Общаясь на международных security-конференциях, я часто сталкивался с вопросом о российских мероприятиях. Все очень удивлялись ответу: в России до недавнего времени не было полноценных конференций по ИБ. Именно поэтому я очень рад рассказать о новой конференции ZeroNights, которая организуется российским сообществом DEFCON при поддержке Digital Security.
В настоящий момент проходит отбор докладов и к 1 ноября команда независимых специалистов выберет самых достойных. В программный комитет входят: Крис Касперски (Intel, США), Дейв Аител (CEO Immunity, США), Питер Ван Иекхаут (CorelanTeam, Бельгия), The Grugq (COSEINC, Тайланд), Евгений Климов (PWC, Россия), Илья Медведовский (DigitalSecurity, Россия), Александр Матросов (ESET, Россия) и ваш покорный слуга. Кстати, еще не поздно подать заявку на выступление.
Представлю докладчиков и доклады, которые уже официально заявлены в программу конференции.
Программа конференции
Самуил Шах (NetSquare): «Третья Веб-война».Основатель и генеральный директор Net-Square Solutions, автор кучи книг по ИБ, регулярный докладчик на лучших мировых конференциях: Blackhat, RSA, HITB, IT Underground, CanSecWest и т.д.
Самуил поделится мыслями на тему (д)эволюции протоколов, HTML5 и других стандартов со сложной судьбой. Эксплуатация багов в браузерах, инновационные технологии эксплуатации уязвимостей, совмещенные с классическим web-хаком низкоуровневые атаки, безопасность мобильных браузеров и многие другие новые векторы атак – это всего лишь некоторые из тем, которые будут освещены в докладе Самуила.
Федор Ярочкин (Amorize): «Анализ незаконной Интернет-деятельности».Аналитик по ИБ и архитектор ПО в Armorize Technologies. Хакер старой школы, наш соотечественник, автор X-Probe и сооснователь консалтинговой компании GuardInfo, ныне проживающий в Тайвани. Федор поделится личным опытом анализа инцидентов компьютерной безопасности на примере конкретных кейсов, охватывающих области мобильных вредоносных программ, целевых атак, действий коммерческой компьютерной преступности и других. Кроме этого, речь пойдет о практике изучения подозрительной активности с использованием honeypot-сетей.
Алексей Синцов (Digital Security): «Где лежат деньги?»Алексей — руководитель департамента аудита ИБ компании Digital Security, большой специалист в области эксплоит-девелопмента, автор ряда новых техник эксплуатации уязвимостей, исследований и эксплоитов (из публичного). В своем докладе Алексей расскажет о проблемах с безопасностью в системах ДБО: будет показано множество конкретных 0day-уязвимостей в реальных системах онлайн-банкинга (вся информация обезличена). Кроме этого, будут рассмотрены общие ошибки всех разработчиков популярных отечественных продуктов. И разумеется, будет рассказано, к чему все это приводит с точки зрения вероятности хищения денежных средств.
- Самые глупые ошибки ДБО
- Как отправить платежку без ЭЦП
- Практические советы по «обходу» токенов за 5 минут
- Атаки на банк или на клиента изнутри – что и как, опыт пен-тестера.
- Эффективность систем защиты (анти-фрод, IPS, межсетевые экраны)
Александр Поляков (DigitalSecurity): «Не трогай, а то развалится: взлом бизнес приложений в экстремальных условиях»Технический директор Digital Security, постоянный докладчик на ведущих мировых security-конференциях, счастливый отец сканера безопасности SAP ERPScan, автор книги «Безопасность Oracle глазами аудитора: нападение и защита» и руководитель проекта OWASP-EAS.
В своем докладе Александр покажет ряд уязвимостей в бизнес-приложениях, на поиск которых он и его коллеги затратили не более 5 минут в свободное от работы время: в самолёте, поезде или гостинице, когда нет интернета, нет привычного окружения вроде фаззеров, снифферов и отладчиков, а есть только блокнот и установленный софт. Небольшое руководство по поиску уязвимостей в экстремальных условиях на живых примерах. Кто будет подопытными? Вероятно, всем знакомы эти имена: Documentum, 1C, SAP, PeopleSoft, Oracle BI.
Дмитрий Частухин: «Практические атаки на интернет-киоски и платёжные терминалы»Студент питерского Политеха, активно и успешно работающий в области безопасности SAP-систем, автор нескольких исследований, которые выявили ряд критических уязвимостей в таких крупных проектах, как Яндекс.Карты, Google docs и Вконтакте. Кроме этого, Дмитрий является одним из соавторов проекта OWASP-EAS и активно принимает участие в международных конференциях: Hack in the Box и BruCON.
В своем докладе Дмитрий расскажет о практике взлома интернет-киосков, платежных терминалов, систем регистрации авиабилетов и других устройств с выходом в интернет, которые можно встретить в аэропортах, гостиницах и вокзалах. В докладе будут показаны фотографии и видео реальных атак перечисленных систем в различных уголках мира от России и Европы до Индии, Азии и США.
Алексей Лукацкий (Cisco): «Бостонская матрица киберпреступности или какова бизнес-модель современного хакера?»
Бизнес-консультант по информационной безопасности компании Cisco, участник рабочей группы АРБ/ЦБ по разработке 4-й и 5-й версии стандарта Банка России, член консультационного центра АРБ по применению 152-ФЗ «О персональных данных».
В докладе Алексея пойдет речь о мире кибер-преступности и выстроенной бизнес-модели: заказные разработки, аукционы по продаже вредоносных программ, теневые биржи труда, различные механизмы обналички заработанных денег, разветвленная партнерская сеть, маркетинг и реклама, службы поддержки проданных вирусов и троянов.
Александр Матросов (ESET): «Современные тенденции развития вредоносных программ для систем ДБО»Директор центра вирусных исследований и аналитики ESET, автор ряда исследований наиболее интересных и сложных угроз (Stuxnet, TDL3, TDL4, Carberp, Hodprot), автор учебного курса «Защита программного обеспечения», который лично преподает на кафедре «Криптологии и дискретной математики» НИЯУ МИФИ.
В своем докладе Александр расскажет о трендах развития банковских троянов с точки зрения работника антивирусной компании. Речь пойдет об уязвимостях в системах дистанционных платежей, а точнее о том, как они используются злоумышленниками в наиболее распространённых троянских программах, нацеленных на российские банки. Так же будут рассмотрены вопросы обхода защитного ПО и методов противодействия криминалистическим экспертизам, которые используются в современных банковских троянцах.
Конкурсы по живому взлому
Конкурсы любят все, и организаторы конфы решили провести их по-особенному. На Zeronights не будет выдуманных ситуаций. Желающим будут предоставлены настоящие программно-аппаратные комплексы и системы. На таких системах каждый сможет проверить свои способности по поиску новых 0day-уязвимостей в режиме онлайн. ACУ-ТП, платежный терминал, сервер с SAP системой и многое другое.
Помимо этого будут доступны и другие разнообразные конкурсы от партнеров конференции: соревнование по обходу WAF, поиску уязвимостей, реверс-инжинирингу и, конечно, традиционный конкурс по взлому замков (lockpicking): призы будут прикованы замками и их заберет тот человек, который первым откроет замок. Подробное описание конкурсов доступно на сайте конференции.