Te prezentacje podobały mi się na pierwszym dniu Confidence. Nie mówię, że inne były słabe, po prostu te podobały mi się bardziej.
A 2018 practical guide to hacking RFID/NFC - w tym przypadku najbardziej zadziwia mnie to, że wciąż są rozwiązania, które opierają się w zasadzie wyłącznie na ograniczonej dostępności sprzętu i braku dokumentacji. Oparcie rozwiązania na statycznym UID i założeniu o braku możliwości spreparowania karty z określonym UID poza fabryką jest równie uzasadnione, jak oparcie bezpieczeństwa sieci LAN na adresie MAC. Przy okazji - trochę śmieszą mnie pytania czy NFC w iOS/Androidzie jest bezpieczne (w kontekście fizycznej kontroli dostępu). Akurat to, czy to NFC jest na karcie czy w telefonie jest mniej istotne w porównaniu z tym, co przez to NFC jest przesyłane.
How quantum computing is changing cryptography - naprawdę dobre i przystępne wyjaśnienie o co chodzi z tym całym quantum computing, jaki ma to wpływ na kryptografię asymetryczną i symetryczną, a także co z tym można zrobić. Przyznam się, że w tym zakresie mam wiedzę "użyteczną", czyli rozumiem o co chodzi, ale nie będę udawał, że w pełni rozumiem o co chodzi z tymi wszystkimi qubitami albo rozumiem wszystkie koncepcje używane / rozważane w kontekście post quantum crypto. Ta prezentacja dobrze systematyzuje temat, a poza tym pokazuje kilka tematów do zgłębienia (ciekawe na przykład jest to ile trzeba mieć qubitów by efektywnie mieć x qubitów; drugi ciekawy temat - jak zinterpretować wynik obliczeń komputera kwantowego).
Dwie dodatkowe punkty:
- Odnośnie wykorzystania kryptografii symetrycznej do podpisów - Hash-based Signatures: An illustrated Primer;
- Odnośnie NSA Suite B- Revisiting the NSA Suite B Announcement.
Pentesting Voice Biometrics Solutions - w tym obszarze mam dość ograniczone doświadczenia, więc całość była dla mnie interesująca. Do tego sama prezentacja to kawał solidnej roboty (zarówno pod względem formy i treści). Przy okazji - Kuba, złapałeś australijski akcent :P
Invoke-DOSfuscation: Techniques FOR %F IN (-style) DO (S-level CMD Obfuscation) - krótko mówiąc - magia. Ten temat bardzo fajnie pokazuje, że cmd.exe w Windows wcale nie jest tak prymitywny jak się powszechnie(?) uważa. Po drugie - to trochę zapomniana wiedza. Przynajmniej część technik (lub raczej możliwości) pokazanych w prezentacji była mi znana, ale nie myślałem o nich w kontekście obfuskacji. Podejrzewam, że spora część osób pracujących w obszarze szeroko pojętego security (akurat w tym kontekście patrzę głównie na SOC) doświadczenia z cmd.exe ma już znikome. Generalnie dodałem ten blog do swojej listy.
Chciałem wybrać się jeszcze na prezentację It's a trap! - Remote detection of low and medium interaction honeypots, ale wybrałem wybrałem prezentację Kuby, która odbywała się w tym samym czasie. Nie ukrywam, że niepomijalny wpływ na decyzję miały, nazwijmy to w ten sposób, warunki klimatyczne w namiocie, gdzie prezentacja Julio miała mieć miejsce. Obiecuję sobie jednak obejrzeć tę prezentację gdy nagrania zostaną opublikowane na stronie konferencji.
