ZINES — underground e-zine archive source
text size: CRT glow:
~/BRAZILIAN/The Bug Magazine/0x02/0x0a_resenha-23c3
[ --- The Bug! Magazine

                    _____ _              ___               _
                   /__   \ |__   ___    / __\_   _  __ _  / \
                     / /\/ '_ \ / _ \  /__\// | | |/ _` |/  /
                    / /  | | | |  __/ / \/  \ |_| | (_| /\_/
                    \/   |_| |_|\___| \_____/\__,_|\__, \/
                                                   |___/

                      [ M . A . G . A . Z . I . N . E ]


             [ Numero 0x02 <---> Edicao 0x01 <---> Artigo 0x0a ]


.> 14 de Fevereiro de 2007,
.> The Bug! Magazine < staff [at] thebugmagazine [dot] org >


      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+
      The Bug! Magazine resenha: 23rd Chaos Communication Congress
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+


.> 08 de Fevereiro de 2007,
.> staff, The Bug! Magazine < staff [at] thebugmagazine [dot] org >


[ --- Indice

+     1.     <---> 23rd Chaos Communication Congress em si
+     2.     <---> O clima no evento
+     3.     <---> Resenha das palestras
+       3.1.  <->     Berlim, 26 de Dezembro de 2006
+       3.2.  <->     Berlim, 27 de Dezembro de 2006 (Dia 1)
+       3.3.  <->     Berlim, 28 de Dezembro de 2006 (Dia 2)
+       3.4.  <->     Berlim, 29 de Dezembro de 2006 (Dia 3)
+       3.5.  <->     Berlim, 30 de Dezembro de 2006 (Dia 4)
+     4.     <---> Dicas para quem esta' pretendendo ir
+     5.     <---> Conclusao


   Como sempre o staff da The Bug! Magazine marca presenca nos melhores eventos
de seguranca da informacao e hacking do mundo. Desta vez demos as caras no
famoso congresso Chaos Communication Congress, na Alemanha, que tambem e'
conhecido ha' mais de 20 anos como "the european hacker party".

O bom da Alemanha, em especial Berlim, e' que se voce souber ingles nao tera'
nenhuma dificuldade de comunicacao. Principalmente os jovens e alguns "tiozoes"
falam ingles fluentemente. Nao ha' como se perder.

Ao contrario da resenha da H2HC esta e' mais objetiva, e sendo assim nao ira'
contar todos os detalhes da semana que o nosso correspondente internacional
passou congelando no frio da maravilhosa cidade de Berlim.


[ --- 1. 23rd Chaos Communication Congress em si

   Primeiramente e' preciso falar sobre uma visao mais geral do evento.
Com certeza esse e' um dos melhores, senao o melhor, evento hacker do planeta
(nao e' a toa que esta' na edicao de numero 23). Tudo no congresso e' completa-
mente perfeito, sem falhas.

Para se ter uma dimensao do Chaos Communication Congress, neste ano foram mais
de 4000 inscritos e acontecem quatro palestras simultaneas. Nao e' nem preciso
falar que vem gente de todo lugar do mundo para assistir.


[ --- Instalacoes fisicas

   As instalacoes fisica, no Berliner Congress Center, e' enorme. O lugar esta'
localizado em Alexanderplatz proximo ao metro e possui no terreo dois audito-
rios, um espaco no meio onde tinha "lounge" (lugar com som ambiente para as
pessoas descansarem), bar, loja de camisetas, apresentacao de uns projetos,
como o Sputnik, da OpenBeacon.org, que usava RFID para rastrear as pessoas que
compravam o rastreador (inclusive o dispositivo ativava o alarme anti-furto de
uma galeria proxima). Tambem havia um projeto maluco de luz la', que era bem
legal, oficina de lockpicking e varias outras atracoes.

Ainda no terreo, porem fora deste "espaco do meio" ainda tinham varios stands
de lojinhas com adesivos, camisetas e bugigangas eletronicas, filiacao ao CCC,
stand da Fundacao Wau Holland (o fundador do clube falecido em 2001) e o CERT,
a enfermaria do evento administrada por voluntarios.
Nas paredes de vidro do BCC foram colocadas varios papeis, recortes de jornais,
reportagens, adesivos, fotos, equipamentos antigos (incluindo o notebook usado
por Wau para invadir a NASA em 1984), dentre outros artefatos, com o intuito de
contar um pouco sobre a historia do Chaos Computer Club.
Tambem por aquela regiao havia o pessoal da !eof, que montaram um mini-hackcen-
ter e eram os responsaveis pelo projeto cluster de OpenVMS, que rodava em umas
antigas maquinas da DEC. Ate' troquei uma ideia com o cara responsavel pelo
projeto mas ele nao era la' muito sociavel :(

No subsolo havia mais um auditorio, o saal 4, o stand do pessoal do OpenBSD e o
famoso "hackcenter" (oficialmente chamado de Hacker Sport Studio), onde grupos
e mais grupos vindos de todos os cantos do mundo ligam seus computadores, pro-
gramam e hackeiam juntos.

No primeiro andar havia o maior auditorio de todos, o saal 1, o helpdesk do NOC
e muitos e muitos stands, como os do pessoal do Debian, Wikipedia, Indymedia,
Big Brother Awards e varios outros projetos independentes.


[ --- 2. O clima no evento

   A atmosfera do local nao poderia ser melhor. Hackers, geeks, nerds e afins,
todos sob o mesmo teto, trocando ideias, programando e bebendo juntos.
O ambiente instiga as melhores sensacoes relativas a hacking que se pode ter.
Era possivel sentir o cheio de informacao no ar, ver streams de bits de conhe-
cimento passarem naturalmente na sua frente. E' indescritivel.

Vale a pena falar um pouco do esquema de "Chaos Angels", os voluntarios que
ralam durante o evento. Essa galera ajuda na organizacao do congresso em varios
aspectos, como filmagem das palestras, realizando inscricoes, ajudando no
centro de operacoes de rede, fazendo a introducao dos palestrantes e ate'
mesmo atuando como porteiros. O time de "angels" foi bastante competente e
esse esquema e' bastante interessante (inclusive e' usado na Hackers On Planet
Earth, em Nova York).

Um fato que me chamou bastante atencao foi que varias empresas vao ao evento
para colocar classificados nos murais oferecendo oportunidades de emprego.
Ate' mesmo o Google deixou alguns brindes, como marcadores de livro, que tinham
mensagens desse tipo. Definitivamente os caras sabem procurar nos lugares cer-
tos.
Como eu nao podia deixar passar a oportunidade, deixei um recado que havia a
frase "Hello Chaos, greetings from Brazil! / rfdslabs.com.br" e, para minha
surpresa, no dia seguinte alguem escreveu no mesmo papel, em portugues "Legal
que voces vieram. Bom proveito!". Viva a brazucada hacker em Berlim!

Um outro fato importante e' mencionar a idade de varios e varios dos congres-
sistas.
Vi muitos, mas muitos "tiozoes", todos com certeza com mais de 40 anos, com
seus respectivos laptops no colo. Tambem vi muitos pre-adolescentes (e alguns
pirralhos mesmo), inclusive alguns acompanhados dos pais. Tambem e' perceptivel
a quantidade de hackers mulheres que vao ao evento. Logicamente algumas delas
sao "fracas de feicao" ou meio malucas, com uns cabelos e roupas nao tao con-
vencionais, porem varias delas sao bem gatinhas e charmosas, contrariando o
estereotipo de mulheres nerds serem terrivelmente feias e desengoncadas.


[ --- 3. Resenha das palestras

   Sem mais delongas, aqui comeca a parte quente.


[ --- Berlim, 26 de Dezembro de 2006

   O evento so' comecaria no dia seguinte mas `as 18h eu e um amigo, isomorph,
ja' estavamos no Berliner Congress Center vendo toda a arrumacao para o 23C3,
que comecaria no dia seguinte. Tambem aproveitamos a oportunidade para fazer a
inscricao no evento, que custou 80 EUR todos os dias. Foi preferivel ter feito
a inscricao no dia anterior ao inicio do evento, porque no dia seguinte a fila
estaria enorme (e esteve!) e nao seria nada bom ficar esperando la' fora naque-
le frio.


[ --- Berlim, 27 de Dezembro de 2006 (Dia 1)

   Acordei cedo para ir ao evento e fui em direcao ao Berliner Congress Center
por volta de umas 10h40 da manha. Para meu azar, sai andando e passei direto do
BCC. Apos ter ficado perdido por uns 5 minutos, resolvi perguntar a um senhor e
ele me indicou a direcao exata e consegui chegar no comecinho da cerimonia de
abertura.
O primeiro dia tinham palestras que me interessaram bastante e eu estava muito
ansioso para o evento.


[*] "Who can you trust?" (Tim Pritlove e John Perry Barlow)

   A cerimonia de abertura do evento ficou por conta de Tim Pritlove, que falou
um pouco sobre as expectativas e como seria o 23C3, alem de ter anunciado que
havera' CCC Camp em 2007, para delirio do pessoal na plateia.

Logo em seguida veio o keynote de John Perry Barlow, da EFF. Ele falou sobre
varios assuntos, como o inicio da EFF, da relacao deles com o caso envolvendo
Phiber Optik, Scorpion e Acid Phreak, do Masters of Deception (apesar de ele
ter errado e falado Legion of Doom, que era o grupo rival).
Ele tambem entrou em um assunto meio filosofico sobre confianca e lembro de
John ter falado que a comunidade hacker esta' muito parada, ou algo do tipo.


[*] "Design and Implementation of an object-oriented, secure TCP/IP Stack"
                                           (Andreas Bogk e Hannes Mehnert)

   Confesso que nao prestei muita atencao e cheguei atrasado na apresentacao
do Andreas e Hannes mas tenho certeza que ela foi bastante interessante.
Eles mostraram os conceitos de TCP/IP stack e mostraram como seria o projeto de
criar uma na linguagem orientada a objeto chamada Dylan.


[*] "Fudging with Firmware - Firmware reverse-engineering tactics"
                                                         (khorben)

   A apresentacao do khorben me decepcionou bastante. Sinceramente achei que a
palestra seria interessante devido ao tema abordado, mas nao houve nada de
extraordinario nela. O khorben nao mostrou nada alem do uso do programa GNU
strings para procurar por informacoes e "palavras magicas", como senhas padro-
es, etc., em firmwares. A parte mais interessante foi a demonstracao de um pro-
grama criado por ele que melhora significativamente a procura dessas informaco-
es uteis e evita o uso do "strings".


[*] "A not so smart card - How bad security decisions can ruin a debit
    card design" (Bernd R. Fix)

   Esta foi uma palestra excelente. Bernd mostrou como funciona o esquema
de seguranca dos cartoes de debito PostCard, largamente utilizados na Suica.
Ele mostrou que a seguranca desses cartoes, baseados em um outro usado na
Franca, e' extremamente fraca e comete varios erros que foram mostrados em
uma pesquisa de varios anos atras.
Foi mostrado tambem que era possivel criar ou clonar um cartao valido e
como conseguir a chave secreta dele.


Pouco antes da apresentacao a seguir, encontrei meio que por acaso o Luis
Eduardo, da Aruba Networks, que tambem esteve na H2HC. Conversamos um pouco
sobre o CCC, H2HC, Berlim, e outras coisas. Ele ate' falou que iria fazer
uma edicao do podcast "i sh0t the sheriff" (http://www.naopod.com.br) ao vivo
direto do 23C3, mas acabou nao acontecendo.
Tambem vi por la' nesse dia varias lendas como scut, do TESO, Plasmoid, do
THC, FX, da Phenoelit, e varios outros hackers realmente de elite.


[*] "We don't trust voting computers" (Rop Gonggrijp)

   Na minha opiniao essa foi uma das melhores apresentacoes de todo o evento.
O Rop, criador do lendario grupo Hack-Tic e do primeiro provedor da Holanda,
o XS4ALL, alem de ter se mostrado um otimo palestrante, falou sobre um tema
interessante que e' sobre votacao eletronica na Holanda e demonstrou inumeras
falhas na seguranca das urnas, inclusive a seguranca fisica do local onde
elas estao armazenadas. Ele e a equipe do site
http://www.wijvertrouwenstemcomputersniet.nl hackearam totalmente as urnas
feitas pela NEDAP. La' foi mostrado um software que poderia ser facilmente
implantado nelas para roubar votos para outros partidos.
O mais interessante foi que passou um video demonstrando como implantar o soft-
ware malicioso na urna e o video mostrava os votos sendo roubados para o parti-
do ficticio criado por eles e ate' mesmo era possivel jogar xadrez com a maqui-
na, o que foi a resposta `a provocacao feita pelo diretor da empresa fabricante
das urnas, que dizia que isso seria impossivel.

Depois de ter assistido a essa palestra eu me perguntei quao frageis pode ser a
votacao eletronica aqui no Brasil, se ja' houve auditoria independente do pro-
cesso eleitoral eletronico e por qual motivo ha' todo um segredo em cima desse
tipo de votacao por aqui.


[*] "SnortAttack.org - The IPS CHALLENGE" (SnortAttack Team)

   Na verdade nao foi uma apresentacao e sim um mini-capture the flag que acon-
teceu no hackcenter e o intuito era hackear um servidor protegido pelo Snort-
Attack.
Nao sei se houve vencedor, mas gostei muito de ter lido a propaganda deste
evento, em tom de provocacao, algo do tipo: "Try to hack our server secured by
SnortAttack. Are you a true hacker or just a script kiddie?".


[ --- Berlim, 28 de Dezembro de 2006 (Dia 2)

   No segundo dia fui em direcao ao Berliner Congress Center debaixo de uma
fina neve que caiu naquela manha. Ainda bem que dessa vez eu nao me perdi :)
As palestras do dia 2 eram muito boas e com certeza a mais esperada era a da
bela Joanna Rutkowska.

No final da tarde comprei por 23 EUR o "23C3 Proceedings", que e' um livro que
contem algumas das palestras que seriam apresentadas no evento, e uns adesivos.
Foi o melhor souvenir que eu pude trazer do congresso.


[*] "Router and Infrastructure Hacking" (raven)

   Nao assisti essa palestra mas um amigo a viu e achou bem legal, porem eu
discordo dele. Para inicio de conversa, "infrastructure hacking" pra mim e'
hacking de sistemas do tipo SCADA, que controlam infra-estrutura critica tais
como telefonia, abastecimento de agua, energia eletrica, etc.
Pelo que ele me disse a palestra da raven foi otima, bastante informativa e ela
realmente sabia do que estava falando. Durante a apresentacao foram mostradas
algumas maneiras simples que poderiam causar danos em grandes redes usando
senhas padroes e tirando vantagens de softwares desatualizados.
Ele achou legal mas para mim nada disso era tao interessante assim...


[*] "Secure Network Server Programming on Unix" (Andreas Krennmair)

   Gostei bastante da apresentacao do Andreads Krennmair, apesar de ele nao ter
se mostrado um bom palestrante. A palestra foi bem objetiva e deu varias dicas
e mostrou inumeros exemplos para desenvolvedores de como escrever daemons a
prova de buffer overflows, denial of service por exaustao de memoria, etc.


[*] "Tor and China" (Roger Dingledine)

   E' sempre muito bom ver o proprio criador de alguma ferramenta famosa, como
o Tor, falando sobre a sua criacao.
Na palestra, Roger Dingledine nao falou nada muito tecnico sobre o Tor e se fo-
cou basicamente em falar nas dificuldades que ele e a equipe de desenvolvimento
tem encontrado.
No final da apresentacao um cara da plateia foi ate' o palco e doou um cheque
de alguns milhares de dolares para o projeto. Ele disse fazer parte de uma
organizacao ligada a liberdades civis e que o Tor e' de muita importancia no
pais onde ele vive e atua.


[*] "Lightning Talks Day 2" (organizado por Sven Guckes e Jennifer b9punk)

   Vi rapidamente o lighting talk com o intuito de me situar melhor sobre o
que acontece la', pois a minha mini-apresentacao seria no dia seguinte.
A unica coisa que lembro foi algum maluco chamado MiB, do Cult of the Dead Cow,
falando sobre hacktivismo.


[*] "A Hacker's Toolkit for RFID Emulation and Jamming" (Melanie Rieback)

   Cheguei somente no final da apresentacao mas lembro de ter visto alguma
coisa sobre decodificacao e "spoofing" de queries RFID.


[*] "RFID hacking" (Karsten Nohl, Henryk Plotz e z0ccor)

   Essa apresentacao foi dividida em tres partes, com cada um dos palestrantes
citados falando sobre a parte que lhe cabia.
Pra ser sincero nao lembro muito bem da apresentacao, mas me recordo que eles
tentaram hackear os ingressos da Copa de 2006, que usavam RFID. Foi mostrado
um "dump" do "payload" do ingresso (inclusive era o jogo Brasil x Japao) e
ate' me parece que conseguiram copia-lo com sucesso, mas nao foi possivel
adentrar o estadio por causa de alguma outra checagem por parte dos seguran-
cas do estadio. A apresentacao tinha varias fotos e ate' mesmo videos mostran-
do o processo de copia e a tentativa frustrada de assistir os jogos.
Bom mesmo foi ter visto no ultimo slide "We will be back in Euro 2008!" :)


[*] "Stealth malware - can good guys win?" (Joanna Rutkowska)

   Antes de mais nada, preciso falar que eu estou apaixonado por esta mulher <3
A palestra dela foi de altissimo nivel e confesso que nao entendi muita coisa.
Foram apresentados a ineficacia de anti-virus e IDSes na deteccao de malwares e
rootkits stealth, como o BluePill.
Como nao entendo muito dessas coisas de baixo nivel, me perdi totalmente quando
ela comecou a falar mais a fundo sobre sistemas operacionais e virtualizacao.
Mais uma vez, nenhum codigo foi disponibilizado, o que leva a muitos da comuni-
dade de seguranca a contestar o seu trabalho.


[*] "Console Hacking 2006" (Felix Domke)

   A apresentacao feita pelo Felix foi bastante interessante. O cara falou de
varios aspectos sobre os novos videogames, fez comparacoes tecnicas e comentou
sobre quao "hackeaveis" sao o Wii, Playstation 3 e X-Box 360.


[*] "Black Ops 2006 Viz Edition" (Dan Kaminsky)

   Antes de mais nada preciso falar que Dan Kaminsky e' um verdadeiro show-man.
Acho que em toda minha vida eu ainda nao havia visto um palestrante tao bem
articulado e bom quanto ele. O cara realmente tem a manha de apresentar em
publico.
Pra ser bem sincero, nao entendi muita coisa da palestra dele. O cara pulava
entre varios assuntos muito rapidamente, mas lembro que ele focou bastante
em uma parte sobre uso de pixels no auxilio de fuzzing. Ele mostrou uma ferra-
menta esquisita que abria um arquivo binario e, dependendo da concentracao de
pixels mais escuros la' havia uma parte "interessante" que deveria merecer
atencao especial.


[*] "You can't make this stuff up" (Felix Von Leitner e Ilja)

   Essa apresentacao foi um show a parte. Na palestra Felix von Leitner e Ilja
decidiram zuar algumas pessoas da comunidade de seguranca e sacanear com varias
situacoes engracadas, como bugs em que foram corrigidos mas que reapareceram no
mesmo software, etc.
O mais legal era que a plateia podia interagir, pegar o microfone e falar mal
de quem quisesse :)


Paralelamente a apresentacao anterior houve outra bem interessante, do David
Hulton aka h1kari, organizador da ToorCon e membro do dachb0den, que eu gosta-
ria de ter visto. Ela era relacionada ao uso de hardwares FPGA para cracking de
senhas, chaves WEP, etc.


[*] "Biometrics in Science Fiction" (Roland Kubica e Constanze Kurz)

   Na verdade nao foi uma apresentacao convencional. O que aconteceu foi que
as palestrantes soltaram varios trechos de filmes de ficcao cientifica onde
aparecia o uso de biometria e tiravam sarro dos exageros hollywoodianos sobre
o tema. Elas sabiam fazer as piadas certas e foi bem divertido :)


Sai' do evento ja' de madrugada por volta de 1 da manha. Resolvi pegar um
caminho subterraneo e dei de cara com um pessoal muito bebado fazendo a maior
arruaca.


[ --- Berlim, 29 de Dezembro de 2006 (Dia 3)

   Mais uma vez acordei tarde mas felizmente o conjunto das quatro palestras
do dia nao me interessavam.

Ao longo do dia varios flyers e adesivos eram entregues no evento e um deles
era um do Google oferecendo empregos para administradores de sistemas Linux
na Irlanda e em outro pais que nao me lembro. Mas o melhor flyer que foi o
da Yet Another Xacktogether of West & East, um acampamento hacker numa ex-base
militar na Croacia que vai rolar em maio. Tambem peguei uns adesivos do PGP
e outras coisas gratis que davam por la' :)


[*] "Fuzzing in the corporate world" (Gadi Evron)

   Sinceramente a apresentacao do Gadi Evron me frustrou bastante. Pra mim
foi uma das mais esperadas do dia pelo tema de fuzzing ser interessante e
estar bastante na moda atualmente. Apesar de bom palestrante (Gadi e' simpatico
e sabia fazer boas piadas), a apresentacao foi mais uma "pra gerentes" e nao
falou nada que 10 minutos de Wikipedia lendo sobre fuzzing nao diria. Resumin-
do, nada muito util.
Como eu estava na terceira fila, juro que fiquei tentado em levantar a mao e
falar que eu era o n3td3v, pra ver qual seria a reacao do cara :)
Acho que a maior atracao dessa apresentacao foi ter visto o Dan Kaminsky com
cara de quem tomou todas na noite anterior :>


[*] "Bluetooth Hacking Revisited" (Thierry Zoller e Kevin Finistere)

   O Thierry Zoller, da n.runs e Trifinite, apresentou sozinho porque o KF
(responsavel pelo Month of Bugs da Apple) nao pode ir por algum motivo.
Nao assisti a apresentacao toda porque o saal 1 estava muito cheio, lembro que
ele falou um basico sobre bluetooth e algumas vulnerabilidades. Certamente foi
uma apresentacao muito interessante e nao era pra eu ter saido antes da hora.


[*] "Lightning Talks Day 3" (organizado por Sven Guckes e Jennifer b9punk)

   Finalmente tinha chegado o dia da minha pequena apresentacao no projeto de
palestras-relampago do CCC. Eu deveria ser o terceiro a apresentar, mas devido
a uns problemas que o Alessio Pennasilico teve para ligar o seu laptop, fui
convidado a ser o primeiro a apresentar porque eu estava sem slides nem nada.

Apesar do medo ter aumentado (deviam ter umas 400 pessoas no auditorio), o
ingles ter travado durante o primeiro minuto e a b9punk ficar rindo a todo
instante do meu lado, a apresentacao sobre os riscos do wardialing em 2006
fluiu tranquilamente e recebi uma salva de palmas quando falei "hello everybo-
dy, greetings from Brazil!". Ainda fiz piadinha e fui aplaudido no final. Nao
precisava de mais nada, tinha acabado de ganhar o dia :)

Logo em seguida veio Alessio falando sobre o Hackers Profiling Project que ele
tem com o Raoul Chiesa e a psicologa Dra. Stefania Ducci (acho que ela estava
na plateia, e se for ela, que mulher linda!). Achei bem interessante a proposta
do projeto, que e' desmistificar alguns conceitos deturpados sobre os hackers.
Depois ele ainda falou rapidamente sobre inseguranca em ambientes VoIP.

Teve tambem a apresentacao do editor-chefe da revista GameFace, Peter Krell,
que falou sobre os novos conceitos de jogos de computadores.

Depois o criador do smap, Hendrik Scholz, falou um pouco do programa, que tem o
intuito de ser um scanner bem completo para dispositivos SIP baseados em VoIP.

Teve uma apresentacao meio off-topic mas que achei interessante, sobre vitamina
C. Isso mesmo, vitamina C! Thomas Waldmann falou um pouco sobre alguns fatos
curiosos acerca de acido ascorbico.

Em seguida um tal de Dan, que lembrava bastante o Ben Stiller, fez uma apresen-
tacao MUITO ENGRACADA mostrando os 10 motivos de nao usar bancos de dados 4D,
todos eles baseados nas experiencias terriveis que ele contou ter passado.

E pra fechar o lighitning talk 3, SJ Klein, da One Laptop Per Child, apresentou
brevemente o projeto que promete revolucionar a educacao nos paises do terceiro
mundo e mostrou um desses laptops para o publico.


[*] "Security in the cardholder data processing?!" (Manuel Atug)

   Essa palestra tambem foi outra que me decepcionou. Achei que Manuel Atung
entraria em detalhes tecnicos relevantes acerca de seguranca de dados em
instituicoes de credito, mas a palestra foi mais uma "pra gerente", sem muito
conteudo interessante para tecnicos.

PS: Manuel Atug e' a cara de Jorge Pereira, amigo do pessoal do rfdslabs :)


[*] "Advanced Attacks Against PocketPC Phones" (Collin Mulliner)

   A palestra do Collin Mulliner, da Trifinite, foi tecnicamente muito boa,
apesar de ele nao ser um palestrante muito bem articulado.
Ele falou de diversas peculiaridades acerca de exploracao de buffer overflows
em PocketPCs e deu inumeros detalhes sobre como explorar possiveis falhas. Alem
de tudo o cara mostrou um video de um PocketPC tendo um buffer overflow sendo
explorado (o shellcode o fazia mostrar a mensagem "0wned by an MMS", ou algo
parecido).


[*] "Automated Exploit Detection in Binaries" (Luis Miras)

   Tenho pela conviccao que a apresentacao do Luis Miras foi uma excelente
introducao aos conceitos de analise estatica de binarios. O cara explicou
diversos conceitos sobre a tecnica utilizada e fez a demonstracao do projeto
bugreport, desenvolvido por ele, Matt Hargett e Dan Moniz, que tem o intuito de
procurar por buffer overflows em binarios.


[*] "Hacker Jeopardy" (Stefan 'Sec' Zehl e Ray)

   "Hacker Jeopardy" nao foi uma palestra mas sim um "quiz show" sobre hacking
para hackers. O "quiz" tinha perguntas sobre linguagens de programacao, filmes
hackers, eletronica e outras coisas que todo geek gosta. Lembro que o primeiro
round foi vencido por uma menina, que levou uns premios do OpenBSD pra casa.


Ja' passava de 1 da manha e eu precisava dormir para acordar cedo para o ultimo
dia do CCC.


[ --- Berlim, 30 de Dezembro de 2006 (Dia 4)

   Era perceptivel que as apresentacoes do quarto dia, na sua maioria, eram bem
fracas e por isso pouca gente compareceu ao evento e certamente foi preferivel
ficar descansando no "lounge" e comendo pizzas.


[*] "Unusual bugs" (Ilja)

    Acordei muito tarde e, infelizmente, perdi esta apresentacao. Tenho
certeza de que ela foi muito interessante, ate' porque o Ilja e' muito bom.


[*] "Software Reliability in Aerospace" (Erwin Erkinger)

   A apresentacao do Erwin Erkinger tambem me decepcionou por ter sido outra
palestra "para gerentes". Achei que ela entraria em aspectos tecnicos relevan-
tes ao desenvolvimento de software para a industria aeroespacial, mas ela se
limitou a falar sobre caracteristicas de gerencia de projetos para esta indus-
tria.


[*] "Inside VMware - How VMware, VirtualPC and Parallels actually work"
                                                        (Michael Steil)

   Com certeza esta foi uma das melhores apresentacoes de todo o evento, na
minha opiniao, uma vez que o tema de virtualizacao tem sido bastante comen-
tado ultimamente.
Michael Steil alem de ser bom palestrante e bem organizado, com slides muito
bem feitos, demonstrou saber bastante sobre esse tipo de tecnologia.
Com certeza a palestra serviu como uma otima introducao a conceitos mais basi-
cos de sistemas operacionais, como scheduling, paginacao, etc. Ele tambem
explicou como era feita a virtualizacao em sistemas x86 nativamente nao-virtua-
lizaveis e suas diferencas para as novas tecnologias de virtualizacao da Intel
e AMD.


[*] "Lightning Talks Day 4" (organizado por Sven Guckes e Jennifer b9punk)

   Nao lembro direito o que teve no quarto dia do lightning talks, so' fui
assistir porque nao havia nada interessante.
Tiveram varias apresentacoes, como de costume, e lembro bem de uma onde um
tiozao demonstrou o uso de um "PHP Shell", que ele tinha descoberto em um
servidor comprometido onde ele e' webdesigner. O mais louco foi que ele demons-
trou no site dele, ao vivo, e todo mundo vendo o endereco! Nao sei como ninguem
da plateia invadiu o servidor dele e fez um defacement na hora pra ele perceber
a besteira que estava fazendo, ainda mais em um congresso de hackers (eu ate'
pensei nisso e pedi o laptop do cara do lado emprestado mas ele tinha acabado
de descarregar).

Justus Winter apresentou ao vivo e sem slides, sobre os riscos do CSRF ao
criar um "session riding exploit" para uma aplicacao web.

Tambem teve um dos organizadores do Yet Another Xacktogether of West & East,
Marcell Mars, falando sobre o YAXWE, um "hack camp" que vai acontecer em maio
numa base militar abandonada na Croacia. Eu gostaria muito de ir mas nao sera'
possivel :(


[*] "sFlow - I can feel your traffic" (Elisa Jasinska)

   A palestra da Elisa, que e' beeeem bonita e saca bastante de redes, foi mui-
to boa. Ela demonstrou uma ferramenta chamada sFlow, provavelmente criada por
ela, que tem o intuito de analisar trafego em redes de alta velocidade e enorme
volume de trafego (100 gbps era a rede de exemplo).
Infelizmente como ja' era uma das ultimas do evento, pouca gente compareceu.


[*] "Closing Ceremony - Who did you trust?" (Tim Pritlove)

   Gostaria muito de ter ficado e aproveitado ate' o ultimo momento do 23C3
mas o cansaco falou mais alto. Alem do mais eu tinha que arrumar as malas
porque no dia seguinte haveria a festa de ano novo patrocinada pela Nokia
e cedinho no dia 1 de janeiro eu iria rumar para um pais do leste europeu.


[ --- 4. Dicas para quem esta' pretendendo ir

   Inicialmente seria apenas uma resenha, mas achei bem util incluir algumas
dicas para quem pensa em ir para o evento.


[ --- Dica 1: Leve muitas roupas de frio!

   Essa e' a mais obvia das recomendacoes. Tive sorte de pegar um dos invernos
mais quentes dos ultimos anos na Europa, mesmo assim passei mal com o frio,
principalmente nos primeiros dias.


[ --- Dica 2: Beba muita agua

   Beba muita agua porque, apesar de nao suar pode haver desidratacao.
E isso aconteceu durante o congresso com alguns nerds que so' hackeavam e
bebiam cerveja, Coca-Cola e Club Mate mas esqueciam de beber agua. A enfermaria
do evento, o CERT, chegou a mandar mensagens nos teloes pedindo para que bebes-
sem mais agua.


[ --- Dica 3: Hospede-se proximo ao evento, de preferencia em albergue

   Fiquei hospedado no excelente albergue St. Christopher's Inns. O preco da
noite foi bem acessivel, o local e' bem limpo, grande (tem dois andares, eleva-
dor, mesa de sinuca e um bar funciona na parte de baixo `a noite) e o staff e'
bem amigavel.
O que influiu para a escolha desse albergue e' que ele se localiza a menos de
10 minutos a pe' do local do evento e de Alexanderplatz. A estacao Rosa-Luxem-
burg se encontra, literalmente, do outro lado da rua.
Varios congressistas se hospedam neste lugar, sendo assim uma otima oportuni-
dade para conhecer outras pessoas com os mesmos interesses.

Site: http://www.st-christophers.co.uk/berlin


[ --- Dica 4: Compre adaptador de tomada

   Nao esqueca de comprar no Brasil um adaptador de tomada do padrao brasileiro
para o europeu. Esqueci de fazer isso aqui e so' fui me dar conta de comprar um
quando as pilhas da minha camera digital descarregaram e a bateria do meu celu-
lar tambem (fiquei sem despertador e por esse motivo acordava sempre bem em ci-
ma da hora para o evento comecar).
Essa dica e' crucial para aqueles que querem levar seu laptop.


[ --- Dica 5: Leve seu laptop

   Se voce tiver laptop, leve-o! Nao pude levar o meu porque ele apresentou
alguns defeitos tempos antes de ir para o CCC e seria somente peso na mochila.
Voce precisa de um laptop para, dentre outras coisas, fazer anotacoes e, obvia-
mente, hackear! Alem do mais e' necessario um para participar de algumas ativi-
dades como o capture-the-flag.


[ --- Dica 6: Va' com o espirito "hack the planet"

   Va' com o intuito de aprender e se divertir, ou seja, o melhor estilo do
espirito "hack the planet".


[ --- 5. Conclusao

   Posso afirmar com toda a conviccao do mundo que os dias que passei no 23C3
foram, de longe, um dos melhores de toda a minha vida. Eu vinha sonhando em
participar de um congresso desse porte ha' bastante tempo e finalmente consegui
realizar esse sonho.
Realmente valeu muito a pena ter saido do Brasil para prestigiar o evento e ter
tido a experiencia de ir me divertir no maior congresso hacker do planeta.

Que o Hacking in EXile 2009 na Holanda me (nos) espere! :)