ИБ вдоль и поперек на ZeroNights

в 10:04, , рубрики: zeronights, Блог компании «Digital Security», информационная безопасность, конференция, метки: ,
image

Друзья, неужели вы подумали, что мы представили уже все новости программы ZeroNights? А вот и нет! Сегодня у нас много приятных сюрпризов и нереальных анонсов.

Для начала подробно расскажем об обновлениях в основной программе.

1) Еще один наш keynote спикер, Gregor Kopf (Германия), покажет вам, что сегодня происходит с криптографией: основные направления, проблемы, популярные ошибки и интересные векторы околокриптографических изысканий.

Состояние криптографии

В последние месяцы было обнаружено немало проблем, связанных с криптографией. Ей вообще еще можно доверять или мы все обречены, а скептики были правы с самого начала? В этом докладе мы попытаемся лучше понять, что происходит. С этой целью будет проанализирована актуальная ситуация и затронуты проблемы, с которыми мы сталкиваемся. Мы будем исследовать популярные ошибки и определять интересные направления для околокриптографических изысканий.

2) Gal Diskin (Израиль) из Cyvera представит обзор технологии аппаратной виртуализации, существующих техник атак на системы виртуализации, а также объяснит, почему создание безопасного гипервизора – архисложная задача.

Практически невозможно: реальность безопасной виртуализации

Из этого доклада вы узнаете, почему обеспечить должную безопасность виртуальным машинам практически невозможно.
Докладчик представит обзор основ технологии аппаратной виртуализации, существующих техник атак на системы виртуализации, а также объяснит, почему создание безопасного гипервизора – такая сложная задача. Затем будет плавный переход к обсуждению перспектив методик атак на гипервизоры.
После этого доклада вы наверняка переоцените свое отношение к безопасности виртуализованных облачных платформ и таких механизмов VMM, как XEN, RVM и VMware, а также «песочниц» на основе виртуализации.
В докладе, в том числе, упоминаются следующие темы/методы атаки/недостатки виртуализации:
• SMM как разделяемый компонент виртуальных машин. Почему это опасно?
• STM – почему его никогда не используют?
• Разделяемые MSR и чем они опасны (вспоминаем о TSC)
• Фундаментальная проблема SR-IOV
• Проблемы VT-d / IOMMU
• О конфигурации памяти, отображении и о том, как сложно управлять памятью (перераспределение, PEG, System, IGD, …)
• MMIO
Для тех, кто не слишком хорошо знаком с архитектурой компьютеров: не волнуйтесь. В доклад включено краткое введение в тему, которое позволит вам понять обсуждаемые технические проблемы.

3) Доклад Peter Hlavaty (Словакия) из ESET будет посвящен фреймворку DbiFuzz.

Фреймворк DbiFuzz

Покрытие кода в фаззинге, динамической распаковке и эмуляции зависит от трейсеров и утилит для DBI (динамической бинарной инструментации). Некоторые из них предназначены для дебаггинга, некоторые изменяют двоичный код и добавляют инструментацию. Этот доклад посвящен фреймворку DbiFuzz. DbiFuzz использует альтернативный подход, позволяющий трейсить не целевое приложение, а другую область. Этот фреймворк из коробки поддерживает двоичный код 64, многопоточность и трейсинг нескольких приложений из-под одного пользователя трейсера.

4) А Mateusz 'j00ru' Jurczyk (Швейцария) из Google, большой фанат повреждений памяти, в своей презентации сосредоточится на интересных недостатках режима ядра.

Обработчик недопустимых операций ядра Windows и уязвимости в NTVDM: Практический анализ

Вера в безопасность клиентских приложений, которые сейчас широко используются, медленно, но верно начинает зависеть от устойчивости ядер операционных систем, и все более важными становятся такие механизмы смягчения рисков, как «песочницы» и принудительный контроль доступа. Хотя в хакерском сообществе неуклонно набирает популярность исследование нулевого кольца защиты, из-за характерного для ядра неимоверно огромного поля возможных атак покрыть все угрозы безопасности ручным аудитом просто нереально. В этой презентации мы осветим ряд интересных недостатков режима ядра, обнаруженных с помощью автоматических и ручных методик тестирования и недавно исправленных Microsoft, включая соответствующие методики эксплуатации и рабочие эксплойты для наглядности. Мы обсудим, в том числе, низкоуровневые механизмы процессора, такие как обработчик недопустимых операцией под х86, и поддержку 16-битных программ под DOS, внедренных Microsoft на глубинном уровне ядра.

5) Доклад Meder Kydyraliev (Австралия) будет посвящен добыче Mach-служб внутри песочницы OS X.

Добыча Mach-служб внутри песочницы OS X

Технология «песочницы» в последнее время развивается и набирает популярность у производителей. Поэтому недалек тот день, когда уязвимости повреждения памяти станут использоваться, в первую очередь, для кражи cookie. Но сегодня еще остались интересные пути изнутри приложений, запертых в песочнице, к «скрытой» поверхности атаки и, в конечном итоге, к побегу из песочницы. После краткого обзора песочниц в OS X я расскажу об одном из таких путей и представлю инструменты для фаззинга, которые могут помочь в этой задаче.

Информации все больше, защищать ее все сложнее. Спикеры ZeroNights расскажут о том, какие опасности таят информационные массивы и чего ждать от офисных документов. Продолжаем об основной программе:

6) Иван Новиков, также известный также как Владимир ‘d0znpp’ Воронцов (Россия) из ONsec расскажет об атаках на файловые системы на основе времени.

Практика атак на файловую систему с подсчетом времени

Сбор информации о файловой системе – основа аудитов безопасности методом «черного ящика». Классическая методика такой атаки называется dirbusting: брутфорсятся полные наименования файлов и папок, чтобы извлечь их содержимое. В этом докладе автор исследует новые методы атаки, основанные на подсчете времени, которые могут значительно сэкономить время просмотра файлов и директорий. Проблема синтеза, характерная для брутфорса, сводится к проблеме анализа, характерной для поиска. Исследуются методики подсчета времени для аппаратных и программных компонентов. Также рассматривается общая теория подобных эффектов.

7) Из доклада Антона Дорфмана (Россия) вы узнаете, о чем могут рассказать данные.

Реверсинг форматов данных: о чем могут рассказать данные

Любая программа так или иначе работает с данными: принимает их на вход, обрабатывает и выдает на выходе. Понимание форматов данных, используемых в программе, значительно упрощает ее реверсинг, а также позволяет эффективно проводить ее фаззинг. В форматах данных есть много закономерностей, о которых будет рассказано в докладе. Также будут рассмотрены методы и утилиты автоматического анализа структур данных в сетевых протоколах и файлах различных форматов. Автор предложит свое видение проблемы и продемонстрирует все концепции на примерах.

8) Влад Овчинников (United Kingdom) из SensePost представит доклад с красноречивым названием «Когда документы кусаются»

Когда документы кусаются

В 1999 вирус Melissa изменил представление всей отрасли о распространении вредоносного ПО. Безопасные на первый взгляд форматы, такие как Microsoft Word и Adobe PDF, стали использоваться для передачи вредоносных данных. В недавнем отчете на эту тему показано, что злоумышленники теперь предпочитают передавать вирусы именно с помощью вредоносных документов. В «дипломатической кибератаке» вируса Red October в качестве основного метода передачи вируса использовались файлы Word и PDF. Для этого вектора атаки характерны успешные попытки социальной инженерии, в первую очередь, благодаря возможности обхода почтовых фильтров за счет передачи информации в широко распространенных форматах (например, *.doc – якобы безопасный формат, являющийся отраслевым стандартом), и в большинстве случаев они доходят до получателя.
Итак, анализ реальных примеров атак с использованием вредоносных документов из офисного пакета является ключом к защите от таргетированных атак, которые представляют собой одну из важнейших проблем IT-безопасности в корпоративных сетях.
В этом докладе рассмотрены детали этих техник атаки и раскрыты некоторые методы их обнаружения, которые могу помочь корпорациям противостоять этим угрозам.

9) А Алексей Трошичев (Россия) расскажет захватывающую историю о статическом анализе 10000 iOS-приложений

Удар по инфраструктуре. История об анализе тысяч мобильных приложений

Современные приложения – зачастую всего лишь интерфейс между пользователем и какой-то инфраструктурой, которая, с точки зрения нападения, может быть гораздо аппетитней, чем какой-то один человек со своим телефоном. Я представлю инструмент, который автоматически извлекает данные, потенциально пригодные для атаки, а также результат анализа 10 000 приложений из App store с обзором как статистики, так и частных случаев.

10) Владимир Кропотов (Россия) и Виталий Четвертаков (Россия) познакомят слушателей с практикой применения методов и теории распознавания образов для обнаружения атак.

Практика применения методов и теории распознавания образов для обнаружения атак. C а...адабрительными примерами!

Методы распознавания образов и прочая интересная математика может дать довольно любопытные результаты в практике. В данной презентации докладчики поделятся своим опытом практического катания алгоритмов на сетевом траффике и расскажут о применении вэйвлетов, теории распознавания образов и прочих интересностей для обнаружения и классификации подозрительного трафика. Будет показана работа некоторых методов на примере современных угроз, примеры поиска закономерностей и характерных признаков во вредоносном трафике, обучение системы на жизненно-интересных «case studies» и многое другое. Доклад основан на личной практике докладчиков на реальном трафе 2012-2013 года, полное отсутствие баянов гарантировано. Будет зарелизано (sp?) некоторое open-source творчество в кодах.

11) Денис Макрушин (Россия) детально поговорит о сервисах нагрузочного тестирования.

Веб под давлением: отказ в обслуживании as a Service

Любой веб-проект имеет важный показатель своей работоспособности – предельную нагрузку. В докладе с нестандартной позиции будут рассмотрены сервисы нагрузочного тестирования: мы увидим, как безобидный инструмент можно превратить в средство осуществления DDoS-атак.

12) В докладе Inbar Raz (Израиль) прозвучит много слов с приставкой «кибер-».

Физическая (не)безопасность: не ТОЛЬКО кибер

Нынешний набор угроз включает киберугрозы, кибербезопасность, кибервойну, киберразведку, кибершпионаж… Приставка «кибер» практически единодушно понимается как «Интернет», но на самом деле Интернет может быть и ни при чем. Акцент на доступе к Интернету порождает некоторые ложные предположения и скрывает другие векторы атак, еще более простые и не менее опасные. А именно: физический доступ к вашей сети и устройствам.

13) Дмитрий Бумов (Россия) поговорит об уязвимостях в логике работы веб-приложений панелей управления хостинг-провайдеров.

Уязвимости в логике работы веб-приложений панелей управления хостинг-провайдеров

Доклад посвящен уязвимостям в логике работы веб-приложений панелей управления хостинг-др провайдеров. Данные уязвимости, как и простое невнимание пользователей при управлении учетной записью, могут привести к несанкционированному доступу для управления доменами. Автор доклада пытается провести тонкую грань между ошибкой пользователя при управлении учетной записью и уязвимостями логики на стороне хостинг-провайдера.

14) Александр Тиморин (Россия) и Александр Тляпов (Россия) как следует углубятся в SCADA.

Глубины SCADA: протоколы, механизмы безопасности, архитектура ПО

В докладе будет представлено техническое описание, подробный анализ распространенных индустриальных протоколов Profinet DCP, IEC 61850-8-1 (MMS), IEC 61870-5-101/104 на реальных примерах. Будут раскрыты потенциальные возможности, которые предоставляют эти протоколы злоумышленнику, а также механизм аутентификации в проприетарном протоколе S7 компании Siemens.
Помимо протоколов, будут представлены результаты исследования Siemens Simatic WinCC. Показана общая архитектура взаимодействия компонентов, протоколы и механизмы взаимодействия через HTTP, уязвимости авторизации и внутренней логики системы.
В заключение – методологический подход при анализе сетевых протоколов, рекомендации и релиз скриптов.

А теперь – внимание! Наши крутые Workshops!

1) Не пропустите отличный workshop «Ломаем HTML5» от Krzysztof Kotowicz (Польша).

Ломаем HTML5

Настала эра HTML5, принеся с собой тонну продвинутого функционала и плеяду новых глюков. Создаются инновационные приложения, разработчики браузеров соревнуются в скорости внедрения передовых функций. История показывает, что от стремительного освоения новых технологий страдает безопасность, и сейчас это снова происходит с нами.
На этом воркшопе вы познакомитесь со стеком технологий HTML5 и получите хорошее представление о современных веб-приложениях и их эксплуатации. Акцент сделан на практических решениях, демонстрации инструментов, техник обхода безопасности и нападения. Это не очередной OWASP TOP 10, где вам с помощью XSS показывают

<img src= onerror>

. На этом занятии вы усвоите совершенно новые техники: например, вам придется обходить XSS-фильтры браузера, перехватывать переписку, эксплуатировать FTP-серверы через браузер и планировать вашу собственную кликджекинговую кампанию.
План:
— Same Origin Policy: особенности, странности и обход безопасности
— XSS в HTML5: петляющие векторы и потрясающие эксплойты
— Эксплуатируем Web Messaging
— Атакуем через Cross Origin Resource Sharing
— Целимся в хранилище данных на стороне клиента и отравляем кэш
— Используем веб-сокеты для атак
— Внутрибраузерные эксплойты для туннелированных TCP-серверов
— Песочницы и кликджекинг для iFrame
— Обход Content Security Policy
— Webkit XSS Auditor и фильтр Anti-XSS от IE: за кулисами
Аудитория: пентестеры, специалисты по безопасности, веб-разработчики (фронтенд), разработчики на JavaScript
Требования к участникам workshop:
— 4 часа
— Необходимы знания в области веб-безопасности (знание основ TCP/IP, протокола HTTP, HTML, XSS, CSRF, безопасности клиентской части) и практические навыки использования распространенных тулкитов (перехват прокси, командная строка Linu, скрипты, netcat), так как программа воркшопа будет весьма насыщенной. Рекомендуется умение программировать на JavaScript и знакомство с рядом инструментов для отладки браузеров (Firebug и других). Участникам будет предоставлена виртуальная машина (VirtualBo) с необходимыми инструментами, хотя для начала хватит обычного Линукса с установленными современными браузерами (Chrome / Firefo / Opera).

2) Далее, Александр Матросов и Евгений Родионов (Россия) в ходе своего workshop под названием «Реверсинг сложных угроз» посвятят слушателей в особенности реверсинга программного обеспечения, разработанного на объектно-ориентированных языках программирования.

Реверсинг сложных угроз

Данный воркшоп посвящен анализу программного обеспечения, разработанного на объектно-ориентированных языках программирования. В последние годы наблюдается резкий рост числа вредоносных программ, имеющих сложную объектно-ориентированную архитектуру, среди которых наиболее яркие представители: Stunet, Flamer, Duqu. Анализ такого программного обеспечения требует другого подхода нежели анализ программ на процедурных языках программирования. В основном мы расмотрим примеры реализованные на языке С++ и скомпилированные с использованием среды разработки MS Visual C++.
В данном воркшопе авторы поделятся опытом реверс-инжиниринга объектно-ориентированного и базово-независимого кода, накопленного во время работы над анализом сложных вредоносных программ.
В программу входит:
— введение в анализ объектно-ориентированного кода: соглашения о вызовах, преобразования компилятора, служебные структуры данных (vftables, RTTI) и т.д.
– использование средств статического анализа для восстановления сложных типов данных (структуры, классы, объекты)
– автоматизация анализа С++ кода при помощи IDApython и He-Rays Decompiler SDK
– методика восстановления сложных типов данных с использованием расширений декомпилятора He-Rays Decompiler (HeRaysCodeXplorer)
– анализ вредоносного программного обеспечения, разработанного с использованием объектно-ориентированных языков программирования (C++), а также с использованием базово-независимого кода (PIC): Stunet, Flamer, Gapz.
Участник получит:
— представление об объектно-ориентированном и базово-независимом коде с точки зрения реверс-инжиниринга
— практические навыки работы в IDA Pro и He-Rays Decompiler для востановления сложных типов данных
— базовое представление о разработке расширений для He-Rays Decompiler
— практический опыт анализа сложных угроз на примерах Flamer, Stunet, Gapz
Требования к участникам:
— 4 (5) часов
— ноутбук с предустановленными IDA Pro, He-Rays Decompiler

Не забываем про секцию FastTrack!

1) Алексей Матросов и Евгений Родионов удивят вас в секции FastTrack. Они расскажут, как HeRaysCodeXplorer делает проще реверсинг объектно-ориентированного кода.

HeRaysCodeXplorer: делает проще реверсинг объектно-ориентированного кода

HeRaysCodeXplorer упрощает анализ объектно-ориентированного кода в процессе использования декомпилятора He-Rays. На данный момент поддерживаются следующие возможности плагина:
— автоматическое восстановление сложных типов данных для С++ кода (type REconstruction);
— визуализация графа c-tree для выбранного участка декомпилированного кода;
— навигация по вызовам виртуальных функций;
— визуализация информации о виртуальных функциях (Object Eplorer).
В данном докладе будет рассказано о функциональности плагина и профите от его применения. Также в деталях будет представлен алгоритм восстановления сложных типов для позиционно-независимого кода и объяснено, как это работает в HeRaysCodeXplorer.
Авторы представят специальный релиз плагина (ZeroNights edition) с новыми возможностями и сделают комит новой версии прямо со сцены.

2) Андрей Данау расскажет об ошибках управления сессиями в облачных решениях и на классических хостингах.

Ошибки управления сессиями в облачных решениях и на классических хостингах

Проблема разделения сессий на виртуальных хостингах известна давно. Для изолирования контекста сессий различных пользователей обычно используются ограничения файловой системы – правам доступа на различные директории. Сессии разных клиентов хостинга хранятся в разных файлах. С развитием облачных технологий данная проблема снова становится актуальной уже с другой стороны. Возникает необходимость изоляции контекста сессий, исполняемых на данной облачной ноде в текущий момент, при учете единовременного ее использования несколькими клиентами. Практика проведения аудитов информационной безопасности показывает, что изоляция контекста сессий в современных облачных решениях реализована чаще всего неполноценно. О методах эксплуатации такого рода проблем пойдет речь в докладе.
В докладе рассматриваются различные механизмы хранения сессий, их идентификации и методы защиты от атак обхода ограничений доступа для современных облачных сервисов. Дополнительное внимание уделяется классификации используемых ключей сессий в популярных РНР веб-приложениях, с целью поиска пересечений этих ключей. Результаты работы представляют интерес с точки зрения практического применения при проведении аудитов информационной безопасности. Отдельное внимание уделяется методике поиска и профилактики подобного рода проблем.

3) Антон Черепанов (Россия) детально разберет банковского троянца Hesperbot.

Hesperbot: анализ нового банковского троянца

В августе 2013 года специалистами ESET была обнаружена кампания, направленная против пользователей интернет-банкинга в Чехии, Турции и Португалии. В ходе исследования выяснилось, что для атаки используется ранее неизвестный банковский троян – Win32/Spy.Hesperbot. Особенностью этого вредоносного семейства является модульная архитектура, уникальная техника для изменения веб-контента банковских сайтов, а также использование мобильной компоненты для различных платформ – Android, Symbian, Blackberry.

Это еще не все новости! Впервые на ZeroNights: безопасность бизнес-приложений в деталях.

В этом году впервые на ZeroNights будет представлена отдельная секция, посвященная безопасности бизнес-приложений. Это событие приурочено к обновлению проекта EAS-SEC (Enterprise Application Systems Security), который получит теперь новую жизнь. До недавнего времени он был частью консорциума OWASP и назывался OWASP-EAS. Поскольку безопасность бизнес-приложений уже вышла за рамки WEB, было решено выделить это направление в самостоятельный проект.
Итак, во время работы секции будут представлены короткие доклады, посвященные уязвимостям и интересным архитектурным ошибкам в различных бизнес-приложениях. Помимо традиционных ERP-систем, будут взломаны кадровые системы (HR), приложения бизнес-аналитики (BI), аккаунтинг, банковское ПО, системы разработки и многие другие приложения от ключевых производителей бизнес-систем, включая SAP, Oracle, Microsoft, 1C и т. д. Только на этой секции будет уникальная возможность услышать доклады, представленные на культовой конференции BlackHat.
Здесь же будут представлены результаты проекта EAS-SEC в области защиты от перечисленных проблем по двум направлениям: руководства по анализу защищенности критичных систем на этапе эксплуатации и руководства по безопасной разработке критичных систем с учетом специфики бизнес-приложений. Также будет представлен список из ключевых недостатков разработки бизнес-приложений, аналогичный OWASP Top 10, который распространяется только на WEB-приложения.
Мы не сомневаемся, что это уникальное мероприятие будет интересно как исследователям и хакерам, так и специалистам, ответственным за защиту информационных систем, включая руководителей отделов безопасности, администраторов и программистов. Мы не только покажем реальные примеры интересных атак, но и представим детальные руководства по защите.
Ведущий секции – Александр Поляков. Все доклады – эксклюзивно от экспертов Digital Security.

Доклады секции

1. Алексей Тюрин «Accounting hacking – arch bugs in MS Dynamics GP»

Описание

Dynamics GP – крупное и мощное программное accounting/ERP-решение от компании Microsoft, которое широко распространено в Серверной Америке. В докладе будет рассказано про то, как оно было проанализировано в рамках проекта EAS-SEC, а так же о том, какие результаты были достигнуты. Будут показаны примеры того, как на основе имеющихся архитектурных решений Dynamics GP можно атаковать систему; как можно поднять свои привилегии от минимальных до максимальных и как захватить полный контроль над системой.

2. Евгений Неелов «Dev system hacking – arch bugs in SAP SDM»

Описание

Зачем взламывать сами критичные системы, если можно атаковать серверы развёртывания приложений, откуда исходный код растекается по всем системам? В ERP SAP эту задачу включает NetWeaver Development Infrastructure, состоящая из подсистем SDM, DTR, CBS, CMS.
Не идеальная ли это цель для атаки? Кого заботит безопасность сервера развёртывания приложений при десятках серверов и тысячах клиентских машин? Вот почему в таких решениях есть архитектурные уязвимости, позволяющие анонимно внедрить свой код в приложения на продакшн-серверах. В результате, вредоносный код атакующего растекается по любым выбранным системам, предоставляя возможность контролировать каждую из них.

3. Алексей Тюрин «HR Hacking – bugs in PeopleSoft»

Описание

В данном докладе раскрываются подробности анализа одного из топовых решений HRMS от компании Oracle – PeopleSoft, имеющей тысячи и тысячи внедрений по всему миру в рамках проекта EAS-SEC. На примере данного продукта и выявленных в нём уязвимостей будет показана важность комплексного подхода к безопасности. Будет продемонстрировано, как на основе смешения уязвимостей средней и низкой критичности каких-то полгода назад можно было захватить контроль почти над любой системой на базе PeopleSoft. Будет показан путь восхождения от анонимного пользователя до администратора системы.

4. Глеб Чербов «DBO Hacking – arch bugs in BSS»

Описание

Время банковской магии.
Будут представлены особенности архитектуры банковских систем на примере ряда уязвимостей в ДБО-решениях от ведущего отечественного вендора.
Увлекательные подробности бесполезного применения стойкой криптографии и нюансы реализации аутентификации. Таинственные исчезновения и преумножения клиентских капиталов прилагаются.

5. Дмитрий Частухин «Business Intelligence hacking – Breaking ICCube»

Описание

Вариант 1.
Бизнес-аналитика – жизненно необходимый процесс любой крупной компании, который базируется на большом количестве данных, собранных, как правило, за длительный промежуток времени. Результаты данной аналитики позволяют принимать разного рода управленческие решения менеджерам компании, от которых напрямую зависит ее дальнейшая судьба. Стоит ли беспокоиться о безопасности этих данных? Несомненно, да. Безопасны ли технологии, которые используются для построения систем бизнес-аналитики?
В данном докладе будут рассмотрены уязвимости популярного OLAP-сервера icCube и как атакующий используя язык запросов MDX может скомпрометировать ОС OLAP-сервера и все бизнес данные.
Вариант 2.
Пацаны! Пацаныыы!!! Я узнал новую аббревиатуру! MDX. Слышали о такой? Нет? А OLAP? Вот и я не слышал. Так, может, надо похакать эту непонятную штуковину? Ведь люди любят доклады, связанные со взломом непонятных им аббревиатур. Так ведь и на конференцию можно будет какую-нибудь съездить, типа BlackHat, или на ZeroNights выступить (хотя бы на фаст треке). Расскажу что-нибудь про OLAP и MDX и покажу парочку багов на примере icCube, а меня за это покормят на конфе. Ну круто же, да?

6. Александр Поляков «EAS-SEC – руководство по безопасному внедрению бизнес-приложений»

Описание

В докладе будет представлен результат проекта EAS-SEC. Проект имеет два направления: руководства по анализу защищённости критичных систем на этапе эксплуатации и руководства по безопасной разработке критичных систем с учетом специфики бизнес-приложений. Данный доклад затронет область анализа бизнес-приложений на этапе внедрения и эксплуатации. Как следствие, будет представлен список из ключевых проблем безопасности бизнес-приложений на всех уровнях: от сетевого до конкретных проблем приложений. Будет также представлено руководство по безопасности для платформы SAP в качестве первого шага данного проекта.

7. Александр Миноженко «EAS-SEC – руководство по безопасной разработке бизнес-приложений»

Описание

Доклад о последних результатах работы проекта EAS-SEC (Enterprise Application Systems Security). Проект, бывший в течение 3 лет частью консорциума OWASP и называвшийся OWASP-EAS, теперь получил новую жизнь, и избавился от рамок исключительно WEB. В данном докладе будет представлено руководство по безопасной разработке и список из девяти ключевых недостатков, встречаемых при разработке бизнес-приложений, от инъекций кода до скрытых каналов утечки данных. Самое главное, увидите примеры реальных уязвимостей, обнаруженных в ходе использования ручного анализа и автоматизированных средств применимо к SAP-системам, и, конечно, способы их устранения.

А еще вас ждет горячее ток-шоу "Битва титанов: Хакеры ZeroNights vs. Microsoft vs. Cisco".

Хакеры против вендоров. Вендоры против вендоров. Вендоры против хакеров.
Все против всех или сильные против слабых? Можно ли победить в этой игре, и как скоро может появиться надпись «Game over»? Вы уверены в победителе? Делайте ставки! И приходите 8 ноября на ZeroNights 2013.
Ток-шоу обещает быть интересным и абсолютно неполиткорректным! Пусть вендоры ответят за все.
Только у нас вендорам могут быть заданы любые вопросы. У вас есть парочка в обойме? Тогда добро пожаловать.
— Кто дырявее: Cisco или Microsoft?
— Кто кому внедрил SDLC – Cisco в Microsoft или Microsoft в Cisco?
… ну и так далее!
Уступок не будет, слабостей не простим, вопросы не останутся без ответов.
Ведущие:… Владимир Соловьев!.. да зачем он нам?!
Digital Security – Илья Медведовский и Олег Купреев
Microsoft – Андрей Бешков
Cisco – Василий Томилин
Ждем ваши горячие и острые вопросы на questions@zeronights.ru.

Только у нас – конкурс исключительно для участников конференции "Вдоль и поперек" позволит вам почувствовать себя агентом секретной службы. Представьте, что руководство поручило вам выполнить взлом компьютерной сети компании «S-Lab». Это не так просто, поскольку компания «S-Lab» отлично защищает свои ресурсы. К тому же, аналогичная задача поставлена и другим сотрудникам подразделения «Z-Hack», в котором вы состоите. На каждом сервере вы обнаружите токен. Победителем будет объявлен агент, который соберет все токены первым.

Ну как? Не правда ли, бронебойные новости? Но это еще не все! Ждать осталось совсем недолго!

Автор: oprisko

Источник

Поделиться

* - обязательные к заполнению поля