Metro Olografix Hacking Party 2007

Indice:

  1. Comunicato stampa
  2. Programma
  3. Abstract


Comunicato stampa

“Hackers solve problems and build things, and they believe in freedom and voluntary mutual help. To be accepted as a hacker, you have to behave as though you have this kind of attitude yourself. And to behave as though you have the attitude, you have to really believe the attitude.”

(Eric S. Raymond – “How To Become A Hacker”)

L’associazione culturale telematica Metro Olografix e’ orgogliosa di presentare la prima edizione del Metro Olografix Hacking Party, il MOHP 2007.
L’evento si svolgera’ nel Palazzo Sirena di Francavilla al Mare (CH) nei giorni 19 e 20 maggio, sabato dalle 10:30 alle 24 e domenica dalle 10 alle 17.
Durante lo svolgimento della manifestazione potrete assistere ai seguenti talk:

Ma questo non e’ tutto.
Ci sono altre soprese in programma, tra le quali un’area dedicata allo smanettamento libero, keysigning party, spuntini (liberi), interventi estemporanei, contest (tra cui lo Snortattack IPS Challenge) e molto altro ancora.
Tutte le informazioni relative all’evento possono essere reperite sul sito internet dell’associazione (www.olografix.org).
Per ulteriori comunicazioni e’ possibile scrivere all’indirizzo di posta elettronica mohp@olografix.org.

L’evento e’ realizzato in collaborazione con:



Programma

Sabato 19

Domenica 20



Abstract


AET: Automated Exploit Testing
AET is an automated exploit testing suite developed using PHP, MySQL and Apache + mod_rewrite that makes possible to profile HTTP GET + EXEC browser exploits propagating user’s session trought the whole exploiting chain.


A new approach to Cybercrime: the Hacker’s Profiling Project
I media li chiamano hacker, molto piu’ spesso si tratta di truffatori o vandali. Ma i rischi esistono e gli informatici esperti che penetrano nelle reti altrui esistono davvero. Perche’ lo fanno? in che modo? Come ci si puo’ difendere? Il progetto HPP si propone di analizzare il fenomeno hacking a 360 gradi e durante l’intervento illustreremo sia il progetto sia i primi risultati della ricerca, ancora in corso.


Embedded GNU/Linux System
Nell’intervento si dara’ una panoramica generale sull’utilizzo di GNU/Linux per i sistemi embedded. Si noti che si parla di GNU/Linux
proprio ad indicare che l’intervento trattera’ non solo il kernel, ma anche le applicazioni.
Verranno analizzati vari problemi che si affrontano nello sviluppare un sistema GNU/Linux embedded e le varie soluzioni. Si parlera’ di alternative a Glibc e vari pacchetti software utilizzati nei sistemi embedded (Busybox, U-Boot, lighttpd, …).
L’intervento trattera’ i seguenti punti in maniera specifica:costruire una toolchain, compilare il kernel per un target specifico, creare un rootfs completo, manipolare e configurare Flash Storage, installare un bootloader, tecniche di debugging.


Exploiting Kernel Vulnerabilities
I recenti anni hanno visto un crescente interesse nei confronti dell’attacco e dell’exploiting delle vulnerabilita’ del cuore del
sistema operativo : il kernel. Attaccare il sistema operativo alle sue radici e’ una sfida interessante e talvolta molto complessa, un solo errore puo’ portare a un blocco totale del sistema. L’obiettivo di questo seminario e’ di presentare un’analisi delle varie
tipologie di vulnerabilita’ (qualora sia possibile, visto che il kernel apre molti piu’ scenari di un programma ad userland) e le relative
tecniche di attacco, sia locali, sia da remoto. Per dare una visione più ampia delle potenzialità degli attacchi a kernel level verranno
presentati due sistemi operativi (Linux e Solaris) e tre architetture (x86, AMD64 e SPARC64). La descrizione delle tecniche di attacco sara’ accompagnata dalla presentazione di exploit completi per vulnerabilità reali, quali MCAST_MSFILTER (CVE-2004-0424), sendmsg (CVE-2005-2490) e madwifi remote stack overflow (CVE-2006-6332)


FIM – Fbi IMproved, un image viewer con lo spirito di Vim
Fim e’ un programma che estende il codice e le funzionalita’ di Fbi: un programma scritto da Gerd Knorr per visualizzare immagini nel framebuffer device di Linux (non necessita di X, quindi). Fim estende Fbi con delle funzionalita’ ispirate dall’editor di testi Vim, come la possibilita’ di caricare/eseguire script, riassegnazione libera di tasti ad azioni/alias, registrazione/esecuzione di macro. I meccanismi chiave implementati sono: un interprete di un semplice linguaggio if-while interno; gli autocommands, simili a quelli di Vim; matching di espressioni regolari su filename; e la disponibilita’ di una modalita’ command line con tab-based autocompletion che si ispira a Vim per funzionamento e sintassi (ad esempio, digitare :10 porta alla decima immagine in lista).


Fuzzing web engines
A pratical and effective language fuzzing approach against interpreters like PHP, PERL, PYTHON, ASP, ASP.NET, JSP, RUBY, etc.


Hackgrid / Hacknet
Presentazione di Hackgrid / Hacknet, un progetto nato per sperimentare con le tecnologie per il ‘grid computing’. Durante il talk verra’ illustrato lo stato attuale del progetto, i software utilizzati e le prospettive future.


(In)sicurezze del Bluetooth
Bluetooth, un modo di comunicare facile, veloce e semplice. Ma c’e’ anche spazio per un po’ di sicurezza e di privacy?vNell’intervento esamineremo questo protocollo e ripercorreremo le tappe principali nella storia dell’hacking del bluetooth. Per capire come evitare brutte sorprese, senza bisogno di diventare espertoni in materia.


Security by Virtualization
La virtualizzazione, tradizionalmente sinonimo di aggregazione delle risorse per la riduzione dei costi, è qui riutilizzata nel contesto
della sicurezza informatica. Al concetto di “server consolidation”, in cui N server vengono aggregati in singolo mainframe, si contrappone un modello decentralizzato. Per mezzo della virtualizzazione i meccanismi di sicurezza vengono disaccoppiati ed isolati in un secondo sotto-sistema protetto, interposto tra sistema utente e hardware. Tali servizi, tra cui l’antivirus su cui si focalizzerà il dibattito, sono protetti contro attacchi mirati, riconfigurazioni e disabilitazioni illecite, venendo gestiti solo attraverso canali
sicuri; le politiche di sicurezza distribuite da un centro di amministrazione sono rigidamente applicate e garantite. Questo modello di virtualizzazione permette inoltre la definizione di innovative funzionalità di sicurezza e il miglioramento dei convenzionali meccanismi di protezione.


Uso improprio delle console da gioco
Ovvero come utilizzare le console da gioco per utilizzi non canonici.


VoIP (in)security
Attraverso gli strumenti OpenSource per testare la bonta’ dell’implementazione di una infrastruttura VoIP analizzeremo i rischi a
cui la voice network e’ esposta e come mitigarli.


Snortattack IPS Challenge
Un server web apache con installati due LAMP vulnerabili da attaccare con un ips inline in protezione.


GPG Keysigning party
Il keysigning party e’ un momento in cui gli utilizzatori di GPG/PGP si incontrano per scambiarsi le proprie chiavi pubbliche ed accertare le proprie identita’ in modo da costruire una migliore “rete di fiducia”. Invitiamo tutti quelli che vorranno partecipare a questo evento di portare con se’ dei foglietti di carta con gli estremi della propria chiave, ed un documento che dimostri la propria identita’. L’appuntamento e’ durante gli “spuntini liberi”.

Questa voce è stata pubblicata in Eventi, Metro Olografix. Contrassegna il permalink.