PHDays — Positive Hack Days. Fast Track

POSITIVE HACK DAYS



ОРГАНИЗАТОР

Fast Track

Зато удобно! (Утечки из-за ботов в мессенджерах)

Хочу посетить   +85

Ведущий: Антон Лопаницын

Докладчик расскажет о ботах в популярном мессенджере Telegram: как полезный инструмент превращается в источник утечки информации.

  • Язык доклада
  • Русский

Исследователь безопасности веб-приложений в компании ONSEC. В данный момент работает над Wallarm.

Антон Лопаницын Антон Лопаницын

Лазейки в прошивке ядра LTE-модема

Хочу посетить   +80

Ведущий: Андрей Ловянников

Докладчик представит результат исследования прошивки ядра LTE-модема Huawei E3372, отвечающего за радиоканал. Автор продемонстрирует, как внести в ядро изменения, которые позволят передавать данные по радиоканалу без шифрования.

  • Язык доклада
  • Русский

Ведущий специалист по информационной безопасности в «АСП Лабс». Участник CTF-команды BalalaikaCr3w (LC/BC). Аспирант НИЯУ МИФИ. Обычно занят реверсингом всего, что попало под руку. Остальное время эксплуатирует бинарные уязвимости.

Андрей Ловянников Андрей Ловянников

Как мы сделали security awareness в QIWI

Хочу посетить   +74

Ведущий: Екатерина Пухарева

Чтобы повысить уровень осведомленности сотрудников о проблемах информационной безопасности, в QIWI проводились викторины, квесты и CTF. Усвоенный материал проверяли с помощью внутреннего фишинга, подброса инфицированных носителей и пентеста.

  • Язык доклада
  • Русский

Последние три года работает в компании QIWI, занимается IT compliance и vulnerability management. Автор статей о регуляторных рисках и ИБ-аудитах.

Екатерина Пухарева Екатерина Пухарева

Методы защиты Java-приложений и их обход

Хочу посетить   +71

Ведущий: Филипп Лебедев

Доклад описывает спектр известных способов защиты Java-приложений, для большинства из которых существуют сценарии обхода.

  • Язык доклада
  • Русский

Специалист по информационной безопасности в «АСП Лабс». Участник CTF-команды BalalaikaCr3w. Эксперт по криптографическим качествам итеративных блочных шифров, занимается преимущественно реверсингом прикладного ПО и эксплуатацией бинарных уязвимостей.

Филипп Лебедев Филипп Лебедев

Выдержит ли ваш бизнес натиск ransomware?

Хочу посетить   +69

Ведущий: Юлия Омельяненко (Yulia Omelyanenko)

Вы разрабатываете программу непрерывности бизнеса и экстренного восстановления, планируете, как будете справляться с пожаром, сбоями питания или стихийными бедствиями. Но внезапно в вашу сеть попадает шифровальщик-вымогатель, и, возможно, каждую секунду вы теряете доступность своих активов, а вместе с ними и данные. Докладчик расскажет о том, почему угрозу шифровальщиков стоит рассматривать в контексте непрерывности бизнеса и как справляться с уже произошедшим инцидентом и минимизировать его последствия.

  • Язык доклада
  • Английский

Менеджер подразделения стандартизации и управления рисками Acronis. Ранее вела GRC-направление в крупной компании сегмента FMCG. Окончила Московский инженерно-физический институт (НИЯУ МИФИ). Более 6 лет опыта в сфере информационной безопасности и управления информацией.

Юлия Омельяненко Юлия Омельяненко

Бессигнатурное обнаружение PHP-бэкдоров

Хочу посетить   +69

Ведущий: Григорий Земсков

Докладчик расскажет о разработанном и реализованном алгоритме бессигнатурного обнаружения вредоносных фрагментов PHP-кода.

  • Язык доклада
  • Русский

Руководитель компании «Ревизиум», специализирующейся на комплексной безопасности сайтов. Специалист по информационной безопасности, разработчик открытых инструментов для проверки сайтов на вирусы и взлом. Постоянный участник конференций, преподаватель МАМИ, автор курсов, мастер-классов и большого числа публикаций по безопасности веб-приложений.

Григорий Земсков Григорий Земсков

Ищем уязвимости нулевого дня в ядре Linux

Хочу посетить   +67

Ведущий: Андрей Коновалов

Вы узнаете о том, как при помощи syzkaller обнаружить уязвимости ядра Linux. syzkaller — инструмент для фаззинга системных вызовов Linux. Во время тестирования ядра Linux внутри компании Google фаззер нашел более 400 уязвимостей; внешними пользователями также было обнаружено множество ошибок.

  • Язык доклада
  • Русский

Разработчик ПО в компании Google. Занимается разработкой различных инструментов для поиска уязвимостей ядра Linux.

Андрей Коновалов Андрей Коновалов

Другая сторона DDoS

Хочу посетить   +64

Ведущий: Красимир Цветанов (Krassimir T. Tzvetanov)

Цель этого доклада — познакомить специалистов по безопасности с инструментами, которые популярны в подполье для организации атак типа «отказ в обслуживании». Докладчик расскажет о некоторых наборах инструментов и техник, которые используются для инициирования этих атак, и рассмотрит их финансовую составляющую: во сколько злоумышленнику обойдется проведение атаки, а безопаснику — защита от нее. С точки зрения защиты мы также планируем рассмотреть, каковы преимущества и недостатки минимизации последствий атаки по сравнению с услугами специалистов в этой области.

  • Язык доклада
  • Английский

Специалист по информационной безопасности в Fastly, высокоэффективной сети доставки содержимого, целью которой является как ускорение доставки, так и защита от DDoS-атак. Ранее работал на таких поставщиков оборудования, как Cisco и A10, и занимался исследованием угроз, предотвращением DDoS-атак и ликвидацией последствий, безопасностью продуктов и лучшими практиками разработки ПО в отрасли информационной безопасности. Также работал в Yahoo! и Google. Был организатором BayThreat, крупного мероприятия по кибербезопасности. Степень бакалавра в области проектирования электрических систем и степень магистра в области цифровой криминалистики и расследований.

Красимир Цветанов Красимир Цветанов

Горизонтальные перемещения в инфраструктуре Windows

Хочу посетить   +61

Ведущий: Теймур Хеирхабаров

Любая целенаправленная атака включает в себя несколько этапов. Сначала злоумышленники тщательно собирают информацию об интересующей их компании и ее сотрудниках для поиска наиболее слабого звена. Далее через обнаруженное слабое звено происходит проникновение в сеть, в результате которого у злоумышленника появляется в распоряжении один или несколько хостов внутри защищаемого периметра. После этого злоумышленники постараются заполучить в свое распоряжения аутентификационные данные привилегированных пользователей, обладающих правами на множестве хостов корпоративной сети. А как только это им удается, начинается самое интересное: «прыжки» с хоста на хост в целях поиска интересующей информации или систем. И здесь в распоряжении злоумышленников большое разнообразие стандартных механизмов удаленного выполнения команд в Windows, а также различные легитимные утилиты, так полюбившиеся системным администраторам. Именно об этих механизмах и утилитах докладчики расскажут в своем выступлении, а также покажут, как можно обнаружить их использование по следам, неизбежно оставляемым в журналах событий.

  • Язык доклада
  • Русский

Занимается «бумажной» и практической информационной безопасностью более 6 лет. Аналитик SOC в «Лаборатории Касперского». В прошлом руководитель подразделения ИБ на одном из промышленных предприятий. Закончил специалитет и магистратуру СибГАУ им. академика М. Ф. Решетнева (в котором в дальнейшем читал курсы по ИБ). Участник ряда CTF. Выступал на ZeroNights.

Теймур Хеирхабаров Теймур Хеирхабаров

Использование графа связей типов событий для корреляции данных в SIEM-системах

Хочу посетить   +59

Ведущие: Андрей Федорченко, Андрей Чечулин и Игорь Котенко

Доклад посвящен исследованию процесса корреляции для SIEM-систем на основе анализа структур типов событий безопасности. Предлагается подход к автоматизированному анализу событий безопасности как входных данных с динамическим содержимым. Для автоматизированного анализа предлагается строить граф типов событий с прямыми и косвенными связями между собой. Обработка входных данных безопасности подразумевает выполнение функционального и поведенческого анализа за счет вычисления частотно-временных характеристик событий, их ранжирования и построения шаблонов поведения. Предлагаемый подход позволяет использовать ранее не применяемый метод ранговой корреляции, наряду с другими интеллектуальными методами. Формулируются требования к нормализации исходных данных. Приводится пример анализа журнала событий безопасности и полученный в результате граф связей типов событий.

  • Язык доклада
  • Русский

Андрей Федорченко
Аспирант, младший научный сотрудник лаборатории проблем компьютерной безопасности СПИИРАН. Занимается исследованиями в области корреляции событий и информации безопасности для SIEM-систем. Финалист конкурса Young School на PHDays V.

Андрей Чечулин
Старший научный сотрудник лаборатории проблем информационной безопасности СПИИРАН. Участник ряда российских и международных проектов, посвященных различным аспектам компьютерной безопасности (разработка курса по компьютерной криминалистике в Федеральной криминальной полиции Германии, разработка систем аналитического моделирования атак в проектах Европейской рамочной программы FP7, разработка систем визуализации в проектах ФЦП Российской Федерации). Выступал на различных российских и международных конференциях по компьютерной безопасности.

Игорь Котенко
Заведующий лабораторией проблем информационной безопасности СПИИРАН. Участвовал во множестве различных проектов по созданию новых технологий компьютерной безопасности (руководство проектами ФЦП Российской Федерации, РНФ, РФФИ, Европейских рамочных программ FP7 и FP6, проектов по заказу компаний HP, Intel, F-Secure). Выступал на различных конференциях по компьютерной безопасности.

Андрей Федорченко, Андрей Чечулин и Игорь Котенко Андрей Федорченко, Андрей Чечулин и Игорь Котенко

Управление рисками: как перестать верить в иллюзии

Хочу посетить   +58

Ведущий: Алексей Смирнов

Поставщики GRC-решений подают формальное соответствие как обязательный этап на пути к оценке рисков. Докладчик расскажет о недостатках таких решений, о том, что на самом деле требуется вместо них и как разумно применять существующие недорогие и перспективные решения для управления уязвимостями.

  • Язык доклада
  • Русский

Начинал как хакер в 1989-м на мейнфреймах и несколько лет ломал в основном для развлечения. Разработал фаервол, консультировал по вопросам кибербезопасности. Четыре года работал CISO в Parallels. Сейчас вернулся в консалтинг. Эксперт ассоциации «Открытая сеть».

Алексей Смирнов Алексей Смирнов

Анализ атак на исчерпание энергоресурсов на примере устройств беспроводных сетей

Хочу посетить   +55

Ведущий: Владислав Александров и Василий Десницкий

В работе исследуются атаки, направленные на исчерпание энергоресурсов устройств, работающих от автономных источников питания. Анализируются следующие виды атак: принудительный вывод устройств из режима работы с низким энергопотреблением (Denial-of-Sleep attacks), увеличение трафика, создание электромагнитных шумов, нештатное использование ПО. Работа иллюстрируется моделированием некоторых видов атак на мобильное устройство на базе платформы Android и на узлы ZigBee-сети.

  • Язык доклада
  • Русский

Василий Десницкий
Старший научный сотрудник лаборатории проблем компьютерной безопасности СПИИРАН, кандидат технических наук, доцент кафедры защищенных систем связи СПбГУТ им. Бонч-Бруевича. Научные интересы: исследования и разработка в области безопасности встроенных устройств и систем интернета вещей, анализа и моделирования атак, систем управления событиями безопасности, защиты программного обеспечения.

Владислав Александров
Студент второго курса магистратуры Университета ИТМО по направлению «Информационная безопасность», программист в Positive Technologies. Участвует в проектах лаборатории проблем компьютерной безопасности СПИИРАН. Проводит исследования в области защищенности систем интернета вещей и анализа атак на исчерпание энергоресурсов.

Владислав Александров и Василий Десницкий Владислав Александров и Василий Десницкий

Что тебе видно, веб-аналитик? О практике использования виджетов веб-аналитики на страницах входа в интернет-банки

Хочу посетить   +55

Ведущий: Дмитрий Павлов

Веб-аналитика используется на подавляющем большинстве сайтов и приложений для изучения поведения посетителей. Полученные данные используются для продвижения и оптимизации сайта. Банки тоже используют системы интернет-статистики на своих сайтах — иногда на странице входа в интернет-банк. В докладе пойдет речь о статистике использования JavaScript-виджетов аналитики на странице входа в интернет-банк, где присутствует конфиденциальная информация.

  • Язык доклада
  • Русский

Студент четвертого курса ВМК МГУ.

Дмитрий Павлов Дмитрий Павлов

Эволюция троянских флешек

Хочу посетить   +54

Ведущий: Андрей Бирюков

Про вредоносные устройства на базе Teensy и других макетных плат известно относительно много: притворившись клавиатурой или другим легитимным устройством, они осуществляют вредоносную активность в обход средств защиты. Однако троянское устройство на базе микрокомпьютера Raspberry Pi Zero позволяет реализовать значительно больше видов атак. С его помощью можно провести MITM-атаку, автоматическое сканирование на уязвимости с их последующей эксплуатацией, подключиться к целевой системе по JTAG и внести изменения в настройки на уровне BIOS. В докладе будет продемонстрирована реализация ряда таких атак.

  • Язык доклада
  • Русский

Окончил факультет прикладной математики и физики МАИ. В области ИБ более 12 лет. В настоящее время ведущий инженер по информационной безопасности в «АМТ-ГРУП». Основное направления деятельности — защита АСУ ТП. Постоянный автор журнала «Системный администратор». Автор нескольких книг по информационной безопасности.

Андрей Бирюков Андрей Бирюков

Изучаем миллиард состояний программы на уровне профи. Как разработать быстрый и масштабируемый DBI-инструмент для обеспечения безопасности. Пример из практики

Хочу посетить   +54

Ведущий: Максим Шудрак

Основная цель доклада — познакомить аудиторию с динамической бинарной инструментацией (DBI), углубиться в эту тему, продемонстрировать основные преимущества этой методики, а также рассмотреть типичные проблемы, связанные с ее применением на практике. Слушатели узнают об основных аспектах технологии DBI, поймут, в каких сферах ее можно использовать, а также познакомятся с потенциальными проблемами при написании собственной утилиты на основе DBI-фреймворков Intel PIN и DynamoRIO. Докладчик на реальных примерах покажет, как DBI может применяться для поиска ошибок типа переполнения кучи в «тяжеловесных» программах и для динамического анализа вредоносного кода.

  • Язык доклада
  • Русский

Эксперт по безопасности в IBM Research (Израиль), кандидат наук. Область профессиональных интересов: обратная разработка, анализ безопасности ПО, динамическая бинарная инструментация, анализ вредоносного ПО и методы эмуляции.

Максим Шудрак Максим Шудрак

Кибершпионаж в Средней Азии

Хочу посетить   +54

Ведущий: Антон Черепанов

Исследователи компании ESET недавно обнаружили интересную кампанию с целью кибершпионажа, развернутую в странах Средней Азии. Вредоносное ПО для атак, нацеленных на важные государственные объекты, использовалось как минимум с 2016 года. Докладчик раскроет детали подготовки кампании и предоставит вашему вниманию технический анализ использованных злоумышленниками инструментов.

  • Язык доклада
  • Русский

Старший исследователь безопасности компании ESET. Занимается анализом комплексных угроз. Выступал на многочисленных конференциях, включая Virus Bulletin, CARO Workshop, 4SICS (CS3STHLM) и ZeroNights. Интересуется вопросами информационной безопасности, обратной разработки и автоматизацией процессов анализа вредоносного ПО.

Антон Черепанов Антон Черепанов

Сравнение эффективности средств защиты информации от несанкционированного доступа

Хочу посетить   +53

Ведущие: Роман Алферов и Андрей Горохов

В докладе будет рассказано о результатах исследования эффективности некоторых отечественных средств защиты информации от несанкционированного доступа. На практических примерах будут продемонстрированы выявленные недостатки.

  • Язык доклада
  • Русский

Роман Алфёров
Инженер-аналитик компании «Стандарт безопасности». Участник CTF-команды girav. Студент Ярославского государственного университета (специальность «Компьютерная безопасность»). Занимается реверсингом виндовых бинарников и тестированием на проникновение.

Андрей Горохов
Инженер компании «Стандарт безопасности». Участник CTF-команды girav. Аспирант Ярославского государственного университета. Занимается расследованием компьютерных преступлений и тестированием на проникновение.

Роман Алферов и Андрей Горохов Роман Алферов и Андрей Горохов

Evil Printer: собираем нескучную прошивку

Хочу посетить   +52

Ведущий: Антон Дорфман

Вокруг нас есть устройства, которые выполняют важную работу, но их безопасностью зачастую пренебрегают. Эти устройства — сетевые принтеры и МФУ. Докладчик рассмотрит варианты расширения стандартных возможностей этих устройств с помощью модификации прошивки. Будут показаны реальные боевые нагрузки для атак на корпоративные и промышленные сети.
Докладчик: Антон Дорфман, авторы: Владимир Назаров и Иван Бойко.

  • Язык доклада
  • Русский

Исследователь, реверсер, фанат языка ассемблера, кандидат технических наук. С отличием окончил Самарский государственный технический университет. Преподавал реверс-инжиниринг. Автор более 50 научных публикаций в области компьютерной безопасности. Увлекается автоматизацией реверсинга в любых ее проявлениях. Занял 3-е место в конкурсе «Лучший реверсер» на PHDays II. Помимо форума PHDays, выступал на Zeronights и HITB 2014. Организатор и тренер студенческих CTF-команд. Ведущий специалист отдела анализа приложений в Positive Technologies.

Антон Дорфман Антон Дорфман

Dangerous controllers

Хочу посетить   +51

Ведущий: Игорь Душа

Основная тема — уязвимости ПЛК, УСО, МПЦ и других интеллектуальных устройств. Рассматриваются особенности проведения тестов на проникновение в АСУ ТП, а также классификация уязвимостей SCADA-систем и ПЛК — с конкретными примерами и указанием методов устранения. Доклад охватывает также особенности безопасности проприетарных технологий передачи данных между управляющими устройствами и устройствами полевого уровня, позволяющие брать под контроль технологические процессы нефтегазовой, ядерной и других отраслей. Приводятся результаты реальных тестов и их обобщения.

  • Язык доклада
  • Русский

Выпускник факультета информационной безопасности МИФИ. Специалист по ИБ в компании ASP Labs, архитектор комплексного решения по информационной безопасности АСУ ТП. Участвует в работах по обеспечению безопасности АСУ ТП — аудитах, тестировании на проникновение, проектировании и установке средств защиты информации — в железнодорожной, атомной, нефтеперерабатывающей и электрораспределительной отраслях. Участник CTF-команды BalalaikaCr3w.

Игорь Душа Игорь Душа

Разработка расширения для Google Chrome, защищающего от утечки информации через другие расширения

Хочу посетить   +50

Ведущий: Анастасия Парыгина

Существует серьезная проблема утечки конфиденциальной информации через различные расширения при работе в браузере. Доклад посвящен расширению для браузера, которое позволит обезопасить пользователя, имеющего минимум технических навыков и знаний в области информационной безопасности.

  • Язык доклада
  • Русский

Родилась в Астане. Учится в Евразийском национальном университете им. Л. Н. Гумилева, на 4-м курсе факультета информационных технологий. С 2015 года работает в сфере проектирования и разработки информационных систем.

Анастасия Парыгина Анастасия Парыгина

Эвристический метод обнаружения DOM-based XSS с использованием толерантных синтаксических анализаторов

Хочу посетить   +48

Ведущий: Алексей Перцев

Будет описан подход к обнаружению и предотвращению атак DOM-based XSS на клиентской стороне веб-приложения с использованием синтаксических анализаторов JavaScript, толерантных к синтаксическим ошибкам. Метод ориентирован на применение в межсетевых экранах уровня приложения (WAF).

  • Язык доклада
  • Русский

Выпускник Морского государственного университета имени адмирала Невельского во Владивостоке. Работает в компании Digital Security, занимается тестами на проникновение.

Алексей Перцев Алексей Перцев

Безопасная сервис-ориентированная архитектура на примере голосового управления умным домом

Хочу посетить   +45

Ведущий: Wire Snark

В докладе рассматривается методология построения безопасных систем в применении к созданию приложений для интернета вещей. Рассказывается, что такое модель угроз, как она встраивается в процесс разработки программного обеспечения (SDLC). На примере приложения для голосового управления иллюстрируется применение принципа разделения обязанностей и принципа наименьших привилегий. Рассматриваются практические аспекты создания приложения с сервис-ориентированной архитектурой в окружении Yocto Linux — использование DBus IPC, выбор подходящих безопасных языков программирования (среди Go, Rust, Python, Node.js, Java). Затрагиваются вопросы изоляции уязвимого кода, обрабатывающего недоверенные входные данные.

  • Язык доклада
  • Русский

Закончил ННГУ им. Лобачевского. Начинал карьеру интерном в нижегородском подразделении Intel, потом работал математиком-программистом в «Асконе». Сейчас — программист и руководитель группы в компании «Мера». Системный разработчик, занимается в основном сервисами и демонами на платформе для устройств интернета вещей Yocto Linux и платформе Android; в сфере интересов телефония и голосовое управление. Как исследователь ИБ занимается whitebox-аудитом приложений. Защитник приватности, анонимности и безопасности пользователей. Сторонник этичного хакинга и свободного ПО.

Wire Snark Wire Snark

Скрытые возможности GPS

Хочу посетить   +18

Ведущий: Леонид Кролле

  • Язык доклада
  • Русский
Леонид Кролле Леонид Кролле