مجموعة مختارة من تقارير مثيرة للاهتمام من مؤتمر 35C3

في نهاية ديسمبر 2018 ، انعقد مؤتمر الاتصالات 35 الفوضى في لايبزيغ. هذا العام ، كان الكونغرس مسروراً بعدد كبير من التقارير الفنية الممتازة. أقدم لكم مجموعة مختارة من أكثرها إثارة للاهتمام (حسب الترتيب الزمني).

1. تحدث Hanno Böck بشكل كبير عن تاريخ SSL و TLS حتى TLS 1.3 الجديد ، حول الهجمات على تنفيذ عائلة البروتوكول وكيف تم التعامل معها. لقد كان من الصعوبة بمكان بالنسبة لي صعوبات ترجمة الإنترنت بالكامل إلى إصدارات جديدة من البروتوكولات.
   https://fahrplan.events.ccc.de/congress/2018/Fahrplan/events/9607.html

   
   
   
   

2. تعاون كل من Thomas Roth و Josh Datko و Dmitry Nedospasov وقاموا بإجراء بحث ممتاز حول أمان محافظ تشفير الأجهزة. لقد أثرت على أمان سلسلة التوريد والبرامج الثابتة وأجهزة الأجهزة ، وهو أمر مثير للاهتمام بشكل خاص. وهي ، اكتشف الباحثون إشارة هوائي خاصة من الشاشة إلى وحدة المعالجة المركزية ، والتي تسير على طول مسار طويل على لوحة الجهاز. ونجحوا أيضًا في تنفيذ هجوم خلل وصنعوا أيضًا جهازًا خاصًا به عربة يمكن إدخال شريحة ملحومة من المحفظة فيها ، وسيؤدي هذا الجهاز تلقائيًا إلى إزالة محفظة البذور باستخدام عملية التزجيج. رائع ، لقد اعجبني
   https://fahrplan.events.ccc.de/congress/2018/Fahrplan/events/9563.html

   
   
   
   

3. واصل Trammell Hudson موضوع أمان الأجهزة من خلال الحديث عن عملية الزرع الخاصة بـ Supermicro. حاول فحص القصة بأكملها بشكل محايد ، لكن خطابه تبين أنه متناقض. استشهد Trammell بالعديد من الحقائق ، في محاولة لإظهار إمكانية إنشاء إشارة مرجعية للأجهزة ، كما هو موضح في مقالة فاضحة لـ Bloomberg . حتى أنه أظهر عرضًا تجريبيًا يدير فيه برامج BMC الثابتة تحت qemu وينفذ أوامر جذر تعسفية فيه باستخدام خداع صورة qemu. ومع ذلك ، وفقًا لبعض الخبراء ، فإن حجج المتحدث مثيرة للجدل إلى حد كبير.
   https://fahrplan.events.ccc.de/congress/2018/Fahrplan/events/9597.html

   
   
   
   

4. تحدث باحثون من جامعة الرور عن معالجات AMD الخاصة بالكود الصغير. يحتوي التقرير على الكثير من التفاصيل الفنية التي ستكون مفيدة لأولئك الذين يحتاجون إلى فهم الموضوع بعمق. هذا استمرار لأداء العام الماضي . ما أعجبني ، صنع الباحثون الرمز الصغير الخاص بهم للجهاز Address Sanitizer ، والذي يعمل بدون أجهزة للوصول إلى الذاكرة في الملف القابل للتنفيذ. لسوء الحظ ، تم اختبار هذه الطريقة فقط على نظام تشغيل الألعاب ، لذا لا يمكنك تحديد مدى سرعة KASAN في نواة Linux.
   https://fahrplan.events.ccc.de/congress/2018/Fahrplan/events/9614.html

   
   
   
   

5. قدم Saar Amar عرضًا تقديميًا ممتازًا ، حيث أظهر تجاوزًا للحماية من استغلال نقاط الضعف في مساحة المستخدم على Windows 7 و 10. Live demos ، مجرد إطلاق نار. سيكون من المثير للاهتمام لأولئك الذين يتخصصون في أمن أنظمة التشغيل الأخرى ، مثل هذه التقنيات متشابهة في كل مكان.
   https://fahrplan.events.ccc.de/congress/2018/Fahrplan/events/9660.html

   
   
   
   

6. تحدث كلاوديو أغوستي عن مكون إضافي للمتصفح يتتبع تسليم محتوى Facebook لأنواع مختلفة من المستخدمين. تم اختبار هذه التكنولوجيا خلال الانتخابات في إيطاليا وحصلت على إحصاءات مثيرة للاهتمام للغاية. ليس الهدف من المشروع هو عكس خوارزميات Facebook ، بل هو فهم أعمق لكيفية تغطية حدث اجتماعي معين على شبكة اجتماعية.
   https://fahrplan.events.ccc.de/congress/2018/Fahrplan/events/9797.html

   
   
   
   

7. تقرير نظرة عامة مسلية عن عائلة الضعف والشبح. لقد تمت تغطية الموضوع بالفعل على نطاق واسع ، ولكن هذه نقطة مثيرة للاهتمام: قام الباحثون مؤخرًا بنشر مجموعة كبيرة من نقاط الضعف الجديدة من هذا النوع وصمموا تصنيفًا كاملاً. لكن لسبب ما ، هذه المعلومات ليست خاضعة للحظر. حتى قسم الأسئلة والأجوبة لم يوضح لماذا لا يعمل مطورو نظام التشغيل حاليًا على الدفاعات ضد استغلال هذه الثغرات الأمنية الجديدة. ربما لأنه لا توجد نقاط استغلال يستغلها؟
   https://fahrplan.events.ccc.de/congress/2018/Fahrplan/events/9893.html

   
   
   
   

8. تقرير رائع ومعقد جدًا لجوشا باخ عن الذكاء البشري والذكاء الاصطناعي - اختلافاتهما وأوجه التشابه بينهما. مزيج من الفلسفة والرياضيات والفيزياء العصبية والفكاهة المحددة. مشاهدة في الليل.
   https://fahrplan.events.ccc.de/congress/2018/Fahrplan/events/10030.html

   
   
   
   

9. روى شاب يبلغ من العمر 18 عامًا من إسرائيل كيف وجد RCE في محرك ChakraCore لمتصفح MS Edge. مثال رائع لتشغيل عملية تشويش الكتابة هو أن رقم الفاصلة العائمة يتحول إلى مؤشر ويتم إلغاء ترجمته.
   https://fahrplan.events.ccc.de/congress/2018/Fahrplan/events/9657.html

   
   
   
   

10. تقرير ممتاز عن الثغرات الأمنية في محركات الأقراص ذات التشفير الذاتي (والتي يثق بها BitLocker بالتأكيد ، بالمناسبة). قام المتحدث بتفكيك نموذج التهديد (الذي يرضي) ، وكسر تشفير SSD للعديد من الشركات المصنعة (مع جميع العروض التوضيحية) ، ونتيجة لذلك استنتج أن هذا التشفير المستقل في جميع الحالات أسوأ من البرنامج من نظام التشغيل. أنا أوصي به.
    https://fahrplan.events.ccc.de/congress/2018/Fahrplan/events/9671.html

    
    
    
    

11. Super-report حول اختراق PlayStation Viva (حتى تصحيح التجارب المطبعية من ROM الأكثر سرية لأهم مفتاح سري للنظام الأساسي). لقد استمتعت كثيراً: بحث ممتاز وعرض ممتاز.
    https://fahrplan.events.ccc.de/congress/2018/Fahrplan/events/9364.html

    
    
    
    

12. تقرير حول حظر البرق في روسيا. كنت أنتظر بفارغ الصبر بعض الدعاية السياسية ، وتبين أن التقرير كان تقنيًا وممتعًا جدًا. فحص المتحدث الخطوات الرئيسية لل ILV ، وأظهر الإحصاءات ، وشرح أخطائهم ومتصيد قليلا.
    https://fahrplan.events.ccc.de/congress/2018/Fahrplan/events/9653.html

    
    
    
    

13. تقرير رائع حول حشوة الأجهزة والبرامج الخاصة بـ Curiosity rover. شرائح جميلة ، وأسلوب جيد للمتكلم - كان ممتعًا وممتعًا للاستماع إليها. يلهم ، يوصي.
    https://fahrplan.events.ccc.de/congress/2018/Fahrplan/events/9783.html

    
    
    
    

14. تقرير رائع حول اختراق البرامج الثابتة في شرائح Broadcom Bluetooth. اتضح أن كل شخص لديه غطاء. لا التحديث ولا الإصلاح ممكن لعدة أسباب. جميع الهواتف الذكية التي تم إصدارها تقريبًا على مدار السنوات الخمس الماضية ، فضلاً عن السيارات وإنترنت الأشياء ، معرضة للخطر. باختصار ، الجميع بحاجة ماسة لتعطيل BT.
    https://fahrplan.events.ccc.de/congress/2018/Fahrplan/events/9498.html

    
    
    
    

أوصي بشدة بعرض القائمة الكاملة لمقاطع الفيديو من الكونغرس ، وسوف تجد بالتأكيد شيءًا آخر مثيرًا للاهتمام بالنسبة لك.

لديك منظر جميل!