أقيمت ZeroNights هذا العام في نادي St. Petersburg A2 وجمعت أكثر من 1000 مشارك من جميع أنحاء العالم ، من بينهم رؤساء وموظفو خدمات أمن المعلومات والمبرمجون والباحثون والمحللون والمراقبون والصحفيون وكل من يهتم بالجوانب التطبيقية لأمن المعلومات.
في المؤتمر ، تم تقديم تقارير من 60 متحدثًا من 9 دول: فرنسا وإسبانيا وألمانيا والصين وماليزيا ومالطا وكازاخستان وروسيا وأرمينيا. من عدة شركات: Airbus و Facebook و Synacktiv و Kaspersky Lab و Tencent Security Xuanwu Lab و Shape Security و Wrike و X41 D-Sec GmbH وغيرها.
الموضوعات الرئيسية للمؤتمر:
- كيف يمكن للمتسللين الاستيلاء على جهاز محمول عبر شريحة Wi-Fi
- كيف يمكن أن تصبح رسائل الفاكس أعداء في شبكة الشركة
- تحتوي برامج تشغيل جهاز USB لنظام التشغيل Windows على عدد كبير من الثغرات الأمنية
- كيف Git خوادم الويب توسيع قدرات المهاجم
- كيفية استخدام الأجهزة لتسوية
معدات الشبكات والبنية التحتية - كيف يمكن للمهاجمين استخدام بروتوكول UPnP لإخفاء نشاطهم على الشبكة
- ما هي مشاكل الأمن وعملية إغلاق الثغرات الأمنية في منتجات أنظمة إدارة العمليات الروسية
- ما هي عواقب الاستخدام المتهور للتكنولوجيات الجديدة في تطوير العميل
- كما هو الحال مع المترجمين ، هناك أخطاء يمكن استخدامها لتضمين الخلفية في البرامج
- كيف يمكن إصابة النظام بمستوى BIOS؟
- أن هجوم ترحيل Ntlm لا يزال خطيرًا ويمكن استخدامه بطرق جديدة
- كيفية تقييم أمان ملفات تكوين معدات الشبكة بسرعة وكفاءة
- ما هي مشكلات الأمان في تقنية SD-WAN؟
- كيف يمكن مهاجمة أنظمة التطوير واستخدامها ضد أصحابها
- كيف يمكن استخدام أدوات محاكاة GPU لمهاجمة النظام
- ما هي نقاط الضعف والمشاكل التي يمكن العثور عليها في منتجات وملفات ImageMagick الواسعة الانتشار ، و Redis ، وأنظمة SCADA ، ومشاريع node.js.
في إطار ZeroNights ، تم أيضًا تنفيذ العديد من الأنشطة: مهام القرصنة وأقسام Web Village و Hardware Zone.
قرية الويب
من الجميل أن نرى Web Village تجمع عددًا كبيرًا من المشاهدين مرارًا وتكرارًا.
دعونا نلاحظ التدفق التقليدي للتقارير من Weber المتمرس مع خبرة واسعة في المجال العملي. انظر لنفسك ، هذه المرة بين السماعات: Mail.Ru و Yandex و Kaspersky Lab والأمان الرقمي و Sploitus و Acunetix و Deteact و Rambler. نعتبرها أيضًا ميزة كبيرة - الغياب التام لشركات العلاقات العامة ، ومختلف القرارات والمناقشات حول السوق. ولكن ، بالطبع ، يتمثل الإنجاز الرئيسي لـ ZeroNights 2018 في إعداد مستويات عالية من التقارير بأمثلة غير منقطعة:
- هل تعرف كل شيء عن XSS؟ أراهن أنك لا تزال تتعلم شيئًا جديدًا من هذا التقرير؟ - اقرأ
- هل ما زلت تضيف ناقلات Blind-xss بيديك؟ ثم نذهب لك! - اقرأ
- مرة أخرى ، لم XSS لا تعمل؟ يبدو أن هناك CSP ، تجاوز الآن - قراءة
- لماذا تفعل نفس الإجراءات يدويًا عندما يمكنك أتمتة البحث عن الثغرات الأمنية؟ - اقرأ
- هل تريد اختراق متصفح ولكن لا تعرف من أين تبدأ؟ - اقرأ
- نظرة بنتستر في البنية التحتية للمطور النموذجي - اقرأ
- الثغرات غير النمطية أو كيفية جعل MEGABAGU من العديد من الميزات القانونية تمامًا - قراءة
- نظرة عامة على ميزات ومشاكل PHP التي يمكن أن تؤدي وستؤدي بالتأكيد إلى نقاط الضعف - قراءة
- ما هو (دي) التسلسل ، وكيف يتم تنفيذه في PHP وكيف يمكن أن يكون خطرا - قراءة
- ماذا تفعل إذا كنت تقابل لغة التعبير SPEL لـ Spring Framework - قراءة
- ليس من السهل تصحيح الثغرة الأمنية بحيث لا تظهر ثلاث نقاط أخرى. إصلاح مثل PRO - قراءة
ماذا لدينا خطط للعام المقبل؟
- نحن نخطط المزيد من الكراسي والأرائك بالتأكيد :)
- ترتيب المزيد من الأنشطة. أثبت اختبار الأمان من Mail.ru و Yandex أنه ممتع وبارد.
- يتزايد عدد الأشخاص الذين يرغبون في الأداء في WV-track ، وهو يرضي. يبدو أن عليك تنظيم CFP منفصل.
- سنحاول ترك إرث ليس فقط العروض التقديمية ، ولكن أيضا غش كامل.
منطقة الأجهزة
يمكن لضيوف المؤتمر المشاركة في منطقة الأجهزة لمدة يومين. غطت تقارير كاملة من المرحلة مواضيع السلامة العملية لأجهزة الصراف الآلي ، إنترنت الأشياء ، الأدوات والأساليب لتحليل بروتوكولات الأجهزة ، وأكثر من ذلك بكثير.
يمكن للمشاركين كسر نظام البيع وعملة اللعبة باستخدام بطاقات NFC ، والتي يمكنهم الدفع في الشريط. لاستكمال المهمة بنجاح ، استخدم المشاركون المعلومات المفيدة التي تم الحصول عليها في العديد من ورش عمل Pavel Zhovner ، وكذلك جميع الأدوات اللازمة للأجهزة المعروضة في المنصة. يمكن لأي شخص تطبيق معرفته في الممارسة العملية واختبار قوتها في تحليل البروتوكولات اللاسلكية والقيام بهجمات على ممثلين نموذجيين من عالم إنترنت الأشياء ، وتلقي (كنتيجة) هدايا لا تُنسى لا تُنسى (proxmark3 ، و chameleon mini ، و BBC Microbit).
يُظهر نشاط المشاركين اهتمامًا لا ينتهي أبدًا بموضوع أمان الأجهزة المضمّنة والمتطفلين على الأجهزة ، لذلك سنستمر في متابعة تقليد Hardware Zone وزيادة عدد التقارير التعليمية والمسابقات.
مسابقات
الأنشطة من شركائنا وقعت أيضا في الموقع.
Mail.ru عقد مسابقة لكسر البريد الجوي ، وحصل الفائزون على 100 دولارات و Bug Hunter من النوع الثقيل.
أسقطت SEMrush جهاز MacBook Air و Sony PlayStation 4 Pro و DJI Spark quadcopter في مسابقة Crush SEMrush. يجب أن يجد المشاركون نقاط ضعف في خدمة مع تعطيل WAF.
يمكنك الحصول على شهادات لدروس اللغة الإنجليزية في أكبر مدرسة عبر الإنترنت في منطقة شركاء Skyeng.
تمت تجربة دور المتسلل "الأبيض" في العالم الواقعي للعيوب من قبل المشاركين في البحث عن المتسللين في DefHack. وفي المسابقة "Slot Machine" - قطاع طرق مسلح واحد تم تصميم لعبته على أساس Blockchain ، بلغ الفوز بالجائزة الكبرى 100 وحدة. العملات المشفرة ، تلقى أول نظام اخترق تذكرة لـ ZeroNights 2019.
وفي افتتاح المؤتمر أيضًا ، أقيم حفل تحت عنوان المشروع الموسيقي The Dual Personality ، الفائزين في مسابقة ريميكس من Linkin Park والمشاركين في مهرجان الموسيقى الإلكترونية Alfa Future People.
نشكر كل مشارك في المؤتمر ، وكذلك الشركاء الذين دعموا ZeroNights هذا العام: Yandex ، Mail.ru ، Sberbank ، Epam ، SEMrush ، Digital Security.
- تتوفر مقاطع الفيديو ذات الأداء على YouTube .
- صور من المؤتمر متاحة هنا .
- يمكن العثور على مواد المؤتمر هنا .
بالنسبة لأولئك الذين قرأوا حتى النهاية - مسابقة! لمزيد من المعلومات المفيدة حول ZeroNights 2018 ، سوف نقدم بضائعنا الرائعة: المقام الأول هو حقيبة ظهر ، والثاني والثالث بلوزات. أرسل ملاحظاتك مع قصة تفصيلية حول ما أعجبك حقًا أو لم يعجبك في المؤتمر ، على visit@zeronights.org. تم وضع علامة "ملاحظات على Merch". نحن من أجل الصدق!
ونراكم في ZeroNights 2019!