11:36
3/8/2010

Prezentacje z konferencji BlackHat były na żywo transmitowane w sieci. Streaming kosztował 395 dolarów. Jedna osoba, pracownik Mozilli, miał go za darmo :-)

Hacking Black Hat

Michael Coates nie był w stanie dotrzeć na tegorocznego BlackHata, więc pomyślał, że “poogląda” konferencje w sieci, monitorując blogi, twittery i inne relacje. Zauważył jednak, że w tym roku Black Hat udostępnia streaming prelekcji (“Black Hat Uplink“).

Tak wyglądał streaming z BlackHat 2010

Podczas rejestracji w systemie streamującym Coates stworzył konto podając tylko adres e-mail (czyżby walidacja danych tylko via js w formularzu?). Nie w pełni “zarejestrowane” konto dawało brak prośby o wprowadzenie numeru karty kredytowej (pożądane) ale i brak URL-a ze stroną logowania do systemu (niepożądane). Michaelowi udało się wygooglać stronę i o dzwio, jego “upośledzone” konto pozwoliło mu się zalogować i uzyskać dostęp do feedów video.

Black Hat video

Warto podkreślić, że to nie “hackerzy” z Black Hata zarządzali streamingiem, ale zewnętrzna firma. Mimo wszystko Michael zdecydował się na zgłoszenie błędu w trybie responsible disclosure a nie full disclosure, jak wielu BlackHatowych prelegentów ;) Po 4 godzinach błąd został załatany.

Barnaby hackuje bankomaty - pisaliśmy o jego prelekcji tutaj

Niektórzy żartują, że powyższy incydent to dowód na to, że sytuacja się odwróciła; nie tylko uczestnicy konferencji BlackHat mogą hackować aplikacje, ale również i aplikacje mogą hackować BlackHatów ;-)

P.S. Aha, wszystkie prezentacje z konferencji można już pobrać. Lista tutaj.

O sprawie poinformował nas Andrzej L.

Aktualizacja 22:03
Okazuje się, że strona WWW BlackHatowców też zawierała błędy bezpieczeństwa (XSS, OpenRedirect i HTML injection):

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

16 komentarzy

Dodaj komentarz
  1. Kurczę, nie możecie jakiegoś lightbox plusa wrzuć na wordpressa czy podobnej wtyczki? Naprawdę to jest denerwujące, gdy klikam w obrazek to mnie przenosi na nową stronę (musi się załadować strona/reklamy/inne rzeczy) i znów klikać jeszcze raz… Nie lepiej zrobić, żeby po jednym kliknięciu otwierało się zdjęcie? Już można potem nawet wrzucić gdzieś w footer te reklamy jak tak chcecie. Chyba chodzi o funkcjonalność serwisu prawda? Nie tylko mi to przeszkadza. Nie róbmy z tego drugiego wykopu…

  2. ^- this

  3. bibi88bibi, +1.

  4. @up

    Dokładnie, strasznie denerwujące :/

  5. “In Soviet Russia, applications hack you!” :D

  6. @bibi88bibi -> +1

  7. @bibi88bibi o to to chodzi :) albo jest jeszcze NextGEN (czy jakos tak).

  8. zgadzam sie z tym otwieraniem , wnerwia jak cholera.

  9. Podmieniłem na bezpośredni link do zdjęcia — już powinno być lepiej. NextGEN nie działa poprawnie. Lightbox z kolei miał problemy wydajnościowe na testowanych przez nas konfiguracjach. To nie jest takie proste jak myślicie ;) Ale zrobimy podejście do innych pluginów.

  10. o wiele lepiej jak jest tak jak teraz :)

  11. @Piotr Konieczny: zobacz plugin Fancybox

  12. I jeszcze by się przydało logowanie przy pomocy FB do komentowania :)

    • @Łukasz pomyślimy nad tym Facebookiem.

  13. Żeby nie było, że mnie reklamy denerwują na nbp! :D Jak strona posiada interesującą mnie treść merytoryczną (a za taką stronę uważam między innymi ten blog ;)) to specjalnie na takich stronach wyłączam blokowanie wszystkich skryptów z NoScripta i hulaj dusza atakujcie mnie reklamami ;p

    Wiadomo, że utrzymanie takiego serwisu to niemałe pieniądze, więc trzeba pomagać. Od razu lepiej jak się obrazek wczytuje po kliknięciu ;)

    • BTW skrótu NBP, którego użyłeś, a z którego czasem wewnętrznie korzystamy do określenia Niebezpiecznika. Rozwijamy go jako: Niebezpieczny Blog Polski ;) To tak w ramach tego paskudnego Off-Topica, który się tu stworzył ;)

Odpowiadasz na komentarz gigzor

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: