ZeroNights 2012: финишная прямая

image
Bookmark and Share

Осталось всего три недели до мегасобытия — конференции ZeroNights 2012. Программа мероприятия сформирована на 90%, за что нужно отдельно благодарить DCG#7812 и программный комитет. Организаторы конференции в лице Digital Security и Software People представляют финальный список докладчиков и рассказывают обо всех событиях, которые нас ждут.

Итак, по порядку.

Основная программа и сердце конференции — это технические доклады. В этом году будет 21 доклад от лучших в своей области специалистов со всего света: США, Канада, Англия, Германия, Франция, Финляндия, Испания, Израиль, Тайвань, Румыния, Молдова и, конечно же, Россия.

В программе конференции намечается множество интересных событий:

• 3 ключевых доклада
• 21 технический доклад в 4 секциях:
  • That’s really scary
  • Technical hardcore
  • The future of web
  • Mobile internals
• 7 воркшопов протяженностью от 2 до 5 часов
• Более 7 докладов на fast track (точное количество будет известно на конференции)
• 2 центра компетенции с демонстрациями атак на SAP и мобильные приложения
• Круглый стол
• 0-day шоу

Keynote к основной программе первого дня

The Grugq расскажет, на чём прокалываются злоумышленники и хактивисты и как их можно вычислить. Grugq — это выдающийся исследователь ИБ с профессиональным опытом более 10 лет. Он усиленно работал с forensic-анализом, binary reverse engineering, руткитами, VoIP, телекоммуникациями и финансовой безопасностью. Известен также как реселлер эксплойтов.

Keynote к основной программе второго дня

Felix ‘FX’ Lindner — культовая фигура в мире ИБ, лидер Phenoelit. Выступал на Black Hat, CanSecWest, PacSec, DEFCON, Chaos Communication Congress, MEITSEC и многих других мероприятиях. Темы его исследований связаны с Cisco IOS, принтерами HP, SAP и RIM BlackBerry. Тема доклада пока держится в секрете.

Keynote к секции мобильной безопасности

Александр Поляков и Дмитрий Евдокимов из Digital Security произнесут вступительные слова по безопасности мобильных приложений, открыв тем самым секцию мобильной безопасности. Вы узнаете последние тенденции в данной области и немного истории, а также услышите подробнее о докладах, которые будут представлены на секции. Но не спешите думать, что это будет скучный keynote. В рамках приветственных слов будут представлены результаты нового проекта, посвящённого безопасности мобильных приложений.

Доклады разбиты на 4 категории, которые покрывают наиболее интересные области безопасности.

That’s really scary

В данной категории собраны доклады, которые покажут вам реальные угрозы, которые могут быть реализованы при наличии тех или иных уязвимостей в различных системах и технологиях. Это безопасность всего того, что тесно связано с нашей жизнью и выходит за рамки компьютерных систем или относится к системам, критичным для бизнеса: безопасность самолётов, транспортных систем, автомобилей, платёжных приложений, банковских карт, EMV, NFC, охранных систем и критичных корпоративных приложений, передающих финансовую информацию.

Technical Hardcore

Эта категория – рай для реверсеров и тех, кто любит что-нибудь пожестче. Мы приготовили для вас отменную порцию реверсинга от тех, кто знает в нем толк.

  • Dmytro Oleksiuk, “Applied anti-forensics: rootkits, kernel vulnerabilities and then some”: Cr4sh расскажет, как можно заинсталлить руткит, который не удастся обнаружить привычными способами. Поверьте, этот человек знает, о чем говорит! Это не очередное бла-бла про перехваты функций.
  • Mateusz 'j00ru' Jurczyk, “Windows Kernel Reference Count Vulnerabilities – Case Study”: кто не в курсе, кто такой J00ru, просто обязаны перечитать его прошлый рисерч. Человек работает в Google и не понаслышке знает, как разнести ядро Windows.
  • Mohamed Saher, “Stealing from Thieves: Breaking IonCube VM to Reverse Exploit Kits”: на технологиях виртуализации базируются самые сложные системы защиты от копирования, и публичной информации по практической деобфускации реальных защит мало, так что настоятельно рекомендуем уделить внимание этому докладу.
  • Aleksandr Matrosov, Eugene Rodionov, “Win32/Flamer: Reverse Engineering and Framework Reconstruction”: великие и ужасные реверсеры из ESET покажут, как разобраться в хитросплетениях нашумевшего Flamer. Авторы доклада представят результаты своих исследований, посвящённых реконструкции объектно-ориентированной платформы, на базе которой был разработан Win32/Flamer, и продемонстрируют его родство со Stuxnet/Duqu/Gauss на уровне кода и архитектуры.
  • Ivan Sorokin, “Mac OS X malware overview”: с некоторых пор Apple перестала хвастаться отсутствием вирусов в своих продуктах, и любители надкусанных яблочек сейчас находятся на мушке у вирусописателей. На докладе Ивана из Dr. Web вы сможете узнать об этом подробнее.
  • Никита Тараканов с пока ещё секретным названием доклада расскажет нам о своих последних 0-деях, и будьте уверены, это будет круто! Автор обещал живых демонстраций.
  • Atte Kettunen, Miaubiz, “Fuzzing at scale and in style”: исследователи расскажут, как и с чем готовить фаззинг браузеров. Парни поубивали просто громадное количество уязвимостей в популярных браузерах и теперь готовы поделиться своим опытом с нами. Между прочим, Miaubiz получил статус Rockstar от компании Google.

The future of web

В данной секции вы узнаете про последние исследования в области веб-безопасности, No-SQL, автоматический поиск indirect-уязвимостей, а также глубоко окунетесь в область XML-протокола, который используется практически везде: как говорят, XML – новый TCP. Мы даже специально позвали исследователя из Франции.

  • Shay Chen, “The Diviner”: теперь стало возможно получить исходный код веб-приложения при сканировании «чёрным ящиком». Конечно, не весь и не всегда, но тулза, которая будет представлена, справляется с этим более чем достойно, и данная технология может сделать прорыв в области BlackBox, хотя и имеет ряд недостатков. Советуем вам обратить внимание на этот доклад. Shay — технический директор стартапа Hacktics, который был недавно куплен компанией Ernst and Young.
  • Michail Fyrstov, “Удар по mongoDB”: популярность баз данных NoSQL и, как следствие, атаки на них набирают обороты. Многие крупные веб-проекты используют технологии NoSQL. Если вам интересно, как взломать крупнейшие социальные сети, то вам сюда.
  • Nicolas Gregoire, “That's why I love XML hacking!”: вы даже не представляете, какие проблемы несёт XML, и где он только не используется! Докладчик собаку съел на этой теме, и его компания занимается безопасностью XML.
  • joernchen of Phenoelit, “They told me I could be anything, so I became BAh7BkkiDHVzZXJfaWQGOgZFVGkG”: тот самый joernchen из той самой тимы Phenoelit, а по совместительству диджей, расскажет о небезопасности модного языка Ruby.
  • Vladimir Vorontsov, Alexander Golovko, “SSRF attacks and sockets: smorgasbord of vulnerabilities”: модная тема года — SSRF (межсерверная подделка запросов). Даже если вы уже знакомы с этой темой по докладу Александра Полякова с BlackHat, настоятельно рекомендуем посетить данный доклад, так как он раскрывает тему SSRF в другом направлении.
  • Andrei Petukhov, “No locked doors, no windows barred: hacking OpenAM infrastructure”: и снова про SSRF, ещё под одним углом. Андрей расставит все по полочкам и расскажет про интересный вектор атаки на системы аутентификации.

Mobile internals

Последний, но один из ключевых топиков – мобильная безопасность. Как ни крути – это тренд, и исследований в этой области ведется немало. Мы постарались выбрать лучшие доклады по данной теме, кстати, все они, за исключением одного, будут представлены публике впервые.

  • Andrey Belenko, Dmitry Sklyarov, “Dark and Bright Sides of iCloud (In)security”: Дима — гроза для всех, кто небрежно обращается с криптографией. Вы, конечно же, знаете его по старой истории с Adobe, но в последнее время он переместил свой взгляд на безопасность Apple и расскажет вам о проблемах хранилища iCloud.
  • Алиса Шевченко и Алексей Трошичев, совместное исследование Esage lab и Yandex: как и в предыдущем докладе, речь пойдет девайсах компании Apple, точнее, о MiTM-атаках. Подробности вот-вот появятся на сайте, но уже сейчас известно, что ребята планируют небольшое шоу, а также попахивает 0-деями!
  • Bogdan Alecu, “HTTP headers pollution for mobile networks attacks”: Богдан расскажет об атаках на мобильных операторов.
  • Керасивов Алексей, «Физический доступ к Андроид-устройству: нападение и защита»: расскажет о различных техниках низкоуровневого потрошения Android-девайсов.

Воркшопы позволят глубоко погрузиться в ту или иную область и получить практический опыт из рук экспертов. Вы окунетесь в мир эксплойтописания и обхода защит, научитесь эксплуатировать XSS-уязвимости, узнаете много нового о DDoS, погрузитесь в физическую безопасность RFID и многое другое.

  • Алексей Тюрин, "Exploitation of XML-based attacks" (2 часа): Алексей — руководитель отдела аудита ИБ компании Digital Security расскажет, а главное, на практике научит эксплуатировать самые интересные атаки, связанные с XML, такие как SSRF, XLST, XML Signature, XML Encryption и т.п. Он также зарелизит бесплатную тулзу для проведения SSRF-атак и туннелирования запросов.
  • Michele «antisnatchor» Orru, “All you ever wanted to know about BeEF” (2 часа): Михель — автор фреймворка BeeF, работает пентестерои в TrustWave в Лондоне. На этом воркшопе вы узнаете всё о том, как раскрутить простенькую XSS до перехвата контроля над всей корпоративной сетью.
  • Kirill Salamatin (aka Del), Andrey Tsumanov, “RFID: Jokers up our sleeves” (4 часа): простые московские парни расскажут вам все о безопасности RFID, а главное, покажут и дадут самим попробовать почувствовать себя всемогущими шпионами, умеющими проникнуть в любой охраняемый объект.
  • Arseny Reutov, Timur Yunusov, Dmitry Nagibin, “Random Numbers. Take Two” (2 часа): на этом воркшопе вы научитесь практике эксплуатации уязвимостей генерации случайных чисел. Целых три лектора гарантируют, что материал будет доведен до каждого слушателя.
  • Jean-Ian Boutin, “Reversing banking trojan: an in-depth look into Gataka” (2 часа): исследователь из канадского офиса ESET покажет, как на практике реверсить интересные банковские трояны.
  • Алексей Синцов, “Advanced Exploit Development (x32). Browser Edition” (5 часов): приготовил сногсшибательный курс по разработке эксплойтов и обходу защит, препятствующих эксплуатации. Это однозначный must have данной конференции.
  • Alexander Azimov из HighloadLab расскажет вам о DDOS и практическом противодействии таким атакам.

И это еще не всё. Есть секция FastTrack, где будут представлены интересные концепты, а также случаи из жизни на тему ИБ. Вы сможете познакомиться как со студенческими работами — кстати, не менее интересными, чем основные доклады — так и с практическим опытом защиты корпоративных систем из первых рук людей, работающих в крупнейших организациях. Доклады из этого раздела будут еще добавляться, и лично у вас тоже есть шанс выступить и тем самым бесплатно попасть на конференцию. Уже подтверждены:

В основном зале будет два центра компетенции по двум направлениям безопасности: бизнес-приложения и SAP, мобильные приложения и устройства.

Digital Security на своём стенде организует центр компетенции безопасности SAP, на котором в течение всего времени конференции посетители смогут получить ответы на все вопросы, касающиеся атак на системы SAP, защиты от них, а также познакомиться с продуктом. Кроме того, во время кофе-брейков на стендах будут проводиться мини-доклады, посвящённые взлому SAP.

Хакспейс Neuron — на стенде организованы демонстрации типовых атак на мобильные устройства, а также предоставлена возможность посетителям поиграть с разнообразными девайсами по перехвату GSM-трафика и прочими шпионскими игрушками.

Также будет немало конкурсов, за которые можно получить ценные денежные призы и бесплатный вход на конференцию.

На днях были запущены следующие конкурсы:

  • Хак-квест от Onsec с призами — бесплатным входом на конференцию
  • Программа «Яндекса» по вознаграждению исследователей за найденные уязвимости в веб-сервисах и мобильных приложениях под названием «Охота за ошибками»
  • Конкурс от ГазИнформСервис по поиску уязвимостей в АСЗП с призовым фондом 100000 рублей

Во время конференции

Конкурс “Capture The Phone” от Nokia Конкурсы футболок и wallpapers от организаторов ZeroNights с призами, любезно предоставленными Pwnie Express

Круглый стол будет посвящен обсуждению или битве исследователей и разработчиков. Всех приглашают посмотреть на эти горячие баталии. Также можно принять в них участие, если вам есть что сказать. Будут приглашены эксперты как из компаний-разработчиков, так и аудиторов.

Небольшой, но очень интересный бонус. В течение 3-5 минут вам будут продемонстрированы самые интересные 0-day и 1-day в популярном ПО. Кстати, вы можете и сами в этом поучаствовать.

Итак, вас ждут 19 и 20 ноября в Инфопространстве: будьте одними из тех, кто творит будущее хардкорной ИБ-сцены! И помните, что регистрация посетителей заканчивается 14 ноября.

Организаторы благодарят за поддержку компанию «Яндекс», а также спонсоров: «ГазИнформСервис», Intel, Dr. Web, Advanced Monitoring, Nokia, Pwnie Express, и ключевых информационных партнеров — журналы ][akep и Hakin9.

P.S. Кстати, на Speaker Party будет уникальный DJ-сет от DJ joernchen из Phenoelit!

Подробнее: http://www.xakep.ru/post/59567/default.asp

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

ZeroNights 2012: финишная прямая | | 2012-11-01 12:11:00 | | Статьи об Интернет безопасности | | Осталось всего три недели до мегасобытия — конференции ZeroNights 2012. Программа мероприятия сформирована на 90%, за что нужно отдельно благодарить DCG#7812 и программный комитет. Организаторы | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: