3/8/2010
Prezentacje z konferencji BlackHat były na żywo transmitowane w sieci. Streaming kosztował 395 dolarów. Jedna osoba, pracownik Mozilli, miał go za darmo :-)
Hacking Black Hat
Michael Coates nie był w stanie dotrzeć na tegorocznego BlackHata, więc pomyślał, że “poogląda” konferencje w sieci, monitorując blogi, twittery i inne relacje. Zauważył jednak, że w tym roku Black Hat udostępnia streaming prelekcji (“Black Hat Uplink“).
Tak wyglądał streaming z BlackHat 2010
Podczas rejestracji w systemie streamującym Coates stworzył konto podając tylko adres e-mail (czyżby walidacja danych tylko via js w formularzu?). Nie w pełni “zarejestrowane” konto dawało brak prośby o wprowadzenie numeru karty kredytowej (pożądane) ale i brak URL-a ze stroną logowania do systemu (niepożądane). Michaelowi udało się wygooglać stronę i o dzwio, jego “upośledzone” konto pozwoliło mu się zalogować i uzyskać dostęp do feedów video.
Black Hat video
Warto podkreślić, że to nie “hackerzy” z Black Hata zarządzali streamingiem, ale zewnętrzna firma. Mimo wszystko Michael zdecydował się na zgłoszenie błędu w trybie responsible disclosure a nie full disclosure, jak wielu BlackHatowych prelegentów ;) Po 4 godzinach błąd został załatany.
Barnaby hackuje bankomaty - pisaliśmy o jego prelekcji tutaj
Niektórzy żartują, że powyższy incydent to dowód na to, że sytuacja się odwróciła; nie tylko uczestnicy konferencji BlackHat mogą hackować aplikacje, ale również i aplikacje mogą hackować BlackHatów ;-)
P.S. Aha, wszystkie prezentacje z konferencji można już pobrać. Lista tutaj.
O sprawie poinformował nas Andrzej L.
Aktualizacja 22:03
Okazuje się, że strona WWW BlackHatowców też zawierała błędy bezpieczeństwa (XSS, OpenRedirect i HTML injection):
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Kurczę, nie możecie jakiegoś lightbox plusa wrzuć na wordpressa czy podobnej wtyczki? Naprawdę to jest denerwujące, gdy klikam w obrazek to mnie przenosi na nową stronę (musi się załadować strona/reklamy/inne rzeczy) i znów klikać jeszcze raz… Nie lepiej zrobić, żeby po jednym kliknięciu otwierało się zdjęcie? Już można potem nawet wrzucić gdzieś w footer te reklamy jak tak chcecie. Chyba chodzi o funkcjonalność serwisu prawda? Nie tylko mi to przeszkadza. Nie róbmy z tego drugiego wykopu…
^- this
bibi88bibi, +1.
@up
Dokładnie, strasznie denerwujące :/
“In Soviet Russia, applications hack you!” :D
@bibi88bibi -> +1
@bibi88bibi o to to chodzi :) albo jest jeszcze NextGEN (czy jakos tak).
@All: i tak to właśnie jest z tymi Waszymi “superwtyczkami” do obrazków: http://www.exploit-db.com/exploits/14541/ :>
Albo security albo usability. Hawk!
zgadzam sie z tym otwieraniem , wnerwia jak cholera.
Podmieniłem na bezpośredni link do zdjęcia — już powinno być lepiej. NextGEN nie działa poprawnie. Lightbox z kolei miał problemy wydajnościowe na testowanych przez nas konfiguracjach. To nie jest takie proste jak myślicie ;) Ale zrobimy podejście do innych pluginów.
o wiele lepiej jak jest tak jak teraz :)
@Piotr Konieczny: zobacz plugin Fancybox
I jeszcze by się przydało logowanie przy pomocy FB do komentowania :)
@Łukasz pomyślimy nad tym Facebookiem.
Żeby nie było, że mnie reklamy denerwują na nbp! :D Jak strona posiada interesującą mnie treść merytoryczną (a za taką stronę uważam między innymi ten blog ;)) to specjalnie na takich stronach wyłączam blokowanie wszystkich skryptów z NoScripta i hulaj dusza atakujcie mnie reklamami ;p
Wiadomo, że utrzymanie takiego serwisu to niemałe pieniądze, więc trzeba pomagać. Od razu lepiej jak się obrazek wczytuje po kliknięciu ;)
BTW skrótu NBP, którego użyłeś, a z którego czasem wewnętrznie korzystamy do określenia Niebezpiecznika. Rozwijamy go jako: Niebezpieczny Blog Polski ;) To tak w ramach tego paskudnego Off-Topica, który się tu stworzył ;)