[ --- The Bug!

Magazine _____ _ ___ _ /__ \ |__ ___ / __\_ _ __ _ / \ / /\/ '_ \ / _ \ /__\// | | |/ _` |/ / / / | | | | __/ / \/ \ |_| | (_| /\_/ \/ |_| |_|\___| \_____/\__,_|\__, \/ |___/ [ M . A . G . A . Z . I . N . E ] [ Numero 0x02 <---> Edicao 0x01 <---> Artigo 0x0a ] .> 14 de Fevereiro de 2007, .> The Bug! Magazine < staff [at] thebugmagazine [dot] org > +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+ The Bug! Magazine resenha: 23rd Chaos Communication Congress +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+ .> 08 de Fevereiro de 2007, .> staff, The Bug! Magazine < staff [at] thebugmagazine [dot] org > [ --- Indice + + + + + + + + + + 1. 2. 3. 3.1. 3.2. 3.3. 3.4. 3.5. 4. 5. <---> <---> <---> <-> <-> <-> <-> <-> <---> <---> 23rd Chaos Communication Congress O clima no evento Resenha das palestras Berlim, 26 de Dezembro de 2006 Berlim, 27 de Dezembro de 2006 Berlim, 28 de Dezembro de 2006 Berlim, 29 de Dezembro de 2006 Berlim, 30 de Dezembro de 2006 Dicas para quem esta' pretendendo Conclusao em si

(Dia (Dia (Dia (Dia ir

1) 2) 3) 4)

Como sempre o staff da The Bug! Magazine marca presenca nos melhores eventos de seguranca da informacao e hacking do mundo. Desta vez demos as caras no famoso congresso Chaos Communication Congress, na Alemanha, que tambem e' conhecido ha' mais de 20 anos como "the european hacker party". O bom da Alemanha, em especial Berlim, e' que se voce souber ingles nao tera' nenhuma dificuldade de comunicacao. Principalmente os jovens e alguns "tiozoes" falam ingles fluentemente. Nao ha' como se perder. Ao contrario da resenha da H2HC esta e' mais objetiva, e sendo assim nao ira' contar todos os detalhes da semana que o nosso correspondente internacional passou congelando no frio da maravilhosa cidade de Berlim. [ --- 1. 23rd Chaos Communication Congress em si Primeiramente e' preciso falar sobre uma visao mais geral do evento. Com certeza esse e' um dos melhores, senao o melhor, evento hacker do planeta

(nao e' a toa que esta' na edicao de numero 23). Tudo no congresso e' completamente perfeito, sem falhas. Para se ter uma dimensao do Chaos Communication Congress, neste ano foram mais de 4000 inscritos e acontecem quatro palestras simultaneas. Nao e' nem preciso falar que vem gente de todo lugar do mundo para assistir. [ --- Instalacoes fisicas As instalacoes fisica, no Berliner Congress Center, e' enorme. O lugar esta' localizado em Alexanderplatz proximo ao metro e possui no terreo dois auditorios, um espaco no meio onde tinha "lounge" (lugar com som ambiente para as pessoas descansarem), bar, loja de camisetas, apresentacao de uns projetos, como o Sputnik, da OpenBeacon.org, que usava RFID para rastrear as pessoas que compravam o rastreador (inclusive o dispositivo ativava o alarme anti-furto de uma galeria proxima). Tambem havia um projeto maluco de luz la', que era bem legal, oficina de lockpicking e varias outras atracoes. Ainda no terreo, porem fora deste "espaco do meio" ainda tinham varios stands de lojinhas com adesivos, camisetas e bugigangas eletronicas, filiacao ao CCC, stand da Fundacao Wau Holland (o fundador do clube falecido em 2001) e o CERT, a enfermaria do evento administrada por voluntarios. Nas paredes de vidro do BCC foram colocadas varios papeis, recortes de jornais, reportagens, adesivos, fotos, equipamentos antigos (incluindo o notebook usado por Wau para invadir a NASA em 1984), dentre outros artefatos, com o intuito de contar um pouco sobre a historia do Chaos Computer Club. Tambem por aquela regiao havia o pessoal da !eof, que montaram um mini-hackcenter e eram os responsaveis pelo projeto cluster de OpenVMS, que rodava em umas antigas maquinas da DEC. Ate' troquei uma ideia com o cara responsavel pelo projeto mas ele nao era la' muito sociavel :( No subsolo havia mais um auditorio, o saal 4, o stand do pessoal do OpenBSD e o famoso "hackcenter" (oficialmente chamado de Hacker Sport Studio), onde grupos e mais grupos vindos de todos os cantos do mundo ligam seus computadores, programam e hackeiam juntos. No primeiro andar havia o maior auditorio de todos, o saal 1, o helpdesk do NOC e muitos e muitos stands, como os do pessoal do Debian, Wikipedia, Indymedia, Big Brother Awards e varios outros projetos independentes. [ --- 2. O clima no evento A atmosfera do local nao poderia ser melhor. Hackers, geeks, nerds e afins, todos sob o mesmo teto, trocando ideias, programando e bebendo juntos. O ambiente instiga as melhores sensacoes relativas a hacking que se pode ter. Era possivel sentir o cheio de informacao no ar, ver streams de bits de conhecimento passarem naturalmente na sua frente. E' indescritivel. Vale a pena falar um pouco do esquema de "Chaos Angels", os voluntarios que ralam durante o evento. Essa galera ajuda na organizacao do congresso em varios aspectos, como filmagem das palestras, realizando inscricoes, ajudando no centro de operacoes de rede, fazendo a introducao dos palestrantes e ate' mesmo atuando como porteiros. O time de "angels" foi bastante competente e esse esquema e' bastante interessante (inclusive e' usado na Hackers On Planet Earth, em Nova York). Um fato que me chamou bastante atencao foi que varias empresas vao ao evento para colocar classificados nos murais oferecendo oportunidades de emprego.

Ate' mesmo o Google deixou alguns brindes, como marcadores de livro, que tinham mensagens desse tipo. Definitivamente os caras sabem procurar nos lugares certos. Como eu nao podia deixar passar a oportunidade, deixei um recado que havia a frase "Hello Chaos, greetings from Brazil! / rfdslabs.com.br" e, para minha surpresa, no dia seguinte alguem escreveu no mesmo papel, em portugues "Legal que voces vieram. Bom proveito!". Viva a brazucada hacker em Berlim! Um outro fato importante e' mencionar a idade de varios e varios dos congressistas. Vi muitos, mas muitos "tiozoes", todos com certeza com mais de 40 anos, com seus respectivos laptops no colo. Tambem vi muitos pre-adolescentes (e alguns pirralhos mesmo), inclusive alguns acompanhados dos pais. Tambem e' perceptivel a quantidade de hackers mulheres que vao ao evento. Logicamente algumas delas sao "fracas de feicao" ou meio malucas, com uns cabelos e roupas nao tao convencionais, porem varias delas sao bem gatinhas e charmosas, contrariando o estereotipo de mulheres nerds serem terrivelmente feias e desengoncadas. [ --- 3. Resenha das palestras Sem mais delongas, aqui comeca a parte quente. [ --- Berlim, 26 de Dezembro de 2006 O evento so' comecaria no dia seguinte mas `as 18h eu e um amigo, isomorph, ja' estavamos no Berliner Congress Center vendo toda a arrumacao para o 23C3, que comecaria no dia seguinte. Tambem aproveitamos a oportunidade para fazer a inscricao no evento, que custou 80 EUR todos os dias. Foi preferivel ter feito a inscricao no dia anterior ao inicio do evento, porque no dia seguinte a fila estaria enorme (e esteve!) e nao seria nada bom ficar esperando la' fora naquele frio. [ --- Berlim, 27 de Dezembro de 2006 (Dia 1) Acordei cedo para ir ao evento e fui em direcao ao Berliner Congress Center por volta de umas 10h40 da manha. Para meu azar, sai andando e passei direto do BCC. Apos ter ficado perdido por uns 5 minutos, resolvi perguntar a um senhor e ele me indicou a direcao exata e consegui chegar no comecinho da cerimonia de abertura. O primeiro dia tinham palestras que me interessaram bastante e eu estava muito ansioso para o evento. [*] "Who can you trust?" (Tim Pritlove e John Perry Barlow) A cerimonia de abertura do evento ficou por conta de Tim Pritlove, que falou um pouco sobre as expectativas e como seria o 23C3, alem de ter anunciado que havera' CCC Camp em 2007, para delirio do pessoal na plateia. Logo em seguida veio o keynote de John Perry Barlow, da EFF. Ele falou sobre varios assuntos, como o inicio da EFF, da relacao deles com o caso envolvendo Phiber Optik, Scorpion e Acid Phreak, do Masters of Deception (apesar de ele ter errado e falado Legion of Doom, que era o grupo rival). Ele tambem entrou em um assunto meio filosofico sobre confianca e lembro de John ter falado que a comunidade hacker esta' muito parada, ou algo do tipo.

[*] "Design and Implementation of an object-oriented, secure TCP/IP Stack" (Andreas Bogk e Hannes Mehnert) Confesso que nao prestei muita atencao e cheguei atrasado na apresentacao do Andreas e Hannes mas tenho certeza que ela foi bastante interessante. Eles mostraram os conceitos de TCP/IP stack e mostraram como seria o projeto de criar uma na linguagem orientada a objeto chamada Dylan. [*] "Fudging with Firmware - Firmware reverse-engineering tactics" (khorben) A apresentacao do khorben me decepcionou bastante. Sinceramente achei que a palestra seria interessante devido ao tema abordado, mas nao houve nada de extraordinario nela. O khorben nao mostrou nada alem do uso do programa GNU strings para procurar por informacoes e "palavras magicas", como senhas padroes, etc., em firmwares. A parte mais interessante foi a demonstracao de um programa criado por ele que melhora significativamente a procura dessas informacoes uteis e evita o uso do "strings". [*] "A not so smart card - How bad security decisions can ruin a debit card design" (Bernd R. Fix) Esta foi uma palestra excelente. Bernd mostrou como funciona o esquema de seguranca dos cartoes de debito PostCard, largamente utilizados na Suica. Ele mostrou que a seguranca desses cartoes, baseados em um outro usado na Franca, e' extremamente fraca e comete varios erros que foram mostrados em uma pesquisa de varios anos atras. Foi mostrado tambem que era possivel criar ou clonar um cartao valido e como conseguir a chave secreta dele. Pouco antes da apresentacao a seguir, encontrei meio que por acaso o Luis Eduardo, da Aruba Networks, que tambem esteve na H2HC. Conversamos um pouco sobre o CCC, H2HC, Berlim, e outras coisas. Ele ate' falou que iria fazer uma edicao do podcast "i sh0t the sheriff" (http://www.naopod.com.br) ao vivo direto do 23C3, mas acabou nao acontecendo. Tambem vi por la' nesse dia varias lendas como scut, do TESO, Plasmoid, do THC, FX, da Phenoelit, e varios outros hackers realmente de elite. [*] "We don't trust voting computers" (Rop Gonggrijp) Na minha opiniao essa foi uma das melhores apresentacoes de todo o evento. O Rop, criador do lendario grupo Hack-Tic e do primeiro provedor da Holanda, o XS4ALL, alem de ter se mostrado um otimo palestrante, falou sobre um tema interessante que e' sobre votacao eletronica na Holanda e demonstrou inumeras falhas na seguranca das urnas, inclusive a seguranca fisica do local onde elas estao armazenadas. Ele e a equipe do site http://www.wijvertrouwenstemcomputersniet.nl hackearam totalmente as urnas feitas pela NEDAP. La' foi mostrado um software que poderia ser facilmente implantado nelas para roubar votos para outros partidos. O mais interessante foi que passou um video demonstrando como implantar o software malicioso na urna e o video mostrava os votos sendo roubados para o partido ficticio criado por eles e ate' mesmo era possivel jogar xadrez com a maquina, o que foi a resposta `a provocacao feita pelo diretor da empresa fabricante das urnas, que dizia que isso seria impossivel. Depois de ter assistido a essa palestra eu me perguntei quao frageis pode ser a

votacao eletronica aqui no Brasil, se ja' houve auditoria independente do processo eleitoral eletronico e por qual motivo ha' todo um segredo em cima desse tipo de votacao por aqui. [*] "SnortAttack.org - The IPS CHALLENGE" (SnortAttack Team) Na verdade nao foi uma apresentacao e sim um mini-capture the flag que aconteceu no hackcenter e o intuito era hackear um servidor protegido pelo SnortAttack. Nao sei se houve vencedor, mas gostei muito de ter lido a propaganda deste evento, em tom de provocacao, algo do tipo: "Try to hack our server secured by SnortAttack. Are you a true hacker or just a script kiddie?". [ --- Berlim, 28 de Dezembro de 2006 (Dia 2) No segundo dia fui em direcao ao Berliner Congress Center debaixo de uma fina neve que caiu naquela manha. Ainda bem que dessa vez eu nao me perdi :) As palestras do dia 2 eram muito boas e com certeza a mais esperada era a da bela Joanna Rutkowska. No final da tarde comprei por 23 EUR o "23C3 Proceedings", que e' um livro que contem algumas das palestras que seriam apresentadas no evento, e uns adesivos. Foi o melhor souvenir que eu pude trazer do congresso. [*] "Router and Infrastructure Hacking" (raven) Nao assisti essa palestra mas um amigo a viu e achou bem legal, porem eu discordo dele. Para inicio de conversa, "infrastructure hacking" pra mim e' hacking de sistemas do tipo SCADA, que controlam infra-estrutura critica tais como telefonia, abastecimento de agua, energia eletrica, etc. Pelo que ele me disse a palestra da raven foi otima, bastante informativa e ela realmente sabia do que estava falando. Durante a apresentacao foram mostradas algumas maneiras simples que poderiam causar danos em grandes redes usando senhas padroes e tirando vantagens de softwares desatualizados. Ele achou legal mas para mim nada disso era tao interessante assim... [*] "Secure Network Server Programming on Unix" (Andreas Krennmair) Gostei bastante da apresentacao do Andreads Krennmair, apesar de ele nao ter se mostrado um bom palestrante. A palestra foi bem objetiva e deu varias dicas e mostrou inumeros exemplos para desenvolvedores de como escrever daemons a prova de buffer overflows, denial of service por exaustao de memoria, etc. [*] "Tor and China" (Roger Dingledine) E' sempre muito bom ver o proprio criador de alguma ferramenta famosa, como o Tor, falando sobre a sua criacao. Na palestra, Roger Dingledine nao falou nada muito tecnico sobre o Tor e se focou basicamente em falar nas dificuldades que ele e a equipe de desenvolvimento tem encontrado. No final da apresentacao um cara da plateia foi ate' o palco e doou um cheque de alguns milhares de dolares para o projeto. Ele disse fazer parte de uma organizacao ligada a liberdades civis e que o Tor e' de muita importancia no pais onde ele vive e atua.

[*] "Lightning Talks Day 2" (organizado por Sven Guckes e Jennifer b9punk) Vi rapidamente o lighting talk com o intuito de me situar melhor sobre o que acontece la', pois a minha mini-apresentacao seria no dia seguinte. A unica coisa que lembro foi algum maluco chamado MiB, do Cult of the Dead Cow, falando sobre hacktivismo. [*] "A Hacker's Toolkit for RFID Emulation and Jamming" (Melanie Rieback) Cheguei somente no final da apresentacao mas lembro de ter visto alguma coisa sobre decodificacao e "spoofing" de queries RFID. [*] "RFID hacking" (Karsten Nohl, Henryk Plotz e z0ccor) Essa apresentacao foi dividida em tres partes, com cada um dos palestrantes citados falando sobre a parte que lhe cabia. Pra ser sincero nao lembro muito bem da apresentacao, mas me recordo que eles tentaram hackear os ingressos da Copa de 2006, que usavam RFID. Foi mostrado um "dump" do "payload" do ingresso (inclusive era o jogo Brasil x Japao) e ate' me parece que conseguiram copia-lo com sucesso, mas nao foi possivel adentrar o estadio por causa de alguma outra checagem por parte dos segurancas do estadio. A apresentacao tinha varias fotos e ate' mesmo videos mostrando o processo de copia e a tentativa frustrada de assistir os jogos. Bom mesmo foi ter visto no ultimo slide "We will be back in Euro 2008!" :) [*] "Stealth malware - can good guys win?" (Joanna Rutkowska) Antes de mais nada, preciso falar que eu estou apaixonado por esta mulher <3 A palestra dela foi de altissimo nivel e confesso que nao entendi muita coisa. Foram apresentados a ineficacia de anti-virus e IDSes na deteccao de malwares e rootkits stealth, como o BluePill. Como nao entendo muito dessas coisas de baixo nivel, me perdi totalmente quando ela comecou a falar mais a fundo sobre sistemas operacionais e virtualizacao. Mais uma vez, nenhum codigo foi disponibilizado, o que leva a muitos da comunidade de seguranca a contestar o seu trabalho. [*] "Console Hacking 2006" (Felix Domke) A apresentacao feita pelo Felix foi bastante interessante. O cara falou de varios aspectos sobre os novos videogames, fez comparacoes tecnicas e comentou sobre quao "hackeaveis" sao o Wii, Playstation 3 e X-Box 360. [*] "Black Ops 2006 Viz Edition" (Dan Kaminsky) Antes de mais nada preciso falar que Dan Kaminsky e' um verdadeiro show-man. Acho que em toda minha vida eu ainda nao havia visto um palestrante tao bem articulado e bom quanto ele. O cara realmente tem a manha de apresentar em publico. Pra ser bem sincero, nao entendi muita coisa da palestra dele. O cara pulava entre varios assuntos muito rapidamente, mas lembro que ele focou bastante em uma parte sobre uso de pixels no auxilio de fuzzing. Ele mostrou uma ferramenta esquisita que abria um arquivo binario e, dependendo da concentracao de pixels mais escuros la' havia uma parte "interessante" que deveria merecer atencao especial.

[*] "You can't make this stuff up" (Felix Von Leitner e Ilja) Essa apresentacao foi um show a parte. Na palestra Felix von Leitner e Ilja decidiram zuar algumas pessoas da comunidade de seguranca e sacanear com varias situacoes engracadas, como bugs em que foram corrigidos mas que reapareceram no mesmo software, etc. O mais legal era que a plateia podia interagir, pegar o microfone e falar mal de quem quisesse :) Paralelamente a apresentacao anterior houve outra bem interessante, do David Hulton aka h1kari, organizador da ToorCon e membro do dachb0den, que eu gostaria de ter visto. Ela era relacionada ao uso de hardwares FPGA para cracking de senhas, chaves WEP, etc. [*] "Biometrics in Science Fiction" (Roland Kubica e Constanze Kurz) Na verdade nao foi uma apresentacao convencional. O que aconteceu foi que as palestrantes soltaram varios trechos de filmes de ficcao cientifica onde aparecia o uso de biometria e tiravam sarro dos exageros hollywoodianos sobre o tema. Elas sabiam fazer as piadas certas e foi bem divertido :) Sai' do evento ja' de madrugada por volta de 1 da manha. Resolvi pegar um caminho subterraneo e dei de cara com um pessoal muito bebado fazendo a maior arruaca. [ --- Berlim, 29 de Dezembro de 2006 (Dia 3) Mais uma vez acordei tarde mas felizmente o conjunto das quatro palestras do dia nao me interessavam. Ao longo do dia varios flyers e adesivos eram entregues no evento e um deles era um do Google oferecendo empregos para administradores de sistemas Linux na Irlanda e em outro pais que nao me lembro. Mas o melhor flyer que foi o da Yet Another Xacktogether of West & East, um acampamento hacker numa ex-base militar na Croacia que vai rolar em maio. Tambem peguei uns adesivos do PGP e outras coisas gratis que davam por la' :) [*] "Fuzzing in the corporate world" (Gadi Evron) Sinceramente a apresentacao do Gadi Evron me frustrou bastante. Pra mim foi uma das mais esperadas do dia pelo tema de fuzzing ser interessante e estar bastante na moda atualmente. Apesar de bom palestrante (Gadi e' simpatico e sabia fazer boas piadas), a apresentacao foi mais uma "pra gerentes" e nao falou nada que 10 minutos de Wikipedia lendo sobre fuzzing nao diria. Resumindo, nada muito util. Como eu estava na terceira fila, juro que fiquei tentado em levantar a mao e falar que eu era o n3td3v, pra ver qual seria a reacao do cara :) Acho que a maior atracao dessa apresentacao foi ter visto o Dan Kaminsky com cara de quem tomou todas na noite anterior :> [*] "Bluetooth Hacking Revisited" (Thierry Zoller e Kevin Finistere)

O Thierry Zoller, da n.runs e Trifinite, apresentou sozinho porque o KF (responsavel pelo Month of Bugs da Apple) nao pode ir por algum motivo. Nao assisti a apresentacao toda porque o saal 1 estava muito cheio, lembro que ele falou um basico sobre bluetooth e algumas vulnerabilidades. Certamente foi uma apresentacao muito interessante e nao era pra eu ter saido antes da hora. [*] "Lightning Talks Day 3" (organizado por Sven Guckes e Jennifer b9punk) Finalmente tinha chegado o dia da minha pequena apresentacao no projeto de palestras-relampago do CCC. Eu deveria ser o terceiro a apresentar, mas devido a uns problemas que o Alessio Pennasilico teve para ligar o seu laptop, fui convidado a ser o primeiro a apresentar porque eu estava sem slides nem nada. Apesar do medo ter aumentado (deviam ter umas 400 pessoas no auditorio), o ingles ter travado durante o primeiro minuto e a b9punk ficar rindo a todo instante do meu lado, a apresentacao sobre os riscos do wardialing em 2006 fluiu tranquilamente e recebi uma salva de palmas quando falei "hello everybody, greetings from Brazil!". Ainda fiz piadinha e fui aplaudido no final. Nao precisava de mais nada, tinha acabado de ganhar o dia :) Logo em seguida veio Alessio falando sobre o Hackers Profiling Project que ele tem com o Raoul Chiesa e a psicologa Dra. Stefania Ducci (acho que ela estava na plateia, e se for ela, que mulher linda!). Achei bem interessante a proposta do projeto, que e' desmistificar alguns conceitos deturpados sobre os hackers. Depois ele ainda falou rapidamente sobre inseguranca em ambientes VoIP. Teve tambem a apresentacao do editor-chefe da revista GameFace, Peter Krell, que falou sobre os novos conceitos de jogos de computadores. Depois o criador do smap, Hendrik Scholz, falou um pouco do programa, que tem o intuito de ser um scanner bem completo para dispositivos SIP baseados em VoIP. Teve uma apresentacao meio off-topic mas que achei interessante, sobre vitamina C. Isso mesmo, vitamina C! Thomas Waldmann falou um pouco sobre alguns fatos curiosos acerca de acido ascorbico. Em seguida um tal de Dan, que lembrava bastante o Ben Stiller, fez uma apresentacao MUITO ENGRACADA mostrando os 10 motivos de nao usar bancos de dados 4D, todos eles baseados nas experiencias terriveis que ele contou ter passado. E pra fechar o lighitning talk 3, SJ Klein, da One Laptop Per Child, apresentou brevemente o projeto que promete revolucionar a educacao nos paises do terceiro mundo e mostrou um desses laptops para o publico. [*] "Security in the cardholder data processing?!" (Manuel Atug) Essa palestra tambem foi outra que me decepcionou. Achei que Manuel Atung entraria em detalhes tecnicos relevantes acerca de seguranca de dados em instituicoes de credito, mas a palestra foi mais uma "pra gerente", sem muito conteudo interessante para tecnicos. PS: Manuel Atug e' a cara de Jorge Pereira, amigo do pessoal do rfdslabs :) [*] "Advanced Attacks Against PocketPC Phones" (Collin Mulliner) A palestra do Collin Mulliner, da Trifinite, foi tecnicamente muito boa, apesar de ele nao ser um palestrante muito bem articulado.

Ele falou de diversas peculiaridades acerca de exploracao de buffer overflows em PocketPCs e deu inumeros detalhes sobre como explorar possiveis falhas. Alem de tudo o cara mostrou um video de um PocketPC tendo um buffer overflow sendo explorado (o shellcode o fazia mostrar a mensagem "0wned by an MMS", ou algo parecido). [*] "Automated Exploit Detection in Binaries" (Luis Miras) Tenho pela conviccao que a apresentacao do Luis Miras foi uma excelente introducao aos conceitos de analise estatica de binarios. O cara explicou diversos conceitos sobre a tecnica utilizada e fez a demonstracao do projeto bugreport, desenvolvido por ele, Matt Hargett e Dan Moniz, que tem o intuito de procurar por buffer overflows em binarios. [*] "Hacker Jeopardy" (Stefan 'Sec' Zehl e Ray) "Hacker Jeopardy" nao foi uma palestra mas sim um "quiz show" sobre hacking para hackers. O "quiz" tinha perguntas sobre linguagens de programacao, filmes hackers, eletronica e outras coisas que todo geek gosta. Lembro que o primeiro round foi vencido por uma menina, que levou uns premios do OpenBSD pra casa. Ja' passava de 1 da manha e eu precisava dormir para acordar cedo para o ultimo dia do CCC. [ --- Berlim, 30 de Dezembro de 2006 (Dia 4) Era perceptivel que as apresentacoes do quarto dia, na sua maioria, eram bem fracas e por isso pouca gente compareceu ao evento e certamente foi preferivel ficar descansando no "lounge" e comendo pizzas. [*] "Unusual bugs" (Ilja) Acordei muito tarde e, infelizmente, perdi esta apresentacao. Tenho certeza de que ela foi muito interessante, ate' porque o Ilja e' muito bom. [*] "Software Reliability in Aerospace" (Erwin Erkinger) A apresentacao do Erwin Erkinger tambem me decepcionou por ter sido outra palestra "para gerentes". Achei que ela entraria em aspectos tecnicos relevantes ao desenvolvimento de software para a industria aeroespacial, mas ela se limitou a falar sobre caracteristicas de gerencia de projetos para esta industria. [*] "Inside VMware - How VMware, VirtualPC and Parallels actually work" (Michael Steil) Com certeza esta foi uma das melhores apresentacoes de todo o evento, na minha opiniao, uma vez que o tema de virtualizacao tem sido bastante comentado ultimamente. Michael Steil alem de ser bom palestrante e bem organizado, com slides muito bem feitos, demonstrou saber bastante sobre esse tipo de tecnologia. Com certeza a palestra serviu como uma otima introducao a conceitos mais basicos de sistemas operacionais, como scheduling, paginacao, etc. Ele tambem

explicou como era feita a virtualizacao em sistemas x86 nativamente nao-virtualizaveis e suas diferencas para as novas tecnologias de virtualizacao da Intel e AMD. [*] "Lightning Talks Day 4" (organizado por Sven Guckes e Jennifer b9punk) Nao lembro direito o que teve no quarto dia do lightning talks, so' fui assistir porque nao havia nada interessante. Tiveram varias apresentacoes, como de costume, e lembro bem de uma onde um tiozao demonstrou o uso de um "PHP Shell", que ele tinha descoberto em um servidor comprometido onde ele e' webdesigner. O mais louco foi que ele demonstrou no site dele, ao vivo, e todo mundo vendo o endereco! Nao sei como ninguem da plateia invadiu o servidor dele e fez um defacement na hora pra ele perceber a besteira que estava fazendo, ainda mais em um congresso de hackers (eu ate' pensei nisso e pedi o laptop do cara do lado emprestado mas ele tinha acabado de descarregar). Justus Winter apresentou ao vivo e sem slides, sobre os riscos do CSRF ao criar um "session riding exploit" para uma aplicacao web. Tambem teve um dos organizadores do Yet Another Xacktogether of West & East, Marcell Mars, falando sobre o YAXWE, um "hack camp" que vai acontecer em maio numa base militar abandonada na Croacia. Eu gostaria muito de ir mas nao sera' possivel :( [*] "sFlow - I can feel your traffic" (Elisa Jasinska) A palestra da Elisa, que e' beeeem bonita e saca bastante de redes, foi muito boa. Ela demonstrou uma ferramenta chamada sFlow, provavelmente criada por ela, que tem o intuito de analisar trafego em redes de alta velocidade e enorme volume de trafego (100 gbps era a rede de exemplo). Infelizmente como ja' era uma das ultimas do evento, pouca gente compareceu. [*] "Closing Ceremony - Who did you trust?" (Tim Pritlove) Gostaria muito de ter ficado e aproveitado ate' o ultimo momento do 23C3 mas o cansaco falou mais alto. Alem do mais eu tinha que arrumar as malas porque no dia seguinte haveria a festa de ano novo patrocinada pela Nokia e cedinho no dia 1 de janeiro eu iria rumar para um pais do leste europeu. [ --- 4. Dicas para quem esta' pretendendo ir Inicialmente seria apenas uma resenha, mas achei bem util incluir algumas dicas para quem pensa em ir para o evento. [ --- Dica 1: Leve muitas roupas de frio! Essa e' a mais obvia das recomendacoes. Tive sorte de pegar um dos invernos mais quentes dos ultimos anos na Europa, mesmo assim passei mal com o frio, principalmente nos primeiros dias. [ --- Dica 2: Beba muita agua Beba muita agua porque, apesar de nao suar pode haver desidratacao.

E isso aconteceu durante o congresso com alguns nerds que so' hackeavam e bebiam cerveja, Coca-Cola e Club Mate mas esqueciam de beber agua. A enfermaria do evento, o CERT, chegou a mandar mensagens nos teloes pedindo para que bebessem mais agua. [ --- Dica 3: Hospede-se proximo ao evento, de preferencia em albergue Fiquei hospedado no excelente albergue St. Christopher's Inns. O preco da noite foi bem acessivel, o local e' bem limpo, grande (tem dois andares, elevador, mesa de sinuca e um bar funciona na parte de baixo `a noite) e o staff e' bem amigavel. O que influiu para a escolha desse albergue e' que ele se localiza a menos de 10 minutos a pe' do local do evento e de Alexanderplatz. A estacao Rosa-Luxemburg se encontra, literalmente, do outro lado da rua. Varios congressistas se hospedam neste lugar, sendo assim uma otima oportunidade para conhecer outras pessoas com os mesmos interesses. Site: http://www.st-christophers.co.uk/berlin [ --- Dica 4: Compre adaptador de tomada Nao esqueca de comprar no Brasil um adaptador de tomada do padrao brasileiro para o europeu. Esqueci de fazer isso aqui e so' fui me dar conta de comprar um quando as pilhas da minha camera digital descarregaram e a bateria do meu celular tambem (fiquei sem despertador e por esse motivo acordava sempre bem em cima da hora para o evento comecar). Essa dica e' crucial para aqueles que querem levar seu laptop. [ --- Dica 5: Leve seu laptop Se voce tiver laptop, leve-o! Nao pude levar o meu porque ele apresentou alguns defeitos tempos antes de ir para o CCC e seria somente peso na mochila. Voce precisa de um laptop para, dentre outras coisas, fazer anotacoes e, obviamente, hackear! Alem do mais e' necessario um para participar de algumas atividades como o capture-the-flag. [ --- Dica 6: Va' com o espirito "hack the planet" Va' com o intuito de aprender e se divertir, ou seja, o melhor estilo do espirito "hack the planet". [ --- 5. Conclusao Posso afirmar com toda a conviccao do mundo que os dias que passei no 23C3 foram, de longe, um dos melhores de toda a minha vida. Eu vinha sonhando em participar de um congresso desse porte ha' bastante tempo e finalmente consegui realizar esse sonho. Realmente valeu muito a pena ter saido do Brasil para prestigiar o evento e ter tido a experiencia de ir me divertir no maior congresso hacker do planeta. Que o Hacking in EXile 2009 na Holanda me (nos) espere! :)