Geekly articles weekly

Resultados de ZeroNights 2018

Este año, ZeroNights se celebró en el club A2 de San Petersburgo y reunió a más de 1000 participantes de todo el mundo, entre ellos: jefes y empleados de servicios de seguridad de la información, programadores, investigadores, analistas, pentesters, periodistas y todos los interesados ​​en los aspectos aplicados de la seguridad de la información.



En la conferencia, 60 oradores de 9 países presentaron informes: Francia, España, Alemania, China, Malasia, Malta, Kazajstán, Rusia y Armenia. De varias compañías: Airbus, Facebook, Synacktiv, Kaspersky Lab, Tencent Security Xuanwu Lab, Shape Security, Wrike, X41 D-Sec GmbH y otras.



Los principales temas de la conferencia:


  • Cómo los hackers pueden hacerse cargo de un dispositivo móvil a través de un chip Wi-Fi
  • Cómo los faxes pueden convertirse en enemigos en la red corporativa
  • Qué controladores de dispositivos USB para Windows contienen una gran cantidad de vulnerabilidades
  • Cómo los servidores web de Git amplían las capacidades del atacante
  • Cómo usar hardware para comprometer
    equipo de red e infraestructura
  • Cómo los atacantes pueden usar el protocolo UPnP para ocultar su actividad en la red
  • ¿Cuáles son los problemas de seguridad y el proceso de cerrar vulnerabilidades en los productos de los sistemas de administración de procesos rusos?
  • ¿Cuáles son las consecuencias del uso imprudente de las nuevas tecnologías en el desarrollo del cliente?
  • Al igual que con los compiladores, hay errores que pueden usarse para incrustar puertas traseras en el software
  • ¿Cómo se puede infectar un sistema a nivel de BIOS?
  • Que el ataque Ntlm Relay sigue siendo peligroso y puede usarse de nuevas maneras
  • Cómo evaluar de forma rápida y eficiente la seguridad de los archivos de configuración de equipos de red
  • ¿Cuáles son los problemas de seguridad con la tecnología SD-WAN?
  • Cómo los sistemas de desarrollo pueden ser atacados y utilizados contra sus propietarios
  • Cómo se pueden usar las herramientas de virtualización de GPU para atacar un sistema
  • Qué vulnerabilidades y problemas se pueden encontrar en los productos y bibliotecas de ImageMagick, Redis, sistemas SCADA y proyectos de node.js.

En el marco de ZeroNights, también se llevaron a cabo diversas actividades: misiones de piratería, secciones de Web Village y Hardware Zone.


Pueblo web


Es agradable ver Web Village reuniendo una gran cantidad de espectadores una y otra vez.



Observemos el flujo tradicional de informes de Weber experimentado con amplia experiencia en el campo práctico. Compruébelo usted mismo, esta vez entre los oradores: Mail.Ru, Yandex, Kaspersky Lab, Digital Security, Sploitus, Acunetix, Deteact, Rambler. También lo consideramos una gran ventaja: la ausencia total de empresas de relaciones públicas, diversas decisiones y debates sobre el mercado. Pero, por supuesto, el principal logro de ZeroNights 2018 es un alto nivel de preparación de informes con ejemplos ininterrumpidos:


  1. ¿Sabes todo sobre XSS? ¿Apuesto a que aún aprendes algo nuevo de este informe? - Leer
  2. ¿Todavía inserta vectores Blind-xss con sus manos? ¡Entonces vamos a ti! - Leer
  3. Una vez más, XSS no funcionó? Aparentemente hay CSP, ahora omitir - Leer
  4. ¿Por qué hacer las mismas acciones manualmente cuando puede automatizar la búsqueda de vulnerabilidades? - Leer
  5. ¿Quieres hackear un navegador pero no sabes por dónde empezar? - Leer
  6. La mirada de Pentester a la infraestructura típica de desarrolladores - Leer
  7. Vulnerabilidades atípicas o cómo hacer MEGABAGU a partir de varias características completamente legales - Leer
  8. Una descripción general de las características y problemas de PHP que pueden generar y ciertamente generarán vulnerabilidades: lea
  9. ¿Qué es la (des) serialización, cómo se implementa en PHP y cómo puede ser peligroso?
  10. Qué hacer si cumple con SPEL - lenguaje de expresión para Spring Framework - Leer
  11. No es fácil parchear una vulnerabilidad para que no aparezcan tres más. Arreglar como un PRO - Leer


¿Qué planes tenemos para el año que viene?


  • Planeamos más sillas y sofás con seguridad :)
  • Organizar más actividades. El cuestionario de seguridad de Mail.ru y Yandex demostró que es divertido y genial.
  • El número de personas que desean actuar en la pista WV está creciendo, y eso agrada. Parece que tienes que organizar una PPC separada.
  • Intentaremos dejar como legado no solo presentaciones, sino también trucos completos.

Zona de hardware



Los invitados a la conferencia podrían participar en la Zona de Hardware durante dos días. Los informes completos de la etapa abarcaron los temas de seguridad práctica de los cajeros automáticos, IoT, herramientas y métodos para analizar protocolos de hardware y mucho más.



Los participantes podrían descifrar el sistema de venta y la moneda del juego usando tarjetas NFC, que luego podrían pagar en el bar. Para completar con éxito la tarea, los participantes utilizaron la información útil obtenida en varios talleres de Pavel Zhovner, así como todas las herramientas de hardware necesarias presentadas en el stand. Cualquiera podría aplicar sus conocimientos en la práctica y probar su fuerza en el análisis de protocolos inalámbricos y realizar ataques a representantes típicos del mundo de IoT, recibiendo (como resultado) obsequios memorables sin valor (proxmark3, camaleón mini, BBC Microbit).



La actividad de los participantes muestra un interés interminable en el tema de la seguridad de dispositivos embebidos y piratas informáticos, por lo que continuaremos con la tradición de Hardware Zone y aumentaremos el número de informes educativos y concursos.


Concursos


Las actividades de nuestros socios también tuvieron lugar en el sitio.


Mail.ru realizó una competencia por romper el correo aéreo, los ganadores ganaron 100 dólares y una sudadera Bug Hunter.



SEMrush sorteó el quadBook de MacBook Air, Sony PlayStation 4 Pro y DJI Spark en el concurso Crush SEMrush. Los participantes deberían haber encontrado vulnerabilidades en un servicio con WAF deshabilitado.



Puede obtener certificados para las clases de inglés en la escuela en línea más grande del área de socios de Skyeng.



Los participantes en la búsqueda del hacker DefHack probaron el papel del hacker "blanco" en el mundo virtual de la distopía. Y en el concurso "Slot Machine", un bandido de un solo brazo cuyo juego se basa en Blockchain, el premio mayor ascendió a 100 unidades. criptomonedas, el primer sistema pirateado recibió un boleto para ZeroNights 2019.


También en la apertura de la conferencia, se realizó una fiesta encabezada por el proyecto musical The Dual Personality, ganadores del concurso de remix de Linkin Park y participantes en el festival de música electrónica Alfa Future People.



Agradecemos a cada participante de la conferencia, así como a los socios que apoyaron ZeroNights este año: Yandex, Mail.ru, Sberbank, Epam, SEMrush, Digital Security.


  • Los videos de rendimiento están disponibles en nuestro YouTube .
  • Las fotos de la conferencia están disponibles aquí .
  • Los materiales de la conferencia se pueden encontrar aquí .


Para aquellos que han leído hasta el final, ¡un concurso! Para obtener los comentarios más informativos sobre ZeroNights 2018, presentaremos nuestra mercancía genial: el primer lugar es una mochila, el segundo y el tercero son sudaderas. Envíe sus comentarios con una historia detallada sobre lo que realmente le gustó o no le gustó en la conferencia, a visitor@zeronights.org. Marcado "Comentarios para Merch". Estamos por la honestidad!


¡Y nos vemos en ZeroNights 2019!

Source: https://habr.com/ru/post/es433420/

More articles:


All Articles