Geekly articles weekly

ZeroNights 2018 Ergebnisse

In diesem Jahr fand ZeroNights im St. Petersburger Club A2 statt und brachte mehr als 1000 Teilnehmer aus der ganzen Welt zusammen, darunter Leiter und Mitarbeiter von Informationssicherheitsdiensten, Programmierer, Forscher, Analysten, Pentester, Journalisten und alle, die sich für die angewandten Aspekte der Informationssicherheit interessieren.



Auf der Konferenz wurden Berichte von 60 Rednern aus 9 Ländern vorgestellt: Frankreich, Spanien, Deutschland, China, Malaysia, Malta, Kasachstan, Russland und Armenien. Von verschiedenen Unternehmen: Airbus, Facebook, Synacktiv, Kaspersky Lab, Tencent Security Xuanwu Lab, Formsicherheit, Wrike, X41 D-Sec GmbH und anderen.



Die Hauptthemen der Konferenz:


  • Wie Hacker ein mobiles Gerät über einen Wi-Fi-Chip übernehmen können
  • Wie Faxe zu Feinden im Unternehmensnetzwerk werden können
  • Welche USB-Gerätetreiber für Windows enthalten eine große Anzahl von Schwachstellen
  • Wie Git-Webserver die Angriffsfunktionen erweitern
  • Verwendung von Hardware zur Kompromittierung
    Netzwerkausrüstung und Infrastruktur
  • Wie Angreifer das UPnP-Protokoll verwenden können, um ihre Aktivitäten im Netzwerk zu verbergen
  • Was sind die Sicherheitsprobleme und der Prozess des Schließens von Schwachstellen in den Produkten russischer Prozessverwaltungssysteme?
  • Was sind die Konsequenzen des rücksichtslosen Einsatzes neuer Technologien in der Kundenentwicklung?
  • Wie bei Compilern gibt es Fehler, die zum Einbetten von Backdoors in Software verwendet werden können
  • Wie kann ein System auf BIOS-Ebene infiziert werden?
  • Dass der Ntlm-Relay-Angriff immer noch gefährlich ist und auf neue Weise eingesetzt werden kann
  • So bewerten Sie schnell und effizient die Sicherheit von Konfigurationsdateien für Netzwerkgeräte
  • Was sind die Sicherheitsprobleme bei der SD-WAN-Technologie?
  • Wie Entwicklungssysteme angegriffen und gegen ihre Besitzer eingesetzt werden können
  • Wie GPU-Virtualisierungstools verwendet werden können, um ein System anzugreifen
  • Welche Schwachstellen und Probleme finden Sie in den weit verbreiteten ImageMagick-Produkten und -Bibliotheken, Redis, SCADA-Systemen und node.js-Projekten.

Im Rahmen von ZeroNights wurden auch verschiedene Aktivitäten durchgeführt: Hacking-Quests, Web Village-Abschnitte und Hardware Zone.


Webdorf


Es ist schön zu sehen, dass Web Village immer wieder eine große Anzahl von Zuschauern anzieht.



Lassen Sie uns den traditionellen Strom von Berichten von erfahrenem Weber mit umfassender Erfahrung im praktischen Bereich beachten. Überzeugen Sie sich selbst, diesmal unter den Rednern: Mail.Ru, Yandex, Kaspersky Lab, Digitale Sicherheit, Sploitus, Acunetix, Deteact, Rambler. Wir betrachten es auch als großes Plus - das völlige Fehlen von PR-Unternehmen, verschiedene Entscheidungen und Diskussionen über den Markt. Aber die Hauptleistung von ZeroNights 2018 ist natürlich ein hohes Maß an Vorbereitung von Berichten mit ungebrochenen Beispielen:


  1. Wissen Sie alles über XSS? Ich wette, Sie lernen noch etwas Neues aus diesem Bericht? - Lesen
  2. Fügen Sie immer noch Blind-xss-Vektoren mit Ihren Händen ein? Dann gehen wir zu dir! - Lesen
  3. Wieder einmal hat XSS nicht funktioniert? Anscheinend gibt es CSP, jetzt umgehen - Lesen
  4. Warum dieselben Aktionen manuell ausführen, wenn Sie die Suche nach Schwachstellen automatisieren können? - Lesen
  5. Sie möchten einen Browser hacken, wissen aber nicht, wo Sie anfangen sollen? - Lesen
  6. Pentesters Blick auf die typische Entwicklerinfrastruktur - Lesen
  7. Atypische Schwachstellen oder wie man MEGABAGU aus mehreren völlig legalen Funktionen macht - Lesen
  8. Ein Überblick über die Funktionen und Probleme von PHP, die zu Sicherheitslücken führen können und werden - Lesen
  9. Was ist (De-) Serialisierung, wie ist sie in PHP implementiert und wie kann sie gefährlich sein - Lesen
  10. Was tun, wenn Sie SPEL - Ausdruckssprache für Spring Framework - Read - erfüllen?
  11. Es ist nicht einfach, eine Sicherheitsanfälligkeit zu patchen, sodass drei weitere nicht angezeigt werden. Fix wie ein PRO - Lesen


Was haben wir für nächstes Jahr vor?


  • Wir planen sicher mehr Stühle und Sofas :)
  • Vereinbaren Sie weitere Aktivitäten. Das Sicherheitsquiz von Mail.ru und Yandex hat bewiesen, dass es Spaß macht und cool ist.
  • Die Zahl der Leute, die auf dem WV-Track auftreten möchten, wächst und es gefällt ihnen. Es sieht so aus, als müssten Sie eine separate GFP organisieren.
  • Wir werden versuchen, nicht nur Präsentationen, sondern auch vollständige Cheats als Vermächtnis zu hinterlassen.

Hardware-Zone



Die Konferenzgäste konnten zwei Tage lang an der Hardware Zone teilnehmen. Vollständige Berichte aus der Phase behandelten die Themen der praktischen Sicherheit von Geldautomaten, IoT, Tools und Methoden zur Analyse von Hardwareprotokollen und vieles mehr.



Die Teilnehmer konnten das Verkaufssystem und die Spielwährung mit NFC-Karten knacken, die sie dann in der Bar bezahlen konnten. Um die Aufgabe erfolgreich abzuschließen, verwendeten die Teilnehmer die nützlichen Informationen, die sie in mehreren Workshops von Pavel Zhovner erhalten hatten, sowie alle erforderlichen Hardwaretools, die am Stand vorgestellt wurden. Jeder kann sein Wissen in der Praxis anwenden und seine Stärke bei der Analyse drahtloser Protokolle und der Durchführung von Angriffen auf typische Vertreter der IoT-Welt testen und (als Ergebnis) wertlose unvergessliche Geschenke erhalten (proxmark3, chameleon mini, BBC Microbit).



Die Aktivitäten der Teilnehmer zeigen ein unendliches Interesse am Thema Sicherheit eingebetteter Geräte und Hardware-Hacks. Daher werden wir die Tradition der Hardware Zone fortsetzen und die Anzahl der Schulungsberichte und Wettbewerbe erhöhen.


Wettbewerbe


Vor Ort fanden auch Aktivitäten unserer Partner statt.


Mail.ru veranstaltete einen Wettbewerb zum Brechen der Luftpost, die Gewinner verdienten 100 Dollar und ein Bug Hunter-Sweatshirt.



SEMrush verlost das MacBook Air, die Sony PlayStation 4 Pro und den DJI Spark Quadcopter im Crush SEMrush-Wettbewerb. Die Teilnehmer sollten Schwachstellen in einem Dienst mit deaktivierter WAF gefunden haben.



Sie können Zertifikate für Englischkurse an der größten Online-Schule im Skyeng-Partnergebiet erhalten.



Die Rolle des „weißen“ Hackers in der virtuellen Welt der Dystopie wurde von den Teilnehmern der DefHack-Hacker-Quest ausprobiert. Und im Wettbewerb "Slot Machine" - einem einarmigen Banditen, dessen Spiel auf Blockchain basiert, betrug der Jackpot 100 Einheiten. Kryptowährungen, das erste gehackte System, erhielt ein Ticket für ZeroNights 2019.


Ebenfalls zur Eröffnung der Konferenz fand eine Party statt, die vom Musikprojekt The Dual Personality, den Gewinnern des Remix-Wettbewerbs von Linkin Park und den Teilnehmern des Festivals für elektronische Musik Alfa Future People, geleitet wurde.



Wir danken jedem Konferenzteilnehmer sowie den Partnern, die ZeroNights in diesem Jahr unterstützt haben: Yandex, Mail.ru, Sberbank, Epam, SEMrush, Digital Security.


  • Performance-Videos finden Sie auf unserem YouTube .
  • Fotos von der Konferenz finden Sie hier .
  • Konferenzmaterialien finden Sie hier .


Für diejenigen, die bis zum Ende gelesen haben - ein Wettbewerb! Für das informativste Feedback zu ZeroNights 2018 präsentieren wir unsere coolen Waren: Der erste Platz ist ein Rucksack, der zweite und der dritte sind Sweatshirts. Senden Sie Ihr Feedback mit einer detaillierten Geschichte darüber, was Ihnen auf der Konferenz wirklich gefallen hat oder nicht, unter visiter@zeronights.org. Markiert als "Feedback für Merch." Wir sind für Ehrlichkeit!


Und wir sehen uns bei ZeroNights 2019!

Source: https://habr.com/ru/post/de433420/

More articles:


All Articles