- PVSM.RU - https://www.pvsm.ru -
Осталось всего 3 недели до мегасобытия – конференции ZeroNights 2012 [1]. Программа мероприятия сформирована на 90%, за что хочется сказать отдельное спасибо DCG#7812 и программному комитету. Организаторы конференции в лице Digital Security и Software People готовы представить вам финальный список докладчиков и рассказать обо всех событиях, которые вас ждут.
Итак, по порядку.
Основная программа и сердце нашей конференции – это технические доклады. В этом году у нас будет 21 доклад от лучших в своей области специалистов со всего света: США, Канада, Англия, Германия, Франция, Финляндия, Испания, Израиль, Тайвань, Румыния, Молдова и, конечно же, Россия.
В программе конференции намечается множество интересных событий:
• 3 ключевых доклада
• 21 технический доклад в 4 секциях:
• 7 воркшопов протяженностью от 2 до 5 часов
• Более 7 докладов на fast track (точное количество будет известно на конференции)
• 2 центра компетенции с демонстрациями атак на SAP и мобильные приложения
• Круглый стол
• 0-day шоу
The Grugq [2] расскажет, на чем прокалываются злоумышленники и хактивисты и как их можно вычислить. Grugq – это выдающийся исследователь ИБ с профессиональным опытом более 10 лет. Он усиленно работал с forensic-анализом, binary reverse engineering, руткитами, VoIP, телекоммуникациями и финансовой безопасностью. Известен также как реселлер эксплойтов.
Felix ‘FX’ Lindner [3] – культовая фигура в мире ИБ, лидер Phenoelit. Выступал на Black Hat, CanSecWest, PacSec, DEFCON, Chaos Communication Congress, MEITSEC и многих других мероприятиях. Темы его исследований связанны с Cisco IOS, принтерами HP, SAP и RIM BlackBerry. Тема доклада пока держится в секрете.
Александр Поляков и Дмитрий Евдокимов из Digital Security произнесут вступительные слова по безопасности мобильных приложений, открыв тем самым секцию мобильной безопасности. Вы узнаете последние тенденции в данной области и немного истории, а также услышите подробнее о докладах, которые будут представлены на секции. Но не спешите думать, что это будет скучный keynote. В рамках приветственных слов будут представлены результаты нового проекта, посвященного безопасности мобильных приложений.
Доклады разбиты на 4 категории, которые покрывают наиболее интересные области безопасности:
В данной категории собраны доклады, которые покажут вам реальные угрозы, которые могут быть реализованы при наличии тех или иных уязвимостей в различных системах и технологиях. Это безопасность всего того, что тесно связано с нашей жизнью и выходит за рамки компьютерных систем или относится к системам, критичным для бизнеса: безопасность самолетов, транспортных систем, автомобилей, платежных приложений, банковских карт, EMV, NFC, охранных систем и критичных корпоративных приложений, передающих финансовую информацию.
Эта категория – рай для реверсеров и тех, кто любит что-нибудь пожестче. Мы приготовили для вас отменную порцию реверсинга от тех, кто знает в нем толк.
В данной секции вы узнаете про последние исследования в области WEB-безопасности, No-SQL, автоматический поиск indirect-уязвимостей, а также глубоко окунетесь в область XML-протокола, который используется практически везде: как говорят, XML – новый TCP. Мы даже специально позвали исследователя из Франции.
Последний, но один из ключевых топиков – мобильная безопасность. Как ни крути – это тренд, и исследований в этой области ведется немало. Мы постарались выбрать лучшие доклады по данной теме, кстати, все они, за исключением одного, будут представлены публике впервые.
Воркшопы позволят вам глубоко погрузиться в ту или иную область и получить практический опыт из рук экспертов. Вы окунетесь в мир эксплойтописания и обхода защит, научитесь эксплуатировать XSS-уязвимости, узнаете много нового о DDoS, погрузитесь в физическую безопасность RFID и многое другое.
• Алексей Тюрин, "Exploitation of XML-based attacks [23]" (2 часа): Алексей – руководитель отдела аудита ИБ компании Digital Security расскажет, а главное, на практике научит эксплуатировать самые интересные атаки связанные, с XML, такие как SSRF, XLST, XML Signature, XML Encryption и т.п. Он также зарелизит бесплатную тулзу для проведения SSRF-атак и туннелирования запросов.
• Michele «antisnatchor» Orru, “All you ever wanted to know about BeEF [24]” (2 часа): Михель – автор фреймворка BeeF, работает пентестерои в TrustWave в Лондоне. На этом воркшопе вы узнаете все о том, как раскрутить простенькую XSS до перехвата контроля над всей корпоративной сетью.
• Kirill Salamatin (aka Del), Andrey Tsumanov, “RFID: Jokers up our sleeves [25]” (4 часа): простые московские парни расскажут вам все о безопасности RFID, а главное, покажут и дадут самим попробовать почувствовать себя всемогущими шпионами, умеющими проникнуть в любой охраняемый объект.
• Arseny Reutov, Timur Yunusov, Dmitry Nagibin, “Random Numbers. Take Two [26]” (2 часа): на этом воркшопе вы научитесь практике эксплуатации уязвимостей генерации случайных чисел. Целых три лектора гарантируют, что материал будет доведен до каждого слушателя.
• Jean-Ian Boutin, “Reversing banking trojan: an in-depth look into Gataka [27]” (2 часа): исследователь из канадского офиса ESET покажет, как на практике реверсить интересные банковские трояны.
• Алексей Синцов, “Advanced Exploit Development (x32). Browser Edition [28]” (5 часов): приготовил сногсшибательный курс по разработке эксплойтов и обходу защит, препятствующих эксплуатации. Это однозначный must have данной конференции.
• Alexander Azimov из HighloadLab расскажет вам о DDOS и практическом противодействии таким атакам.
И это еще не все. У нас есть секция FastTrack, где будут представлены интересные концепты, а также случаи из жизни на тему ИБ. Вы сможете познакомиться как со студенческими работами – кстати, не менее интересными, чем основные доклады – так и с практическим опытом защиты корпоративных систем из первых рук людей, работающих в крупнейших организациях. Доклады из этого раздела будут еще добавляться, и лично у вас тоже есть шанс выступить и тем самым бесплатно попасть на конференцию. Уже подтверждены:
• Кирилл Самосадный, «Массовые CSRF-атаки через Flash-рекламу [29]»
• Федор Ярочкин, Владимир Кропотов, Виталий Четвертаков, «Техники обхода автоматических систем детектирования вредоносного контента — интересные примеры 2012 года [30]»
• Александр ‘SolarDesigner’ Песляк, «Новое в хешировании паролей (или чем нам заменить bcrypt) [31]»
• Олег Купреев, «Заражение 3G-модемов [32]»
• Игорь Гоц, Сергей Солдатов, «Как поймать своего хакера, или безопасность «на коленках [33]»: о том, как с минимальными затратами построить систему мониторинга событий безопасности, а также какие события искать.
• Соболев Евгений, «Типичные ошибки ИБ в корпорациях и крупных организациях [34]»
• Дмитрий Евдокимов расскажет о средствах анализа бинарных приложений при помощи Python.
В основном зале у нас будет два центра компетенции по двум направлениям безопасности: бизнес-приложения и SAP, мобильные приложения и устройства.
Digital Security на своем стенде организует центр компетенции безопасности SAP, на котором в течение всего времени конференции посетители смогут получить ответы на все вопросы, касающиеся атак на системы SAP, защиты от них, а также познакомиться с продуктом. Кроме того, во время кофе-брейков на стендах будут проводиться мини-доклады, посвященные взлому SAP.
Хакспейс Neuron – на стенде организованы демонстрации типовых атак на мобильные устройства, а также предоставлена возможность посетителям поиграть с разнообразными девайсами по перехвату GSM-трафика и прочими шпионскими игрушками.
У нас также будет немало конкурсов, за которые можно получить ценные денежные призы, а также бесплатный вход на конференцию.
На днях были запущены следующие конкурсы:
• Хак-квест от Onsec с призами – бесплатным входом на конференцию
• Программа «Яндекса» по вознаграждению исследователей за найденные уязвимости в веб-сервисах и мобильных приложениях под названием «Охота за ошибками [35]»
• Конкурс [36]от ГазИнформСервис по поиску уязвимостей в АСЗП с призовым фондом 100000 рублей
Во время конференции
• Конкурс “Capture The Phone [37]” от Nokia
• Конкурсы футболок и wallpapers от организаторов ZeroNights с призами, любезно предоставленными Pwnie Express
Круглый стол будет посвящен обсуждению или битве исследователей и разработчиков. Я приглашаю вас посмотреть на эти горячие баталии. Также вы можете принять в них участие, если вам есть что сказать. Будут приглашены эксперты как из компаний-разработчиков, так и аудиторов.
Небольшой, но очень интересный бонус. В течение 3-5 минут вам будут продемонстрированы самые интересные 0-day и 1-day в популярном ПО. Кстати, вы можете и сами в этом поучаствовать.
Итак, ждем вас 19 и 20 ноября в Инфопространстве: будьте одними из тех, кто творит будущее хардкорной ИБ-сцены! И помните, что регистрация посетителей заканчивается 14 ноября.
Благодарим за поддержку компанию «Яндекс», а также наших спонсоров: «ГазИнформСервис», Intel, Dr. Web, Advanced Monitoring, Nokia, Pwnie Express, и ключевых информационных партнеров – журналы ][akep и Hakin9.
ЗЫ: на Speaker Party будет уникальный DJ-сет от DJ joernchen из Phenoelit!
Автор: AlexandrPolyakov
Источник [38]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/bezopasnost/18532
Ссылки в тексте:
[1] ZeroNights 2012: http://2012.zeronights.ru
[2] The Grugq: http://2012.zeronights.ru/speakers#grugq
[3] Felix ‘FX’ Lindner: http://2012.zeronights.ru/speakers#fx
[4] взлом транспортной системы: http://2012.zeronights.ru/program#illera
[5] On security aspects of ADS-B and other «flying» technology: http://2012.zeronights.ru/program#kostin
[6] Безопасность современных платежных технологий: EMV, NFC, etc.?: http://2012.zeronights.ru/program#abdullin
[7] Armed Failure – Hacking Wireless Alarm Systems: http://2012.zeronights.ru/program#javadi
[8] Applied anti-forensics: rootkits, kernel vulnerabilities and then some: http://2012.zeronights.ru/program#oleksyuk
[9] Windows Kernel Reference Count Vulnerabilities – Case Study: http://2012.zeronights.ru/program#j00ru
[10] Stealing from Thieves: Breaking IonCube VM to Reverse Exploit Kits: http://2012.zeronights.ru/program#saher
[11] Mac OS X malware overview: http://2012.zeronights.ru/program#sorokin
[12] перестала: http://macovod.com.ua/media/uploads/2012/06/mac-os-x-before-after-540x569.jpg
[13] Fuzzing at scale and in style: http://2012.zeronights.ru/program#kettunen-miaubiz
[14] статус Rockstar: http://googlechromereleases.blogspot.com/2012/03/chrome-stable-update.html
[15] The Diviner: http://2012.zeronights.ru/program#chen
[16] Удар по mongoDB: http://2012.zeronights.ru/program#firstov
[17] That's why I love XML hacking!: http://2012.zeronights.ru/program#gregoire
[18] They told me I could be anything, so I became BAh7BkkiDHVzZXJfaWQGOgZFVGkG: http://2012.zeronights.ru/program#joernchen
[19] SSRF attacks and sockets: smorgasbord of vulnerabilities: http://2012.zeronights.ru/program#vorontsov-golovko
[20] No locked doors, no windows barred: hacking OpenAM infrastructure: http://2012.zeronights.ru/program#petukhov-noseyevich
[21] Dark and Bright Sides of iCloud (In)security: http://2012.zeronights.ru/program#belenko-sklyarov
[22] HTTP headers pollution for mobile networks attacks: http://2012.zeronights.ru/program#alecu
[23] Exploitation of XML-based attacks: http://2012.zeronights.ru/workshop#tyurin
[24] All you ever wanted to know about BeEF: http://2012.zeronights.ru/program#antisnatchor
[25] RFID: Jokers up our sleeves: http://2012.zeronights.ru/workshop#salamatin-cumanov
[26] Random Numbers. Take Two: http://2012.zeronights.ru/workshop#reutov-yunusov-nagibin
[27] Reversing banking trojan: an in-depth look into Gataka: http://2012.zeronights.ru/workshop#boutin
[28] Advanced Exploit Development (x32). Browser Edition: http://2012.zeronights.ru/workshop#sintsov
[29] Массовые CSRF-атаки через Flash-рекламу: http://2012.zeronights.ru/fasttrack#samosadny
[30] Техники обхода автоматических систем детектирования вредоносного контента — интересные примеры 2012 года: http://2012.zeronights.ru/fasttrack#yarochkin-kropotov-chetvertakov
[31] Новое в хешировании паролей (или чем нам заменить bcrypt): http://2012.zeronights.ru/fasttrack#peslyak
[32] Заражение 3G-модемов: http://2012.zeronights.ru/fasttrack#kupreev
[33] Как поймать своего хакера, или безопасность «на коленках: http://2012.zeronights.ru/fasttrack#gots-soldatov
[34] Типичные ошибки ИБ в корпорациях и крупных организациях: http://2012.zeronights.ru/fasttrack#sobolev
[35] Охота за ошибками: http://company.yandex.ru/security/
[36] Конкурс : http://www.gaz-is.ru/novosti/80-vse-novosti/287-news-29-10-2012.html
[37] Capture The Phone: http://2012.zeronights.ru/konkurs
[38] Источник: http://habrahabr.ru/post/156849/
Нажмите здесь для печати.