O bezbednosnim sistemima u C i C++, hakovanju automobila i online bezbednosti — Utisci sa ovogodišnjeg Balccona

U Novom Sadu održan je četvrti BalCCon — konferencija na temu bezbednosti i hakovanja. Ceo događaj odvijao se u konferencijskom centru Novosadskog sajma i trajao je tri dana.

Konferencija je okupila ljude kako sa Balkana tako i iz celog sveta — bilo je gostiju iz različitih delova Evrope, Amerike i Brazila.

Memory Corruption in C++ : Why we can’t have nice things

Vrlo zanimljivo predavanje je održao Matias PaJer Ganimo, istraživač u oblasti bezbednosti računara. Fokus je bio na bezbednosti sistema napisanih u C i C++ programskim jezicima.

Ovi jezici menjaju bezbednost tipova i bezbednost memorije za performanse. Ganimo smatra da potencijalni dobitak na performansama nije vredan definitvno izgubljene bezbednosti.

U ovim tehnologijama, koje će još dugo biti sa nama, sve bezbednosne provere ostavljene su programeru na implementaciju, što često nije najsigurniji izbor. Ganimo kao primer navodi Google, koji drži do standarda pisanja koda i radi česte code reviewove, a ipak svake godine čujemo za novi exploit na  Google Chrome-u.

Podsetio nas je i na poznate exploitove iz skorijih godina, kao što su Heartbleed, Shellshock i Ghost, koji su između ostalog bili mogući upravo zbog nebezbedne memorije.

On je sa svojim HexHive timom na Purdue Univerzitetu razvio nekoliko open source projekata koji rešavaju neke od ovih problema.

Na kraju nam je pokazao i jedan projekat koji je izazvao oduševljenje publike. Kako bi demonstrirali nebezbednost sistema i lakoću njihovog eksploatisanja, tim HexHive uspeo je da implementira brainfuck interpreter pomoću samo jedne funkcije u C jeziku. Nazvali su svoj pristup printf oriented programming.

Iskoristivši činjenicu da je printf, funkcija koja služi za prikazivanje stringova na standardnom izlazu, Tjuring potpuna, pomoću stringova za formatiranje implementirali su naredbe brainfuck jezika. Ceo projekat možete pogledati na GitHubu.

Samovozeća kola

Dva predavanja bila su posvećena samovozećim kolima.

Halis Duraki govorio je o bezbedosti i hakovanju automobila, i rizicima koji dolaze sa samovozećom tehnologijom.

Jedan od domaćih predavača, Nemanja Stefanović, developer i startap preduzetnik kojem su samovozeći automobili hobi, govorio je na ovu temu u svom predavanju “Self Driving Cars: The Present or the Future?”.

Svoje predavanje podelio je u dva dela, sa namerom da drugi deo predavanja posveti diskusijom sa publikom.

Govorio je o istoriji samovozeće tehnologije, čiji razvoj je počeo još 1920-ih godina, i kako je automobilska industrija pokušala da reši ovaj problem na različite načine u proteklom veku. Nakon pregleda razvoja ove tehnologije kroz vreme, razložio je različite pristupe razvoju ove tehnologije danas.

On smatra da trenutno postoje tri glavna pristupa, “Google Way”, “Tesla Way” i “Hacker Way”. Nakon što je ukazao na razlike između tehnologija koje razvijaju Google i Tesla, osvrnuo se na pristup koji je bio najzanimljiviji publici BalCCona. U delu “Hacker Way” govorio je o čuvenom hakeru geohotu, koji je postao poznat kao prvi koji je uspeo da jailbreakuje iPhone i PlayStation 3. On je razvio svoju samovozeću tehnologiju o kojoj smo već pisali.

Na kraju se pokrenula diskusija u kojoj su prisutni podelili svoja mišljenja, a najviše je bilo reči o pravnim implikacijama samovozeće tehnologije, i problemima sa utvrđivanjem odgovornosti kod nesreća u koje je uključena veštačka inteligencija.

Privatnost, bezbednost i DDoS napadi

Poslednjeg dana konferencija najviše reči bilo je o privatnosti običnih korisnika na internetu, kao i o DDoS napadima.

Iako mnogi misle da su DDoS napadi stvar prošlosti, predavač Marko Panc objasnio je da su oni i danas opšte prisutni, iako napadači ne koriste iste ranjive tačke kao pre nekoliko godina.

DDoS napadima napadači uglavnom pokušavaju da preopterete server toliko da obični korisnici uopšte ne mogu da pristupe veb sajtu ili aplikaciji koje taj server hostuje.

Na svom predavanju Sharkey je govorio o načinima na koje se najčešće ugrožava naša privatnost na internetu. Iako mnogi kažu da nemaju šta da kriju, ne postoji legitimno opravdanje za narušavanje privatnosti korisnika koje praktikuju neke od najvećih tehnoloških firmi.

Bilo je oštrih kritika upućenih na račun Google-a, Facebooka i ostalih koji koriste naše podatke kako bi nam bolje servirali reklame, kao i bezbednosnih agencija koje prikupljaju naše podatke iz samo njima poznatih razloga, pod različitim izgovorima.

Vojin bedž

Voja Antonić, domaći novinar i pronalazač, napravio je bedževe za ovu konferenciju koji su se dobijali uz ulaznicu. Nakon ceremonije otvaranja, objasnio nam je kako bedž radi.

Bedž ima tri zanimljive funkcionalnosti. Na sebi ima LED diode koje nasumično svetle u 50 različitih šablona. Kada se dva bedža nađu blizu jedan drugog, automatski se sinhronišu i sijaju u istom paternu. Tako je i jedna od poruka BalCCona2k16 bila: “Socialize. Your badge does.”

Takođe, bedž služi kao generator šifri. Može da generiše do 10 stringova dužine između 15 i 20 karaktera, koje čuva u svojoj memoriji. Kada korisnik na računaru selektuje polje u koje treba uneti šifru, može priključiti bedž preko USB-a na računar i on će sam uneti šifru iz svoje memorije.

Treća funkcija bedža je gašenje televizora, slično uređaju TV-B-gone. Voja nam je objasnio da ako sedimo u kafiću i ne sviđa nam se program na televizoru, jednim pritiskom dugmeta možemo isključiti bilo koji TV.