Wie versprochen war ich auch heute bei einigen Vorträgen. Bei den Lightning Talks aus dem vorherigen Post war es relativ durchwachsen. Bei einigen Speeches habe ich nichtmal verstanden, was überhaupt das Thema ist. Ein ganz interessanter war jedoch dabei zum Thema „Mac OS X Widgets“. Diese lassen sich scheinbar relativ einfach hacken, da sie mit Hilfe von HTML, CSS und JavaScript gecodet werden. Besondere sorgfalt wird bei der Programmierung nach Ansage des Dozenten nicht an den Tag gelegt. Das Problem besteht darin, dass der JavaScript-Code durch eine spezielle Klasse quasi direkten Zugriff auf Systemcalls hat. Als Beispiel wurde ein Google Mail-Widget gezeigt, dass E-Mails auf dem Desktop anzeigt. Dabei konnte man scheinbar durch Mail-Subjects nach dem Prinzip „blahblahblah | /bin/sh“ auf einem Remote-System direkt eine Shell öffnen. Sehr nett 😉
Der Vortrag „Absurde Mathematik“ hat eine Menge Interessenten angezogen – glücklicherweise fand er im gleichen Saal wie die Lightning Talks statt, so dass ich schon einen Sitzplatz hatte. Im Rahmen des Vortrags wurden mathematische Probleme dargestellt, deren Lösung der Intuition (zunächst) widersprechen. Relativ bekannt ist das „Ziegenproblem“. Weiterhin das „Gabriels Horn“-Problem. Dabei wird der Graph f(x)=1/x für x>1 einmal um die x-Achse rotiert, so dass man eine Art Horn oder Trompete vorliegen hat. Heraus kommt, dass das Volumen dieses Graphen gleich Pi ist, die Oberfläche jedoch unendlich groß. Als ganz witzige Analogie bedeutet das dann, dass man die Trompete komplett mit Farbe füllen kann, diese Menge jedoch nicht ausreicht, um die Innenseite der Trompete zu bestreichen.
Anschließend war ich auf dem Vortrag zu „Linguistic Hacking„, in dem Martin Haase ausführte, mit welchen Tricks man Sprachen erkennen kann und wie man zumindest grob verstehen kann, was der Inhalt ist. Erläutert wurde beispielsweise, dass man i.d.R. kurze Wörter ignorieren kann und für längere Wörter (mindestens 3 Silben) versuchen kann, die Bedeutung herauszufinden. Am praktischen Beispiel eines samoanischen Textes wurde das dann vorgeführt.
„Just in Time Compilers – Breaking a VM“ war für mich der nächste Vortrag. Hier wurde versucht, den Byte Code von Java-Programmen zu manipulieren, um so Lücken im Just-in-Time Compiler aufzudecken. Dies wurde anschließend am Beispiel des GPL-Java-JIT CACAO demonstriert.
Mehr demnächst zu „Toying with barcodes“, „Port scanning improved“ und „DIY survival“ bei denen ich in der Abendsession teilgenommen habe. Morgen sieht der Plan die folgenden Vorträge vor: „Grundlagen der sicheren Programmierung“, „Getting things done“, „From ring zero to UID zero“ und „Relay attacks on card payment“.