Компания Digital Security, специализирующаяся на анализе защищенности ИТ-систем и исследованиях в области ИБ, провела 16-17 ноября 2017 года седьмую конференцию по кибербезопасности ZeroNights при поддержке Яндекс и независимого сообщества Defcon Russia. Мероприятие состоялось в Москве, в КЦ ЗИЛ, и собрало руководителей и сотрудников служб ИБ, программистов, исследователей, аналитиков, пентестеров, представителей комьюнити по ИБ, журналистов и всех, кто интересуется прикладными аспектами отрасли. В этом году мероприятие посетило более 2300 человек.
Основные темы конференции: Web-безопасность; безопасность Windows, MacOS, iOS; уязвимости платежных систем и приложений; атаки на смарт-контракты и безопасность блокчейн-проектов; реверс-инжиниринг; взлом автозаправок и самих автомобилей; новые хакерские техники.
На конференции были представлены доклады более 60 спикеров из 9 стран мира (Россия, Аргентина, США, Германия, Канада, Китай, Великобритания, Сингапур, Израиль). В числе докладчиков – эксперты в области ИБ, аналитики, программисты, хакеры, реверс-инженеры. В частности, среди спикеров ивента были такие известные специалисты, как Томас Даллиен, Шей Герон, Лукас Апа, Джейис Форшоу, Алексей Тюрин, Идо Наор, Алекс Матросов, Максвел Кох и другие. Ознакомиться с биографиями спикеров, а также детально изучить описание выступлений можно на официальном сайте ZeroNights: https://2017.zeronights.ru/.
Исследователи Digital Security представили в рамках основной программы три доклада. Алексей Перцев и Егор Карбутов, пентестеры Digital Security, выступили с темой «Чат с хакером» (13.30, 16 ноября, Track2). Они поделились с гостями конференции своим опытом и объяснили, как онлайн-чаты поддержки могут расширить поверхность атаки на компанию, её сотрудников, клиентов и даже самого вендора чатов.
Далее, Алексей Перцев рассказал о том, как смарт-контракты, ICO и DAO выглядят глазами атакующего и куда он может приложить свои усилия для получения выгоды. Он выступил с докладом «DAO for penetration testers» (ДАО для пентестеров) (12.00, 17 ноября, Track2). Алексей рассмотрел типовые уязвимости в смарт-контрактах, рассказал, почему они возникают, и как их избежать.
И, наконец, Алексей Тюрин, директор департамента аудита защищенности Digital Security, представил доклад «Другой взгляд на MitM-атаки на HTTPS» (17.00 17 ноября, Track1). Несмотря на то, что основная цель TLS/HTTPS – защита от MitM-атак, с помощью различных трюков возможно проводить успешные атаки такого типа на данный протокол. Как? Алексей рассказал в своем выступлении.
Доклады, представленные на конференции, прошли строгий отбор программного комитета из 13 авторитетных специалистов-практиков. В его состав входят как представители служб информационной безопасности и исследовательских команд известных компаний, так и независимые рисерчеры.
Помимо основных докладов, также на конференции были представлены воркшопы и выступления в слотах Defensive Track и Fast Track. Секция Defensive по праву пользуется большой популярностью у гостей конференции, поскольку здесь своим опытом делятся специалисты-практики по ИБ из крупных компаний. В этом году свои доклады в рамках секции представили Яндекс, Мail.ru, Facebook, Opera. Ну а слушатели FastTrack получили возможность узнать об интересных находках или хакерском инструментарии коллег из мини-докладов.
В рамках ZN также были реализованы различные активности: многоступенчатый хакерский Квест Hack & Go, соревнования CTF (BI.Zone, Defcon NN), конкурсы на взлом и на сообразительность от Mail.ru, BI.Zone, Web Village, Hardware Zone. Победители конкурсов получили ценные призы.
На ZeroNights впервые была представлена секция Web Village, где можно узнать о современных атаках на веб-приложения, попробовать себя в роли атакующего, выяснить, как работает современный веб, поучаствовать в конкурсах и многое другое! Первый день был полностью посвящен атакам на клиентов веб-приложений (Client-side), в рамках второго дня обсуждались атаки на серверную часть (Server-side). Свои доклады в рамках секции представили известные рисерчеры, багхантеры и пентестеры, в том числе, Алексей Тюрин, Егор Карбутов, Иван Чалыкин, Сергей Белов, Антон Лопаницын, Андрей Ковалев, Дмитрий Мулявка, Омар Ганиев, Ярослав Бабин.
Любителей железа порадовала Hardware Zone. В течение обоих дней конференции ZeroNights здесь говорили про атаки на различные беспроводные технологии, от простейших радиопротоколов до платежных систем, низкоуровневые атаки и техники blackbox-анализа встраиваемых устройств, не осталась в стороне и промышленная автоматика.
Команда CarPWN снова погрузила нас в мир ИБ автомобилей. Здесь можно было ознакомиться с базовыми вопросами безопасности автомобильных технологий, включая self-driving car, connected-car, а также поговорить про трудности reverse engineering ECU и безопасность QNX.
Digital Security – одна из ведущих российских консалтинговых компаний в области информационной безопасности. Предоставляет широкий спектр услуг в области оценки защищенности, включая комплексный аудит ИБ, тестирование на проникновение, участие в процессах безопасной разработки приложений, аудит защищенности бизнес-приложений (десктопные, веб-, мобильные приложения, смарт-контракты) и ИТ-инфраструктур. С 2003 года клиентами Digital Security стали более 500 компаний из России и 25 стран мира. Собственный исследовательский центр, открытый в 2007 году, специализируется на поиске и исследовании уязвимостей в различных приложениях и системах, обладает множеством официальных благодарностей от Oracle, SAP, Apache, IBM, Alcatel, VMware, HP, Adobe, Microsoft, Cisco и других лидеров индустрии ИТ. Подробнее о компании и услугах: http://www.dsec.ru/.
Основные темы конференции: Web-безопасность; безопасность Windows, MacOS, iOS; уязвимости платежных систем и приложений; атаки на смарт-контракты и безопасность блокчейн-проектов; реверс-инжиниринг; взлом автозаправок и самих автомобилей; новые хакерские техники.
На конференции были представлены доклады более 60 спикеров из 9 стран мира (Россия, Аргентина, США, Германия, Канада, Китай, Великобритания, Сингапур, Израиль). В числе докладчиков – эксперты в области ИБ, аналитики, программисты, хакеры, реверс-инженеры. В частности, среди спикеров ивента были такие известные специалисты, как Томас Даллиен, Шей Герон, Лукас Апа, Джейис Форшоу, Алексей Тюрин, Идо Наор, Алекс Матросов, Максвел Кох и другие. Ознакомиться с биографиями спикеров, а также детально изучить описание выступлений можно на официальном сайте ZeroNights: https://2017.zeronights.ru/.
Исследователи Digital Security представили в рамках основной программы три доклада. Алексей Перцев и Егор Карбутов, пентестеры Digital Security, выступили с темой «Чат с хакером» (13.30, 16 ноября, Track2). Они поделились с гостями конференции своим опытом и объяснили, как онлайн-чаты поддержки могут расширить поверхность атаки на компанию, её сотрудников, клиентов и даже самого вендора чатов.
Далее, Алексей Перцев рассказал о том, как смарт-контракты, ICO и DAO выглядят глазами атакующего и куда он может приложить свои усилия для получения выгоды. Он выступил с докладом «DAO for penetration testers» (ДАО для пентестеров) (12.00, 17 ноября, Track2). Алексей рассмотрел типовые уязвимости в смарт-контрактах, рассказал, почему они возникают, и как их избежать.
И, наконец, Алексей Тюрин, директор департамента аудита защищенности Digital Security, представил доклад «Другой взгляд на MitM-атаки на HTTPS» (17.00 17 ноября, Track1). Несмотря на то, что основная цель TLS/HTTPS – защита от MitM-атак, с помощью различных трюков возможно проводить успешные атаки такого типа на данный протокол. Как? Алексей рассказал в своем выступлении.
Доклады, представленные на конференции, прошли строгий отбор программного комитета из 13 авторитетных специалистов-практиков. В его состав входят как представители служб информационной безопасности и исследовательских команд известных компаний, так и независимые рисерчеры.
Помимо основных докладов, также на конференции были представлены воркшопы и выступления в слотах Defensive Track и Fast Track. Секция Defensive по праву пользуется большой популярностью у гостей конференции, поскольку здесь своим опытом делятся специалисты-практики по ИБ из крупных компаний. В этом году свои доклады в рамках секции представили Яндекс, Мail.ru, Facebook, Opera. Ну а слушатели FastTrack получили возможность узнать об интересных находках или хакерском инструментарии коллег из мини-докладов.
В рамках ZN также были реализованы различные активности: многоступенчатый хакерский Квест Hack & Go, соревнования CTF (BI.Zone, Defcon NN), конкурсы на взлом и на сообразительность от Mail.ru, BI.Zone, Web Village, Hardware Zone. Победители конкурсов получили ценные призы.
На ZeroNights впервые была представлена секция Web Village, где можно узнать о современных атаках на веб-приложения, попробовать себя в роли атакующего, выяснить, как работает современный веб, поучаствовать в конкурсах и многое другое! Первый день был полностью посвящен атакам на клиентов веб-приложений (Client-side), в рамках второго дня обсуждались атаки на серверную часть (Server-side). Свои доклады в рамках секции представили известные рисерчеры, багхантеры и пентестеры, в том числе, Алексей Тюрин, Егор Карбутов, Иван Чалыкин, Сергей Белов, Антон Лопаницын, Андрей Ковалев, Дмитрий Мулявка, Омар Ганиев, Ярослав Бабин.
Любителей железа порадовала Hardware Zone. В течение обоих дней конференции ZeroNights здесь говорили про атаки на различные беспроводные технологии, от простейших радиопротоколов до платежных систем, низкоуровневые атаки и техники blackbox-анализа встраиваемых устройств, не осталась в стороне и промышленная автоматика.
Команда CarPWN снова погрузила нас в мир ИБ автомобилей. Здесь можно было ознакомиться с базовыми вопросами безопасности автомобильных технологий, включая self-driving car, connected-car, а также поговорить про трудности reverse engineering ECU и безопасность QNX.
Digital Security – одна из ведущих российских консалтинговых компаний в области информационной безопасности. Предоставляет широкий спектр услуг в области оценки защищенности, включая комплексный аудит ИБ, тестирование на проникновение, участие в процессах безопасной разработки приложений, аудит защищенности бизнес-приложений (десктопные, веб-, мобильные приложения, смарт-контракты) и ИТ-инфраструктур. С 2003 года клиентами Digital Security стали более 500 компаний из России и 25 стран мира. Собственный исследовательский центр, открытый в 2007 году, специализируется на поиске и исследовании уязвимостей в различных приложениях и системах, обладает множеством официальных благодарностей от Oracle, SAP, Apache, IBM, Alcatel, VMware, HP, Adobe, Microsoft, Cisco и других лидеров индустрии ИТ. Подробнее о компании и услугах: http://www.dsec.ru/.
