Wampiryczny blog

Te prezentacje podobały mi się na pierwszym dniu Confidence. Nie mówię, że inne były słabe, po prostu te podobały mi się bardziej.

A 2018 practical guide to hacking RFID/NFC - w tym przypadku najbardziej zadziwia mnie to, że wciąż są rozwiązania, które opierają się w zasadzie wyłącznie na ograniczonej dostępności sprzętu i braku dokumentacji. Oparcie rozwiązania na statycznym UID i założeniu o braku możliwości spreparowania karty z określonym UID poza fabryką jest równie uzasadnione, jak oparcie bezpieczeństwa sieci LAN na adresie MAC. Przy okazji - trochę śmieszą mnie pytania czy NFC w iOS/Androidzie jest bezpieczne (w kontekście fizycznej kontroli dostępu). Akurat to, czy to NFC jest na karcie czy w telefonie jest mniej istotne w porównaniu z tym, co przez to NFC jest przesyłane.

How quantum computing is changing cryptography - naprawdę dobre i przystępne wyjaśnienie o co chodzi z tym całym quantum computing, jaki ma to wpływ na kryptografię asymetryczną i symetryczną, a także co z tym można zrobić. Przyznam się, że w tym zakresie mam wiedzę "użyteczną", czyli rozumiem o co chodzi, ale nie będę udawał, że w pełni rozumiem o co chodzi z tymi wszystkimi qubitami albo rozumiem wszystkie koncepcje używane / rozważane w kontekście post quantum crypto. Ta prezentacja dobrze systematyzuje temat, a poza tym pokazuje kilka tematów do zgłębienia (ciekawe na przykład jest to ile trzeba mieć qubitów by efektywnie mieć x qubitów; drugi ciekawy temat - jak zinterpretować wynik obliczeń komputera kwantowego).

Dwie dodatkowe punkty:

• Odnośnie wykorzystania kryptografii symetrycznej do podpisów - Hash-based Signatures: An illustrated Primer;
• Odnośnie NSA Suite B- Revisiting the NSA Suite B Announcement.

Pentesting Voice Biometrics Solutions - w tym obszarze mam dość ograniczone doświadczenia, więc całość była dla mnie interesująca. Do tego sama prezentacja to kawał solidnej roboty (zarówno pod względem formy i treści). Przy okazji - Kuba, złapałeś australijski akcent :P

Invoke-DOSfuscation: Techniques FOR %F IN (-style) DO (S-level CMD Obfuscation) - krótko mówiąc - magia. Ten temat bardzo fajnie pokazuje, że cmd.exe w Windows wcale nie jest tak prymitywny jak się powszechnie(?) uważa. Po drugie - to trochę zapomniana wiedza. Przynajmniej część technik (lub raczej możliwości) pokazanych w prezentacji była mi znana, ale nie myślałem o nich w kontekście obfuskacji. Podejrzewam, że spora część osób pracujących w obszarze szeroko pojętego security (akurat w tym kontekście patrzę głównie na SOC) doświadczenia z cmd.exe ma już znikome. Generalnie dodałem ten blog do swojej listy.

Chciałem wybrać się jeszcze na prezentację It's a trap! - Remote detection of low and medium interaction honeypots, ale wybrałem wybrałem prezentację Kuby, która odbywała się w tym samym czasie. Nie ukrywam, że niepomijalny wpływ na decyzję miały, nazwijmy to w ten sposób, warunki klimatyczne w namiocie, gdzie prezentacja Julio miała mieć miejsce. Obiecuję sobie jednak obejrzeć tę prezentację gdy nagrania zostaną opublikowane na stronie konferencji.

...pasek! A właściwie możliwość jego wymieniania.

Mój pierwszy zegarek/opaska - Microsoft Band 2. Bardzo fajny produkt zarówno pod względem możliwości sprzętowych, jak i oprogramowania, ale:

• Microsoft wycofał się (na razie?) z tego segmentu;
• Pasek pękał.

Efekt? Dostałem zwrot pieniędzy i pomijając różnice kursowe wyszedłem na zero.

Drugi wybór - Fitbit Surge. W tym wypadku pasek się zniekształca, naciąga i "bąbelkuje". Pierwszy epizod w okresie gwarancji - wymiana na nowy (co ciekawe - bez odsyłania starego egzemplarza). Po pewnym czasie drugi epizod - już po gwarancji - to samo, naciągnięcie i zniekształcenie się paska, odklejenie i bąbelkowanie. Na szczęście na Amazon można kupić (nieoryginalne) zamienniki paska. Sam materiał jest trochę inny, pasek jest twardszy, ale daje radę. Wymiana jest w sumie prosta, bluetooth i GPS nadal działa (co jest niebywałym osiągnięciem w przypadku moich zdolności manualnych).

Obecnie Fitbit proponuje dwa urządzenia Fitbit Ionic i Fitbit Versa. To znaczy proponuje więcej urządzeń, ale chodzi mi o urządzenia porównywalne do Fitbit Surge. Na razie nie zamierzam się przesiadać, ale z tego co się zorientowałem to oba modele mają wymienne paski.

P.S. W zasadzie główna różnica między Fitbit Ionic i Fitbit Versa to GPS. Ionic ma wbudowany GPS podczas gdy Versa korzysta z GPS w telefonie. Teoretycznie pierwsze rozwiązanie jest lepsze, w praktyce nie pamiętam kiedy biegałem/jeździłem na rowerze bez telefonu.

Podobno popularność tabletów spada. Nie wiem, może. Pewnie zależy też jak zdefiniować tablet. Czy na przykład taki iPad Pro z klawiaturą to jeszcze tablet, czy może już hybryda, coś jak Surface? A idąc dalej, jaka jest różnica między iPad Pro i tym zwykłym, do którego też klawiaturę (inną) można podłączyć?

Jakiś czas temu pisałem o zakupie iPad i decyzji zabrania go zamiast laptopa Po dokupieniu do klawiatury uważam zauważyłem, że z laptopa korzystam coraz mniej. To nie jest tak, że tablet jest w stanie przejąć 100% mojej aktywności, ale przez większość czasu jest wystaraczający.

Ostatnio pojawił się nowy zwykły iPad, który wspiera pióro. Poważnie zastanawiam się nad zmianą mojego obecnego modelu na ten nowszy i dokupieniu pióra (nie koniecznie tego od Apple). Nie na zasadzie już teraz, muszę się nad tym jeszcze spokonie zastanowić, ale mam wrażenie, że uczyniłoby to korzystanie z tableta jeszcze wygodniejszym, przynajmniej w części przypadków. Z drugiej strony - iPad i pióro nie spowoduje magicznie, że moje pismo stanie się łatwiejsze do odczytania.

No więc jak jest z tymi tabletami? Odchodzą, nie odchodzą? A może ja po prostu do tematu zabieram się za późno?

Jak być może pamiętacie jakiś czas temu przeniosłem się z Androida na iOS. Obecnie korzystam z iPhone 8 oraz iPad. Na początku potrzebny był pewien czas na przyzwyczajenie, ale generalnie wszystko działa. No, prawie. Na obu urządzeniach ustawiony mam język polski jako język urządzenia i zauważyłem, że co najmniej w dwóch przypadkach usługi / aplikacje nie działają zgodnie z oczekiwaniami.

Najpierw artykuł: 13 poważnych dziur w procesorach AMD (...).

Obecnie trochę mało szczegółów, ale interesujący jest ten fragment:

CTS Labs twierdzi, że procesory AMD są sprzedawane są z backdoorami, które miały zostać zaimplementowane przez Tajwańską firmę ASMedia, oddział firmy ASUSTeK. Ich przeoczenie przez AMD ma wedle CTS Labs stawiać pod znakiem zapytania zdolności AMD w zakresie podstawowych audytów bezpieczeństwa i kontroli jakości.

Pamiętam, że taki scenariusz był dyskutowany/demonstrowany już ładnych kilka lat temu. Bardziej podoba mi się jednak scenariusz, w którym nie ma różnic w samej strukturze procesora, ale w działaniu poszczególnych tranzystorów, materiał z 2013: Researchers find new, ultra-low-level method of hacking CPUs – and there’s no way to detect it.