11:36
3/8/2010

Prezentacje z konferencji BlackHat były na żywo transmitowane w sieci. Streaming kosztował 395 dolarów. Jedna osoba, pracownik Mozilli, miał go za darmo :-)

Hacking Black Hat

Michael Coates nie był w stanie dotrzeć na tegorocznego BlackHata, więc pomyślał, że “poogląda” konferencje w sieci, monitorując blogi, twittery i inne relacje. Zauważył jednak, że w tym roku Black Hat udostępnia streaming prelekcji (“Black Hat Uplink“).

Tak wyglądał streaming z BlackHat 2010

Podczas rejestracji w systemie streamującym Coates stworzył konto podając tylko adres e-mail (czyżby walidacja danych tylko via js w formularzu?). Nie w pełni “zarejestrowane” konto dawało brak prośby o wprowadzenie numeru karty kredytowej (pożądane) ale i brak URL-a ze stroną logowania do systemu (niepożądane). Michaelowi udało się wygooglać stronę i o dzwio, jego “upośledzone” konto pozwoliło mu się zalogować i uzyskać dostęp do feedów video.

Black Hat video

Warto podkreślić, że to nie “hackerzy” z Black Hata zarządzali streamingiem, ale zewnętrzna firma. Mimo wszystko Michael zdecydował się na zgłoszenie błędu w trybie responsible disclosure a nie full disclosure, jak wielu BlackHatowych prelegentów ;) Po 4 godzinach błąd został załatany.

Barnaby hackuje bankomaty - pisaliśmy o jego prelekcji tutaj

Niektórzy żartują, że powyższy incydent to dowód na to, że sytuacja się odwróciła; nie tylko uczestnicy konferencji BlackHat mogą hackować aplikacje, ale również i aplikacje mogą hackować BlackHatów ;-)

P.S. Aha, wszystkie prezentacje z konferencji można już pobrać. Lista tutaj.

O sprawie poinformował nas Andrzej L.

Aktualizacja 22:03
Okazuje się, że strona WWW BlackHatowców też zawierała błędy bezpieczeństwa (XSS, OpenRedirect i HTML injection):

Przeczytaj także:



16 komentarzy

Dodaj komentarz
  1. Kurczę, nie możecie jakiegoś lightbox plusa wrzuć na wordpressa czy podobnej wtyczki? Naprawdę to jest denerwujące, gdy klikam w obrazek to mnie przenosi na nową stronę (musi się załadować strona/reklamy/inne rzeczy) i znów klikać jeszcze raz… Nie lepiej zrobić, żeby po jednym kliknięciu otwierało się zdjęcie? Już można potem nawet wrzucić gdzieś w footer te reklamy jak tak chcecie. Chyba chodzi o funkcjonalność serwisu prawda? Nie tylko mi to przeszkadza. Nie róbmy z tego drugiego wykopu…

  2. ^- this

  3. bibi88bibi, +1.

  4. @up

    Dokładnie, strasznie denerwujące :/

  5. “In Soviet Russia, applications hack you!” :D

  6. @bibi88bibi -> +1

  7. @bibi88bibi o to to chodzi :) albo jest jeszcze NextGEN (czy jakos tak).

  8. zgadzam sie z tym otwieraniem , wnerwia jak cholera.

  9. Podmieniłem na bezpośredni link do zdjęcia — już powinno być lepiej. NextGEN nie działa poprawnie. Lightbox z kolei miał problemy wydajnościowe na testowanych przez nas konfiguracjach. To nie jest takie proste jak myślicie ;) Ale zrobimy podejście do innych pluginów.

  10. o wiele lepiej jak jest tak jak teraz :)

  11. @Piotr Konieczny: zobacz plugin Fancybox

  12. I jeszcze by się przydało logowanie przy pomocy FB do komentowania :)

    • @Łukasz pomyślimy nad tym Facebookiem.

  13. Żeby nie było, że mnie reklamy denerwują na nbp! :D Jak strona posiada interesującą mnie treść merytoryczną (a za taką stronę uważam między innymi ten blog ;)) to specjalnie na takich stronach wyłączam blokowanie wszystkich skryptów z NoScripta i hulaj dusza atakujcie mnie reklamami ;p

    Wiadomo, że utrzymanie takiego serwisu to niemałe pieniądze, więc trzeba pomagać. Od razu lepiej jak się obrazek wczytuje po kliknięciu ;)

    • BTW skrótu NBP, którego użyłeś, a z którego czasem wewnętrznie korzystamy do określenia Niebezpiecznika. Rozwijamy go jako: Niebezpieczny Blog Polski ;) To tak w ramach tego paskudnego Off-Topica, który się tu stworzył ;)

Odpowiadasz na komentarz KORraN

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: