De beveiligingsconferentie vindt volgende week plaats in de Amerikaanse stad Arlington (Virginia). Securityspecialist Jorge Luis Alvrez Medina zal er bijvoorbeeld laten zien hoe een aanvaller elk bestand op een computer kan lezen als die Internet Explorer gebruikt. De aanval maakt niet gebruikt van fouten, maar van features. Alvarez Medina zal proof-of-concept code openbaar maken op zijn presentatie.

Belachelijke Flash-hacks

Dan is er natuurlijk nog die andere usual suspect wat betreft security, Adobe. Mike Bailey van Foreground Security houdt een presentatie met de titel 'Mooie, nieuwe en belachelijke Flash hacks'. Dat belachelijke slaat op de soms belachelijke complexiteit ervan.

Hij bespreekt nieuwe Flash-gebaseerde aanvallen, het hergebruik van oude aanvallen en hij demonstreert de werking van de aanvallen op een groot aantal websites, waaronder Gmail en Twitter. Die sites zijn al op de hoogte gebracht. “ik wil duidelijk maken dat Flash net zo bruikbaar is voor aanvallers als elk ander onderdeel van het web”, zei Bailey.

'Veelgemaakte fouten'

In een reactie zegt Adobe dat Bailey zich waarschijnlijk richt op veelgemaakte programmeerfouten. Het bedrijf verwijst dan ook naar trainingsmateriaal op hun website.

Verder mag iedereen die “geïnteresseerd is in Windows forensics” de oren spitsen. De Data Protection API is door Elie Bursztein en Jean-Michel Picod uitgedokterd (reverse engineered). DPAPI is bedoeld om data versleuteld weg te schrijven in Windows. Met deze hack kan de data worden teruggehaald die is versleuteld met deze API. Dat is dus interessant voor onder andere opsporingsdiensten en bedrijfsspionnen.

Microsoft ASP.Net

Dan is er de presentatie van David Byrne en Rohini Sulatycki, waarin zij een kwetsbaarheid laten zien in Apache MyFaces, Sun Mogarra en Microsoft ASP.Net. De hack zal live gedemonstreerd worden en de aanvalscode wordt direct erna vrijgegeven. Met deze hack is het voor aanvallers mogelijk om data op de server te lezen die “niet beschikbaar zou mogen zijn voor welke gebruiker dan ook”, zegt Byrne.

De hack richt zich op hoe de drie webapplicatie programming frameworks omgaan met ViewState, een techniek waarmee frameworks een visuele elementen consistent kunnen houden over meerdere pagina's. De aanval zou niet mogelijk zijn geweest als de drie frameworks de encryptiemogelijkheden zouden gebruiken die ze hebben.

Smartcardchip

Verder zal nog Oracle 11g, de iPhone, hardware in het algemeen en de smartcardchip worden gehackt. Dat laatste wordt gedaan door Christopher Tarnovsky. Zijn hack is erg ingewikkeld en bestaat voor 60 procent uit hardware, maar de huidige generatie smardcards is wel succesvol gehackt. Tarnovsky heeft eerder al parkeermeters gekraakt.

bron: webwereld.nl