Após uma longa viagem de 23 horas com mais 11 horas de diferença de fuso horário, eu, Bruno, chego a Malásia onde seria a sede da maior e mais respeitada conferência hacker da Ásia, a Hack In The Box, a conferência aconteceu no Crowne Plaza Multiara no coração da capital Kuala Lumpur; como já suspeitava tive só ótimas surpresas ao chegar.
Primeiramente o hotel escolhido, o Crowne Plaza, é realmente fantástico, uma super-estrutura, luxo por um preço (ao menos para nós acostumados a ir pra Europa/EUA) extremamente acessível, antes de desembarcar em Kuala Lumpur eu já possuía todos os dados de minha reserva feita pelos organizadores, um sinal de competência e organização, que realmente são marcas registradas da conferência.
Os dois primeiros dias foram trainning days, onde acontecerão treinamentos relacionados a segurança, desde “tactical exploiting” até “forensic”, estive por perto junto com o crew, que devo dizer FANTÁSTICO e os voluntários durante todo o tempo, sempre trabalhando firmemente para que tudo ocorresse nos conformes.
Após os dois dias, deram-se início a famosa conferência juntamente com o Capture The Flag (CTF) que realmente fez a galera vibrar, apesar dos competidores não terem conseguido ganhar dos organizadores 😀
Algumas palestras tiveram algum destaque (para mim):
eKimono
Nguyen, gente boníssima, faz sua tese de pós doutorado em um centro de tecnologia no Japão, desenvolveu uma ferramenta muito simples de se manusear e com bastante eficácia para verificação e análise de memória, com a ferramenta proposta e já desenvolvida, através do sistema HOST, o analista/administrador consegue fazer checagem de malwares (por comparaçãode syscalls/hooking) de todas máquinas GUESTs instaladas, realmente fantástico, além disso é possível a inserção de códigos maliciosos na memória com o propósito de adicionar/deletar/modificar usuários Windows entre outros recursos.
Ghosting Browser Attacks
Nesta palestra, foi demonstrado técnicas de instalar “backdoors” via browsers no qual, mesmo fechando o navegador o aplicativo continuará rodando, em um dos métodos mostrados é utilizando a função sleep() do PDF, mesmo após fechado ele continua rodando, a palestra deu a dica, a imaginação é o que conta.
BlackBerry: Bug and Kisses
Este trabalho teve bastante repercussão na mídia especializada, onde o pesquisador demonstrou como seqüestar e-mails através do sistema da RIM, vale a pena conferir os slides.
e claro, não podia deixar de mencionar, o Hacking from The Restroom, a minha palestra onde eu demonstrei o uso de celulares/gadgets para o hacking e além disso utlizar como ferramenta quando estamos aplicando um pentest, foram citadas ferramentas para diversos sistemas móveis e ainda aplicações que geralmente não são direcionadas pro hacking mas que se pode aproveitar de uma forma diferente, apesar do nervosismo do começo, repetindo a mesma frase, rsrs, no final acho que tudo foi ok! 🙂
As palestras já estão disponíveis para download:
http://conference.hackinthebox.org/hitbsecconf2009kl/materials/
A minha palestra:
HITB 2009 Malaysia – Hackin from The Restroom
