Confidence - (24-25.05 2011 Krakow)
Język: polski | english

Brad ‘RenderMan’ Haines

Brad ‘RenderMan’ Haines Brad Haines (RenderMan) jest Whitehatem poprzez wymianę, a Blackhatem z zawodu. Bardzo wyraźny i dobrze znany członek społeczności hakerskiej i wardriverskiej, stara się za wszelką cenę dowiedzieć się jak działają różne rzeczy, jak je usprawnić i nauczyć innych jak to się robi. Głęboko wierzący w hakerską etykę otwartości, wymiany i współpracy. Nigdy nie boi się spróbować czegoś nowego, często można go spotkać jak podejmuje niepotrzebne ryzyko wszystko po to by zdobyć cenne doświadczenie.

Author wielu pozycji dotyczących bezpieczeństwa IT, a także częsty prelegent na konferencjach hakerskich, bezpieczeństwa i prywatności. Można go zobaczyć jak zajmuje się czymś interesującym lub jak przeszukuje przestrzeń w poszukiwaniu danych z sieci WiFi lub też poszukuje nowych pysznych piw.

Temat prezentacji: Familiarity breeds contempt

Język prezentacji: Angielski

Abstrakt: „Dobzi programiści piszą kod, a wspaniali programiści wykorzystują go ponownie” jest to jedno z bardzo dobrze znanych truizmów spotykanych w tworzeniu oprogramowania. Ale co to oznacza pod kątem bezpieczeństwa? Przez ponad 30 lat inżynieria oprogramowania dążyła do napisania kodu idealnego i używania go tak często jak to tylko było możliwe, wierząc że jeśli tylko uda im się usunąć wszystkie błędy z kodu to stanie się on bezpieczny. W prezentacji postaramy się pokazać jak najwybitniejsze doktyny programistyczne są zabójcze dla bezpieczeństwa. Analiza danych na temat luk w oprogramowaniu, włączając w to dane zbierane z różnych wersji najpopularniejszych systemów operacyjnych, aplikacji zarówno po stronie klienta jak i serwera (open i closed source) na przełomie 10 lat wskazują że własności zewnętrzne oprogramowania odgrywają znacznie większą role w kwestii odkrywania luk w bezpieczeństwie niż ich własności wewnętrzne takie jak jakość właściwego oprogramowania. Pokażemy że (przynajmniej w pierwsze fazie egzystencji produktu), luki oprogramowania mają inne własności niż defekty programowe.

Nasza analiza narzędzi hakerskich i najpopulatniejszych luk wskazuje że szybkość przyswajania przez atakującego nowych rozwiązań determinuje kiedy i jakie oprogramowanie jest najbardziej narażone na atak. Ulepszenia w narzędziach hakerskich mają wpływ na częstość ataków, a w ostatecznym rozrachunku dochodzimy do scenariusza typu „point-and-click”. Przytoczymy kilka przykładów zarówno z perspektywy atakującego jak i broniącego oprogramowanie pokazujące jak niebezpieczna jest znajomość kodu. Zademonstrujemy że im bardziej atakujący zna produkt tym częściej będzie on atakowany i tym częściej atak odniesie skutek.