На ZeroNights 2017 рассказали об атаках на платежные системы и АЗС

На ZeroNights 2017 рассказали об атаках на платежные системы и АЗС

Компания Digital Security, провела 16-17 ноября 2017 года седьмую конференцию по кибербезопасности ZeroNights при поддержке Яндекс и независимого сообщества Defcon Russia.

Мероприятие состоялось в Москве, в КЦ ЗИЛ, и собрало руководителей и сотрудников служб ИБ, программистов, исследователей, аналитиков, пентестеров, представителей комьюнити по ИБ, журналистов и всех, кто интересуется прикладными аспектами отрасли. В этом году мероприятие посетило более 2300 человек.

Основные темы конференции: Web-безопасность; безопасность Windows, MacOS, iOS; уязвимости платежных систем и приложений; атаки на смарт-контракты и безопасность блокчейн-проектов; реверс-инжиниринг; взлом автозаправок и самих автомобилей; новые хакерские техники. 

На конференции были представлены доклады более 60 спикеров из 9 стран мира (Россия, Аргентина, США, Германия, Канада, Китай, Великобритания, Сингапур, Израиль). В числе докладчиков – эксперты в области ИБ, аналитики, программисты, хакеры, реверс-инженеры. В частности, среди спикеров ивента были такие известные специалисты, как Томас Даллиен, Шей Герон, Лукас Апа, Джейис Форшоу, Алексей Тюрин, Идо Наор, Алекс Матросов, Максвел Кох и другие. Ознакомиться с биографиями спикеров, а также детально изучить описание выступлений можно на официальном сайте ZeroNights: https://2017.zeronights.ru/. 

Исследователи Digital Security представили в рамках основной программы три доклада. Алексей Перцев и Егор Карбутов, пентестеры Digital Security, выступили с темой «Чат с хакером» (13.30, 16 ноября, Track2). Они поделились с гостями конференции своим опытом и объяснили, как онлайн-чаты поддержки могут расширить поверхность атаки на компанию, её сотрудников, клиентов и даже самого вендора чатов. 

Далее, Алексей Перцев рассказал о том, как смарт-контракты, ICO и DAO выглядят глазами атакующего и куда он может приложить свои усилия для получения выгоды. Он выступил с докладом «DAO for penetration testers» (ДАО для пентестеров) (12.00, 17 ноября, Track2). Алексей рассмотрел типовые уязвимости в смарт-контрактах, рассказал, почему они возникают, и как их избежать.

И, наконец, Алексей Тюрин, директор департамента аудита защищенности Digital Security, представил доклад «Другой взгляд на MitM-атаки на HTTPS» (17.00 17 ноября, Track1). Несмотря на то, что основная цель TLS/HTTPS – защита от MitM-атак, с помощью различных трюков возможно проводить успешные атаки такого типа на данный протокол. Как? Алексей рассказал в своем выступлении. 

Доклады, представленные на конференции, прошли строгий отбор программного комитета из 13 авторитетных специалистов-практиков. В его состав входят как представители служб информационной безопасности и исследовательских команд известных компаний, так и независимые рисерчеры.

Помимо основных докладов, также на конференции были представлены воркшопы и выступления в слотах Defensive Track и Fast Track. Секция Defensive по праву пользуется большой популярностью у гостей конференции, поскольку здесь своим опытом делятся специалисты-практики по ИБ из крупных компаний. В этом году свои доклады в рамках секции представили Яндекс, Мail.ru, Facebook, Opera. Ну а слушатели Fast Track получили возможность узнать об интересных находках или хакерском инструментарии коллег из мини-докладов.  

В рамках ZN также были реализованы различные активности: многоступенчатый хакерский Квест Hack & Go, соревнования CTF (BI.Zone, Defcon NN), конкурсы на взлом и на сообразительность от Mail.ru, BI.Zone, Web Village, Hardware Zone. Победители конкурсов получили ценные призы. 

На ZeroNights впервые была представлена секция Web Village, где можно узнать о современных атаках на веб-приложения, попробовать себя в роли атакующего, выяснить, как работает современный веб, поучаствовать в конкурсах и многое другое! Первый день был полностью посвящен атакам на клиентов веб-приложений (Client-side), в рамках второго дня обсуждались атаки на серверную часть (Server-side). Свои доклады в рамках секции представили известные рисерчеры, багхантеры и пентестеры, в том числе, Алексей Тюрин, Егор Карбутов, Иван Чалыкин, Сергей Белов, Антон Лопаницын, Андрей Ковалев, Дмитрий Мулявка, Омар Ганиев, Ярослав Бабин. 

Любителей железа порадовала Hardware Zone. В течение обоих дней конференции ZeroNights здесь говорили про атаки на различные беспроводные технологии, от простейших радиопротоколов до платежных систем, низкоуровневые атаки и техники blackbox-анализа встраиваемых устройств, не осталась в стороне и промышленная автоматика.

Команда CarPWN снова погрузила нас в мир ИБ автомобилей. Здесь можно было ознакомиться с базовыми вопросами безопасности автомобильных технологий, включая self-driving car, connected-car, а также поговорить про трудности reverse engineering ECU и безопасность QNX. 

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Глава Apple: У Google есть проблемы конфиденциальности, но они лучшие

В вопросе недавних претензий к корпорации Google и использовании соответствующей поисковой системы Тим Кук встал на сторону интернет-гиганта. Отвечая журналистам, глава Apple признал наличие у Google проблем конфиденциальности, однако выступил также в защиту использования поисковой системы на корпоративных устройствах.

Заданный Куку вопрос касался миллиардов долларов, которые Google якобы платит Apple за установку ее поисковой системы по умолчанию в продуктах компании. Журналист подчеркнул, что политики Apple и Google в отношении обращения с персональными данными не совпадают.

«На мой взгляд, их поисковая система — лучшая на данный момент», — ответил Кук в интервью Axios.

Глава Apple также добавил, что браузер Safari, используемый по умолчанию во всех операционных системах компании, оснащен специальными возможностями, которые не позволят корпорациям вроде Google отслеживать активность пользователей.

Кук согласился с тем, что даже столь серьезные настройки конфиденциальности — не панацея, и компании все еще предстоит долгий путь борьбы со сбором информации о пользователях и отслеживанию их поведения в Сети.

Другой основатель «яблочной» корпорации Стив Возняк также высказался по поводу отношения современных интернет-гигантов к пользователям. Под критику знаменитого программиста попали методы Facebook и Марка Цукерберга.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru