14.12.2012 Фотоотчет
Фото с конференции ZeroNights 2012 выложены здесь: https://picasaweb.google.com/106780973074407646953/ZeroNights2012
Спасибо всем участникам события!
06.12.2012 На хакерской конференции ZeroNights рассказали, как можно угнать самолет, автомобиль или похитить ребенка
19–20 ноября в Москве проходила международная конференция ZeroNights, организованная компанией Digital Security совместно с Software People, где исследователи безопасности делились новостями об уязвимостях компьютерных систем и всего, что связано с компьютерами.
Поскольку цифровые технологии уже давно вышли за рамки настольных компьютеров и электроника используется везде, то внимание как исследователей, так и злоумышленников переходит на устройства и системы, наиболее тесно связанные с жизнью людей и их благополучием.
Своеобразным символом взрыва популярности таких исследований, хотя они, безусловно, были и раньше, стал червь Stuxnet, заражающий промышленные системы, а также последние исследования возможных атак на инсулиновые датчики и кардиостимуляторы.
На конференции ZeroNights были представлены атаки, которые не так страшны, но зато гораздо более реальны.
Аналитики из компании Digital Security в рамках исследования безопасности встроенных устройств (embedded devices) изучили устройства слежения и локации, так называемые GPS-трекеры, которые широко используются для отслеживания местонахождения автомобилей, детей и даже преступников. Эти устройства также зачастую используются в качестве замены или дополнения к сигнализации автомобиля.
Исследователям удалось провести атаку, которая позволила подменять местоположение объекта на карте всего лишь с помощью отправки специального SMS на номер устройства, который достаточно просто узнать, взломав сайт трекингового сервиса или прослушав GSM-трафик рядом с устройством.
На конференции была вживую смоделирована атака, когда устройство находилось в зале, но после отправки SMS начало перемещаться по карте с безумной скоростью.
Несложно себе представить и обратную ситуацию, когда злоумышленник крадет машину, а на устройство посылает сигнал о том, будто оно стоит на месте. Это намного продуктивнее, чем подавление сигнала GPS, так как в случае использования системы подавления сигнала факт угона будет очевиден.
«Основная опасность заключается в том, что атака достаточно просто реализуется и возможна благодаря тому, что немалая часть владельцев устройств (30%) не используют пароли на доступ. Но даже не зная пароль, можно провести аналогичные атаки или попросту отключить устройство, отправив его в бесконечную перезагрузку. В данный момент мы исследуем другие, более тонкие проблемы безопасности данных устройств», — отметил Дмитрий Частухин, исследователь безопасности из Digital Security.
Другое исследование представил кандидат наук по безопасности встроенных устройств из университета EURECOM Андрей Костин. Он обнаружил, что, используя сравнительно дешевые устройства стоимостью от 300 до 1500 долларов и пару десятков строчек несложного кода, можно модифицировать данные сигналов протокола ADS-B — системы наблюдения воздушного потока, используемой диспетчерами и пилотами для отслеживания местонахождения самолетов и передачи других важных для полета параметров и данных.
Как оказалось — и это, по меньшей мере, удивительно, если не жутко — данный протокол не использует никаких средств защиты при передаче данных, например, шифрование и прочную криптоподпись, несмотря на важность безопасности полетов и систем поддержки для контроля и управления полетами.
Это, очевидно, позволяет отслеживать все самолеты в режиме реального времени и, самое главное, посылать в эфир поддельные данные или подменивать данные в настоящих пакетах, чтобы, например, сымитировать на экранах контролеров полетов воздушное столкновение самолетов. Последствия могут варьироваться от паники в штабе контролеров полета до, теоретически, срабатывания наземных процедур по предотвращению террористических актов и вызова срочных аварийных служб.
«Далее мы намерены исследовать систему Предупреждения Столкновения Самолетов (СПС)», — сообщил Андрей.
Следите за новостями — приятных и безопасных полетов и мягкой посадки, куда бы вы ни летали!
«Данные атаки являются прямым подтверждением того, что я говорил на конференции YaC, читая ключевой доклад про будущее компьютерных атак. Теперь мы видим воочию воплощение тенденций атак на автомобили, самолеты и прочие средства транспорта. Здесь лишь хочется отметить, что, помимо атак, связанных с системами навигации, я уже не первый раз вижу в салонах самолетов разъемы под сетевой доступ, через которые можно подключаться к системам, так или иначе связанным с бортовым компьютером. Не за горами более серьезные угрозы. Тема анализа безопасности данных устройств уже не первый год набирает обороты на международном рынке, и наша компания также начала предоставлять подобные услуги — наверно, первой в России», — заключил Александр Поляков, технический директор Digital Security.
05.12.2012 Digital Security провели хакерскую конференцию ZeroNights 2012
Digital Security — инновационная компания, которая не только проводит аудиты информационной безопасности самых разных технологических систем, но и считает своей миссией поощрение практических исследований защищенности бизнес-приложений, мобильных приложений, банковского ПО и других технологий, незримо присутствующих в жизни каждого человека, а также широкое распространение информации о технологиях взлома и защиты и воспитание нового поколения специалистов, способных поднять реальную безопасность российских технологических систем на новый уровень.
Ради этой миссии мы создали конференцию, где исследователи высокого класса со всего мира могут делиться своими последними открытиями в области техник обеспечения информационной безопасности и таким образом ускорить прогресс отрасли.
За два дня ZeroNights 2012 посетили более 600 человек, было прочитано 22 доклада, 8 докладов на Fast Track и проведено 8 мастер-классов (workshops). 50 докладчиков осветили самые разнообразные тематики — от обратной инженерии аппаратуры с помощью эмиссии фотонов до обратной инженерии систем навигации; от мобильной безопасности и новых угроз взлома веб-приложений, таких как XML, XLST и SSRF, до атак на бизнес-приложения, такие как Enterprise Service Bus и Identity Management Systems.
Среди докладчиков были специалисты с мировым именем из таких компаний, как Google, ESET, OpenWall, TrustWave, E&Y, Nokia, NSS, ViaForensics и, конечно, Digital Security, а также множество независимых исследователей.
Специалисты исследовательской лаборатории Digital Security представили на ZeroNights 2012 исследования на различные темы, многие из которых были затронуты впервые:
Помимо выступлений со своими собственными докладами, Digital Security обеспечили событие программой высочайшего качества, отобрав наиболее интересные технические доклады из поступивших заявок и пригласив ключевых докладчиков, в то время как организацию мероприятия взяла на себя компания Software People. ERPScan — подразделение Digital Security, занимающееся безопасностью SAP-систем — выступило спонсором вечеринки для докладчиков.
Организацию мероприятия взяла на себя компания Software People. Software People — это сообщество профессионалов, вовлеченных в процесс создания программного обеспечения, а также это ежегодная конференция, о людях и для людей, делающих программные продукты. Участники сообщества получают право на льготные посещения ключевых мероприятий в отрасли, возможность публиковать материалы и участвовать в обсуждениях, а также подписываться на новости портала.
Мы благодарим за поддержку спонсоров конференции — Газинформсервис, Intel, Advanced Monitoring, Dr. Web, а также компанию «Яндекс» за участие в организации мероприятия. Надеемся, что в следующем году мероприятие получится еще более масштабным и захватывающим!
12.11.2012 ZeroNights: Последние штрихи
Поздравляем победителей ZeroNights HackQuest! За смекалку и хакерские навыки победившие команды вознаграждаются бесплатными билетами на ZeroNights и футболками от ONsec.
1 место: ReallyNonamesFor
2 место: http://RDot.Org
3 место: Raz0r
Корпорация Intel, а именно Intel’s Security Center of Excellence, решила поддержать мероприятие и стать нашим серебряным спонсором. Мы приветствуем Intel в рядах компаний, готовых вкладываться в миссию ZeroNights — распространение принципов и техник информационной безопасности как среди состоявшихся специалистов в самых разных областях, так и среди молодого поколения.
Другая хорошая новость: на круглом столе «Security Researchers vs. Developers» намечается поистине эпическая битва разработчиков с хакерами. Против Digital Security, ViaForensics и независимых исследователей безопасности выступят специалисты из Nokia, Yandex и Google.
По многочисленным просьбам выкладываем все наши козыри. На сайте уже доступна первая версия программы.
Читать полностью
Мы с гордостью объявляем темы ключевых докладов:
- The Grugq (Таиланд) выступит с речью, посвященной принципам практической боевой безопасности анонимных хакеров — OPSEC. «Черные шляпы» в зале сохраняют каменные лица!
- Felix ‘FX’ Lindner (Германия) выступит с презентацией под названием «Стремись быть собой».
И последняя порция докладов и воркшопов:
- В основной программе Никита Тараканов (Россия) обучит вас искусству двоичного дифференциального анализа.
- В основной программе всемирно известный Александр Поляков (Россия) в очередной раз поделится своими удивительными открытиями в области нетипичных атак на крупные корпоративные сети.
- В основной программе Алексей Трошичев (Россия) атакует iOS методом «человек посередине».
- В основной программе Сергей Карасиков (Россия) проведет слушателей за кулисы Android и продемонстрирует проблемы безопасности этой платформы как со стороны хакера, так и со стороны пользователя, нуждающегося в эффективной защите.
- В основной программе леди Алиса Шевченко (Россия) покажет вам уязвимости нулевого дня там, где вы никак не ожидали их увидеть.
К сожалению, воркшоп Рика Флореса, посвященный Metasploit, отменяется: у докладчика непредвиденные проблемы с визой.
- Workshop: Александр Потапенко и Дмитрий Вьюков (Россия) расскажут о двух инструментах для поиска ошибок в программах: AddressSanitizer и ThreadSanitizer, разработанных ими в недрах Google.
- Workshop: Александр Азимов, Артем Гавриченков и Александр Лямин (Россия) поведают посетителям сагу о DDoS-атаках и ответят на все волнующие вас вопросы.
- FastTrack: Дмитрий ‘D1g1’ Евдокимов (Россия) собрал целую сокровищницу инструментов обратной инженерии на Python и посвятил им сайт.
- FastTrack: Дмитрий ‘chipik’ Частухин и Глеб Чербов (Россия) исследовали безопасность технологий, призванных обеспечивать безопасность, а именно трекинговых систем.
Во время кофе-брейков не забывайте о живых демонстрациях хаков SAP и атак на мобильные устройства на стендах Digital Security и хакспейса Neuron.
20 ноября для всех желающих проводится afterparty в «Заря Бар». Посетителям конференции — скидка 15% на напитки!
И напоследок дружеское напоминание: прием оплаты участия заканчивается 15 ноября. Ждем вас в Инфопространстве и обещаем море незабываемых впечатлений!
1.11.2012 ZeroNights 2012: финишная прямая
Осталось всего 3 недели до мегасобытия — конференции ZeroNights 2012. Программа мероприятия сформирована на 90%, за что хочется сказать отдельное спасибо DCG#7812 и программному комитету. Организаторы конференции в лице Digital Security и Software People готовы представить вам финальный список докладчиков и рассказать обо всех событиях, которые вас ждут.
Итак, по порядку.
Основная программа и сердце нашей конференции — это технические доклады. В этом году у нас будет 21 доклад от лучших в своей области специалистов со всего света: США, Канада, Англия, Германия, Франция, Финляндия, Испания, Израиль, Тайвань, Румыния, Молдова и, конечно же, Россия.
В программе конференции намечается множество интересных событий:
- 3 ключевых доклада
- 21 технический доклад в 4 секциях:
- That’s really scary
- Technical hardcore
- The future of web
- Mobile internals
- 7 воркшопов протяженностью от 2 до 5 часов
- Более 7 докладов на fast track (точное количество будет известно на конференции)
- 2 центра компетенции с демонстрациями атак на SAP и мобильные приложения
- Круглый стол
- 0-day шоу
Читать полностью
Ключевые доклады
Keynote к основной программе первого дня
The Grugq расскажет, на чем прокалываются злоумышленники и хактивисты и как их можно вычислить. Grugq — это выдающийся исследователь ИБ с профессиональным опытом более 10 лет. Он усиленно работал с forensic-анализом, binary reverse engineering, руткитами, VoIP, телекоммуникациями и финансовой безопасностью. Известен также как реселлер эксплойтов.
Keynote к основной программе второго дня
Felix Lindner — культовая фигура в мире ИБ, лидер Phenoelit. Выступал на Black Hat, CanSecWest, PacSec, DEFCON, Chaos Communication Congress, MEITSEC и многих других мероприятиях. Темы его исследований связанны с Cisco IOS, принтерами HP, SAP и RIM BlackBerry. Тема доклада пока держится в секрете.
Keynote к секции мобильной безопасности
Александр Поляков и Дмитрий Евдокимов из Digital Security произнесут вступительные слова по безопасности мобильных приложений, открыв тем самым секцию мобильной безопасности. Вы узнаете последние тенденции в данной области и немного истории, а также услышите подробнее о докладах, которые будут представлены на секции. Но не спешите думать, что это будет скучный keynote. В рамках приветственных слов будут представлены результаты нового проекта, посвященного безопасности мобильных приложений.
Доклады разбиты на 4 категории, которые покрывают наиболее интересные области безопасности:
That’s really scary
В данной категории собраны доклады, которые покажут вам реальные угрозы, которые могут быть реализованы при наличии тех или иных уязвимостей в различных системах и технологиях. Это безопасность всего того, что тесно связано с нашей жизнью и выходит за рамки компьютерных систем или относится к системам, критичным для бизнеса: безопасность самолетов, транспортных систем, автомобилей, платежных приложений, банковских карт, EMV, NFC, охранных систем и критичных корпоративных приложений, передающих финансовую информацию.
Technical Hardcore
Эта категория — рай для реверсеров и тех, кто любит что-нибудь пожестче. Мы приготовили для вас отменную порцию реверсинга от тех, кто знает в нем толк.
- Dmytro Oleksiuk, «Applied anti-forensics: rootkits, kernel vulnerabilities and then some»: Cr4sh расскажет, как можно заинсталлить руткит, который вам не удастся обнаружить привычными способами. Поверьте мне, этот человек знает, о чем говорит! Это не очередное бла-бла про перехваты функций.
- Mateusz Jurczyk, «Windows Kernel Reference Count Vulnerabilities — Case Study»: кто не в курсе, кто такой J00ru, просто обязаны перечитать его прошлый рисерч. Человек работает в Google и не понаслышке знает, как разнести ядро Windows.
- Mohamed Saher, «Stealing from Thieves: Breaking IonCube VM to Reverse Exploit Kits»: на технологиях виртуализации базируются самые сложные системы защиты от копирования, и публичной информации по практической деобфускации реальных защит мало, так что настоятельно рекомендуем уделить внимание этому докладу.
- Aleksandr Matrosov, Eugene Rodionov, «Win32/Flamer: Reverse Engineering and Framework Reconstruction»: великие и ужасные реверсеры из ESET покажут, как разобраться в хитросплетениях нашумевшего Flamer. Авторы доклада представят результаты своих исследований, посвященных реконструкции объектно-ориентированной платформы, на базе которой был разработан Win32/Flamer, и продемонстрируют его родство со Stuxnet/Duqu/Gauss на уровне кода и архитектуры.
- Ivan Sorokin, «Mac OS X malware overview»: с некоторых пор Apple перестала хвастаться отсутствием вирусов в своих продуктах, и любители надкусанных яблочек сейчас находятся на мушке у вирусописателей. На докладе Ивана из Dr. Web вы сможете узнать об этом подробнее.
- Никита Тараканов с пока еще секретным названием доклада расскажет нам о своих последних 0-деях, и будьте уверены, это будет круто! Автор обещал живых демонстраций.
- Atte Kettunen, Miaubiz, «Fuzzing at scale and in style»: исследователи расскажут, как и с чем готовить фаззинг браузеров. Парни поубивали просто громадное количество уязвимостей в популярных браузерах и теперь готовы поделиться своим опытом с нами. Между прочим, Miaubiz получил статус Rockstar от компании Google.
The future of web
В данной секции вы узнаете про последние исследования в области WEB-безопасности, No-SQL, автоматический поиск indirect-уязвимостей, а также глубоко окунетесь в область XML-протокола, который используется практически везде: как говорят, XML — новый TCP. Мы даже специально позвали исследователя из Франции.
- Shay Chen, «The Diviner»: теперь стало возможно получить исходный код веб-приложения при сканировании «черным ящиком». Конечно, не весь и не всегда, но тулза, которая будет представлена, справляется с этим более чем достойно, и данная технология может сделать прорыв в области BlackBox, хотя и имеет ряд недостатков. Советуем вам обратить внимание на этот доклад. Shay — технический директор стартапа Hacktics, который был недавно куплен компанией Ernst and Young.
- Michail Fyrstov, «Удар по mongoDB»: популярность баз данных NoSQL и, как следствие, атаки на них набирают обороты. Многие крупные веб-проекты используют технологии NoSQL. Если вам интересно, как взломать крупнейшие социальные сети, то вам сюда.
- Nicolas Gregoire, «That's why I love XML hacking!»: вы даже не представляете, какие проблемы несет XML, и где он только не используется! Докладчик собаку съел на этой теме, и его компания занимается безопасностью XML.
- joernchen of Phenoelit, «They told me I could be anything, so I became BAh7BkkiDHVzZXJfaWQGOgZFVGkG»: тот самый joernchen из той самой тимы Phenoelit, а по совместительству диджей, расскажет о небезопасности модного языка Ruby.
- Vladimir Vorontsov, Alexander Golovko, «SSRF attacks and sockets: smorgasbord of vulnerabilities»: модная тема года — SSRF (межсерверная подделка запросов). Даже если вы уже знакомы с этой темой по докладу Александра Полякова с BlackHat, настоятельно рекомендуем посетить данный доклад, так как он раскрывает тему SSRF в другом направлении.
- Andrei Petukhov, Georgy Noseevich, «No locked doors, no windows barred: hacking OpenAM infrastructure»: и снова про SSRF, еще под одним углом. Андрей расставит все по полочкам и расскажет про интересный вектор атаки на системы аутентификации.
Mobile internals
Последний, но один из ключевых топиков — мобильная безопасность. Как ни крути — это тренд, и исследований в этой области ведется немало. Мы постарались выбрать лучшие доклады по данной теме, кстати, все они, за исключением одного, будут представлены публике впервые.
- Andrey Belenko, Dmitry Sklyarov, «Dark and Bright Sides of iCloud (In)security»: Дима — гроза для всех, кто небрежно обращается с криптографией. Вы, конечно же, знаете его по старой истории с Adobe, но в последнее время он переместил свой взгляд на безопасность Apple и расскажет вам о проблемах хранилища iCloud.
- Алиса Шевченко и Алексей Трошичев, совместное исследование Esage lab и Yandex: как и в предыдущем докладе, речь пойдет девайсах компании Apple, точнее, о MiTM-атаках. Подробности вот-вот появятся на сайте, но уже сейчас известно, что ребята планируют небольшое шоу, а также попахивает 0-деями!
- Сергей Карасиков , «Физический доступ к Андроид-устройству: нападение и защита»: расскажет о различных техниках низкоуровневого потрошения Android-девайсов.
Воркшопы
Воркшопы позволят вам глубоко погрузиться в ту или иную область и получить практический опыт из рук экспертов. Вы окунетесь в мир эксплойтописания и обхода защит, научитесь эксплуатировать XSS-уязвимости, узнаете много нового о DDoS, погрузитесь в физическую безопасность RFID и многое другое.
- Алексей Тюрин, «Exploitation of XML-based attacks» (2 часа): Алексей — руководитель отдела аудита ИБ компании Digital Security расскажет, а главное, на практике научит эксплуатировать самые интересные атаки связанные, с XML, такие как SSRF, XLST, XML Signature, XML Encryption и т.п. Он также зарелизит бесплатную тулзу для проведения SSRF-атак и туннелирования запросов.
- Michele Orru, «All you ever wanted to know about BeEF» (2 часа): Михель — автор фреймворка BeeF, работает пентестерои в TrustWave в Лондоне. На этом воркшопе вы узнаете все о том, как раскрутить простенькую XSS до перехвата контроля над всей корпоративной сетью.
- Kirill Salamatin (aka Del), Andrey Tsumanov, «RFID: Jokers up our sleeves» (4 часа): простые московские парни расскажут вам все о безопасности RFID, а главное, покажут и дадут самим попробовать почувствовать себя всемогущими шпионами, умеющими проникнуть в любой охраняемый объект.
- Arseny Reutov, Timur Yunusov, Dmitry Nagibin, «Random Numbers. Take Two» (2 часа): на этом воркшопе вы научитесь практике эксплуатации уязвимостей генерации случайных чисел. Целых три лектора гарантируют, что материал будет доведен до каждого слушателя.
- Jean-Ian Boutin, «Reversing banking trojan: an in-depth look into Gataka» (2 часа): исследователь из канадского офиса ESET покажет, как на практике реверсить интересные банковские трояны.
- Алексей Синцов, «Advanced Exploit Development (x32). Browser Edition» (5 часов): приготовил сногсшибательный курс по разработке эксплойтов и обходу защит, препятствующих эксплуатации. Это однозначный must have данной конференции.
- Alexander Azimov из HighloadLab расскажет вам о DDOS и практическом противодействии таким атакам.
Fast track
И это еще не все. У нас есть секция FastTrack, где будут представлены интересные концепты, а также случаи из жизни на тему ИБ. Вы сможете познакомиться как со студенческими работами — кстати, не менее интересными, чем основные доклады — так и с практическим опытом защиты корпоративных систем из первых рук людей, работающих в крупнейших организациях. Доклады из этого раздела будут еще добавляться, и лично у вас тоже есть шанс выступить и тем самым бесплатно попасть на конференцию. Уже подтверждены:
- Кирилл Самосадный, «Массовые CSRF-атаки через Flash-рекламу»
- Федор Ярочкин, Владимир Кропотов, Виталий Четвертаков, «Техники обхода автоматических систем детектирования вредоносного контента — интересные примеры 2012 года»
- Александр Песляк, «Новое в хешировании паролей (или чем нам заменить bcrypt)»
- Олег Купреев, «Заражение 3G-модемов»
- Игорь Гоц, Сергей Солдатов, «Как поймать своего хакера, или безопасность „на коленках“»: о том, как с минимальными затратами построить систему мониторинга событий безопасности, а также какие события искать.
- Соболев Евгений, «Типичные ошибки ИБ в корпорациях и крупных организациях»
- Дмитрий Евдокимов расскажет о средствах анализа бинарных приложений при помощи Python.
Центры компетенции
В основном зале у нас будет два центра компетенции по двум направлениям безопасности: бизнес-приложения и SAP, мобильные приложения и устройства.
Digital Security на своем стенде организует центр компетенции безопасности SAP, на котором в течение всего времени конференции посетители смогут получить ответы на все вопросы, касающиеся атак на системы SAP, защиты от них, а также познакомиться с продуктом. Кроме того, во время кофе-брейков на стендах будут проводиться мини-доклады, посвященные взлому SAP.
Хакспейс Neuron — на стенде организованы демонстрации типовых атак на мобильные устройства, а также предоставлена возможность посетителям поиграть с разнообразными девайсами по перехвату GSM-трафика и прочими шпионскими игрушками.
Конкурсы
У нас также будет немало конкурсов, за которые можно получить ценные денежные призы, а также бесплатный вход на конференцию.
На днях были запущены следующие конкурсы:
- Хак-квест от ONsec с призами — бесплатным входом на конференцию
- Программа «Яндекса» по вознаграждению исследователей за найденные уязвимости в веб-сервисах и мобильных приложениях под названием «Охота за ошибками»
- Конкурс от ГазИнформСервис по поиску уязвимостей в АСЗП с призовым фондом 100000 рублей
Во время конференции
- Конкурс «Capture The Phone» от Nokia
- Конкурсы футболок и wallpapers от организаторов ZeroNights с призами, любезно предоставленными Pwnie Express
Круглый стол
Круглый стол будет посвящен обсуждению или битве исследователей и разработчиков. Я приглашаю вас посмотреть на эти горячие баталии. Также вы можете принять в них участие, если вам есть что сказать. Будут приглашены эксперты как из компаний-разработчиков, так и аудиторов.
0-day шоу
Небольшой, но очень интересный бонус. В течение 3-5 минут вам будут продемонстрированы самые интересные 0-day и 1-day в популярном ПО. Кстати, вы можете и сами в этом поучаствовать.
Итак, ждем вас 19 и 20 ноября в Инфопространстве: будьте одними из тех, кто творит будущее хардкорной ИБ-сцены! И помните, что регистрация посетителей заканчивается 14 ноября.
Благодарим за поддержку компанию «Яндекс», а также наших спонсоров: «ГазИнформСервис», Intel, Dr. Web, Advanced Monitoring, Nokia, Pwnie Express, и ключевых информационных партнеров — журналы ][akep и Hakin9.
ЗЫ: на Speaker Party будет уникальный DJ-сет от DJ joernchen из Phenoelit!
01.11.2012 Конкурс «Поиск уязвимостей в техническом решении по защищенному удаленному доступу к автоматизированной системе заказа пропусков»
UPDATE:
В условия конкурса внесены изменения, а именно:
- Для участия в конкурсе необходимо прислать запрос на адрес электронной почты zeronights@gaz-is.ru. В ответном письме будут высланы учетные данные пользователя для доступа в систему с правом создания заявок на пропуска (права на визирование/оформление заявок, просмотр отчетов и т.д. будут отсутствовать). У каждого участника будет свой логин/пароль.
- Обращаем внимание участников на то, что приложение оптимизировано для работы в MS Internet Explorer.
P.S. Нам стало известно, что на адрес zeronights@gaz-is.ru письма не доходили. Приносим свои извинения. Сейчас все работает.
P.P.S. С даты начала конкурса мы зафиксировали более 2 млн. обращений к системе. Спасибо всем участникам за проявленный интерес!
ООО «Газинформсервис» объявляет конкурс «Поиск уязвимостей в техническом решении по защищенному удаленном доступу» в целях привлечения внимания IT-сообщества и потребителей к вопросам информационной безопасности, поиску новых профессиональных решений.
Победитель получит приз в размере 100 000 рублей.
Искать уязвимости можно с 31 октября по 12 ноября 2012 (включительно), победитель будет объявлен на Конференции ZeroNights.
На время проведения конкурса по адресу https://aszp.0n.gaz-is.ru/ опубликована автоматизированная система заказа пропусков на базе нашего продукта «Блокхост-АСЗП» (ссылка на описание продукта: http://aszp.gaz-is.ru). В системе зарегистрирован пользователь с правом создания заявок на пропуска. Логин и пароль этого пользователя не раскрываются. Искать нужно любые уязвимости, эксплуатация которых позволит выполнять от имени пользователя действия в системе (например, создавать заявки на пропуска), либо нарушают конфиденциальность, целостность и доступность данных, хранящихся в системе (названия объектов доступа, пользовательские данные, справочники и т.д.).
Описание уязвимостей отправляйте письмом на адрес zeronights@gaz-is.ru. Желательно указать пошаговое описание действий для воспроизведения уязвимостей и приложить скриншоты. Запрещается эксплуатировать уязвимости, приводящие к неработоспособности системы. Отправляя письмо с описанием уязвимостей, вы автоматически становитесь участником конкурса.
Комиссия ООО «Газинформсервис» проанализирует все присланные уязвимости. 20 ноября 2012 года на конференции по информационной безопасности ZeroNights будет объявлен победитель. Комиссия будет принимать во внимание, как степень критичности найденных уязвимостей, так и время, которое ушло на их поиск.
Любой участник конкурса имеет право раскрыть детали обнаруженной уязвимости только спустя 4 месяца с момента подведения итогов конкурса.
Подробности участия в конкурсе изложены в Положении.
30.10.2012 Еще больше уязвимостей, атак и наград для хакеров
ООО «Газинформсервис», золотой спонсор конференции, объявляет конкурс «Поиск уязвимостей в техническом решении по защищенному удаленном доступу» в целях привлечения внимания IT-сообщества и потребителей к вопросам информационной безопасности, поиску новых профессиональных решений.
Победитель получит приз в размере 100 000 рублей.
Искать уязвимости можно с 31 октября по 12 ноября 2012 (включительно), победитель будет объявлен на ZeroNights.
Также напоминаем, что DefconGroup #7812, как и в прошлом году, проводит конкурс на лучшую футболку с хакерской символикой, а также на лучший wallpaper для рабочего стола. Благодарим Pwnie Express за призы для лучших креативщиков!
Кроме того, на сайте опубликованы новые доклады:
- В основной программе Babak Javadi (США) научит вас ломать беспроводные сигнализационные системы.
- В основной программе Андрей Петухов и Георгий Носеевич (Россия) скомпрометируют бизнес-приложения через систему управления доступом ForgeRock OpenAM.
- В основной программе Shay Chen (Израиль) проведет сеанс цифрового ясновидения и представит изумленной публике получение исходного кода приложения методом «черного ящика».
- Workshop: Jean-Ian Boutin (Канада) на ваших глазах разберет по косточкам банковский троян Win32/Gataka.
- Workshop Алексея Тюрина (Россия) посвящен эксплуатации многочисленных уязвимостей в популярнейшей технологии — XML.
- FastTrack: Игорь Гоц и Сергей Солдатов (Россия) расскажут, как с минимальными затратами построить систему мониторинга событий безопасности, а также какие события искать.
- FastTrack: Евгений Соболев (Россия) осветит типичные ошибки ИБ в корпорациях и крупных организациях.
25.10.2012 Теперь ZeroNights еще ближе
Друзья, благодаря нашим спонсорам, партнерам и участникам нам удалось оптимизировать бюджет конференции и снизить цены для корпоративного сегмента.
С 22 октября стоимость посещения ZeroNights для представителей компаний сферы ИБ и IT составляет 9900 рублей, для представителей непрофильных компаний — 7900 рублей.
Кроме того, участникам Межрегиональной общественной организации «Ассоциация руководителей служб информационной безопасности» (АРСИБ), мы делаем скидку в 10% для непрофильных компаний и в 20% для сферы информационных технологий.
Конференция ZeroNights по-прежнему остается non-profit event, и мы планируем, как и в прошлом году, собрать в Инфопространстве энтузиастов информационной безопасности, чтобы они смогли обсудить актуальные темы взлома и защиты, поделиться своими открытиями и услышать самые интересные новости от докладчиков со всего мира.
Будем рады видеть на конференции вас и ваших коллег!
24.10.2012 New content & new contest
Наша программа уже полностью сформировалась, и нам осталось только огласить все принятые доклады, что мы и будем делать в течение в ближайших двух недель. Так что ждите новых новостей, докладов, workshop'ов, конкурсов.
Кроме того, мы хотим поблагодарить нашего нового спонсора призов, а именно компанию NOKIA. Но чтобы получить эти замечательные призы, необходимо пройти испытание, которое подготовили инженеры этой компании специально для нашей конференции! Вам придется проявить обыкновенную смекалку вначале, но в конце вас ждут настоящие хакерские задания, где придется показать на практике недостатки защитных механизмов ОС, браузеров и веб-приложений. Спецхакквест ждет своих героев!
А сегодня мы рады представить вам следующие новые доклады:
- В основной программе Mateusz 'j00ru' Jurczyk (Швейцария) погрузится вместе с вами в ядро Windows и увлечет вас практическими примерами.
- В основной программе Nicolas Gregoire (Франция) покажет, что далеко не все возможности XML хорошо изучены.
- В основной программе: популярность баз данных NoSQL и, как следствие, атаки на них набирают обороты. С проблемами их безопасности на примере MongoDB вас познакомит Михаил Фирстов (Россия).
- FastTrack: Александр 'Solar Designer' Песляк (Россия) расскажет, почему криптографии важно не стоять на месте, и объяснит на примере bcrypt, как привычные технологии развиваются и двигаются вперед.
- FastTrack: Олег Купреев (Россия) покажет, как можно инфицировать так популярные в наше время 3G-модемы «Большой Тройки».
PS: Регистрация для посещения конференции еще открыта, и вы можете успеть на нее попасть. Если в процессе регистрации возникли какие-либо проблемы, то с вопросом можно обратиться по адресу: info@careerlab.ru).
3.10.2012 Все самое интересное — на ZeroNights 2012
Как читателям наверняка известно, на днях наш партнер по ZeroNights 2012, компания «Яндекс», открыла программу по вознаграждению исследователей за найденные уязвимости в веб-сервисах и мобильных приложениях под названием «Охота за ошибками». С гордостью отметим, что это первый разработчик ПО на постсоветском пространстве, который столь ответственно отнесся к безопасности своих продуктов. Первые результаты программы будут объявлены на ZeroNights 2012, которая, как и раньше, сосредоточит в себе все самое интересное и актуальное из мира ИБ в России.
Новые спикеры:
- В основной программе можно будет услышать страшную правду о безопасности современных платежных технологий в исполнении Никиты Абдуллина (Россия) — человека, изучившего работу всей цепочки «клиент — карта — терминал — эквайрер — МПС — эмитент — деньги — эмитент — эквайрер — терминал — товар/услуга/деньги — клиент» на всех уровнях от железа до бухучета.
- В основной программе Alberto Garcia Illera (Испания) поделится своим грандиозным планом захвата мира. Метод захвата докладчик предпочел держать в секрете до самой конференции.
- Fast Track: Федор Ярочкин (Тайвань), Владимир Кропотов (Россия) и Виталий Четвертаков (Россия) представят краткий обзор массовых кампаний распространения вредоносного ПО в 2012 году. Акцент будет сделан на техники обхода автоматического детектирования фактов наличия опасного контента на скомпрометированных серверах.
- Workshop: Кирилл Саламатин aka Del (Россия) и Андрей Цуманов (Россия) представят 4-часовой мастер-класс «RFID: Джокеры в рукаве», где научат посетителей манипулировать бесконтактными картами и защищаться от таких манипуляций. Куртку-сниффер и многое другое можно будет пощупать и опробовать в действии!
19.09.2012 Вы хотели хардкора?..
Теперь в программе ZeroNights 2012 еще больше технического хардкора!
Это возможно в том числе благодаря нашему серебряному спонсору — Dr. Web. Известные российские борцы с вредоносным ПО решили помочь распространению информации в сфере ИБ. Организаторы, со своей стороны, приветствуют эту инициативу.
Представляем вам новые доклады, а также один воркшоп (и какой!):
- В основной программе великий и ужасный (:)) Александр Матросов совместно с Евгением Родионовым (Россия) без лишней болтовни расскажет о внутренностях Flamer. Авторы доклада представят результаты своих исследований, посвященных реконструкции объектно-ориентированной платформы, на базе которой был разработан Win32/Flamer, и продемонстрируют его родство со Stuxnet/Duqu/Gauss на уровне кода и архитектуры.
- В основной программе Дмитрий Олексюк aka Cr4sh (Россия) разорвет ваше представление о продвинутых техниках работы руткитов и в том числе просветит аудиторию на тему применения руткитов в целевых атаках.
- Workshop: вас ждет увлекательная практическая экскурсия в мир эксплойтов под Windows 7 с нашим гидом — Алексеем Синцовым (Луна). Потратив всего 5 часов времени, вы будете разбираться от «А» до «Я» в разработке боевых эксплойтов для Windows 7, в частности для браузера IE9.
Если вы хотите выступить на одной сцене со звездами информационной безопасности, до окончания CFP еще остался почти месяц. Молодым исследователям мы советуем принять участие в FastTrack с небольшим докладом о своих открытиях в сфере ИБ.
19.09.2012 ZeroNights 2012 снижает цены
Конференция ZeroNights представляет собой так называемый non profit event. Данный термин объединяет множество западных конференций, целью которых является не получение прибыли, а организация качественного мероприятия с минимальными затратами. Это такие мероприятия, как Defcon, HackInTheBox, BruCon, 44con и многие другие. Все средства, полученные от посетителей, идут на оплату аренды зала и оборудования, а также питания, транспорта и проживания для иностранных спикеров. Помимо этого, целью конференции является обучение студентов практическим навыкам, ведь они — наше будущее, и хороших студентов с практическим опытом так не хватает!
Благодаря тому, что нам удалось несколько оптимизировать бюджет конференции, стоимость билетов для физических лиц теперь составляет 7000 рублей.
Кроме того, ZeroNights 2012 является медиапартнером конференций Infosecurity Russia и Infobez-Expo. Всем посетителям этих мероприятий, которые получат приглашение на ZeroNights на нашем выставочном стенде, мы предоставляем 10-процентную скидку. Кроме того, право на 10-процентную скидку имеют участники RISSPA и DEFCON Group. Скидка не распространяется на студенческий тариф.
Мы также сняли ограничение на количество регистраций по студенческому тарифу. При этом до 31 сентября у студентов и аспирантов остается возможность зарегистрироваться по сниженной цене в 1500 рублей (с 1 октября мы повышаем стоимость студенческого пакета до 1900 рублей). В студенческий пакет входит посещение конференции, включая все workshops, участие в конкурсах с призами, а также кофе-брейки.
Ждем вас в Инфопространстве 19 и 20 ноября!
5.09.2012 Yandex примет участие в ZeroNights 2012
ZeroNights 2012, как и в прошлом году, проходит при поддержке и участии Яндекса. Мы очень рады вновь сотрудничать с такой знаменитой компанией. Кроме того, с гордостью представляем вам очередную порцию новых докладчиков:
- В основной программе Иван Сорокин (Россия) представит обзор вредоносных программ для Mac OS X. С некоторых пор Apple перестала хвастаться отсутствием вирусов в своих продуктах, и с помощью Ивана вы сможете узнать об этом подробнее.
- В основной программе выступает Mohamed Saher (США) с докладом «Как украсть у вора: ломаем IonCube VM и реверсим сборки эксплойтов». На технологиях виртуализации базируются самые сложные системы защиты от копирования, и публичной информации по практической деобфускации реальных защит мало, так что настоятельно рекомендуем уделить внимание этому докладу.
- У нас появился первый доклад на FastTrack: Кирилл Самосадный (Россия) расскажет об использовании потенциала Flash-баннерных сетей для реализации массовых CSRF-атак.
- Первый одобренный нами Workshop от русских экспертов — Арсения Реутова (Россия), Тимура Юнусова (Россия) и Дмитрия Нагибина (Россия) — посвящен атакам на генератор случайных чисел в PHP.
Если вам тоже есть что сказать хакерскому сообществу, приглашаем вас принять участие в Call for Papers.
Также мы с удовольствием сообщаем, что сеть хостелов Bear Hostels предоставляет посетителям конференции 10-процентную скидку. Мы ждем вас в гости, в каком бы городе вы ни жили!
30.08.2012 ZeroNights 2012 приближается
До ZeroNights 2012 остается меньше трех месяцев. Напоминаем, что период ранней регистрации продлится до конца сентября, так что у тех из вас, кто только что вернулся из отпуска или с летних каникул, еще есть возможность получить скидку. Тем временем, мы рады представить вам новых докладчиков нашего осеннего мероприятия. Теперь в нашей программе еще больше изощренных хакерских техник, историй о беспечности разработчиков, новейших методов и инструментов взлома и защиты.
- В основной программе Владимир Воронцов (Россия) и Александр Головко (Россия) из ONsec расскажут об уязвимостях серверной подделки запроса (Server Side Request Forgery), начиная от управления НТТР-ответом веб-сервера и заканчивая выполнением произвольного кода.
- В основной программе Андрей Костин (Франция) по прозвищу Mister-printer guy научит вас атаковать системы управления воздушным движением, в частности ADS-B. Возможно, после его доклада вам не захочется улетать из Москвы!
- В основной программе joernchen (Германия) из Phenoelit поделится своей скорбью по поводу недобросовестных разработчиков свободного ПО на Ruby on Rails, оставляющих дыры в своих веб-приложениях.
- Workshop от Michele "antisnatchor" Orru (Англия), нашего очень хорошего друга и просто прикольного парня, посвящен взлому и эксплуатации целого множества веб-браузеров с помощью платформы BeEF. Если вы хотели бы полюбить BeEF и вам нравится безопасность приложений, посещение мастер-класса обязательно!
27.08.2012 Are you ready for 0-nights 0x02?!
После оглашения кейнотов (FX и The Grugq) мы начинаем потихоньку выкладывать уже отобранные доклады. Напоминаем, что CFP продлится до 10.10.12! И надеемся на ваше активное участие :) Не забываем и про FastTrack, который является уникальной возможностью выступить со своим небольшим исследованием на одной площадке с крутыми спецами по ИБ, пообщаться, да и просто попасть на конференцию к своим единомышленникам. Пока темы докладов FX и The Grugq держатся в секрете, мы можем представить вам темы первых трех докладов и один workshop:
- В основной программе Андрей Беленко (Россия) и Дмитрий Скляров (Россия) в очередной раз разрушат миф о криптостойкости и безопасности очередного крупного проекта, а именно iCloud. Да уж, если кто-то начинает создавать свою систему шифрования – эти ребята тут как тут, и пощады не будет.
- В основной программе Atte Kettunen (Финляндия) и Miaubiz (Эстония) расскажут, как и с чем готовить фаззинг браузеров. Парни поубивали просто громадное количество уязвимостей в популярных браузерах и теперь готовы поделиться своим опытом с нами. Между прочим, Miaubiz получил статус Rockstar от компании Google.
- Workshop от Rick Flores (США) по разработке эксплойтов для всеми нами любимого Metasploit! Он научит обходить современные методы защиты памяти в ОС Windows и кодить на Ruby для фреймворка Metasploit.
PS.: Напоминаем, что регистрация для посетителей уже открыта! ;)
24.08.2012 Газинформсервис и Pwnie Express стали спонсорами ZeroNights 2012
Digital Security и Software People рады представить вам ключевых спонсоров грядущей конференции ZeroNights 2012, которая в этом году пройдет в Москве 19 и 20 ноября.
Золотым спонсором события будет ООО «Газинформсервис» — один из крупнейших в России системных интеграторов в области безопасности и разработчик уникальных программных продуктов, специализирующийся на создании систем информационной безопасности и систем обеспечения безопасности объектов для крупных корпораций энергетической и транспортной отраслей, органов государственной власти и местного самоуправления, а также учреждений финансового сектора и сектора здравоохранения.
Для нас очень важно, что компания такого уровня уже во второй раз оказывает поддержку нашему мероприятию. Интерес системного интегратора к такой технической конференции, как наша — лучший комплимент нам как организаторам, ведь мы стараемся сконцентрировать на ZeroNights максимальное количество полезной информации и интересных дискуссий, как для энтузиастов безопасности, так и для профессионалов высочайшего уровня.
В это время американская компания Pwnie Express любезно согласилась проспонсировать наши хакерские конкурсы. Pwnie Express специализируется на инновационном оборудовании для тестирования на проникновение, включая первую коммерческую сборку программного обеспечения для пен-теста на рынке информационной безопасности — PWN Plug. Именно PWN Plug Mini станет призом для победителей конкурсов на ZeroNights 2012. Присоединяйтесь к мероприятию, и у вас появится шанс получить свой собственный полный комплект инструментов пен-тестера!
25.07.2012 Встречайте keynote-докладчиков!
Друзья, у нас открылся CFP. Наша группа (defcon-russia.ru) готова к просмотру интересных материалов, более того, уже сейчас мы можем назвать имена тех, кто присоединится к нашему осеннему хак-празднику.
1. The Grugq
COSEINC
Прямо со страниц журнала Forbes к нам спустился The Grugq. Он является выдающимся исследователем в области ИБ с десятилетним профессиональным опытом. Он усиленно работал с forensic-анализом, binary reverse engineering, руткитами, VoIP, телекоммуникациями и финансовой безопасностью. Его профессиональная карьера включает в себя работу в компаниях из Fortune 100, ведущих фирмах по ИБ и инновационных стартапах. Живя в Таиланде, он работает в должности старшего исследователя по ИБ в компании COSEINC. В свободное от работы время продолжает свои исследования в сфере безопасности, экспертиз и пива.
Знаменит:
- ввел понятие anti-forensics
- разработал «userland exec»
- выпустил ПО для атак на VoIP
- 10 лет опыта в сфере ИБ
- долгосрочные отношения с компьютерным андеграундом
- описан как «ужасно привлекательный» (собственной мамой)
- 1992 — гонки на 3 ногах, 2-е место
The Grugq был докладчиком на 12 конференциях за прошедшие 7 лет; проводил курсы подготовки экспертов для государственных органов, армии, полиции и финансовых систем.
2. Felix 'FX' Lindner
Recurity Labs.
FX имеет опыт более 10 лет в области компьютерной индустрии и 8 из них посвятил консалтингу для крупных телекоммуникационных и крупных компаний. Он обладает обширными познаниями в области компьютерных наук, технологий телекоммуникации и разработки программного обеспечения. Его опыт включает в себя управление и участие в различных проектах связанных с безопасностью планирования, внедрения, эксплуатации и тестирования, с использованием передовых методик и в различных технических условиях. FX хорошо известен в сообществе компьютерной безопасности, и представил его и исследований в области безопасности Phenoelit на Black Hat, CanSecWest, PacSec, DEFCON, Chaos Communication Congress, MEITSEC и многих других мероприятиях. Темы его исследований связанны с Cisco IOS, принтерами HP, SAP и RIM BlackBerry. Феликс имеет сертификаты CISSP и государственный сертификат технического ассистента по информатике и информационным технологиям.
21.05.2012
Компания Digital Security и сообщество Defcon Russia рады объявить о начале подготовки ко второй международной практической конференции в области информационной безопасности ZeroNights! На этот раз конференция пройдет в Москве с 19 по 20 ноября в Международном информационно-выставочном центре «ИнфоПространство». Теперь за два дня будет больше интересных технических докладов, больше интересных высококвалифицированных докладчиков и еще больше интересного живого общения. Мы продолжим наш курс на технические доклады о действительно актуальных темах в информационной безопасности.
Вас ждут как развернутые доклады о проведенных исследованиях, так и сессия Fast Track. На конференции будет делаться упор на следующие темы в области информационной безопасности:
- Безопасность критичных систем и бизнес-приложений
- Безопасность мобильных устройств
- Техники эксплуатации
- Безопасность WEB 2.0
- Вредоносное программное обеспечение
На этот раз мы проводим конференцию совместно с профессиональным организатором IT-конференций — компанией CareerLab, которая возьмет на себя организационные вопросы, а мы обеспечим высокий технический уровень выступлений. Как всегда, мы открыты для ваших идей и предложений, которые помогут сделать конференцию еще лучше.