Свершилось! После обнародования видеозаписей докладов и
мастер-классов с Positive Hack Days мы не остановились на достигнутом и сегодня представляем
вашему вниманию презентации докладов, которые состоялись в рамках форума.
Для удобства мы приводим ссылки не только на слайды, но и на
видеозаписи докладов (если они имеются).
Ключевые доклады
Видео с докладом Брюса Шнайера доступно по этой
ссылке (начиная с 13:00). Гуру криптографии рассказал о своей философии
безопасности, которая многих удивила. Нарушители закона (хакеры), по его
мнению, — не только вредны, но и полезны.
Датук Мохд Нур Амин является председателем Международного
многостороннего партнерства против киберугроз (IMPACT), первого
общественно-государственного объединения при ООН, которое направлено на борьбу
с киберугрозами и сотрудничает с Международным союзом электросвязи (МСЭ), специализированным
учреждением ООН. IMPACT признается крупнейшим в мире объединением,
обеспечивающим безопасность в киберпространстве. В его состав входят 137 стран [видео]
[презентация
ENG].
Телеком
Доклад: Сергей
Гордейчик, «Как взломать телеком и остаться в живых — 2. Достучатся до биллинга»
[видео]
[презентация
ENG].
Где хранятся ключи от технологической сети? Как завладеть
биллингом, не создав проблем для основного бизнеса компании? Об этом, а также о
новых показательных и забавных случаях тестирования на проникновения
телекоммуникационных сетей Сергей рассказал в своем докладе.
Доклад: Роман
Капля, «Борьба с мошенничеством — сфера кооперации операторов» [презентация].
Государственный сектор
Доклад: Михаил
Емельянников, «Когда и почему невозможно не нарушить российский закон о
персональных данных» [видео]
[презентация].
Доклад: Андрей
Валерьевич Федичев, ФСТЭК России, «Почему государственные секреты появляются в
Интернете?» [видео]
[презентация].
Доклад: Алексей
Лукацкий, «Как выборы Президента России влияют на рынок информационной
безопасности, или Куда движется регулирование?» Видео доступно по этой
ссылке (начиная с 16:00) [презентация].
Защита сетей
Доклад: Владимир
Стыран, «Правда про ложь: социальная инженерия для безопасников» [видео]
[презентация].
Мастер-класс:
Андрей Масалович, «Конкурентная разведка в Интернете». Видео доступно по этой
ссылке (начиная с 16:08), [презентация].
Участники мастер-класса на примерах реальных задачах конкурентной
разведки познакомились с аналитическими технологиями, в частности с приемами
быстрого обнаружения утечек конфиденциальной информации, а также открытых
разделов на серверах, приемами проникновения на FTP-серверы без взлома защиты и
обнаружения утечек паролей, приемами получения доступа к конфиденциальным
документам в обход DLP и проникновения в разделы без наличия соответствующих
прав (ошибка 403). Демонстрация проводилась на примерах порталов заведомо
хорошо защищенных компаний (лидеров рынков ИТ и ИБ, крупных госструктур,
спецслужб).
Мастер-класс: Дмитрий
Рыжавский, «Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы
могли этого избежать» [видео]
[презентация].
В ходе выступления рассматривались наиболее актуальные методики
получения несанкционированного доступа к сети Wi-Fi, были продемонстрировано действие
механизмов, предлагаемых комплексным решением Cisco Unified Wireless Network
для защиты от описанных атак.
Мастер-класс: Никхил
Миттал, «Творим хаос c помощью устройств ввода-вывода» [видео]
[презентация
ENG].
На этом мастер-классе обсуждался очень важный, но
повсеместно игнорируемый аспект компьютерной безопасности — уязвимость
устройств, предназначенных для взаимодействия с человеком (Human Interface
Devices, HID).
Доклад: Андрей
Костин, «PostScript: опасность! Взлом МФУ, ПК и не только» [видео]
[презентация
ENG].
Видео демонстраций: http://www.youtube.com/watch?v=wnKDpelQAOw&feature=player_detailpage
Доклад: Сергей
Клевогин, «CEH. Этичный хакинг и тестирование на проникновение» [видео],
[презентация].
Участники мастер-класса познакомились с типичными
уязвимостями сетевых протоколов, операционных систем и приложений. В ходе своего
выступления ведущий описал последовательности различных видов атак на
компьютерные системы и сети, а также дал рекомендации по укреплению их защищенности.
Слушатели
погрузились в практическую среду и увидели, как по-настоящему взломать систему,
— чтобы впоследствии предугадывать действия хакера и успешно им
противостоять.
Доклад: Трэвис
Гудспид, «Эксплуатация радиопомех при помощи технологии Packets-in-Packets»
Видео доступно по этой
ссылке (начиная с 15:10) [презентация
ENG].
Докладчик рассказал об особенностях эксплойтов PIP и привел примеры для
сетей стандарта IEEE
802.15.4 и маломощных радиомодулей Nordic RF.
SAP, SCADA, ERP
Доклад: Алексей Юдин,
«ERP глазами злоумышленника». Видео доступно по этой
ссылке (начиная с 15:00) [презентация].
Доклад: Евгения
Шумахер, «Как узнать зарплату коллеги, не вставая с рабочего места, или
Безопасность SAP HR» [видео]
[презентация].
Доклад: Александр
Михайлович Поляков, «Небезопасность SAP: новое и лучшее» [видео]
[презентация
ENG].
Доклад был посвящен десяти наиболее
интересным уязвимостям SAP-систем — от проблем с шифрованием до обхода
аутентификации, от забавных ошибок до сложных векторов атак. С немалой частью
представленных в докладе уязвимостей широкая публика познакомилась впервые.
Участники этого мастер-класса
научились проводить базовый анализ безопасности систем SAP R/3 и NetWeaver
(включая серверы приложений и инфраструктуру) с использованием доступных
инструментов.
Веб-безопасность
Мастер-класс: Владимир Лепихин, «Атаки на веб-приложения.
Основы». Видео доступно по этой
ссылке (начиная с 09:00) [презентация].
В докладе были систематизированно представлены механизмы
реализации атак на веб-приложения, приемы и инструменты нарушителей
(специализированные сканеры безопасности, утилиты, использование результатов их
работы в ходе ручного анализа). На практических примерах были наглядно
продемонстрированы основные слабости веб-приложений, делающие возможным
проведение атак, а также проиллюстрированы недостатки используемых средств
защиты и методы их обхода.
Доклад: Мирослав
Штампар, «Утечки данных через DNS:
использование sqlmap» [видео],
[презентация
ENG].
Докладчик представил технику DNS-эксфильтрации с помощью SQL-инъекций, рассказал о ее преимуществах
и недостатках, а также провел наглядные демонстрации.
Доклад: Владимир
Воронцов, «Атаки на веб-клиентов сетей Microsoft» [видео]
[презентация
1 ENG] [презентация
2 ENG].
В докладе были описаны методы, позволяющие проводить атаки
пользователей браузера Internet
Explorer в рамках сетей Microsfot, и рассмотрены атаки, нацеленные на получение конфиденциальных
данных пользователей, расположенных как на удаленных серверах (обход
ограничений политики доступа), так и на локальных ПК.
На мастер-классе были рассмотрены техники
защиты от атак, использующих XML, HPP/HPC, а также атак типа Click
Jacking и Session Puzzling.
Доклад: Сергей
Щербель, «Не все PHP
одинаково полезны». Видео доступно по этой
ссылке (начиная с 16:00) [презентация
ENG].
В докладе
были рассмотрены выявленные проблемы
безопасности и особенности эксплуатации веб-приложений при использовании
сторонних реализаций PHP, а также приведены примеры уязвимостей нулевого дня.
Доклад: Тибо Кёхлен,
«Naxsi — брандмауэр веб-приложений с открытым кодом, основанный на позитивной
модели безопасности» [видео]
[презентация
ENG].
Видео демонстрации:
В докладе были рассмотрены примеры новых уязвимостей нулевого дня
и возможные техники их эксплуатации, включая принципиально новый вид атак
класса «Внедрение кода».
Безопасность мобильных устройств
Мастер-класс: Маниш
Часта, «Безопасность приложений для Android» [видео],
[презентация
1 ENG], [презентация
2 ENG].
В докладе были кратко освещены техники обнаружения и
устранения уязвимостей в приложениях Android Mobile. Кроме того, в презентации затрагивались
вопросы получения прав администратора для устройств, работающих на платформе
Android (Android rooting), анализа баз данных SQLite, применения пакета Android
Debug Bridge (ADB) и угроз, связанных с мобильным сервером. Вниманию слушателей
также был представлен список десяти самых опасных угроз для мобильных
приложений, опубликованный сообществом Open Web Application Security Project
(OWASP).
Мастер-класс:
Сергей Невструев, «Практические аспекты мобильной безопасности» [видео]
[презентация].
Борьба с ботнетами
Доклад: Мария
Гарнаева, «Методы вставки палок в колеса ботмастерам: ботнет Kelihos». Видео доступно по этой
ссылке (начиная с 09:10) [презентация].
Доклад: Александр
Лямин, «DDоS: практическое руководство к выживанию. Часть 2». Видео доступно по
этой
ссылке (начиная с 17:03) [презентация
ENG].
Доклад: Федор
Ярочкин, Владимир Кропотов, «Жизненный цикл ботнетов и их обнаружение путем
анализа сетевого трафика» [видео]
[презентация
ENG].
Мастер-класс:
Пьер-Марк Бюро. «Win32/Georbot. Особенности вредоносных программ и их
автоматизированный анализ» [видео]
[презентация
ENG]. Первый в мире
мастер-класс по данному ботнету.
Проблемы парольной защиты
Доклад: Алексей
Евгеньевич Жуков, «Легковесная криптография: нетребовательная к ресурсам и
стойкая к атакам». Видео доступно по этой
ссылке (начиная с 12:00) [презентация].
Доклад: Дмитрий Скляров,
Андрей Беленко, «Secure Password Managers и Military-Grade Encryption для смартфонов: "Чё,
серьезно?.."». Видео доступно по этой
ссылке (начиная с 10:15) [презентация
ENG].
Доклад: Александр
(Solar Designer) Песляк, «Парольная
защита: прошлое, настоящее, будущее» [видео]
[презентация
ENG].
В рамках выступления были рассмотрены вопросы парольной
защиты, история развития и ближайшие перспективы технологии аутентификации.
Хакеры и деньги
Доклад: Александр
Матросов, Евгений Родионов, «Уязвимости смарт-карт с точки зрения современных
банковских вредоносных программ». Видео доступно по этой
ссылке (начиная с 11:07) [презентация
ENG].
При подготовке доклада его авторы провели
исследование наиболее распространенных вредоносных программ, а также выявили
интересные уязвимости при использовании двухфакторной аутентификации и
смарт-карт. В докладе были рассмотрены ухищрения злоумышленников,
препятствующие проведению криминалистической экспертизы.
Доклад: Миха
Боррманн, «Расплачиваетесь кредитной картой в Интернете? Будьте готовы к
головной боли» [видео]
[презентация
ENG].
Доклад: Никита
Швецов, «Три новейшие истории об атаках на системы ДБО» [презентация].
Доклад: Дмитрий
Кузнецов, «Защищенность платежных приложений» [презентация].
Практическая безопасность
Мастер-класс:
Борис Рютин, «Безопасность без антивирусов» [видео].
Четырехчасовой мастер-класс, участники которого получили
базовые навыки выявления троянских программ в операционной системе, изучили
самые современные технологии разработки троянов для Windows (SpyEye, Carberp,
Duqu), рассмотрели трояны для Android, а также познакомятся с анализом
актуальных эксплойтов (PDF, Java).
Доклад: Дмитрий
Евдокимов, «Средства анализа кода: светлая и темная сторона» [видео]
[презентация
ENG].
Дмитрий рассмотрел способы
инструментации исходного кода, байт-кода и бинарного кода.
Доклад: Никита
Тараканов, Александр Бажанюк, «Средство автоматического поиска уязвимостей».
Видео доступно по этой
ссылке (начиная с 17:00) [презентация
ENG].
Доклад: Игорь
Котенко, «Кибервойны программных агентов: применение теории командной работы
интеллектуальных агентов для построения киберармий» [видео]
[презентация].
Доклад: Ульрих
Флек, Мартин Айзнер, «Атаки от 0-day до APT на примере популярного фреймворка» [видео]
[презентация 1
ENG] [презентация 2 ENG].
Доклад: Алексей
Лафицкий, «Защита индустриальных информационных систем – фактор выживания
человечества» [презентация].
Anonymous и LulZ
Доклад: Джерри
Гэмблин, «Какой урок можно (и нужно) вынести из истории с LulzSec» [видео]
[презентация].
Доклад: Хейзем
Эль Мир, «Как Тунис противостоял Anonymous». Видео доступно по этой
ссылке (начиная с 14:10) [презентация
ENG].
Другие темы
Доклад: Евгений
Царев, «Система противодействия мошенничеству по-русски» [презентация].
Доклад: Василий
Пименов, «Применение количественной оценки рисков в противодействии
мошенничеству на сети связи» [презентация].
Доклад: Константин
Мыткин, «Смарт-технологии, взгляд со
стороны разработчика»[презентация].
Доклад: Александр
Дорофеев, «Технологии социальной инженерии: сложно ли "взламывать" людей?»
[презентация].
Круглый стол:
Дмитрий Ершов, «Кадры, инструкция по сборке» [презентация].
Если вы хотите прочесть заметки о форуме в Твиттере (или
перечитать твиттер-трансляцию) — воспользуйтесь нашим хэштегом #PHDays.
Комментариев нет:
Отправить комментарий