Am 24. April fand die dritte Security B-Sides London statt, für mich war es meine erste B-Sides. Ich war bereits einen Tag früher nach London gefahren, um noch zur Information Security Europe und zum 44Café zu gehen.
Ab 9:00 Uhr konnte man sich auf der B-Sides registrieren. Zur Begrüßung bekam jeder Teilnehmer ein T-Shirt, Aufkleber, … und natürlich Kaffee! Ein paar der Anwesenden kannte ich von anderen Konferenzen, aus Twitter und von Blogs. Es gab zwei Tracks plus einen Rookie Track, Workshops und ein Lockpicking-Bereich.
Mein erster Vortrag war „Pentesting like a Grandmaster“ von Abraham Aranguren [Twitter, Web, Slides]. Der Vergleich von Schachspielern und Pentestern war sehr interessant, vor allem die Analogien bei der Turniervorbereitung, die er mit vielen Beispielen anreicherte, und dem Apell gesund zu Leben, genau wie Spitzensportler. Abrahams eigenes Projekt, das OWASP (Open Web Application Security Project) ist natürlich auch immer eine Erwähnung wert.
Danach ging ich in „How to build a personal security brand that will stop the hackers, save the world and get you the girl“ vom Javvad Malik [Twitter, Web]. Der Raum für den zweiten Track war kleiner, mehr als gut gefüllt und Javvad lieferte einen ausgezeichneten Vortrag der richtig Spaß machte. Wo sehe ich mich in ein paar Jahren? Wie kann ich mich selbst promoten? Und was unterscheidet mich eigentlich von den InfoSec „Stars“? Vom Unterhaltungswert der beste Vortrag.
Mein letzter Vortrag vor der Mittagspause war „Defense by numbers: Making problems for script kiddies and scanner monkeys.“ von Chris John Riley [Twitter, Web, Slides]. Er beschäftigte sich mit HTTP-Statuscodes (RFC 2616), wie Browser damit umgehen (sehr flexibel) und wie man den Umgang mit Statuscodes dazu nutzen kann Browser zu erkennen oder HTTP-Proxies zu detektieren. Den Man-in-the-Middle Proxy den er verwendet hat gibt es hier https://github.com/ChrisJohnRiley/random_code zum herunterladen. Bisher habe ich Statuscodes nie so die Beachtung geschenkt. Das sollte ich ändern, und zumindest einer meiner Webserver auch, Code 418 ;)
In der Mittagspause gab es das typisch englische Lunchpaket: Ein Sandwich, Chips, Schokoriegel, Softdrink und einen Apfel. Das ganze draußen in der Sonne auf der Rathaustreppe. Schnell noch eine Club-Mate, bevor es zum nächsten Vortrag ging: „Make Cyber-Love, not Cyber-war“ von Stephen Bonner [Twitter, Web]. Vom Grundtenor ging dieser Vortrag in die gleiche Richtung wie „Cyberwar – Not What We Were Expecting“ [Slides] von Josh Corman [Twitter, Web] & Jericho [Twitter, Web] auf der letzten BruCON.
Der nächste Vortrag war wieder mehr nach meinem Geschmack: „Pen Test Automation – Helping you get to the pub on time“ von Rory McCune [Twitter, Web, Slides]. Ein Pentester muss in der Lage sein Code zu schreiben und Aufgaben so zu automatisieren. Er brachte sinnvolle Beispiele (in Ruby) und nicht unwichtig: den Appell ein Repositorium zu nutzen! Die Beispiele kann man dann auch gleich von GitHub https://github.com/raesene/ herunter laden. Nicht aus diesem Vortrag, aber mein ganz persönlicher Tipp (wenn es nur ein Buch und eine Programmiersprache sein soll): „Violent Python“ von Tj O’Connor [Lehmanns].
Als letztes hörte ich mir noch „Playing CTFs for fun & profit“ von Tim P [Twitter, Slides] an. Nachdem die B-Side ja schon fünf Challenges zur Einstimmung hatte, ein passender Vortrag zum Abschluß. Die letztjährigen 44CON CTFs wurden besprochen, was auf jeden Fall Lust auf mehr machte. Wenn die Lösungen so präsentiert werden ist auch alles einfach und augenscheinlich. Links zum Spielen: http://smashthestack.org/ (Starte mit io), http://www.overthewire.org/ und http://www.hackthissite.org/
Ich habe mich auf der B-Sides wohl gefühlt, der Tag ging schnell vorbei und ich fuhr zufrieden nach Hause. Bis nächstes Jahr, wir sehen uns wieder!