На ZeroNights 2016 покажут уязвимости в ПО и железе и взломают мозг

Александр Панасенко 17 Ноября 2016 - 12:41

...

На ZeroNights 2016 покажут уязвимости в ПО и железе и взломают мозг

Компания DigitalSecurity, проведет 17-18 ноября 2016 года шестую конференцию по кибербезопасности ZeroNightsпри поддержке Яндекс и независимого сообщества Defcon Russia.

Мероприятие состоится в Москве, в КЗ Космос, и соберет технических специалистов, администраторов, руководителей и сотрудников служб ИБ, пентестеров, программистов, представителей комьюнити по ИБ, журналистов и всех, кто интересуется прикладными аспектами отрасли.

Основные темы конференции: Web-безопасность; безопасность Windows, MacOS, iOS; уязвимости на уровне железа; закладки в оборудовании мировых вендоров; поиск уязвимостей; атаки на нейронные сети; реверс-инжиниринг; атаки в мире транзакций; взлом топовых и бюджетных телефонов; безопасность АСУ ТП; новые хакерские техники.

Безусловно, особый интерес гостей мероприятия вызовет обсуждение темы нейротехнологий в безопасности, которое состоится во время одноименного доклада Ксении Гнитько. Спикер расскажет об использовании данных мозговой активности в аутентификационных системах, продемонстрирует возможность извлечения персональных данных из электроэнцефалограммы, поговорит об атаках на нейроинтерфейсы.

На ZN выступят более 60 спикеров из 9 стран мира (Россия, Бразилия, США, Германия, Франция, Аргентина, Китай, Италия, Швейцария). В числе докладчиков – известные за рубежом и в России эксперты в области ИБ, аналитики, программисты, хакеры, реверс-инженеры. В частности, среди спикеров ивента, - такие известные специалисты, как Майкл Оссман, Мариано Грациано, Алекс Матросов, Матиас Диг, Томас Дебизе, Евгений Родионов, Сергей Солдатов, Эльдар Заитов, Наталья Куканова, Александр Леонов, Максим Мороз и другие. Ознакомиться с биографиями спикеров, а также детально изучить описание выступлений можно на официальном сайте ZeroNights: http://2016.zeronights.ru/.

Исследователи DigitalSecurityпредставят в рамках основной программы три доклада, основанных на результатах анализа продуктов крупнейших вендоров. Так, Александр Ермолов расскажет об уязвимости в платформах на базе процессоров и чипсетов Intel («На страже руткитов: Intel BootGuard»), Роман Бажин и Максим Малютин опишут возможности внедрения вредоносного кода в оборудование Cisco(доклад «JETPLOWмертв, да здравствует JETPLOW!»), Александр Евстигнеев Исследователи DigitalSecurityпоговорят об архитектурных изъянах протокола Cisco Smart Install («Cisco Smart Install. Возможности для пентестера»).

Доклады, представленные на конференции, прошли строгий отбор программного комитета из 13 авторитетных специалистов-практиков. В его состав входят как представители служб безопасности и исследовательских команд известных компаний, так и независимые рисерчеры.

Помимо основных докладов, также на конференции будут представлены воркшопы и выступления в слотах DefensiveTrackи FastTrack. Секция Defensiveтрадиционно привлекает большое количество заинтересованных слушателей, поскольку здесь своим опытом делятся специалисты-практики по ИБ из крупных российских компаний. В этом году здесь выступят представители Яндекса, Мail.ru, Qiwi, Лаборатория Касперского, Synac. Слот FastTrack дает возможность представить мини-доклад или рассказать об интересной находке или хакерском инструменте.

В рамках ZNтакже будут реализованы различные активности: HackQuest, два соревнования CTF, другие конкурсы на взлом и на сообразительность. Победители конкурсов получат ценные призы.

На ZeroNights командой CarPWN будет впервые представлена секция Automotive Village, где вы сможете ознакомиться с базовыми вопросами безопасности автомобильных технологий, включая self-driving car, connected-car, а также поговорить про трудности reverse engineering ECU и безопасность QNX. Будет еще и практический конкурс на реальном железе, с призами! Но и это еще не все: кроме стендов, вас будет ждать современный автомобиль, который так же можно будет «пощупать руками».
Важным отличием конференции ZeroNightsэтого года будет участие в работе ивента представителей различных комьюнити, объединяющих специалистов-практиков. В их числе – OWASP, R0, DefconRussia, HardwareVillage, AutomotiveVillage, CTFRUE, DefconKazakhstan, DefconMoscow, CTFдвижение России и другие.

DigitalSecurity, проведет 17-18 ноября 2016 года шестую конференцию по кибербезопасности ZeroNightsпри поддержке Яндекс и независимого сообщества Defcon Russia. " />

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Апреля 2026 - 16:07

Домашние пользователи Защита персональных данных

Google Chrome не спасает от слежки даже без cookies

Эпоха, когда приватность в браузере сводилась к вопросу «включены ли cookies», окончательно ушла в прошлое. Новый технический разбор проблем конфиденциальности в Google Chrome показывает: современные методы отслеживания стали намного продуманнее.

Теперь сайтам уже не обязательно полагаться только на cookies, они могут собирать цифровой отпечаток пользователя с помощью разных трюков с хранилищами браузера и даже утечек через HTTP-заголовки.

Цифровой отпечаток — это способ собрать множество мелких технических особенностей браузера и устройства, а затем сложить их в довольно уникальный профиль.

Даже если пользователь очистит cookies, такой «отпечаток» нередко всё равно остаётся устойчивым и позволяет распознать юзера повторно.

Как отмечается в материале, исследование 2025 года показало, что canvas fingerprinting использовался на 12,7% из 20 тысяч самых популярных сайтов, попавших в выборку. Это уже вполне рабочая и распространённая практика, а не редкий эксперимент для узкого круга специалистов.

У Chrome, конечно, есть определённые попытки сократить объём пассивно собираемых данных. Например, браузер ограничил часть информации в классической строке User-Agent и перенёс больше сведений в механизм User-Agent Client Hints. Но полностью проблема от этого не исчезла. Сайты по-прежнему могут запрашивать у браузера подробные сведения через navigator.userAgentData.getHighEntropyValues().

В результате им доступны такие детали, как архитектура устройства, разрядность, версия платформы и полная версия браузера, а всё это отлично усиливает точность цифрового отпечатка.

Отдельная история — сигналы, которые приходят из графических и мультимедийных API. Самыми полезными для отслеживания остаются canvas, WebGL и audio processing. Всё дело в том, что разные устройства и системы чуть-чуть по-разному рисуют изображения и обрабатывают звук. Для обычного пользователя эти различия незаметны, но они помогают отличить один компьютер от другого.

И это ещё не всё. Угрозы для приватности скрываются не только в JavaScript API. Даже HTTP-заголовки могут выдавать лишнюю информацию или помогать отслеживать пользователя между визитами. В качестве примера в материале приводится уязвимость CVE-2025-4664 в Chrome: она была связана с обработкой заголовка Link и позволяла навязать слишком мягкую политику referrer, из-за чего в межсайтовых запросах могли утекать полные строки запросов. А это уже потенциальный путь к раскрытию токенов. Позже Google закрыла проблему в Chrome 136.

Отдельно авторы материала напоминают и о больших переменах в политике Google по cookies. Долгий план по отказу от сторонних «печенек» в Chrome фактически был свёрнут ещё в июле 2024 года, а более широкий проект Privacy Sandbox затем вообще прекратили развивать в 2025 году на фоне слабого принятия рынком и критики со стороны экосистемы.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!