Idén is elmentem a budapesti BSides-ra, sőt a tavalyi Hacktivity fiaskó után már laptopot is vittem. A kiállítók száma erősen visszaesett, már csak a legkeményebbek képviseltették magukat. Ketten. Az előadások viszont ígéretesnek tűntek, ezért rögtön be is ültem rájuk.
Az első előadásban, amit meghallgattam, a bug bounty programok tapasztalatait osztotta meg az előadó. Négy általa bemutatott hibát prezentált. Annyit szűrtem le, hogy a hiba megtalálásához szükséges tudás nincs összhangban a kapott pénzdíjjal. Bemutatott egy hihetetlenül bonyolult módszert, amihez négy különböző sérülékenységet kellett kihasználni, vért izzadt, mire meglett a hiba, és a végén a cég nem is akart fizetni neki. (De azért meggyőzte őket, hogy komoly a probléma, mire adtak neki 500 dolcsit). Egy másik esetben pedig talált egy konfigurációs hibát, amivel ki tudta listázni az összes felhasználót, azért meg 13 ezret kaszált.
A második meghallgatott előadás a házi laborok fontosságáról szólt. Az előadó bemutatta saját otthoni káoszát, ami olcsó Raspberry Pi-okból, régi routerekből és elavult laptopokból állt. Azt mondta, a teljesítmény nem fontos, ha az ember új technológiákat akar megtanulni. Az előadás nagyon inspiráló volt, sok technikai részletre nem tért ki, inkább a lehetőségeket mutatta be saját példákon keresztül.
Az előadások után bementem a HACK Centerbe, ahol szokás szerint zárakat próbáltak kinyitni emberek. Én inkább a CTF-ek iránt érdeklődtem, mert idén először azok is voltak. Az első körben egy 4chan típusú fórumon kellett keresni a flageket. A fórumra weboldalát viszont nem tudtam megnyitni a laptopommal. Az egyik szervező szerint a hálózat a hibás, de a telefonnal meg tudtam nézni az oldalt, ugyan arról a wifiről. Amikor curl-el próbáltam meg letölteni a tartalmat, 451-es hibát kaptam. Életemben nem hallottam még ilyen hibáról, és mint a Wikipédiáról megtudtam, törvénysértő tartalmak esetén kapunk ilyen kódot. Az viszont továbbra is rejtély számomra, hogy miért működött telefonról, illetve miért működött másoknak. Otthon is kipróbáltam, és egy flaget sikerült megtalálnom.
Egy másik feladatban Minecraft térképet kellett megfeleltetni valós földrajzi pozíciónak. Linuxon nem tudom, hogyan lehet ezt a fajta fájlt megjeleníteni, úgyhogy fél óra eredménytelen Google keresés után hanyagoltam.
A webes feladatok között volt egy captcha kijátszás is, azt sikerült megcsinálnom. A captcha egy matematikai művelet volt, amit CSS-el megbolondítottak, hogy furcsán nézzen ki. Ha viszont valaki csak a HTML-t parse-olta, akkor könnyen ki tudta nyerni a művelet elemeit. Ezután már csak ki kellett számítani az értéket. Száz captcha után megkaptam a flaget.
Két feladathoz BME-s VPN-t kellett volna használni, ezért azokat is inkább kihagytam. Egy másik esetben egy tűzfalon kellett volna átmenni. Ezzel sokat próbálkoztam, de nem jártam sikerrel. Volt még egy online tesztrendszer törés. Itt valószínűleg XSS-t kellett volna használni, de abban nagyon rossz vagyok, úgyhogy hosszas próbálkozások után ez sem sikerült.
Volt három reverse engineering feladat is. Ezek is elég nehezek voltak (legalábbis nekem), nem is sikerült egyik sem.
Az oldalon volt táblázat, hogy hány embernek sikerültek a különböző feladatok. Meglepett, hogy milyen kevesen próbálkoztak. Azt gondoltam, többen fognak játszani.
Délután egy kerekasztal beszélgetésben vettem részt, ami a kiírás szerint azt igyekezett bemutatni, hogyan ne legyünk hekkerek. A témához nem kerültünk túl közel, mert ez egy kísérleti program volt, a beszélgetés vezetője inkább arra volt kíváncsi, hogyan bonyolítson le egy ilyen beszélgetést, a hallgatók meg inkább válaszokat szerettek volna. Mindegy, valahol ezt is el kell kezdeni. Talán a következő konferenciára jobban összeszedik magukat.
Összességében nem volt rossz, örültem, hogy ott lehettem.
