Lần đầu tiên của tôi ở ShmooCon

Apr 10 2022
Tham dự hội nghị bảo mật 3 ngày tại DC với các chuyên gia InfoSec khác. TL: DR (Quá lâu: Chưa đọc) Xin chào bạn đọc.

Tham dự hội nghị bảo mật 3 ngày tại DC với các chuyên gia InfoSec khác.

ShmooCon 2022

TL: DR (Quá lâu: Chưa đọc)

Xin chào bạn đọc. Tên tôi là Devin Price và tôi là một chuyên gia CNTT & an ninh mạng. Tôi đã may mắn được làm việc trong lĩnh vực CNTT trong bảy năm và lĩnh vực an ninh mạng hơn bốn năm tại thời điểm đăng bài này.

Hai tuần trước, tôi có cơ hội tham dự ShmooCon 2022 tại Washington, DC. Đối với những ai có thể chưa biết, ShmooCon là một hội nghị bảo mật hàng năm dài hạn nhằm mục đích “trình diễn khả năng khai thác công nghệ, các giải pháp phần mềm và phần cứng sáng tạo, cũng như các cuộc thảo luận mở về các vấn đề thông tin quan trọng” (ShmooCon, 2022). Hội nghị đã diễn ra mạnh mẽ kể từ năm 2005 và kết thúc hội nghị lần thứ 17 vào tháng 3 năm 2022. Trong ba ngày, tôi đã tìm hiểu và kết nối với các chuyên gia bảo mật thông tin khác tại khách sạn Washington Hilton. Tôi muốn chia sẻ kinh nghiệm của mình trong hội nghị tổng thể để khuyến khích nhiều chuyên gia bảo mật hơn trở lại tham gia các hội nghị trực tiếp khi chúng ta học cách sống trong một thế giới hậu đại dịch. Nó thật sự làm nên sự khác biệt. Đọc tiếp nếu bạn quan tâm đến bất kỳ chủ đề nào dưới đây:

  • Suy nghĩ của tôi về hội nghị tổng thể
  • Triển lãm Hội nghị thú vị & Khoảnh khắc Yêu thích
  • Các hội nghị trong tương lai mà bạn có thể tham dự vào cuối năm nay

Hội nghị này dành cho các chuyên gia đam mê bảo mật và không ngại thể hiện nó. Mọi bài thuyết trình đều tập trung vào việc cải thiện các kỹ thuật bảo mật hoặc các dự án đam mê bảo mật mà các chuyên gia khác muốn chia sẻ với đồng nghiệp của họ. Bầu không khí của hội nghị rất bình thường và cởi mở và tôi tin rằng đó là do thiết kế. Hầu hết mọi người đều mặc quần jean, áo phông và áo hoodie, vì vậy đây không phải là chuyện phù hợp với cà vạt. Không ai đến với một bầu không khí vượt trội hoặc lịch trình để trở thành người thông minh nhất trong phòng, điều đó thật sảng khoái. Nếu bạn mới bắt đầu tham gia hội nghị, tôi chắc chắn sẽ giới thiệu ShmooCon là điểm dừng chân đầu tiên của bạn. Mọi người có thể có những quan niệm sai lầm nhất định về hội nghị làm việc và ShmooCon chắc chắn đã đi theo cách của mình để xóa tan những điều đó.

Triển lãm Hội nghị thú vị & Khoảnh khắc Yêu thích

Tất cả các cuộc nói chuyện và thuyết trình của hội nghị chính đều được tổ chức trong phòng khiêu vũ khổng lồ được mệnh danh là “One Track Mind”. Thông thường, ShmooCon có các bài hát khác nhau mà mọi người có thể tham dự, nhưng do Covid, tôi tin rằng họ đã quyết định chỉ có một bài hát cho hội nghị năm 2022. Như bạn có thể thấy từ hình ảnh bên dưới, có hai màn hình máy chiếu chính ở hai bên của bục diễn thuyết và hai màn hình nhỏ hơn ở phía sau phòng khiêu vũ. Bất kể bạn ngồi ở đâu, bạn có thể nhìn thấy và nghe thấy những gì đang diễn ra. Tôi hầu như chỉ ngồi gần bục trong phần lớn các cuộc nói chuyện, nhưng về cuối hội nghị, tôi ngồi về phía sau và sắp xếp cửa hàng ở một số bàn.

Khu vực phòng khiêu vũ, nơi diễn ra tất cả các bài thuyết trình của hội nghị

Ngay bên ngoài One Track Mind, có một khu vực hành lang, nơi tất cả các nhà cung cấp đã giúp đỡ tài trợ cho hội nghị đều có mặt. Có nhiều nhà cung cấp khác nhau tại hội nghị (AWS, Trimarc, Accenture, CACI, v.v.), nhưng rõ ràng những nhà cung cấp đó được chọn vì họ hiểu rằng họ ở đó để phục vụ các chuyên gia bảo mật thông tin (InfoSec) chứ không phải ngược lại (như ở những nơi khác). Ví dụ, các nhà cung cấp chỉ được phép có một gian hàng có chiều dài không quá sáu feet. Hầu hết mọi gian hàng của nhà cung cấp đều có một số loại hoạt động InfoSec tương tác để bạn thử, swag để bạn mang về nhà, hoặc một số loại đồ ngọt (Tôi có một loạt các Nhà bán hàng Dưa hấu Jolly từ một gian hàng của nhà cung cấp).

Hoạt động của Hacker Escape Room tại một trong những gian hàng của nhà cung cấp

Ngoài phòng khiêu vũ chính để thuyết trình, còn có một số cuộc triển lãm InfoSec mà người tham dự có thể tương tác. Họ đã có một “Khu vực thư giãn” để những người tham dự có thể đi chơi với bạn bè của họ hoặc những người mới mà họ gặp. Ngoài ra còn có một cuộc triển lãm được đặt tên là “Làng LockPick” cho phép bạn thử sức mình trong việc sử dụng các công cụ để mở các ổ khóa thực tế. Tôi đã có thể mở khóa cơ bản nhất sau khoảng năm phút và thậm chí điều đó chỉ xảy ra với một số hỗ trợ từ những người cùng bàn của tôi. Họ làm cho nó trông rất dễ dàng trên TV hoặc trong phim.

Thiết bị nhặt khóa và ổ khóa trong LockPick Village
Video hướng dẫn hiển thị trên tường của LockPick Village cho người mới như tôi

Có một cuộc triển lãm khác được dán nhãn Pháo đài Hack nơi hai đội gồm 10 người chơi, mỗi đội thi đấu với nhau để ghi được nhiều điểm nhất. Sáu người chơi sẽ chơi một trò chơi có tên Team Fortress 2 (TF2) và bốn người chơi sẽ giải quyết các thử thách hack mà nếu giải được, sẽ giúp ích một cách tích cực cho sáu người chơi khác đang chơi TF2. Tôi đã ngồi vào một trong những trận đấu một chút và chưa bao giờ thấy bất cứ thứ gì giống như vậy. Đối với những người muốn xem các trò chơi Hack Fortress tại ShmooCon 2022 như thế nào, bạn có thể xem luồng twitch đã ghi lại (xin lưu ý: đài truyền hình đã chỉ ra rằng kênh này dành cho khán giả trưởng thành).

Một cuộc triển lãm thú vị thứ ba tại Hội nghị là “Làng tần số vô tuyến điện (RF)”. RF Village dành cho bất kỳ ai quan tâm đến việc tìm hiểu hoặc chia sẻ các mẹo về hack thông tin liên lạc vô tuyến. Có một trò chơi RF Capture-The-Flag (CTF) mà tôi đã tham gia trong Ngày 2 của hội nghị. Bạn có thể xem bảng điểm bên dưới. Những người đam mê hack RF cũng đã sử dụng Làng RF để cho những người đam mê khác thấy các thiết bị di động tùy chỉnh của họ được sử dụng để hack RF. Đối với bất kỳ ai quan tâm đến việc hack RF, bạn có thể tìm hiểu thêm thông tin qua một trong hai nguồn, rfhackers.com hoặc sdr.ninja . Chúc mừng Hacking!

Bảng điểm CTF RF
Giá đỡ RF tùy chỉnh trong Làng RF

Các bài thuyết trình hội nghị hàng đầu của tôi

Không kém phần vui nhộn khi các cuộc triển lãm diễn ra, điểm thu hút chính của hội nghị là các bài thuyết trình và các diễn giả đã dồn hết tâm huyết của mình vào việc kết hợp chúng lại với nhau. Tôi sẽ chỉ tập trung vào các bài thuyết trình hàng đầu của mình, nhưng bạn có thể tìm thấy toàn bộ chương trình diễn thuyết của ShmooCon 2022 trên trang web của hội nghị.

(Ngày 1) “Lời mở đầu” của Bruce & Heidi Potter

Heidi và Bruce phát biểu trước để khai mạc hội nghị. Họ là những người đã tổ chức toàn bộ hội nghị và biến nó thành hiện thực. Họ có bốn đứa con và ShmooCon rõ ràng là chuyện gia đình đối với họ. Họ đã xem xét “những điều nên làm và không nên làm” của hội nghị và đề cập rằng chủ đề năm 2022 là một chuyến dã ngoại vào mùa hè.

Gia đình Potter
Triển lãm trưng bày dã ngoại ShmooCon

Họ nói về lịch sử của ShmooCon và giải thích ngắn gọn về cách thức diễn ra hội nghị. Rõ ràng, Bruce và Heidi đã gặp nhau ở Alaska trong thời gian học đại học. Cả hai đều quyết định bỏ học khi gần tốt nghiệp và tìm thấy một nhóm những người có cùng chí hướng với nhau về bảo mật ngay sau đó. Cuối cùng họ gọi nhóm này là Shmoo Group. Sau khi Bruce và một thành viên khác của Shmoo Group tham dự BlackHat (một hội nghị an ninh lớn được tổ chức hàng năm tại Las Vegas) một năm, họ quyết định tạo ra một hội nghị bảo mật của riêng mình. Họ muốn khán giả có thể tương tác / không đồng ý với người nói một cách tôn trọng mà không bị coi là “kẻ giật cục” duy nhất trong phòng. Ví dụ,tại ShmooCon, mọi người tham dự đều nhận được một “quả bóng shmooball” mà họ có thể ném (một cách thoải mái) vào người nói nếu họ không đồng ý với bất cứ điều gì họ đang trình bày. Ví dụ, "quả bóng" cho năm nay là một quả táo.

Nội dung của Hộp Swag bao gồm "Shmooball" (Quả cầu căng thẳng của Apple màu đỏ ở góc dưới bên trái của hình ảnh)

Bruce kết thúc bài nói của mình, khuyên những người trong ngành an ninh không nên học vẹt con đường thành công của anh và nhóm Shmoo. Ông cho biết để đảm bảo rằng bạn có sự cân bằng giữa công việc và cuộc sống và an ninh thở / ngủ không phải là cách duy nhất để tạo ra sự khác biệt. Nhìn thấy những người Potters ở phía trước và ở giữa khi bắt đầu hội nghị, rõ ràng là tại sao hội nghị đã diễn ra lâu như vậy. Họ dường như yêu thích bảo mật và đã tập trung hết sức vào việc tạo ra một hội nghị để mọi người học hỏi, vui chơi và đam mê trên InfoSec mà không cần phán xét.

(Ngày 1) “Các thước đo an toàn thông tin thực tế” của Robert Weiss

Đây là bài thuyết trình yêu thích của tôi trong toàn bộ hội nghị.Trong phần trình bày của mình, Robert đã nói về ba loại chỉ số An toàn thông tin (IS) (hiệu suất chương trình, nhận thức tình huống và rủi ro) và chín loại phương pháp đo lường khác nhau của IS (chỉ cần đo lường mọi thứ, giải mã vấn đề và chỉ số tiêu diệt zombie là ba mục yêu thích của tôi). Robert giải thích rằng khi nói đến các thước đo IS, điều quan trọng là phải đo lường chính phương pháp đánh giá rủi ro. Ông cũng đề cập rằng bạn không thể hy vọng bảo mật những gì bạn không thể liệt kê. Tôi là một người thích các con số, vì vậy các số liệu sẽ luôn thu hút sự chú ý của tôi. Tôi cũng thích quản lý rủi ro bởi vì, như Robert đã nói, đó cuối cùng là điểm của an ninh mạng. Với tư cách là các chuyên gia của InfoSec, chúng tôi tồn tại để giảm thiểu rủi ro cho doanh nghiệp và các chỉ số đo lường là cách duy nhất chúng tôi có thể thực sự chứng minh điều đó với ban lãnh đạo cấp trên.

(Ngày 1) “VPN dành cho người tiêu dùng: Tốt, xấu và xấu” của Yael Grauer

Bài thuyết trình này tập trung vào câu hỏi liệu mọi người có nên sử dụng VPN cho các vấn đề về bảo mật và quyền riêng tư hay không. Tôi rất thích buổi trò chuyện này về cách Yael và nhóm của cô ấy đã điều tra và nghiên cứu 51 VPN khác nhau để xác minh tính xác thực về các tuyên bố bảo mật và quyền riêng tư của các công ty VPN. Sau khi thử nghiệm tất cả các VPN trong nghiên cứu, Yael giải thích rằng ba VPN hoạt động tốt nhất cho bảo mật và quyền riêng tư là của Molvad, IPVPN và Mozilla. Trước khi sử dụng VPN, Yael khuyên mọi người nên thực hành vệ sinh bảo mật chung trước. Sau đó, cô ấy khuyên bạn nên thực hiện nghiên cứu của mình và sau đó cân nhắc những ưu và nhược điểm của VPN mà bạn muốn chọn. Để biết thêm thông tin về những ưu và nhược điểm chi tiết mà cô ấy tìm thấy trong nghiên cứu của mình đối với tất cả các VPN đó, bạn có thể truy cập trang trình bày đầy đủ từ bài thuyết trình của Yael trên LinkedIn của cô ấy .Bài thuyết trình này là một trong những mục yêu thích của tôi trong hội nghị vì tính thiết thực của nó và sự thu hút rộng rãi đối với các chuyên gia bảo mật và cả những cá nhân hàng ngày.

(Ngày 2) “Có Wardriving và There là GWARDRIVING” của Mike Spicer và El Kentaro

Mike và El Kentaro đã nói về cách có một thời kỳ phục hưng lớn hiện nay đối với nghiên cứu không dây đang diễn ra. Cụ thể, họ đã đề cập rằng việc hack wifi không còn chỉ dành cho những đứa trẻ thích viết kịch bản. Họ cũng đề cập rằng đã có sự tăng trưởng ngày càng tăng của các thiết bị được kết nối sẵn sàng tiếp tục, một phần lớn là do sự thúc đẩy công việc từ xa từ Covid hoặc hai năm qua. Họ tuyên bố cụ thể rằng ngày càng có nhiều thiết bị di động trực tuyến và những kẻ tấn công sẵn sàng bắt chúng thông qua chiến thuật wardriving (tìm kiếm các mạng không dây không an toàn khi đang đi bộ hoặc lái xe quanh một khu vực nhất định). Về cơ bản, GWARDRIVING đang phát triển trên quy mô toàn cầu. Cả Mike và El Kentaro đều gọi những nỗ lực bảo vệ của họ là "lung lay". Rõ ràng, Việc giám sát giờ đây trở nên dễ dàng đến mức bạn có thể thực hiện việc này chỉ với một chiếc điện thoại Android (chỉ dành cho điện thoại Android chạy trên hệ điều hành Android 9 trở xuống do tính năng nâng cao giới hạn tỷ lệ được giới thiệu bắt đầu từ Android 10), Kismet và Windows hoặc máy tính để bàn Linux. Họ đã đề cập rằng Kismet hiện có thể nắm bắt được nhiều thứ hơn là chỉ 802.11.

Mike Spicer đã đi vào chi tiết về cách anh ấy tạo ra một số giàn tùy chỉnh để hỗ trợ anh ấy giám sát không dây cực độ trong khoảng cách ngắn (# WifiCactus , Wifi Kraken và Wifi Kraken-Lite ). Anh ấy đề cập rằng thiết bị tùy chỉnh hiện tại của anh ấy có tên là Wavy Wifi Noodle. Anh ấy đã thể hiện nó trong bài thuyết trình của mình và nó khá tuyệt. Anh ta đặt thiết bị giám sát không dây tùy chỉnh của mình vào ba lô và nhờ một người đàn ông gợn sóng bước ra, giống như những chiếc bạn thấy ở các đại lý xe hơi.

Một người đàn ông gợn sóng như anh chàng này theo đúng nghĩa đen đã chui ra khỏi ba lô của Mike khi khoe chiếc giàn khoan tùy chỉnh của mình

Trong khi Mike tập trung vào việc quản lý các thiết bị được kết nối trong khoảng cách ngắn, El Kentaro lại nói về việc quản lý các thiết bị ở khoảng cách xa hơn. Mặc dù thiết bị hack wifi tùy chỉnh của Mike chỉ có thể được sử dụng trong khu vực phòng hội nghị, nhưng thiết bị của El Kentaro có thể cho phép anh ta nắm bắt lưu lượng truy cập trong nhiều giờ và đi bộ xa tới 50 km mà vẫn hoạt động. Giống như Mike, El Kentaro đã chế tạo một số giàn khoan khác nhau (Master Pod, Nalgene Pod và Wigle Pod). Nếu bạn muốn xem một số "cuộc đi bộ" của El Kentaro, bạn có thể tự mình kiểm tra chúng trên trang YouTube của anh ấy . Bài thuyết trình của Mike và El Kentaro đã nhận được một trong những phản hồi lớn nhất và tương tác nhất từ ​​đám đông ShmooCon.

(Ngày 2) “Một API Web cho Kỹ thuật Đảo ngược Ngoại vi Nhúng” của Travis Godspeed và EVM

Trong phần trình bày của mình, Travis và EVM đã giới thiệu một API web có khả năng thiết kế ngược các phần thông tin hạn chế từ một vi mạch xử lý ARM nhúng. Dựa trên cơ sở dữ liệu tích lũy của họ gồm 300 GB SDKS và 20.000 vi mạch được nhúng, họ có thể sử dụng API Symgrate để thiết kế ngược phần sụn ARM với các bộ phận / mô hình không xác định bằng cách sử dụng ba chức năng tiện dụng. Hàm số 1 được gọi là JREGS. Với JREGS, API nhận địa chỉ I / O trong chip và xuất ra tên kiểu chip. Hàm số 2 được gọi là JSVD. Với JSVD, API nhận số kiểu của chip từ JREGS và xuất ra mô tả JSON của các cổng I / O của vi mạch. Chức năng cuối cùng mà Travis và EVM thảo luận cho API Symgrate là JFNS. JNFS lấy 18 byte của chức năng vi mạch và xuất ra tên chức năng chưa biết trước đây của chip.symgrate.com . Tôi thích cách Travis và EVM kể một câu chuyện từng bước hấp dẫn về những gì sẽ xảy ra ở mỗi bước của quy trình thiết kế ngược.

(Ngày 3) “Own The Con” của Bruce và Heidi Potter

Trong buổi sáng của ngày cuối cùng của hội nghị, Bruce và Heidi đã kéo rèm lại về một số công việc hậu cần và lên kế hoạch cần thiết để thực hiện hội nghị hàng năm của họ. Họ đã đề cập đến lý do tại sao họ chọn thành lập và thành lập ShmooCon Logistics LLC ( họ là một LLC với trái tim phi lợi nhuận), cách họ theo dõi tất cả các thông tin liên lạc trong hội nghị (rất nhiều email, cuộc gọi điện thoại và Zoom, dành cho những người tò mò) và gửi lời cảm ơn đến nhóm tình nguyện viên của họ để giúp họ giữ cho sự kiện diễn ra an toàn và vui vẻ. Họ cũng đi vào chi tiết về cách họ quyết định chủ đề & diễn giả nào được chọn cho ShmooCon và cách họ giải quyết việc bán vé cho sự kiện. Điều thú vị là họ đã cố ý giữ lại số lượng vé có sẵn cho ShmooCon năm này qua năm khác để duy trì cảm giác “thân mật” của hội nghị. Đối với những người quan tâm đến việc tham dự ShmooCon vào năm tới, Bruce và Heidi đã thông báo trong phiên họp rằng ngày diễn ra là 20 tháng 1 - 22 tháng 1, 2023! Tôi luôn quan tâm đến việc hiểu cách thức hoạt động của các hệ thống, vì vậy việc hiểu được hoạt động bên trong của hội nghị là điều rất thú vị đối với tôi.

(Ngày 3) “Bế mạc toàn thể” của Bruce Potter & Co.

Trong phiên họp toàn thể bế mạc, Bruce và ba chuyên gia InfoSec cấp CISO khác đã nói lên suy nghĩ của họ về các xu hướng chung của ngành. Cụ thể, họ đã nói về việc lãnh đạo các tổ chức của mình trong thời kỳ bùng phát và sụp đổ ban đầu của COVID, đảm bảo lực lượng lao động từ xa, giải quyết các vấn đề sức khỏe tâm thần trong bảo mật do làm việc từ xa và các mẹo của họ để tuyển dụng và giữ chân nhân tài an ninh mạng. Luôn cảm thấy sảng khoái khi nghe các lãnh đạo cấp cao của InfoSec trò chuyện và thảo luận về cách họ nhìn thấy toàn cảnh của ngành từ cái nhìn trực quan .

Các hội nghị trong tương lai mà bạn có thể tham dự vào cuối năm nay

Khi chúng ta chuyển sang một thế giới hậu đại dịch, tôi hy vọng mọi người tiếp tục được an toàn, trên hết và trên hết. Điều đó nói rằng, nếu bạn muốn trực tiếp tham dự các hội nghị bảo mật trong tương lai, hãy thử. Không chắc chắn về hội nghị nào để tham dự? Hãy xem xét một trong những lựa chọn dưới đây cho năm 2022 dương lịch.

  • IFSEC International (17 tháng 5 - 19 tháng 5)
  • RSAConference (6 tháng 6 - 9 tháng 6)
  • SANSFIRE 2022 (11 tháng 7 - 16 tháng 7)
  • Black Hat USA 2022 (6 tháng 8 - 11 tháng 8)
  • DEF CON 2022 (11 tháng 8 - 14 tháng 8)
  • OWASP 2022 Global AppSec (14/11 - 18/11)
  • BSides bảo mật - Nhiều ngày trong năm

Trân trọng,

DPrice_TheBlogger

Người giới thiệu

  1. ShmooCon, (2022). Giới thiệu về ShmooCon . ShmooCon.https://www.shmoocon.org/about_shmoocon/

© Copyright 2021 - 2023 | vngogo.com | All Rights Reserved