38C3 4. Gün: Güvenlik kabusları, kiracıların kontrolü altına alınması, tuhaf rakamlar ve sonuçlar
Kaos İletişim Kongresi'nin son günü: Yüzler daha uzundu, göz altı morlukları daha büyüktü ve uyku eksikliği doruğa ulaşmıştı. Ancak 38C3 akşamın erken saatlerinde sona ermeden önce, programla ilgili hâlâ çok sayıda ders vardı; Güvenlik Kabusları gibi birkaç yıllık klasik de dahil. Ancak sabah, güvenlik konularıyla ilgili yeni görüşmelerle doluydu. Örneğin Florian Adamsky, Martin Heckel ve Daniel Gruss, RAM'i hedef alan saldırı tekniği olan Rowhammer'ın on yıllık retrospektif bir sunumunu sundular.
Reklamcılık
Yanlışlıkla kiracıyı devraldım
Hollandalı güvenlik araştırmacısı Vaisha Bernard, müşterileri için bir kimlik avı testi gerçekleştirmek istedi. Test e-postalarının Microsoft Exchange Online'ın spam ve kimlik avı filtrelerinden geçmesini sağlamak amacıyla, çeşitli “kiracılar”, yani müşteri örnekleri için kapsamlı izin verilenler listelerine girmek zorunda kaldı. Bu, Microsoft'un API'lerindeki çeşitli hatalar nedeniyle PowerShell aracılığıyla otomatik olarak çalışmadı, bu nedenle mucit başka bir yol bulmaya koyuldu.
Bulduğu şeyler onu karıştırdı ve rahatsız etti. Teknik destek talepleri, belirsiz şirket adı “Wicresoft” olan Çinli bir çağrı merkezi tarafından yanıtlandı ve daha da kötüsü: kendi geliştirdiği Powershell komut dosyası, yabancı kiracıların izin verilenler listesini aniden değiştirdi. Dahası: Bilgisayar korsanı e-postalar, ekip mesajları veya dosyalar gibi verileri OneDrive'da serbestçe arayabilir ve hatta dışa aktarma işlevini kullanarak bunları çalabilirdi. Bu, Microsoft Güvenlik Yanıt Merkezi'ne (MSRC) beş rakamlı bir ödül değerindeydi ve güvenlik açıkları yaklaşık bir yıldır kapatılıyordu.
2024'te güvenlik kabusları da yaşandı
Tamamen ciddi olmayan BT güvenliği kabusu incelemesi Güvenlik Kabusları'nda Constanze Kurz ve Ron, geçen yıla BT güvenlik gözlüğüyle baktılar. Robotik çim biçme makinelerine karşı mantıksız bir korkusu olan bilgisayar bilimcisi, CCC sözcüsü ve internet bağımlısı Ron, elbette hepsinin okuduğu 2024'teki tüm CVE raporlarından yılın olay güvenliği eğilimlerini tahmin etmeye çalıştı. Bundan cesurca gelecek yıl ne olabileceği sonucunu çıkardılar.
Geriye dönüp baktığımızda, on yıl önce bulut hizmetlerinin güvenliğiyle ilgiliydi ama artık geçiş anahtarları var. Ayrıca otonom araçlardan, AirPod'lardan, üretken yapay zekadan ve Duolingo uygulama simgesinin dürtme bağlamında travmatik tasarımından da bahsettiler. Bu, federal hükümetin eyalet truva atı planları ve ABD'nin bu tür yazılım sağlayıcılarına karşı uyguladığı yaptırımlarla ilgiliydi. Konuşmacılar ayrıca xz arka kapısını, Crowdstrike kesintisini, ABD Kapersky yasağını ve Microsoft'un geri çağırma fiyaskosunu tartışıyor. İkisi de yanlarında rakamlar getirdi: Örneğin, Amerikalılar 2024'te kripto dolandırıcılıklarından 5,6 milyar dolar kaybedeceklerdi.
2025 için yapay zekanın enerjiye olan açlığının tehlikelerini görüyorlar, bilgisayar bilimi öğrencileri için siber askerlik hizmeti fikrini tartışıyorlar ve şirket içi barındırma eğilimini öne sürüyorlar.
38C3 ile ilgili sayılar ve merak edilen gerçekler
Çeşitli 38C3 ekipleri, altyapı incelemesinde kongreyle ilgili gerçekleri ve rakamları belgeledi: güç tüketiminden, kullanılan ağ bant genişliğine, kamyon tonajından, melek adı verilen birçok yardım eli için sandviç sayısına (7.000!) kadar. Bu yılın trendi, birçok ekibin borsaya kote şirketlerin pazarlama konuşmalarında Altyapı İncelemesi sunumları yapmasıydı.
Kendi kendini “c3Stadtwerke” ilan eden tesis, 22.000 metreden fazla kablo döşeyerek gerekli enerjiyi sağladı. Toplamda 38C3 toplam altı MWh elektrik tüketiyordu. Konuşmacılar sırıttı, bu 230 hanenin tüketimine veya beş Bitcoin işlemine karşılık geliyor. NOC (Ağ Operasyon Merkezi) bir süre “IPv6 Çılgınlığı” ile mücadele etmek zorunda kaldı ancak kongre başlamadan önce ağı ve WLAN'ı sağlamayı başardı. Kongrede toplam 300 Gbit/s bant genişliğine sahip bir internet bağlantısı vardı ve bunun “yalnızca” 38C3 izleyicileri 40 Gbit/s'nin iyi bir kısmını kullanıyordu. Telefon Operasyon Merkezi (POC), 4.200 DECT el telefonunun (3.500'ü aynı anda) kayıtlı olduğu Kongre'nin telefon ağına erişmek için 56 DECT anteni kullandı. Bu yıl DECT ve SIP'e ek olarak ISDN de vardı; ağa veya WLAN'a güvenmeyenler PPP yoluyla da bağlanabiliyor, BTX kullanabiliyor veya 29 BBS posta kutusundan birine erişebiliyordu.
Video ekibinin (VOC) karşılaştığı ilk zorluk, gerekli teknolojiyi Hamburg'daki CCH'ye ulaştırmaktı; yedi lojistik şirketi teslimat siparişini iptal etti. Binadaki ses teknolojisiyle etkileşimde sahada sorunlar yaşandı. Her ne kadar VOC ve CCH ekibi sorunları açılıştan önce zamanında çözebilse de, ilk geceden itibaren ses kanalında düzenli olarak cızırtılar duyuldu. Bu, media.ccc.de adresindeki derslerin yayınlarının birikmesine yol açtı. VOC, dersleri 22 kamerayla filme almak ve materyali hazırlamak için 260 video meleğiyle 720 saatten fazla çalışma harcadı. Meleklerden bahsetmişken, gönüllülerin merkezi Heaven, 3.400'den fazla meleğin en az iki saatlik vardiyada çalıştığını bildirdi. Toplam 4 yıllık çalışmaya karşılık gelen 6.600'ün üzerinde vardiya vardı.
Mizah sadece 38C3'ün organizasyon komitelerinde değil, aynı zamanda toplantılardaki bir dizi projede de gösterildi. Örneğin, aşağıdaki videoda gösterildiği gibi, Aalen doğrama fabrikası günlük Swabian kültürünü kuzey Almanya'nın Hansa şehrine taşıdı.
38C3 bitti – içerik ve konular kaldı
38C3 çok sayıda kritik girdi, renkli montaj ve çok sayıda kedi kulağı içeriyordu. Dört gün sonra sıra “Yasadışı Talimatlar”dan “Yasal Yapılar”a dönmeye geldi. Kongre bitmiş olmasına rağmen ilgilenenler derslerin çoğunu hala izleyebilirler; bunlar kongre web sitesindeki medya kütüphanesinde kayıt olarak mevcuttur.
Önerilen editoryal içerik
İzniniz üzerine harici bir YouTube videosu (Google Ireland Limited) buraya yüklenecektir.
Her zaman YouTube videosunu yükle
Şimdi YouTube videosunu indirin
Son olarak 38C3 ile ilgili kısa video belgeselimiz
(cku)