaskocze) czarny ekran ktos z sali rzucil haslo 'to teraz zrob blind sql injection'. Nie ma to jak trzymac klimat hehe.

Wrocilem do Londynu zmeczony, spiacy... do pracy juz nie dotarlem tego dnia a nastepnego bylem ledwie zywy... majac na glowie tyle roboty ze jeszcze sie z niej wygrzebuje.

Fajnie bylo tez spotkac Mateusza, Tomka i Piotrka - w koncu poznalismy sie osobiscie!


No to jak? Ktos inny moze tez opisze swoje wrazenia?

[kosiarz]

No z tego co opisałeś to konferencja musiała być naprawdę ciekawa , chociaż mogłeś oszczędzić tych szczegółów z kolegami i jednym łóżkiem , może jak za rok będzie więcej kasy to się wybiorę.
PS: a co do cen w barach to w końcu jesteśmy w unii , tylko niewiadomo czemu nie chcą dać plac unijnych .

koszulki to są jak nic do odbioru na stadionie dziesięciolecia, jak kumpel chce je odzyskać to niech się pospieszy bo niedługo zamykają.

[eMCe]

hihi nio to widzę zabawa przednia - za roczek jak będzie się najprawdopodobniej wybiorę - kasę już zacząłem odkładać byle bym zdrówko dopisało

PS. macie jakieś foty z imprezy, którymi byście się chcieli podzielić ?

[markossx]

już dawno miałem coś napisać w tej kwestii ale mam zajeb w robocie od rana do wieczora i po powrocie nawet już kompa nie odpalam, ale Tomek w końcu mnie zmobilizował...
był naprawdę wypas (mnie zapewne wprowadziło więcej rzeczy w zdumienie niż Tomka) - cieszę się, że udało mi się załapać na warsztaty Cisco do Łukasza Bromirskiego - fajnie gość opowiada, wiedza kosmiczna. Było głównie o routerach z ISR (Integrated Services Router) ale również przypomnienie rożnych ciekawych funkcjonalności IOSów (Internetwork Operating System) i oczywiście kilka ciekawych "myków". Każdy z warsztatowiczów miał dostęp do IOSa i ćwiczyliśmy wszystko "na żywca". Instruktywne na 5+
poza tym również powalił mnie (zresztą prawie wszyscy byli w szoku) Alexander Kornbrust ze swoim wykładem na temat haczenia baz Oracle...
niestety nie mam prezentacji, żeby to na spokojnie przećwiczyć ale mam nadzieję że organizatorzy niebawem coś zamieszczą na Necie...
również interesujące tematy to: Wirtualizacja sieci - bezpieczeństwo w sieciach MPLS i izolacja ruchu w sieciach lokalnych - Ł. Bromirski...
Nieźle też pojechał Dinis Cruz - buffer overflow w .Net i asp.Net - chociaż dla mnie to już raczej rzeczy lekko abstrakcyjne...
CtF było emocjonujące - zwłaszcza końcówka, siedziałem prawie cały czas za plecami zwycięzcy (też zapomniałem jak się nazywa) i widziałem jego poczynania... naprawdę niezła lekcja...
o części nie oficjalnej nie bedę się zagłebiał w szczegóły ale było mocno
bo akurat nocowałem u kumpla z którym nie widziałem się prawie rok...
oczywiście kilak nowych znajomości i osobiste zapoznanie Tomka i Mateusza...
za rok jeśli nic nie pokrzyżuje mi planów również mam zamiar się wybrać...
pozdrowienia dla wszystkich Obecnych i Nieobecnych !!!

edit: tqm jak byś był do końca to otrzymałbyś książkę bo zostałeś wylosowany...

[suchy]

To była moja pierwsza taka konferencja i nie zawiodłem się. Było super. Polecam każdemu. Wykłady super, w przyszłym roku postaram sie załapać także na warsztaty. A na koniec konferenci wygrałem jeszzce odtwarzacz mp3 z e-pracownika


Wie ktos może kiedy ukażą się filmy i prezentacje z CONFidenca?

[TQM]

Hehe... a wiesz jaka ksiazke?

Swoja droga... wlasnie pisalem do Andrzeja (jeden z organizatorow) i czesc materialow ma byc w przyszlym tygodniu ale pewnie nie wszystkie aby nie rozpieszczac tych ktorzy nie przyjechali (bo wtedy co za sztuka poczekac na materialy na stronie).

Pakiet materialow bedzie bardzo ciekawy... i kazdy uczestnik na pewno dostanie caly zestaw :-) W koncu zobacze te prezentacje ktore opuscilem idac na inne

P.S.
Jak pisal Andrzej, rejestracja na CONFidence 2008 startuje za 2-3 miesiace wiec lepiej zbierajcie kase i pilnujcie zdrowia! Organizatorzy mieli racje - to nie jest CONFerencja... to jest impreza towarzyska w pelnym wymiarze!

Tak nawiasem - dopiero dzisiaj czuje sie wzglednie wyspany... a z Krakowa wrocilem prawie 2 tygodnie temu

[markossx]

Nie wiem Tomek jaka książka bo nie mówili, a były różne...

i oczywiście lepiej zapisać się wcześniej - wtedy jest sporo taniej

[suchy]

Nooo, tym razem zapisuje się jak tylko wystartują zapisy. Bo na tegoroczną zapisałem się pod koniec kwietnie, no i zabolało trochę finansowo:P

bo wtedy co za sztuka poczekac na materialy na stronie

No niby prawda, ale wg mnie to zdecydowanie nie to samo, co być tam na żywo

Swoją dorgą w sumie troche śmieszna sprawa z tą konferencją. Bo niby konferencja o bezpieczeństwie, a można sobie było wejść kompletnie za free, tzn nikt nic nie sprawdzał, można sobie było wejść, od tak, prosto z ulicy :P

[eMCe]

.. nikt nic nie sprawdzał, można sobie było wejść, od tak, prosto z ulicy :P...

teraz mówisz ?

[markossx]

dokładnie Suchy, też to zauważyłem