De beveiligingsconferentie wordt volgende week gehouden. Jorge Luis Alvrez Medina zal er bijvoorbeeld laten zien hoe een aanvaller elke file op je computer zal kunnen lezen als je Internet Explorer gebruikt. De aanval maakt niet gebruikt van fouten, maar van features. Alvarez Medina zal proof-of-concept code openbaar maken op zijn presentatie.

Adobe Flash

Dan is er natuurlijk nog die andere usual suspect, Adobe. Mike Bailey van Foreground Security houdt een praatje dat hij 'Mooie, Nieuwe en Belachelijke Flash Hacks' heeft genoemd. Dat belachelijke slaat op de soms belachelijke complexiteit ervan.. Hij bespreekt nieuwe Flash-gebaseerde aanvallen, het hergebruik van oude aanvallen en hij demonstreert de werking van de aanvallen op een groot aantal websites, waaronder Gmail en Twitter. Die sites zijn al op de hoogte gebracht. “ik wil duidelijk maken dat Flash net zo bruikbaar is voor aanvallers als elk ander onderdeel van het web”, zei Bailey.

In een reactie zegt Adobe dat Bailey zich waarschijnlijk richt op veelgemaakte programmeerfouten. Het bedrijf verwijst dan ook naar trainingsmateriaal op hun website.

Verder mag iedereen die “geïnteresseerd is in Windows forensic” de oren spitsen. De Data Protection API is door Elie Bursztein en Jean-Micnel Picod ge-reverseengineered. DPAPI is bedoeld om data versleuteld weg te schrijven in Windows. Met deze hack kan de data worden teruggehaald die is versleuteld met deze API. Dat is dus interessant voor onder andere opsporingsdiensten en bedrijfsspionnen.

Microsoft ASP.Net

Dan is er de presentatie van David Byrne en Rohini Sulatycki, die een kwetsbaarheid laten zien in Apache MyFaces, Sun Mogarra en Microsoft ASP.Net. De hack zal live gedemonstreerd worden en aanvalscode wordt direct naderhand vrijgegeven. Met deze hack is het voor aanvallers mogelijk om data op de server te lezen die “niet beschikbaar zou mogen zijn voor welke gebruiker dan ook”, zegt Byrne. De hack richt zich op hoe de drie webapplicatie programming frameworks omgaan met ViewState, een techniek waarmee frameworks een visuele elementen consistent kunnen houden over meerdere pagina's. De aanval zou niet mogelijk zijn geweest als de drie frameworks de encryptiemogelijkheden zouden gebruiken die ze hebben.

Smartcard chip

Verder zal nog Oracle 11g, de iPhone, hardware in het algemeen en de smartcard chip worden gehackt. Dat laatste wordt gedaan door Christopher Tarnovsky. Zijn hack is erg ingewikkeld en bestaat voor 60 procent uit hardware, maar ze hebben de huidige generatie smardcard wel succesvol gehackt. Bron: Techworld