Техническая программа PHDays: как ломают IoT, обходят Windows Hello и защищаются от квантового компьютера

^[1]

Прием заявок на участие в Positive Hack Days идет полным ходом. По многочисленным просьбам мы продлеваем Call for Papers до 31 марта. Это значит, что у всех желающих выступить на форуме есть еще пара недель, чтобы подать заявку ^[2].

Недавно мы анонсировали первого ключевого докладчика PHDays 8 ^[3] — им станет известный разработчик дизассемблера IDA Pro и декомпилятора Hex-Rays Ильфак Гильфанов. Ну а сегодня представляем вашему вниманию группу участников, чьи доклады уже вошли в основную программу PHDays. В этом году посетители форума узнают, как обойти корпоративную систему распознавания лиц, чем опасны умные автомобили и как злоумышленники взламывают IoT-устройства.

ИБ-директор в ближайшем будущем

За последние несколько лет бизнес потерпел огромные убытки в результате действий преступников и хактивистов. Ландшафт угроз постоянно меняется, поэтому сейчас, как никогда, важно поддерживать модель ИБ, при которой решения для обеспечения безопасности исходят из понимания риска для бизнеса и возможностей хакеров.

Эффективность политики информационной безопасности компаний зависит не только от организационных и технических средств, но и компетенции сотрудников. Сегодня во многих критически важных секторах ИБ-решения устарели, а навыки специалистов не развиваются вместе с технологиями и не соответствуют требованиям бизнеса. Кого обучать — людей или компьютеры? Нам нужны деньги — но как перевести требования CISO на язык CEO? На эти вопросы ответит исполнительный вице-президент компании DarkMatter Эдди Шварц (Eddie Schwartz), член международного совета директоров Ассоциации аудита и контроля информационных систем (ISACA), председатель рабочей группы по ИБ ассоциации. До DarkMatter Шварц был директором по ИБ-решениям в Verizon и директором по безопасности в RSA.

Взлом системы аутентификации

На PHDays вновь выступит аргентинский эксперт по информационной безопасности и руководитель компании Cinta Infinita Науэль Грисолия (Nahuel Grisolía). Он специализируется на безопасности веб-приложений и взломе аппаратного обеспечения. Грисолия обнаружил уязвимости в программах McAfee, VMware, ManageEngine, Oracle, Websense, Google, Twitter, а также в бесплатном ПО Achievo, Cacti, OSSIM, Dolibarr и osTicket.

На пятом форуме PHDays Грисолия провел мастер-класс по RFID ^[4], на этот раз речь пойдет о современной платформе индентификации Auth0, которая обслуживает более 2000 клиентов и обеспечивает 42 млн авторизаций в день. Доклад посвящен концепции обеспечения безопасности веб-токенов JSON, аутентификации и авторизации, криптографии, а также методам перехвата и манипуляции HTTP-трафиком. Докладчик расскажет об уязвимости, которая позволяет обойти аутентификацию и ставит под угрозу все приложения, использующие Auth0.

Обход Windows Hello на раз, два, три

Windows Hello — биометрическая система компании Microsoft, включающая сканирование радужной оболочки глаза, отпечатка пальца и распознавание лиц. Она используется для входа без пароля на устройства с Windows, для авторизации на сайтах и в приложениях.

Руководитель R&D компании SySS — ведущего немецкого поставщика услуг тестирования на проникновение — Маттиас Дег (Matthias Deeg) расскажет о своем исследовании Windows Hello и продемонстрирует, как с помощью простых методов можно обойти различные версии системы.

Умный автомобиль как оружие

Современные умные автомобили не просто средство передвижения, а настоящие компьютеры, напичканные продвинутыми информационно-развлекательными программами. Новые технологии открывают широкие возможности для злоумышленников: угрозы, которые раньше были характерны для компьютерного мира, теперь актуальны и для автомобилей.

Представители компании Ixia — главный исследователь безопасности Штефан Танасе (Stefan Tanase) и старший разработчик ПО Габриэл Чирлиг (Gabriel Cirlig) — исследовали автомобиль со встроенной информационно-развлекательной системой, полностью оторванной от сетевой инфраструктуры самого транспортного средства. Они обнаружили большое количество данных, которые хранятся в открытом виде. Авторы исследования покажут, как атакующий может следить за передвижением машины и взламывать точки доступа сетей с помощью бортового компьютера.

Как ломают IoT

Еще один докладчик PHDays — Ноам Ратхаус (Noam Rathaus), один из основателей компании Beyond Security, специализирующейся на разработке общеорганизационных технологий оценки безопасности. Ратхаус — автор четырех книг об открытых средствах ИБ и тестировании на проникновение. Он обнаружил более 40 уязвимостей в различном ПО, а также создал около трети кодовой базы Nessus — программы для автоматического поиска известных уязвимостей.

Его доклад «Подставь свой девайс под интернет» посвящен безопасности интернета вещей. Ноам Ратхаус расскажет о различных уязвимостях, которые его команда обнаружила в продуктах известных вендоров, а также даст рекомендации по защите IoT-устройств.

Продолжит тему безопасности IoT ведущий инженер по информационной безопасности «АМТ-ГРУП» Андрей Бирюков. На секции Fast Track он выступит с докладом «Дырявые облака М2М: как ломают IoT». Участники форума узнают о том, как облачные технологий (в том числе open-source) используются для управления IoT-устройствами. Докладчик покажет видео с эксплуатацией наиболее интересных уязвимостей и даст рекомендации по их устранению.

Защита от квантового компьютера

В феврале 2016 года NIST опубликовал отчет о постквантовой криптографии. В нем описываются алгоритмы, которые считаются уязвимыми для квантового компьютера; в список попали практически все алгоритмы.

Заведующий лабораторией «Современные компьютерные технологии» Новосибирского государственного университета Сергей Кренделев расскажет о проблемах, возникающих в связи с «квантовой угрозой», об алгоритмах и протоколах постквантовой криптографии. Будут даны примеры различных алгоритмов цифровой подписи, хеш-функций, обмена ключами, а также рассмотрены проблемы, с которыми, вероятно, придется столкнуться при практическом внедрении постквантовой криптографии и инфраструктуры открытых ключей.

Кстати, Сергей Кренделев, так же как и Науэль Грисолия, выступал на PHDays V. Его доклад «Советский суперкомпьютер К-340А и безопасность облачных вычислений ^[5]» был посвящен вопросам обработки закодированных данных с использованием нестандартных алгоритмов шифрования.

Плюшки bug bounty

Владельцы публично доступных ресурсов несут серьезные репутационные и финансовые потери из-за уязвимостей. CISO компании QIWI и сооснователь Vulners.com Игорь Булатенко поднимет тему недостатков существующих способов борьбы с уязвимостями и преимуществ программ bug bounty. Слушатели узнают, почему bug bounty выгоднее пентестов и большой ИБ-команды и лучше для финансовой стабильности и репутации компании, а также кому нужно (и кому не нужно) открывать такую программу. Также Игорь поделится опытом QIWI и расскажет, как они разворачивали bug bounty.

Полный список выступлений будет опубликован на сайте PHDays в апреле. Подробнее о темах и правилах участия — на странице Call for Papers ^[2].

Промышленный партнер форума Positive Hack Days – Московский завод «ФИЗПРИБОР»; партнер форума ─ компания R-Vision; спонсор выставки ─ Group IB; участники Противостояния ─ компании «Информзащита», «Перспективный мониторинг»; в числе технологических партнеров − Cisco, Moxa и Advantech.

Автор: ptsecurity

Источник ^[6]