До старта конференции ZeroNights 2015 остается 2 недели

Друзья, вот мы и подошли к финишной прямой. До нашей с вами встречи осталось всего две недели! Программа конференции полностью сформирована, на нашем сайте размещено итоговое расписание двух дней, с ним вы можете ознакомиться здесь: 2015.zeronights.ru/assets/files/ZNagenda2015.pdf.
Ну а мы кратко опишем те выступления, о которых еще не рассказывали вам прежде, чтобы вы знали, чего ждать от предстоящего события. Итак, по порядку.

Наверное, многие в России уже соскучились по хорошей, хардкорной хакерской атмосфере и докладам. Докладам, которые не просто интересно послушать, но и полезно как для защиты, так и для атаки. Но не грустите: 25-26 ноября в Москве в пятый раз состоится конференция ZeroNights ;) Часть программы уже известна, и мы рады представить вам ее. Так что добро пожаловать под кат.

С 1995 г. в продуктах Oracle было найдено 3896 уязвимостей, и их количество продолжает расти. Исследовательский центр Digital Security занимается поиском проблем безопасности в системах Oracle уже почти 10 лет, найдя за это время массу всевозможных уязвимостей во всей линейке их продуктов, включая разнообразные опаснейшие архитектурные баги. Некоторые из них исправлялись вендором около 3 лет после нашего уведомления (!). Поэтому с Ораклом мы знакомы не понаслышке.

Скандал, который разразился вчера в мире немедленно после публикации и последующего удаления – по словам вице-президента и главного архитектора Oracle Эдварда Скривена (Edward Screven), запись «не отражала истинных взглядов компании на взаимоотношения с пользователями», – этой записи в блоге CSO компании Oracle Мэри Энн Дэвидсон (Mary Ann Davidson), на самом деле достаточно поучителен. В нем прекрасно проявилась вся боль вендоров, все их реальное отношение к безопасности продуктов.

Наилучшей иллюстрацией здесь мог бы быть фильм с Мэлом Гибсоном «Чего хотят женщины?» Исследователи безопасности и заказчики – внимательно прочтите, что же на самом деле думает об исследованиях главный безопасник Oracle и как на самом деле она относится к безопасности своих продуктов. При этом следует понимать, что она говорит то, что другие вендоры просто не решаются сказать. Они благодарят исследователей за найденные уязвимости, мило улыбаются заказчикам, а внутри себя тихо ненавидят и тех и других. «Не трогайте наши продукты!», «Согласно лицензии, вы не имеете право на реверс-инжиниринг!» – это дословно ее высказывания. «Отстаньте уже от нас со своей безопасностью, мы сами разберемся», – вот что на самом деле думают вендоры. И как они сами «разбираются», по три года закрывая опаснейшие архитектурные уязвимости (в частности, с аутентификацией на клиенте!), мы отлично знаем. Что интересно, особенно этим славится именно компания Oracle. И теперь неудивительно почему – при таком-то отношении ее главного безопасника. Однако все-таки дело не в Oracle – и это самое важное. Их CSO просто выразила мнение всех вендоров, сказала то, что не принято говорить открыто. Это наглядная демонстрация реального отношения всех вендоров к безопасности. Что бы кто угодно из них ни говорил, – думают они именно это.

И это страшно.

Поражает и то, что CSO Oracle не знает, что большинство уязвимостей находятся вовсе не реверсингом. Oracle может смело менять слоган со старого – «Несокрушимый» – на современный: «Неприкасаемый».

Как показывает практика, любой антивирус по дизайну уязвим, и реализовать очередной метод обхода в отношении него не является большой проблемой.

Нашему исследовательскому центру было интересно проверить, как разработчики антивирусных решений следят за наличием описаний методов атак на просторах интернета. И всегда ли для атаки на антивирус необходимо обнаружить в нем 0-day уязвимость или достаточно просто найти полезную информацию на форумах?

ZeroNights, пожалуй, единственная конференция по безопасности в России, с которой любой посетитель может вернуться не только с объемным багажом полезных знаний, применимых на практике, но и с солидным денежным призом ;) В этом году азартная составляющая мероприятия зашкаливает. С программой конференции можно ознакомиться здесь: 2014.zeronights.ru/assets/files/schedule_rus_fin.pdf

Подробности наших активностей смотрите ниже.

До старта конференции ZeroNights 2014 остается совсем немного времени. Скоро площадка для встречи специалистов-практиков по ИБ, исследователей, программистов, звезд хакерского мира, да и просто хороших друзей и знакомых откроет свои двери навстречу новому. В этом году мы постарались не только наполнить мероприятие качественным контентом и разнообразными активностями, но и раскрыть новые темы, имеющие практическое значение для всех, неравнодушных к проблемам ИБ.

На этот раз мы пригласили в качестве keynote-спикера Александра Песляка, также известного как Solar Designer! Он знаком всем как отличный специалист с широким диапазоном знаний во множестве областей, включая не только методы атак, но и методы защиты. Его доклад «Is infosec a game?» откроет конференцию 13 ноября и обещает быть особенным, совсем не таким, как все привыкли видеть.

Специально для посетителей Habrahabr мы сделали приблизительную разбивку докладов по темам. Так вы сможете заранее определить для себя, какие доклады вам близки по духу, специфике работы и т. д., в каких активностях вы хотите принять участие. Хотя, конечно, вы можете использовать подход нашего техдира AlexandrPolyakov, который, как правило, выбирает выступления на малознакомые темы – расширяет кругозор, получая инфу от продвинутых специалистов в своей области. Как он говорит, «В тех темах, в которых я разбираюсь, я разберусь и из слайдов».

Друзья, неужели вы подумали, что мы представили уже все новости программы ZeroNights? А вот и нет! Сегодня у нас много приятных сюрпризов и нереальных анонсов.

Для начала подробно расскажем об обновлениях в основной программе.

1) Еще один наш keynote спикер, Gregor Kopf (Германия), покажет вам, что сегодня происходит с криптографией: основные направления, проблемы, популярные ошибки и интересные векторы околокриптографических изысканий.

Друзья, в этом году одной из главных тем нашей конференции станет виртуализация. Мы наконец-то определились с одним из keynote-докладчиков. Это Rafal Wojtczuk, который уже много лет в этой теме.

Для тех, кто еще не в курсе: Rafal Wojtczuk — мегакрутой спец! Он — бывший сотрудник Invisible Things Labs, где долгое время работал с Йоа́нной Рутко́вской и участвовал в таких исследованиях, как: «Detecting & Preventing the Xen Hypervisor Subversions», «Xen 0wning Trilogy: code and demos», «Attacking Intel Trusted Execution Technology», «A Stitch in Time Saves Nine: A Case of Multiple Operating System Vulnerability» и т. д. За прошедшие годы он обнаружил множество уязвимостей безопасности в ядрах популярных информационных систем, включая новые методы эксплуатации уязвимостей переполнения буфера в средах с частично рандомизированным адресным пространством. В последнее время он исследовал продвинутые технологии безопасности Intel, в особенности TXT и VTd. Он также является автором libnids – низкоуровневой библиотеки для реассемблирования пакетов. В общем, это человек, который не понаслышке знает, как устроены и как работают песочницы и системы виртуализации. Он не будет гнать маркетинговый булшит про облака, а расскажет, как на самом деле обстоят дела с виртуализацией.

Также мы будем много говорить про безопасность АСУ ТП. В частности, на ZeroNights 2013 исследовательский центр Digital Security впервые представит результаты двух наших новейших исследований в области безопасности АСУ ТП: «HART (in)security» и «Эксплуатация AVR и MSP микрочипов».

В третий раз мы проводим ZeroNights – международную конференцию, посвященную практическим аспектам информационной безопасности. И снова ждем в гости хакеров, друзей и единомышленников со всего мира.

Дата: 7-8 ноября 2013 года
Место: Москва, Варшавское шоссе, д. 28 А, центр «Коворкинг 2.0»

На конференции вы узнаете о новых методах атак и угрозах, увидите возможности для нападения и защиты, познакомитесь с нестандартными методами решения задач ИБ. Эксперты, специалисты-практики по ИБ, аналитики и хакеры со всего мира поделятся уникальными знаниями и навыками, помогут избавиться от заблуждений, представят убедительные аргументы, исследования, факты и цифры. Нам интересны такие темы, как: Security of business-critical systems, Mobile security, Hardcore exploitation, Hardware and embedded, Web security.
У нас выступают только лучшие эксперты в области ИБ и хакеры с мировым именем, мы представляем самые новые и смелые технические исследования, знакомим с нестандартными подходами к решению задач. И никакого маркетинга, APT, NSA, PRISM и прочего bla-bla-bla!

Мы продолжаем серию статей про поездки на разные необычные security-мероприятия. Недавно нам удалось побывать на конференции HackInParis, которая проходила 17–21 июня во Франции, в Париже, в Диснейленде! Да-да, именно в центре детских восторгов, в парке развлечений. Если вам интересно, как вместе уживаются современные киберугрозы и детский писк и визг, прошу под кат.

С момента официального открытия исследовательской лаборатории компании Digital Security (известной как Digital Security Research Group или DSecRG) прошло более пяти лет, и мы решили подвести промежуточные итоги деятельности подразделения в цифрах, а также отметить ряд наиболее значимых для нас достижений.

В 2013 году руководителем лаборатории стал Дмитрий Евдокимов, зарекомендовавший себя как отличный специалист с глубоким подходом к изучению проблем безопасности, автор большого числа известных на рынке исследований.

Digital Security Research Group в цифрах

1-й исследовательский центр в России
2-е место в топ-10 техник web-атак 2012 года
3 года участия в международных конференциях
4 выступления на BlackHat в 4 географических точках
5 лет публичной работы
6 сотрудников выступали на международных конференциях с собственными докладами
7 дней в неделю
8 сотрудников получили благодарности от крупнейших компаний за найденные уязвимости
9 основных участников
10 – попали в топ-10 докладов BlackHat USA в 2012 году

Участвовали в проведении 15 встреч Defсon Russia
Выступили более чем в 20 странах
Более 30 выступлений на международных технических конференциях
Более 40 исследований
Почти 100 опубликованных уязвимостей в SAP
Почти 200 уязвимостей опубликовано в общем
Боле 300 уязвимостей обнаружено

За 2012 год SSRF-атаки превратились из чего-то экзотического во вполне реальную угрозу. Работы Александра Полякова, Владимира Воронцова и других исследователей в этой области составили практически полную картину различных механизмов проведения таких атак и возможных последствий. Тем не менее, поскольку разработка этой тематики началась сравнительно недавно, поле для исследований еще остается.

В этой статье будет рассмотрена небольшая особенность протокола FTP, благодаря которой уязвимость, позволяющую провести SSRF-атаку, можно использовать не только для получения информации или развития вектора атаки, но и для релеинга атак типа DoS как на внешние, так и на внутренние системы (в том числе и на систему с уязвимостью, позволяющей DoS-атаку).

Поздравляем победителей ZeroNights HackQuest! За смекалку и хакерские навыки победившие команды вознаграждаются бесплатными билетами на ZeroNights и футболками от ONsec.

1 место: ReallyNonamesFor
2 место: RDot.Org
3 место: Raz0r

Корпорация Intel, а именно Intel’s Security Center of Excellence, решила поддержать мероприятие и стать нашим серебряным спонсором. Мы приветствуем Intel в рядах компаний, готовых вкладываться в миссию ZeroNights — распространение принципов и техник информационной безопасности как среди состоявшихся специалистов в самых разных областях, так и среди молодого поколения.

Другая хорошая новость: на круглом столе «Security Researchers vs. Developers» намечается поистине эпическая битва разработчиков с хакерами. Против исследователей безопасности выступят специалисты из ViaForensics, Nokia, Yandex и Google.

По многочисленным просьбам выкладываем все наши козыри. На сайте уже доступна первая версия программы.

Мы с гордостью объявляем темы ключевых докладов:

1. The Grugq (Таиланд) выступит с речью, посвященной принципам практической боевой безопасности анонимных хакеров — OPSEC. «Черные шляпы» в зале сохраняют каменные лица!
2. Felix ‘FX’ Lindner (Германия) выступит с презентацией под названием «Стремись быть собой».

ООО «Газинформсервис» объявляет конкурс «Поиск уязвимостей в техническом решении по защищенному удаленном доступу» в целях привлечения внимания IT-сообщества и потребителей к вопросам информационной безопасности, поиску новых профессиональных решений.
Победитель получит приз в размере 100 000 рублей.

Искать уязвимости можно с 31 октября по 12 ноября 2012 (включительно), победитель будет объявлен на конференции ZeroNights.

Update: Друзья, обратите, пожалуйста, внимание на то, что Digital Security не имеют отношения к разработке конкурса.

ZeroNights 2012, как и в прошлом году, проходит при поддержке и участии Яндекса. Мы очень рады вновь сотрудничать с такой знаменитой компанией. На днях компания «Яндекс» открыла программу по вознаграждению исследователей за найденные уязвимости в веб-сервисах и мобильных приложениях под названием «Охота за ошибками». С гордостью отметим, что это первый разработчик ПО на постсоветском пространстве, который столь ответственно отнесся к безопасности своих продуктов. Первые результаты программы будут объявлены на ZeroNights 2012, которая, как и раньше, сосредоточит в себе все самое интересное и актуальное из мира ИБ в России.

Также мы с удовольствием сообщаем, что сеть хостелов Bear Hostels предоставляет посетителям конференции 10-процентную скидку. Мы ждем вас в гости, в каком бы городе вы ни жили!

Еще одна хорошая новость: благодаря тому, что нам удалось несколько оптимизировать бюджет конференции, стоимость билетов для физических лиц теперь составляет 7000 рублей. Участники RISSPA и DEFCON Group имеют право на 10-процентную скидку.

Мы также сняли ограничение на количество регистраций по студенческому тарифу. Напомним, что с 1 октября стоимость участия для студентов и аспирантов составляет 1900 рублей. В студенческий пакет входит посещение конференции, включая все workshops, участие в конкурсах с призами, а также кофе-брейки.

ZeroNights — международная конференция, посвященная техническим аспектам информационной безопасности. Главная цель конференции — распространение информации о новых методах атак, угрозах и защите от них, а кроме того — создание площадки для общения специалистов-практиков по ИБ.

Место и время проведения: Россия, Москва, 19–20 ноября 2012 года.

Эта конференция – для технических специалистов, администраторов, руководителей и сотрудников службы ИБ, пентестеров, программистов и всех тех, кто интересуется прикладными аспектами отрасли.

Наше мероприятие — уникальное, неповторимое событие в мире ИБ России. Гости со всего мира, технические хакерские доклады и мастер-классы — без воды и рекламы, только технологии, методики, атаки и исследования!

Напоминаем вам, что Call for Papers продлится до 10.10.2012. Уже сейчас мы можем рассказать о некоторых докладчиках:

ZeroNights — международная конференция, посвященная техническим аспектам информационной безопасности. Главная цель конференции — распространение информации о новых методах атак, угрозах и защите от них, а кроме того — создание площадки для общения специалистов-практиков по ИБ.
Место и время проведения: Россия, Москва, 19–20 ноября 2012 года.

Если вы желаете поделиться своим опытом, знаниями и умениями, то делается это легко: пришлите нам описание вашей темы и желаемый формат. Наш программный комитет (DCG#7812) рассмотрит его и примет решение. CFP продлится до 10.10.12. При этом публикация и отбор будет проходить в несколько раундов, так что в течение всего периода CFP мы будем публиковать информацию о тех докладах, что были приняты.

Компания Digital Security проводит цикл технических вебинаров по безопасности бизнес-приложений. Мы осветим темы безопасности ДБО и мобильного банкинга, защиты систем SAP, безопасности АСУ ТП, а также систем виртуализации, таких как VMware и Citrix XenApp. Вы узнаете о брешах в безопасности, о которых вам не расскажут разработчики.

К участию в вебинарах приглашаются все желающие. Полезную для себя информацию могут получить специалисты по IT, по информационной безопасности, все, кто имеет отношение к управлению ресурсами предприятия, к промышленному и финансовому сектору.