CONFidence 2009: fotorelacja z konferencji

Czas i miejsce konferencji dla specjalistów od bezpieczeństwa trafione w 100%,
bo w dzień premiery filmu „Anioły i demony” i w przeddzień koncertu grupy Incognito.

W hallu kina w czasie przerw było tłumnie i głośno…

...a podczas sesji znacznie spokojniej.

Bruce Schneier był największą gwiazdą konferencji. Przedstawił interesujące wystąpienie
o rozumieniu bezpieczeństwa, pozbawione jednak detali matematyczno-technicznych.

Schneier wskazał różnice między odczuwaniem bezpieczeństwa a rzeczywistym bezpieczeństwem. Kiedyś naturalne było to, że te dwie rzeczy były tożsame, jednak z czasem się to zmieniło i we współczesnym świecie sama intuicja już nie wystarcza do zapewnienia sobie bezpieczeństwa. Konieczne było uzupełnienie o jeszcze jeden element: model tegoż bezpieczeństwa, na który wpływ mają takie czynniki jak religia, kultura czy media.

Inaczej sprawy postrzega bowiem człowiek żyjący w dżungli, a inaczej ktoś mieszkający w mieście. Modele się zmieniają, ale mają stałe cechy. Ludzie nie dopuszczają do swojej świadomości tego, co przeczy ich modelowi, potwierdzając jednocześnie to, co jest z nim zgodne. Między innymi dlatego specjaliści budujący systemy zabezpieczeń muszą uwzględniać nie tylko rzeczywistość, ale także odczucia chronionych osób.

Bruce Schneier przekonywał też, że bezpieczeństwo kosztuje – pieniądze, wygodę, swobodę – i często jest poddawane konfrontacji z czynnikami ekonomicznymi. Zaznaczył przy tym, że kryptografia jest konieczna, ale tylko jednym z wielu narzędzi zapewniających bezpieczeństwo.

Joanna Rutkowska, światowej sławy specjalistka bezpieczeństwa niskopoziomowego, zachęcała do wykorzystywania idei trusted computing.

Założycielka Invisible Things Lab poświęciła swoje wystąpienie na przedstawienie elementów, które na poziomie sprzętowym mają uczynić komputery bardziej bezpiecznymi. Fizyczne komponenty stanowią bowiem bazę do działania oprogramowania i o ile tylko software jest w stanie wykorzystać technologie zabezpieczające, to w ten sposób podnosi się bezpieczeństwo całego systemu.

Joanna Rutkowska dość szczegółowo omówiła działanie układów TPM (Trusted Platform Module) – będących rdzeniem dla całego systemu bezpieczeństwa na poziomie sprzętowym –i metody korzystania z nich. Dowiedzieliśmy się także o tym, w jaki sposób na poziom bezpieczeństwa wpływa używanie technologii wirtualizacji urządzeń I/O (Intel VT-d), TXT (Trusted Execution Technology) oraz DRTM (Dynamic Root of Trust for Measurement).

Prowadząca zaprezentowała następnie kilka scenariuszy potencjalnych ataków sprzętowych i programowych oraz to, jak użycie zabezpieczeń na poziomie sprzętowym utrudnia lub uniemożliwia ich przeprowadzenie. Za bardzo ważną rzecz uznała izolację sterowników do poszczególnych urządzeń, stanowią one bowiem w tej chwili główne źródło zagrożeń.

Do odwiedzin stoisk sponsorów konferencji zachęcały uśmiechnięte panie.

Koszulka Mario Heidericha nie bez powodu miała żółty kolor: ostrzegała przed człowiekiem,
który w każdej aktualnie używanej przeglądarce znalazł różnego rodzaju słabości.

 Podczas prezentacji dowiedzieliśmy się o różnych typach ataków na praktycznie każdą przeglądarkę. Okazuje się bowiem, że celowo niewłaściwie użyte elementy w kodzie strony dają możliwość dokonania exploitu aplikacji, a z racji tego, że są to elementy rzadziej używane, to i błędy nie są zauważane. Wymieńmy kilka pokazanych metod: atak przez SVG, fonty SVG, przestrzeń nazw XML, artefakty XUL-a, plik GIF, tag HTML <label>, elementy DOM, BBCode – a to nie koniec listy. Polecamy zapoznanie się z prezentacją, którą organizatorzy CONFIdence udostępnią w swojej witrynie.

Fizyczne zabezpieczenia to temat rzadko obecny w agendach konferencyjnych.
Walter Belgers przekonywał, że to temat niesłusznie zaniedbany.

Michał Sajdak w czasie swojego wystąpienia kilkukrotnie został nagrodzony oklaskami,
bowiem na żywo obnażał niski poziom bezpieczeństwa domowych routerów.

Na przykładzie modeli firm Asmax i Linksys każdy na własne oczy mógł zobaczyć, że włamanie do routera nie wymagało wiele pracy. Jeden przykładów pokazywał, że nie ma znaczenia, jak silne jest hasło administratora, bo jego znajomość po prostu nie jest konieczna, atak omija zabezpieczenia firewalla, nie jest wymagane użycie JavaSciptu, a ponadto wydaje się pochodzić z sieci wewnętrznej.

Tavis Ormandy pracuje obecnie w Google Security Team, a na koncie swoich
osiągnięć zapisał dużo błędów znalezionych w systemach uniksowych.

Przyciągającym wzrok elementem dekoracyjnym Centrum Kijów są nieużywane projektory kinowe.

Hostessy, ubrane w okolicznościowe koszulki, były gotowe pomóc uczestnikom
CONFidence w każdej chwili.