Видео с PHDays

POSITIVE HACK DAYS



ОРГАНИЗАТОР

Технологии

Сканирование с использованием бэкслэша: подключаем интуицию

Хочу посетить   +129

Ведущий: Джеймс Кеттл (James Kettle)

Существующие сканеры защищенности находят серверные уязвимости по сигнатурам, используя определенный набор специфичных для каждой системы правил, что напоминает принцип работы антивирусных программ. Докладчик поделится своим опытом разработки сканера с открытым исходным кодом, пришедшего на смену классическим неавтоматизированным методам и способного находить и подтверждать наличие как известных, так и новых классов уязвимостей.

  • Язык доклада
  • Английский

Руководитель департамента исследований PortSwigger Web Security. Занимается разработкой и усовершенствованием методов обнаружения уязвимостей, используемых сканером защищенности Burp Suite. В последнее время сосредоточен на исследовании методов обнаружения неизвестных ранее уязвимостей и эксплуатации некорректных настроек CORS при обменных операциях с биткойнами. Приобрел обширный опыт в области разработки новых векторов атак, включая удаленное выполнение кода (RCE) в серверной и клиентской среде, а также использование заголовка HTTP Host с целью подделки (poisoning) адресов электронной почты для восстановления паролей и данных, кэшированных на сервере. Выступал на ведущих международных конференциях, таких как BlackHat и AppSec.

Джеймс Кеттл Джеймс Кеттл

Мечтают ли WAF'ы о статанализаторах

Хочу посетить   +107

Ведущий: Владимир Кочетков

Для традиционных WAF защищаемое приложение — черный ящик: HTTP-запросы на входе, HTTP-ответы на выходе — вот и все, что доступно для детектирования атак. Очевидно, что этой информации недостаточно для формального доказательства результатов детектирования, и WAF довольствуется эвристическими методами. Даже если обеспечить возможность перехвата всех обращений приложения к его окружению (файловой системе, сокетам, БД и т. п.), это позволит лишь улучшить качество эвристик, но никак не поможет в переходе к формальным методам. Но что, если построить такой WAF, который рассматривал бы защищаемое приложение в качестве белого ящика? Что, если бы он работал с моделью приложения, получаемой в результате статического анализа кода? Что, если бы появилась возможность решать, является ли атакой тот или иной HTTP-запрос, — с помощью выполнения фрагментов кода самого приложения?

  • Язык доклада
  • Русский

Руководит отделом исследований по анализу защищенности приложений в Positive Technologies. Принимает участие в разработке продукта PT Application Inspector и исследованиях предметной области безопасности приложений и прикладной криптографии. Участвовал в проектах Nemerle, YAPOET, SCADA Strangelove. Автор статей в журналах HITB Magazine, «Хакер» и RSDN Magazine. Регулярно выступает на конференциях и локальных митапах разработчиков. Является одним из организаторов Positive Development User Group — сообщества разработчиков, интересующихся вопросами безопасности приложений.

Владимир Кочетков Владимир Кочетков

Инциденты с использованием ransomware. Расследование

Хочу посетить   +105

Ведущий: Мона Архипова

В докладе поэтапно воспроизводится процесс заражения конечного ПК программой Osiris с демонстрацией примера на «живой» системе.

  • Язык доклада
  • Русский

Руководитель направления архитектуры и мониторинга информационной безопасности в компании Acronis.

Мона Архипова Мона Архипова

Хакеры хотят ваш банк больше, чем ваших клиентов

Хочу посетить   +102

Ведущий: Дмитрий Волков

Докладчик проведет покейсовый разбор нескольких инцидентов с банкоматами, платежными шлюзами, карточным процессингом, системами межбанковских переводов, опишет тактику атакующих из разных стран для получения доступа в локальную сеть банка и расскажет про приемы, используемые хакерами для повышения привилегий в локальной сети. Продемонстрирует ошибки атакующих, расскажет, как выявить их активность и предотвратить вывод инфраструктуры банка из строя или похитить деньги. Слушатели узнают, кто будет атаковать финансовые учреждения в будущем, что атакующие будут использовать и как заметать следы.

  • Язык доклада
  • Русский
Дмитрий Волков Дмитрий Волков

Взлом учетных записей в WhatsApp и Telegram

Хочу посетить   +93

Ведущий: Роман Заикин (Roman Zaikin)

Автор расскажет об уязвимости в приложениях WhatsApp и Telegram, которая позволяет злоумышленникам, направив безвредного вида файл, содержащий вредоносный код, получить полный доступ к учетной записи пользователя и затем распространить атаку по сетям WhatsApp и Telegram.

  • Язык доклада
  • Английский

Эксперт по вопросам информационной безопасности в компании Check Point. Благодаря его исследованиям были выявлены существенные ошибки в популярных сервисах и продуктах производителей мирового масштаба (Facebook, EBay, WhatsApp, Microsoft). Автор книги «The world of security and hacking». Более семи лет занимается исследованием кибербезопасности. Проводит курсы по кибербезопасности в HackerU. Имеет более 15 сертификатов.

Роман Заикин Роман Заикин

Атаки на видеоконвертеры: год спустя

Хочу посетить   +91

Ведущий: Эмиль Лернер и Павел Черемушкин

На BlackHat 2016 был представлен доклад об уязвимостях в видеосервисах. Докладчики продолжили исследования в этой области и расскажут о новых уязвимостях (логических и бинарных) и интересных способах их эксплуатации. Также расскажут реальные истории эксплуатации этих уязвимостей в программах bug bounty.

  • Язык доклада
  • Русский

Эмиль Лернер
Аспирант кафедры информационной безопасности ВМК МГУ. Занимается безопасностью веб-приложений. Выступает за CTF-команду Bushwhackers.

Павел Черемушкин
Студент лаборатории безопасности информационных систем ВМК МГУ. Пять лет работает в ИБ. Сейчас занимается бинарной эксплуатацией и обратной разработкой. Выступает за CTF-команду Bushwhackers.

Эмиль Лернер и Павел Черемушкин Эмиль Лернер и Павел Черемушкин

Во все тяжкие. Взлом POS-терминала

Хочу посетить   +89

Ведущие: Габриэль Берхель и Хавьер Перес (Gabriel Bergel and Javier Perez )

Докладчики расскажут об уязвимостях в протоколах POS-терминалов и способах обмана: начиная с использования считывателей карт, перехвата и изменения данных, установки стороннего ПО и заканчивая аппаратным взломом терминала.

  • Язык доклада
  • Английский

Габриэль Берхель
Разработчик информационных систем, соискатель магистерской степени в области кибербезопасности в бизнес-школе IMF Business School и университете Camilo José Cela (Испания). Уже 14 лет занимается информационной безопасностью. Выступал с докладами на обучающих мероприятиях, мастер-классах и профильных конференциях по информационной безопасности в Испании и Латинской Америке. Директор по стратегическому планированию в Dreamlab Technologies, главный специалист по вопросам безопасности компании 11Paths.

Хавьер Перес
Фанат IT, увлеченный безопасник, исследователь, сертифицированный инструктор (ISECOM OSSTMM), ведет курсы по информационной безопасности, выступает на конференциях. В ИБ почти 10 лет. Последние годы специализируется на банкоматах и платежных системах (EMV, NFC, POS). Директор департамента исследования и разработки Dreamlab Technologies.

Габриэль Берхель и Хавьер Перес Габриэль Берхель и Хавьер Перес

Application whitelisting: стряхнем пыль и посмотрим по-новому!

Хочу посетить   +81

Ведущий: Артем Ильин

Любой IT-инженер наслышан о недостатках application whitelisting. Поэтому используют эту технологию нечасто. Автор доклада реабилитирует AWL, расскажет о том, как AWL помогает бороться с ИБ-угрозами и как сделать эту технологию дружественной пользователю. Также будут затронуты вопросы автоматизации реагирования на события и исключений для ПО.

  • Язык доклада
  • Русский

Руководитель отдела систем информационной безопасности в ГК «Инфосекьюрити». Окончил Санкт-Петербургский государственный университет аэрокосмического приборостроения по специальности «Вычислительные машины, комплексы, системы и сети». Занимается тестированием, внедрением и поддержкой любого ПО, которое обеспечивает информационную безопасность.

Артем Ильин Артем Ильин

DDoS-атаки в 2016–2017: переворот

Хочу посетить   +80

Ведущий: Артем Гавриченков

К началу 2016 года у многих сложилось впечатление, что проблема DDoS-атак исчерпала себя — настолько тривиальными выглядели сами атаки и меры по защите от них. Спустя год ситуация кардинально изменилась. Обсудим эти изменения, их причины, предпосылки и последствия, а также их взаимосвязь с развитием IoT.

  • Язык доклада
  • Русский

Технический директор Qrator Labs. Окончил факультет вычислительной математики и кибернетики МГУ им. М. В. Ломоносова. Занимается проблематикой сетей передачи данных, мониторинга и защиты информации на протяжении 10 лет, из которых семь — непосредственно вопросами защиты от распределенных атак на отказ в обслуживании. Выступал на различных отраслевых конференциях, в том числе на Black Hat и ZeroNights.

Артем Гавриченков Артем Гавриченков

Анти-APT своими руками

Хочу посетить   +74

Ведущий: Данил Бородавкин

Обфускация вредоносного кода, социальная инженерия, использование «то ли багов, то ли фич» Windows — сегодняшний арсенал злоумышленников дает возможность успешно обходить сигнатурные средства защиты. Доклад посвящен опыту построения в корпоративной среде системы на базе опенсорса, нацеленной на выявление атак, не детектируемых классическими средствами защиты. Речь пойдет о элементах статического и динамического анализа, интересных инцидентах, которые были выявлены за время работы системы (с использованием эксплойтов на MS Office, JS-кода в CHM-файлах, трюков с упаковкой OLE в PDF и Multipart, с промежуточным взломом предприятия-контрагента и крупного авиаперевозчика), будет озвучена накопленная статистика по детекту самодельной системы, сигнатурных средств и одного коммерческого анти-APT-решения.

  • Язык доклада
  • Русский

ИБ-специалист (обнаружение вторжений, песочницы, фильтрация почты), руководитель корпоративного SOC компании «Информационные спутниковые системы» (ГК «Роскосмос»), доцент научно-учебной лаборатории «Информационная безопасность» Сибирского федерального университета. Стаж в ИБ 10 лет, приверженец *nix-way, любитель «опенсорса», «костылей» и порядка.

Данил Бородавкин Данил Бородавкин

SOC в большой корпоративной сети. Challenge accepted

Хочу посетить   +73

Ведущий: Андрей Дугин

Когда тема SOC только обсуждалась на конференциях по информационной безопасности в России, Security Operations Center в компании МТС функционировал уже несколько лет. За эти годы мы накопили знания и опыт работы SOC в разнообразных ситуациях. С чем можно столкнуться при построении SOC? Какие особенности при реализации технологий и в бизнес-процессах нужно учитывать, обеспечивая безопасность IP/MPLS сети такого масштаба? Какие выводы мы сделали после участия в «Противостоянии» на PHDays VI? Ответы на эти и другие вопросы вы найдете в выступлении эксперта МТС.

  • Язык доклада
  • Русский

Начальник отдела обеспечения информационной безопасности ПАО «МТС». CCNP Security.

Андрей Дугин Андрей Дугин

От Tenable SecurityCenter CV к рабочей среде

Хочу посетить   +70

Ведущий: Александр Казимиров (Oleksandr Kazymyrov)

Речь пойдет о пассивном (получение информации об используемых ресурсах, пользователях, паролях, закрытых ключах) и активном (извлечении зашифрованных данных) сборе информации на сервере с установленным Tenable SecurityCenter CV. Кроме того, докладчик продемонстрирует способ перехода из демилитаризованной зоны (DMZ) в рабочую среду при помощи сканера Nessus. Это поможет атакующим более детально разобраться в особенностях SecurityCenter CV для проникновения вглубь сети, а специалистам по расследованию инцидентов безопасности представленные сценарии помогут лучше понять риски, связанные с использованием сканеров безопасности, оставленных в демилитаризованных зонах.

  • Язык доклада
  • Английский

Доктор философии в области информационной безопасности (Бергенский университет). Сотрудник группы нефункционального тестирования в сфере финансовых услуг в компании EVRY. Имеет сертификаты CEH (Certified Ethical Hacker) и CES (Certified Encryption Specialist). Соавтор украинских стандартов блочного шифрования и хеш-функций.

Александр Казимиров Александр Казимиров

Обнаружение ботнетов в корпоративных сетях путем перехватывания сетевого трафика

Хочу посетить   +68

Ведущие: Татьяна Шишкова и Алексей Вишняков

В презентации докладчики поделятся своим опытом обнаружения ботнетов путем перехватывания сетевого трафика между ботом и командным сервером и расскажут, на что в трафике следует обращать внимание для наиболее эффективного выявления вредоносной активности. Докладчики также поведают о недавних случаях заражений крупных корпораций и приведут примеры реального трафика распространенных ботнетов, таких как Neurevt, Andromeda, Fareit, Carberp, Tinba.

  • Язык доклада
  • Русский

Татьяна Шишкова
Выпускница факультета вычислительной математики и кибернетики МГУ. С 2013 г. работает в «Лаборатории Касперского», аналитик вредоносного ПО. Специализируется на обнаружении вторжений в сеть.

Алексей Вишняков
В 2015 г. закончил Национальный исследовательский ядерный университет «МИФИ». Аналитик вредоносного ПО в Shift AV Group в «Лаборатории Касперского». В его работу входит обнаружение и анализ вредоносных объектов.

Татьяна Шишкова и Алексей Вишняков Татьяна Шишкова и Алексей Вишняков

Взлом в прямом эфире: как хакеры проникают в ваши системы

Хочу посетить   +65

Ведущий: Себастиан Шрайбер (Sebastian Schreiber)

Инциденты информационной безопасности в последнее время подчеркнуто демонстрируют, что IT-системы даже в международных высокотехнологичных компаниях и крупных государственных учреждениях не имеют достаточной защиты. Широко распространенных мер тестирования IT может быть достаточно для защиты 99% систем. Однако решающим фактором является то, что оставшийся один процент остается целью цифровых атак. Любой лазейки, какой бы незначительной она ни была, достаточно для того, чтобы хорошо защищенная по всем остальным параметрам IT-инфраструктура оказалась уязвимой в целом. Во время презентации докладчик проведет различные атаки на IT-системы. Он покажет, как невероятно просто можно обойти защитные меры для получения доступа к конфиденциальной информации.

  • Язык доклада
  • Английский

Директор компании SySS — ведущего немецкого поставщика услуг тестирования на проникновение.

Себастиан Шрайбер Себастиан Шрайбер

Вивисекция: анатомия ботнета из маршрутизаторов

Хочу посетить   +64

Ведущие: Максим Гончаров и Илья Нестеров

Заполучить интернет-трафик, подготовить инфраструктуру для эксплойтов и dropzone, арендовать «пуленепробиваемый» хостинг, зашифровать вредоносный бинарный файл, чтобы его не смогло обнаружить большинство антивирусов, построить продвинутые протоколы управления, запустить C2 и постоянно прятаться за несколькими комбинированными слоями VPN, SSH и прокси, — и все ради того, чтобы обеспечить свою безопасность. Куча забот! Если вы хотите создать собственный ботнет, вам рано или поздно придется столкнуться со всем этим. Но что, если есть более простой способ?..

  • Язык доклада
  • Русский

Максим Гончаров
Уже 16 лет работает в сфере компьютерной безопасности. Занимается исследованием угроз в компании Shape Security. Выступает на различных конференциях по ИБ и обучающих семинарах по киберпреступлениям и смежным проблемам (например, исследование уязвимостей, кибертерроризм, кибербезопасность, подпольная экономическая деятельность). Недавно выступал на Black Hat, PacSec, Power of Community, DeepSec, VB, APWG и PHDays.

Илья Нестеров
Специалист по информационной безопасности в компании Shape Security. Предыдущее место работы — F5 Networks. Получил степень магистра в Томском политехническом университете. разработку ловушек. Сфера интересов включает современные угрозы безопасности веб-приложений и методы противодействия им, ботнеты, вредоносное ПО, эксплойты. Также занимается независимыми исследованиями в области информационной безопасности. Выступал на различных конференциях, включая Black Hat, OWASP AppSec и BSides.

Максим Гончаров и Илья Нестеров Максим Гончаров и Илья Нестеров

Атаки на платформу Java Card с использованием вредоносных апплетов

Хочу посетить   +63

Ведущий: Сергей Волокитин (Sergei Volokitin)

Докладчик расскажет об атаках на защищенные контейнеры смарт-карт на базе Java, позволяющих злоумышленнику украсть криптографические ключи и PIN-коды других установленных на карте апплетов.

  • Язык доклада
  • Английский

Аналитик по вопросам безопасности компании Riscure (Нидерланды). Исследует уязвимости платформы Java Card, используемой в большинстве современных смарт-карт. В 2013 окончил факультет информационной безопасности Университета Неймегена. Учится в магистратуре по специальности «Теоретические основы программирования».

Сергей Волокитин Сергей Волокитин

Клонирование голоса и как это выявить

Хочу посетить   +61

Ведущий: Роман Казанцев

Для доступа к кредитным картам банки начали применять аутентификационную технологию, основанную на голосовых биометрических данных. С точки зрения информационной безопасности такие речевые элементы являются конфиденциальными и им необходима защита от компрометации и обезличивания. Обезличивания можно добиться, применяя методы изменения (клонирования) голоса. Докладчик продемонстрирует программную реализацию метода клонирования голоса, покажет, как система распознавания голоса может определить клонированные, и представит данные исследования о зависимости между показателями работы детектора клонированного голоса и количеством кепстральных свойств, используемых для обучения.

  • Язык доклада
  • Русский

Инженер в подразделении Intel по разработке программного обеспечения. Более 7 лет профессионального опыта. Специализируется на криптографии, защите ПО и информатике. Получил степень бакалавра и магистра в области информатики в Нижегородском государственном университете имени Н. И. Лобачевского (диплом с отличием). Выпустил порядка 10 публикаций и два патента в области информационной безопасности.

Роман Казанцев Роман Казанцев

Знакомимся с уязвимостями macOS — 2016

Хочу посетить   +60

Ведущий: Патрик Уордл (Patrick Wardle)

KeRanger, Eleanor, Keydnap и многие другие! Создатели вредоносного ПО для macOS в 2016 году времени даром не теряли, выпустив множество новых зловредов. Вашему вниманию будет представлен технический обзор, включающий в себя обсуждение их свойств, векторов заражения и механизмов устойчивости. Мы поговорим об универсальных методах обнаружения атак (generic detections), которые обеспечивают безопасность macOS.

  • Язык доклада
  • Английский

Руководитель департамента разработки и исследований компании Synack. Имея опыт сотрудничества с NASA и АНБ, а также выступлений с докладами на множестве конференций по информационной безопасности, хорошо разбирается во всем, что касается инопланетян, шпионов и ведения заумных разговоров. В свободное время занимается коллекционированием вредоносных программ для OS X и разрабатывает свободно распространяемые инструменты для защиты этой платформы.

Патрик Уордл Патрик Уордл

Android Task Hijacking

Хочу посетить   +59

Ведущие: Юрий Шабалин и Евгений Блашко

Android Task Hijacking — уязвимость Android, которая позволяет подменить любое приложение, используя только стандартные механизмы и не требуя специальных разрешений. Такой подход не требует наличия root-прав на устройстве и Google спокойно пропускает такие приложения в Store. Из-за того что уязвимость находится на уровне системы, подмене подвержены все приложения на устройстве, в том числе системные. Докладчик расскажет о технических подробностях, покажет, как работает эта уязвимость, и поделится возможными решениями.

  • Язык доклада
  • Русский

Юрий Шабалин
Отвечает за внедрение SDLC в рамках аудита исходного кода и за общую интеграцию инструментов анализа приложений в единую экосистему разработки. Работал в «Альфа-банке» и Positive Technologies в направлениях аудита ИБ, форензики, тестирования на проникновение и внедрения практик безопасной разработки. Выступал на ZeroNights, RISSPA, OWASP.

Евгений Блашко
Пять лет опыта в ИБ, три года в области разработки приложений для настольных и мобильных ОС. Занимается проведением анализа безопасности исходного кода и защищенности мобильных приложений в компании «Сбербанк-Технологии». Спикер конференции OWASP Russia.

Юрий Шабалин и Евгений Блашко Юрий Шабалин и Евгений Блашко

Cyber Defense Operations Center: опыт Microsoft

Хочу посетить   +59

Ведущий: Андрей Мирошников

Обзор функций, состава, специфик и организации работы Microsoft Cyber Defense Operations Center. Использование инструментов Windows Defender ATP, Microsoft ATA, O365 Threat Explorer, WEF для мониторинга безопасности внутри сети Microsoft, а также для обнаружения, расследования и реагирования на инциденты безопасности.

  • Язык доклада
  • Русский

Старший аналитик в команде по управлению угрозами информационной безопасности в операционном центре киберзащиты Microsoft. Автор Forensics CTF (организовал для DEFCON24). Выступал на Microsoft BlueHat. Автор справочника по аудиту безопасности и мониторингу «Windows 10 and Windows Server 2016 security auditing and monitoring reference». Окончил Иркутский государственный университет по специальности «математик-программист». Проходит обучение по программе MBA в Университете штата Вашингтон.

Андрей Мирошников Андрей Мирошников

Заполучили права администратора домена? Игра еще не окончена

Хочу посетить   +57

Ведущий: Кит Ли (Keith Lee)

Получение прав администратора домена не всегда означает, что сразу появляется доступ ко всем хостам, общим ресурсам или базам данных сети. Хитрость в том, чтобы найти нужный аккаунт. Докладчик приведет примеры различных сценариев внутреннего тестирования на проникновение, расскажет о сложностях, с которыми столкнулась его команда и о том, как разрабатывался инструмент, позволивший справиться с ними.

  • Язык доклада
  • Английский

Старший консультант по информационной безопасности группы SpidersLabs компании Trustwave (одной из крупнейших в мире групп, объединяющих специалистов по ИБ из Северной и Южной Америки, Европы и Азиатско-Тихоокеанского региона). Специализируется на тестировании на проникновение, социальной инженерии и услугах реагирования на инциденты для клиентов в Азиатско-Тихоокеанском регионе.

Кит Ли Кит Ли

Как разработать DBFW с нуля

Хочу посетить   +56

Ведущие: Денис Колегов и Арсений Реутов

Докладчик расскажет о технических аспектах разработки с нуля прототипа межсетевого экрана уровня систем управления базами данных Database Firewall: о том, что нужно чтобы разработать DBFW, о возможности применения методов машинного обучения для эффективного обнаружения SQL-инъекций по SQL-запросам, обнаружении SQL-инъекций на основе методов синтаксического анализа, реализации ролевого и атрибутного управление доступом. Также речь пойдет о перспективных механизмах защиты приложений на основе технологий межсетевого экранирования и статического анализа кода.

  • Язык доклада
  • Русский

Денис Колегов
Кандидат технических наук, доцент кафедры защиты информации и криптографии Национального исследовательского Томского государственного университета. Руководитель группы исследований технологий защиты приложений в компании Positive Technologies.

Арсений Реутов
В 2012 году окончил Марийский государственный университет. Руководитель отдела исследований по защите приложений в Positive Technologies. Автор ряда исследований в области ИБ, ведет популярный тематический блог raz0r.name. Специализируется в вопросах безопасности приложений, тестировании на проникновение, анализе веб-приложений и исходного кода.

Денис Колегов и Арсений Реутов Денис Колегов и Арсений Реутов

Антология антифрода: переход к математическим моделям с применением элементов искусственного интеллекта

Хочу посетить   +55

Ведущие: Алексей Сизов и Евгений Колесников

Доклад посвящен истории становления и развития антифрод-систем в России. Докладчик расскажет о механизмах атак на платежные и банковские сервисы, используемые мошенниками последние 10 лет, о функциональных элементах антифрод-детектирования и об отражении атак. Вторая часть доклада посвящена применению математических моделей в антифрод-системах и их эффективности.

  • Язык доклада
  • Русский

В 2006 году окончил факультет вычислительной математики и кибернетики МГУ. В 2009 году окончил аспирантуру Всероссийского научно-исследовательского института проблематики вычислительной техники и информатизации по специализации «Защита информации и информационная безопасность». Кандидат технических наук. Три года работал в Московском индустриальном банке в отделе защиты пластиковых карт. Занимался внедрением систем фрод-мониторинга и обеспечением криптографической защиты процессов обслуживания банковских карт. Затем работал в банке «Тинькофф» в должности заместителя начальника отдела платежных рисков. С 2012 года руководитель направления противодействия мошенничеству центра информационной безопасности компании «Инфосистемы Джет».

Алексей Сизов и Евгений Колесников Алексей Сизов и Евгений Колесников

Охота на уязвимости Hadoop

Хочу посетить   +54

Ведущие: Махди Браик и Томас Дебиз (Mahdi Braik and Thomas Debize)

В связи с ростом трафика и необходимостью объемного анализа данных, большие данные стали одной из самых популярных областей в сфере IT, и многие компании в настоящее время работают над этим вопросом — развертывают кластеры проекта Hadoop, который в настоящее время является самой популярной платформой для обработки больших данных. В докладе в доступной форме будут представлены вопросы обеспечения безопасности Hadoop или, точнее, их принципы, а также продемонстрированы различные векторы атак на кластер.

  • Язык доклада
  • Английский

Махди Браик и Томас Дебиз — приверженцы информационной безопасности из Франции. Работают аудиторами ИБ во французской консультационной компании Wavestone. Занимаются различными аудитами безопасности, тестированием на проникновение и реагированием на инциденты через CERT компании. Несколько лет назад заинтересовались технологиями Hadoop, и после того как узнали, насколько недоработана эта экосистема, решили начать охоту за ее уязвимостями. Любят размещать на Git новые инструменты безопасности и писать посты в корпоративном блоге и специализированных журналах по информационной безопасности.

Махди Браик и Томас Дебиз Махди Браик и Томас Дебиз

Механизмы предотвращения атак в ASP.NET Core

Хочу посетить   +54

Ведущий: Михаил Щербаков

Посмотрим на новый веб-фреймворк Microsoft с точки зрения безопасности. ASP.NET Core является продолжением развития платформы ASP.NET и, в отличие от старшего брата, код его полностью открыт и поддерживается сообществом. Архитектура фреймворка была переосмыслена, появились новые security features, часть существующих сильно переписана.
В докладе поговорим об этих различиях и разберем, как теперь работают встроенные механизмы защиты от XSS и CSRF, какие возможности криптографии доступны из коробки, как устроено управление сессиями. Доклад будет интересен в первую очередь разработчикам, пишущим защищенные ASP.NET-приложения, специалистам, проводящим security review .NET-проектов, и всем желающим разобраться в реализации компонентов безопасности на примере этой платформы.

  • Язык доклада
  • Русский

Получил награду MVP корпорации Microsoft, участник программы .NET Core Bug Bounty, организатор сообщества .NET в Санкт-Петербурге и Москве, независимый разработчик ПО и консультант. Профессиональные интересы: статический и динамический анализ кода, информационная безопасность, автоматизация отладки кода, исследование внутреннего устройства .NET CLR.

Михаил Щербаков Михаил Щербаков

Исследование информационно-психологической безопасности приложений для знакомств

Хочу посетить   +53

Ведущие: Никита Тараканов, Мохамед Сахер, Ахмед Гархи (Nikita Tarakanov, Mohamed Saher, and Ahmed Garhy)

В мире, как никогда опутанном информационными сетями, люди выдают свои личные данные и интимные подробности на благо гигантов соцсетей с готовностью и беспрецедентным доверием. Но что происходит, когда эта информация попадает не в те руки? Что если платформы соцсетей не потрудились выполнить свои обещания и защитить нас от злоумышленников и навязчивых преследователей, которые могут нам навредить? В этом докладе будут обозначены некоторые недочеты в одной из наиболее популярных платформ для соцсетей, которая сегодня используется во всем мире. Также докладчики продемонстрируют, как злоумышленник может получить информацию о пользователях и отследить их местоположение и перемещения. Зрители также увидят, как люди сами того не желая могут выдать информацию и как можно определить пользователей, которые используют платформу для мошенничества.

  • Язык доклада
  • Английский
Никита Тараканов, Мохамед Сахер, Ахмед Гархи Никита Тараканов, Мохамед Сахер, Ахмед Гархи

Внедрение безопасности в веб-приложениях в среде выполнения

Хочу посетить   +52

Ведущий: Аджин Абрахам (Ajin Abraham)

В данной работе рассматриваются результаты исследования по реализации алгоритма исправления ошибок в приложении в среде выполнения. Исследование проводилось на приложении с незащищенным кодом с целью его защиты от внедрения кода и других уязвимостей веб-приложений. Также в работе будет представлена технология защиты веб-приложений нового поколения под названием Runtime Application Self-Protection (RASP) (самозащита приложения в среде выполнения), которая защищает от веб-атак, работая внутри веб-приложения. Технология RASP основана на исправлении ошибок в среде выполнения путем «внедрения» безопасности в веб-приложения в неявном виде, без внесения дополнительных изменений в код.  В завершении доклада перечисляются основные проблемы при реализации этой новой технологии и обзор перспектив защиты среды выполнения.

  • Язык доклада
  • Английский

Инженер по защите информации в компании IMMUNIO и уже более семи лет специализируется на безопасности приложений. Увлечен процессом разработки новых и уникальных инструментов безопасности. Его вклад в арсенал хакерских инструментов включает работу над OWASP Xenotix XSS Exploit Framework, Mobile Security Framework (MobSF), Xenotix xBOT и NodeJsScan. Принимал участие во многочисленных конференциях по ИБ: ClubHack, Nullcon, OWASP AppSec, Black Hat (Европа, США, Азия), HackMiami, Confidence, ToorCon, Ground Zero Summit, Hack In the Box и c0c0n.

Аджин Абрахам Аджин Абрахам

Как мы взломали распределенные системы конфигурационного управления

Хочу посетить   +52

Ведущие: Фрэнсис Александер и Бхарадвадж Мачираджу (Francis Alexander and Bharadwaj Machiraju)

В лекции речь пойдет о том, как команда исследователей обнаружила и эксплуатировала уязвимости различных систем конфигурационного управления в ходе пентестов. Авторы представят различные инструменты распределенного управления конфигурациями, например Apache ZooKeeper, HashiCorp Consul и Serf, CoreOS Etcd; расскажут о способах создания отпечатков этих систем, а также о том, как использовать в своих целях типичные ошибки в конфигурации для увеличения площади атак.

  • Язык доклада
  • Английский

Фрэнсис Александер
Эксперт по безопасности и создатель NoSQL Exploitation Framework. Занимается безопасностью СУБД, веб-приложений и автономных приложений, инструментами программирования и фаззингом. Выступал с докладами на HITB AMS, Hack in Paris, 44CON, DerbyCon и Defcon.

Бхарадвадж Мачираджу
Руководитель проекта OWASP OWTF. Обычно занят либо разработкой средств защиты веб-приложений, либо поиском багов ради славы. Выступал на Nullcon, Troopers, BruCON, PyCon. Помимо информационной безопасности увлекается машинным обучением, мнемоникой, любит поспать.

Фрэнсис Александер и Бхарадвадж Мачираджу Фрэнсис Александер и Бхарадвадж Мачираджу

Хакеро-машинный интерфейс

Хочу посетить   +51

Ведущие: Брайан Горенк и Фриц Сэндс (Brian Gorenc and Fritz Sands)

Докладчики представят подробный анализ, проведенный на основе исследования более 200 уязвимостей в SCADA и HMI. Вы сможете ознакомиться с подробным описанием популярных типов уязвимостей в решениях крупнейших производителей, таких как Schneider Electric, Siemens, General Electric и Advantech. Вы узнаете о том, как обнаружить критически опасные уязвимости в базовом коде. В докладе будут сопоставляться активность разных производителей в выпуске исправлений, а также сегменты SCADA с другими сегментами рынка программного обеспечения. Вниманию разработчиков и операторов будут предоставлены рекомендации, которые позволят снизить вероятность осуществления атак, а также прогнозы касательно дальнейших тенденций развития атак.

  • Язык доклада
  • Английский

Брайан Горенк
Руководитель департамента исследования уязвимостей компании Trend Micro. Руководитель Zero Day Initiative (ZDI), самой масштабной независимой программы поиска ошибок в программном обеспечении. Специализируется на анализе причин возникновения многочисленных уязвимостей нулевого дня, найденных исследователями из разных стран в рамках программы ZDI. Благодаря ZDI удается выявлять и оперативно устранять уязвимости всемирно популярных приложений. Отвечает за организацию соревнований Pwn2Own и является участником судейского комитета.

Фриц Сэндс
Работает исследователем проблем безопасности в Инициативе нулевого дня (Zero Day Initiative, ZDI) компании Trend Micro. Его задача — проведение причинно-следственного анализа уязвимостей, которые направляются в программу ZDI, самую большую в мире независимую программу поиска ошибок в программном обеспечении. Помимо этого, он разрабатывает инструменты, при помощи которых проводится статический и динамический анализ для обнаружения уязвимостей. Предыдущее место работы (до перехода в ZDI в 2014 г.) — компания Microsoft (Trustworthy Computing and Secure Windows Initiative operations), где в его задачи входила проверка кода Windows и разработка инструментов динамического анализа, а до этого он был системным разработчиком нескольких итераций Windows.

Брайан Горенк и Фриц Сэндс Брайан Горенк и Фриц Сэндс

Стек Linux HTTPS/TCP/IP для защиты от HTTP-DDoS-атак

Хочу посетить   +49

Ведущий: Александр Крижановский

В докладе рассказывается о расширении для стека протоколов TCP/IP в ОС Linux, которое необходимо для того, чтобы HTTPS работал в том же стеке, что TCP и IP. DDoS-атаки такого типа как HTTP-флуд на уровне приложений, как правило, подавляются HTTP-акселераторами или балансировщиками нагрузки HTTP. Однако интерфейс сокетов Linux, используемый программным обеспечением, не дает той продуктивности, которая необходима при предельных нагрузках, вызванных DDoS-атаками. HTTP-серверы на базе стеков TCP/IP в пространстве пользователя становятся популярными в связи с увеличением их эффективности, но стеки TCP/IP представляют собой масштабный и сложный код, поэтому неблагоразумно реализовывать и исполнять его дважды — в пространстве пользователя и пространстве ядра. Стек TCP/IP в пространстве ядра хорошо интегрирован со многими мощными инструментами, например IPTables, IPVS, tc, tcpdump, которые недоступны для стека TCP/IP в пространстве пользователя или требуют сложных интерфейсов. Докладчик представит решение Tempesta FW, которое передает обработку HTTPS ядру. HTTPS встроен в стек TCP/IP Linux. Исполняя функцию межсетевого экрана HTTP, Tempesta FW устанавливает набор ограничений по скорости передачи и набор эвристических правил для защиты от таких атак как HTTPS-флуд и Slow HTTP.

  • Язык доклада
  • Русский

Генеральный директор Tempesta Technologies и ведущий разработчик Tempesta FW — контроллера доставки приложений под Linux. Кроме того, основатель и генеральный директор компании NatSys Lab., которая оказывает услуги консультирования и заказной разработки. Отвечает за архитектуру и работу систем обработки трафика и баз данных.

Александр Крижановский Александр Крижановский

На страже ваших денег и данных

Хочу посетить   +48

Ведущий: Янг-Хак Ли (Young Hak Lee )

В последнее время все чаще происходят сложные целенаправленные атаки (APT) с использованием скрытой загрузки. Существующие системы автоанализа, как правило, не способны анализировать вредоносное ПО, используемое для APT-атак, и исследователи вредоносного ПО вынуждены анализировать его вручную. Докладчик представит новую систему автоанализа памяти в режиме реального времени (Malware Analyst). Данная система не генерирует дамп памяти при помощи LibVMI, а имеет непосредственный доступ в память для ускорения диагностики и четко распознает подозрительное поведение вредоносного ПО.

  • Язык доклада
  • Английский

Старший эксперт по безопасности и руководитель группы исследований в области безопасности. Выступал на CODEGATE и HITCON. В 2013 г. организовал соревнование формата CTF на CODEGATE; а в 2012 г. был одним из организаторов конференции.

Янг-Хак Ли Янг-Хак Ли

Обход проверки безопасности в магазинах мобильных приложений при помощи платформ Hybrid и HTML5-кунг-фу

Хочу посетить   +48

Ведущий: Пауль Амар (Paul Amar)

В докладе описывается новый вектор атак на магазины приложений с обходом проверки безопасности, которая проводится при публикации приложения в любом магазине приложений. Обычно после публикации мобильного приложения магазины запускают песочницу или проводят тестирование вручную и решают, является ли оно легитимным. Используя платформу Hybrid (например, Cordova), можно обновлять мобильные приложения без согласия пользователя и уведомления магазинов.

  • Язык доклада
  • Английский

Специалист по информационной безопасности, занимается компьютерной криминалистикой и реагированием на инциденты. Разработчик — в основном на Python и всяких хипстерских штуковинах. Каждый день в голову приходит пара-тройка сумасшедших идей. Выступал на DeepSec и BSides. Его последний проект Data Exfiltration Toolkit (набор инструментов для эксфильтрации данных) демонстрировался на Black Hat.

Пауль Амар Пауль Амар

HummingBad: прошлое, настоящее, будущее

Хочу посетить   +48

Ведущий: Андрей Полковниченко

Подробности из первых рук об исследовании одного из самых распространенных мобильных ботнетов, проведенного специалистами компании Check Point. Что такое HummingBad, какие угрозы он несет, кто за ним стоит и как с ним бороться.

  • Язык доклада
  • Русский

Руководитель группы реверс-инженеров в Check Point. Последние три года спасает мир от мобильных угроз.

Андрей Полковниченко Андрей Полковниченко

Небезопасность сотовых сетей вчера, сегодня, завтра

Хочу посетить   +29

Ведущие: Кирилл Пузанков, Сергей Машуков, Павел Новиков

  • Язык доклада
  • Русский
Кирилл Пузанков, Сергей Машуков, Павел Новиков Кирилл Пузанков, Сергей Машуков, Павел Новиков