- PVSM.RU - https://www.pvsm.ru -

Блог компании Positive Technologies / Ботинок Обамы vs. Троянский принтер. Кто победит?

image

У типичного бизнесмена, не расстающегося со смартфоном, повысится давление, когда он поймет, что его «телефон» является компьютером в худшем смысле этого слова — потенциальной свалкой вирусов и троянов. Фанат военной техники, рассматривающий фото нового танка, обратится в буддизм, узнав, что грамотная компьютерная атака прихлопнет эту рычащую груду железа, как тапок муху. Времена изменились, и тихая хакерская революция уже произошла. Как выжить в новой реальности, расскажут докладчики на форуме Positive Hack Days 2012.

Сборная мира
Как вы помните, на PHDays в этом году приедут десятки уникальных специалистов по компьютерной безопасности. Лучшие умы со всего мира. Участникам форума (первым лицам крупнейших компаний, директорам по ИБ, специалистам, хакерам, журналистам, молодым ученым) представится редкая возможность не только узнать все самое-самое в сфере защиты информации, но и пообщаться в непринужденной обстановке с главными фигурами, охраняющими наш хрупкий мир от киберпреступности.

image

Ботинок Обамы
Вы способны заставить Барака Обаму выступить с ботинком на голове? Этого требовала хакерская группа LulzSec [1], последовательно взломавшая серверы ЦРУ, Sony, полиции Аризоны и британского УБОП — SOCA. После 50-дневного эксперимента ребята из LulzSec — несколько подростков — заявили о самороспуске. Они делали это «смеха ради». Войдет ли в моду у президентов носить обувь на голове, если такими атаками займутся более серьезные люди, расскажет Джерри Гэмблин (Jerry Gamblin) в своем докладе «What We Can (and Should) Learn from LulzSec». Джерри является специалистом по ИБ Палаты Представителей штата Миссури (Missouri House of Representatives).

«Ключевой» докладчик форума
Напоминаем, что на PHDays-2012 впервые в России выступит Дэвид Блейн криптографии и Мик Джаггер информационной безопасности Брюс Шнайер [2] (Bruce Schneier). Поговаривают, что он знает ваш пароль еще до того, как вы его придумали, и пишет свои статьи, просто расшифровывая подходящим ключом данные из /dev/random. Легенда в нашей сфере. Брюс Шнайер — основатель компании Counterpane Internet Security, руководитель службы ИБ в British Telecom [3], автор десятков шифров и шести книг, среди которых и переведенный на русский язык бестселлер «Прикладная криптография».

image

Не все принтеры одинаково полезны
В то время как блондинки таскают принтер из угла в угол, когда их компьютер «не видит принтер», хакеры используют принтеры, чтобы увидеть вашу сеть под совершенно новым углом. В последние годы проникновение с помощью языка PostScript становится достаточно популярным способом взлома среди интернет-злоумышленников. В одних случаях файл PostScript внедряет в систему троянскую программу или вирус, в других — передает секретные данные через TCP-порт 80. Об этих и других нестандартных возможностях печатающих устройств расскажет Андрей Костин в докладе «PostScript: Danger ahead!/Hacking MFPs, PCs and beyond...». Андрей — обладатель множества регалий в области ИБ, в частности, он получил награду Google Security Reward и вошел в Зал славы безопасности Google [4] (декабрь 2011), а также занял первое место в соревновании «Application Security – Hackers are watching you», которое проводилось компанией Hacktics [5]для Amdocs (2007).

image

Military-Grade Encryption vs. Дмитрий Скляров… Че, серьезно?
С ростом популярности смартфонов и планшетов повысилась и важность задачи обеспечения конфиденциальности данных на таких устройствах. Как следствие, появилось множество программ, основной функцией которых является надежное хранение паролей и стойкое шифрование данных. Но так ли надежны «secure»-приложения, как утверждают их разработчики? Дмитрий Скляров, известный своим презрением к слабой криптографии [6], в докладе ««Secure Password Managers» и «Military-Grade Encryption» для смартфонов: Че, серьезно?» представит результаты анализа нескольких программ защиты паролей и данных для Apple iOS и покажет, что иногда лучше не изобретать колесо. Дмитрий — аналитик в области информационной безопасности ElcomSoft Co. Ltd. и доцент кафедры «Информационная безопасность» МГТУ им. Баумана.

Мама, он и меня посчитал!
Российский закон «О персональных данных» 152-ФЗ критикуют все, кому не лень. Оказывается, особенности национального законотворчества здесь ни при чем. Михаил Утин в докладе «Analysis of US Laws and Regulations Protecting Personal Information — What Is Wrong and How to Fix It» расскажет о том, каким образом регулируют эту сферу в США — с какими абсурдными требованиями сталкивается там бизнес, и как эти проблемы можно было бы решить. Или обойти… Михаил — магистр в области компьютерных наук с 20-летним опытом работы в ИТ и 10-летним стажем в сфере ИБ; автор статей по управлению безопасностью ИТ; основатель Rubos, Inc.

Как скомпрометировали GSM и GRPS
С интересным докладом «Abusing Calypso phones» выступит разработчик проекта OsmocomBB Сильвен Мюно (Sylvain Munaut). Исследования в области безопасности мобильной связи и дополнительные брутальные хаки Сильвена привели к тому, что взлом GSM, GRPS вышел из области Rocket Science. С другой стороны, все, что можно взломать, нужно защищать, и Сильвену пришлось приложить руку к разработке IDS на базе osmocom (1 [7], 2 [8], 3 [9]).

Руки прочь от клавиатуры!
Известный индийский хакер Никхил Миттал (Nikhil Mittal), создатель фреймворка Kautilya, проведет практический мастер-класс по теме «Breaking havoc using a Human Interface Device». Основная тема выступления — насколько легко взломать компьютер с помощью устройств, которые выдают себя за мышь, клавиатуру и другие подобные устройства.

Руки на клавиатуру!
На форуме будут не только доклады, но также практические тренинги и мастер-классы.
Программа еще формируется, подробности — чуть позже.

А также

image

Миха Боррман (Micha Borrman) из компании SySS в работе «Internet, CVV2 and fraud detection systems» проанализирует типичные уязвимости систем безопасности интернет-магазинов, использующих для оплаты карты MasterCard и VISA.

Маркус Нимиц (Marcus Niemietz) поднимет актуальную тему атак на мобильные телефоны (в частности, популярные смартфоны под управлением Android), когда устройство начинает без ведома владельца отправлять SMS, делать звонки и вообще плохо себя вести. Доклад называется «Hijacking Attacks on Android Devices». Все это Маркус покажет на конференции, обещая одну или две 0day-атаки и много практических опытов. Маркус работает на кафедре безопасности сетей и данных в Рурском университете в Бохуме. Автор книги «Clickjacking und UI-Redressing». Имеет свыше шести лет опыта работы в области обеспечения безопасности QA, ISP и веб-приложений.

Александр Матросов, руководитель Центра вирусных исследований и аналитики компании ESET, представит доклад, тема которого настолько super-mega-private-0day, что пока не оглашается. Но, зная Александра, мы не сомневаемся, что его выступление особенно запомнится слушателям. Г-н Матросов преподает на кафедре криптологии и дискретной математики Национального исследовательского ядерного университета «МИФИ», является соавтором научных статей «Stuxnet Under the Microscope» и «TDL3: The Rootkit of All Evil?» и бессменным ведущим 100% Virus Free Podcast [10]. В настоящее время Александр специализируется на всестороннем анализе сложных угроз и исследовании киберпреступной активности.

Игорь Котенко, заведующий лабораторией проблем компьютерной безопасности СПИИРАН, выступит с докладом «Кибервойны программных агентов». Нет, агент Смит тут ни при чем. Хотя как знать…

Никита Тараканов и Александр Бажанюк представят доклад «Средство автоматического поиска уязвимостей». Никита Тараканов занимается исследованиями уязвимостей в программных продуктах, созданием эффективных способов их локализации и разработкой новых методов защиты. Автор ряда статей в журнале «Хакер», посвященных проблемам поиска уязвимостей и их эксплуатации. Обнаружил критические уязвимости в продуктах Microsoft, CA, Trend Micro, VMWare, Kaspersky Lab, Cisco, Oracle, PGP и других компаний (Fortune 1000). Никита и Александр — основатели компании в области информационной безопасности CISS RT.

Приглашаем на сцену
Если Вам есть, что сказать по теме ИБ — присылайте нам тему своего доклада.
Нас не интересуют Ваш возраст и регалии. Будь вы пенсионер, нашедший уязвимость при использовании социальной карты, или родители купили Вам компьютер только полгода назад, а Вы уже взломали систему ЕГЭ, в любом случае вам сюда: http://www.phdays.ru/cfp.asp [11].

Если вы молоды и учены, то добро пожаловать на конкурс Young School [12]
На форуме ценятся свежесть взгляда, новые идеи, необычные точки зрения.

Более подробную информацию о форуме PHDays можно получить здесь:
http://phdays.ru [13]
http://phdays.blogspot.com [14]
Автор:


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/3105

Ссылки в тексте:

[1] LulzSec: http://ru.wikipedia.org/wiki/LulzSec

[2] Брюс Шнайер: http://habrahabr.ru/company/pt/blog/137030/

[3] British Telecom: http://www.bt.com/

[4] получил награду Google Security Reward и вошел в Зал славы безопасности Google: http://www.google.com/intl/en/about/company/halloffame.html

[5] Hacktics : http://hacktics.com/

[6] презрением к слабой криптографии: http://ru.wikipedia.org/wiki/%D0%A1%D0%BA%D0%BB%D1%8F%D1%80%D0%BE%D0%B2,_%D0%94%D0%BC%D0%B8%D1%82%D1%80%D0%B8%D0%B9_%D0%92%D0%B8%D1%82%D0%B0%D0%BB%D1%8C%D0%B5%D0%B2%D0%B8%D1%87

[7] 1: http://events.ccc.de/congress/2010/Fahrplan/events/4208.en.html

[8] 2: http://events.ccc.de/camp/2011/Fahrplan/events/4504.en.html

[9] 3: http://events.ccc.de/congress/2011/Fahrplan/events/4736.en.html

[10] 100% Virus Free Podcast: http://www.esetnod32.ru/.company/podcast/

[11] http://www.phdays.ru/cfp.asp: http://www.phdays.ru/cfp.asp

[12] Young School: http://www.phdays.ru/ys.asp

[13] http://phdays.ru : http://phdays.ru/

[14] http://phdays.blogspot.com : http://phdays.blogspot.com/