Geekly articles weekly

Résultats ZeroNights 2018

Cette année, ZeroNights a eu lieu au club A2 de Saint-Pétersbourg et a réuni plus de 1000 participants du monde entier, parmi eux: chefs et employés des services de sécurité de l'information, programmeurs, chercheurs, analystes, pentesters, journalistes et tous ceux qui s'intéressent aux aspects appliqués de la sécurité de l'information.



Lors de la conférence, des rapports ont été présentés par 60 orateurs de 9 pays: France, Espagne, Allemagne, Chine, Malaisie, Malte, Kazakhstan, Russie et Arménie. De diverses sociétés: Airbus, Facebook, Synacktiv, Kaspersky Lab, Tencent Security Xuanwu Lab, Shape Security, Wrike, X41 D-Sec GmbH et autres.



Les principaux thèmes de la conférence:


  • Comment les pirates peuvent prendre le contrôle d'un appareil mobile via une puce Wi-Fi
  • Comment les télécopies peuvent devenir des ennemis dans le réseau d'entreprise
  • Quels pilotes de périphérique USB pour Windows contiennent un grand nombre de vulnérabilités
  • Comment les serveurs Web Git étendent les capacités des attaquants
  • Comment utiliser le matériel pour faire des compromis
    équipement et infrastructure de réseau
  • Comment les attaquants peuvent utiliser le protocole UPnP pour masquer leur activité sur le réseau
  • Quels sont les problèmes de sécurité et le processus de fermeture des vulnérabilités dans les produits des systèmes d'administration de processus russes
  • Quelles sont les conséquences de l'utilisation imprudente des nouvelles technologies dans le développement client
  • Comme avec les compilateurs, il existe des erreurs qui peuvent être utilisées pour intégrer des portes dérobées dans un logiciel
  • Comment un système peut-il être infecté au niveau du BIOS?
  • Que l'attaque Ntlm Relay est toujours dangereuse et peut être utilisée de nouvelles façons
  • Comment évaluer rapidement et efficacement la sécurité des fichiers de configuration de l'équipement réseau
  • Quels sont les problèmes de sécurité avec la technologie SD-WAN?
  • Comment les systèmes de développement peuvent être attaqués et utilisés contre leurs propriétaires
  • Comment les outils de virtualisation GPU peuvent être utilisés pour attaquer un système
  • Quelles vulnérabilités et problèmes peuvent être trouvés dans les produits et bibliothèques ImageMagick, Redis, les systèmes SCADA et les projets node.js.

Dans le cadre de ZeroNights, diverses activités ont également été menées: quêtes de piratage, sections Web Village et Hardware Zone.


Village Web


C'est agréable de voir Web Village rassembler un grand nombre de téléspectateurs encore et encore.



Notons le flux traditionnel de rapports de Weber chevronné avec une vaste expérience dans le domaine pratique. Voyez par vous-même, cette fois parmi les intervenants: Mail.Ru, Yandex, Kaspersky Lab, Digital Security, Sploitus, Acunetix, Deteact, Rambler. Nous considérons également que c'est un gros plus - l'absence totale de sociétés de relations publiques, diverses décisions et discussions sur le marché. Mais, bien sûr, la principale réalisation de ZeroNights 2018 est un haut niveau de préparation de rapports avec des exemples ininterrompus:


  1. Savez-vous tout sur XSS? Je parie que vous apprenez encore quelque chose de nouveau de ce rapport? - Lire
  2. Vous insérez toujours des vecteurs Blind-xss avec vos mains? Ensuite, nous allons à vous! - Lire
  3. Encore une fois, XSS n'a pas fonctionné? Apparemment il y a CSP, maintenant contourner - Lire
  4. Pourquoi effectuer les mêmes actions manuellement lorsque vous pouvez automatiser la recherche de vulnérabilités? - Lire
  5. Vous voulez pirater un navigateur mais vous ne savez pas par où commencer? - Lire
  6. Le regard de Pentester sur l'infrastructure de développement typique - Lire
  7. Des vulnérabilités atypiques ou comment faire MEGABAGU à partir de plusieurs fonctionnalités complètement légales - Lire
  8. Un aperçu des fonctionnalités et des problèmes de PHP qui peuvent conduire et conduiront certainement à des vulnérabilités - Lire
  9. Qu'est-ce que la (dé) sérialisation, comment est-elle implémentée en PHP et comment peut-elle être dangereuse - Lire
  10. Que faire si vous rencontrez SPEL - langage d'expression pour Spring Framework - Lire
  11. Il n'est pas facile de corriger une vulnérabilité afin que trois autres n'apparaissent pas. Réparer comme un PRO - Lire


Qu'avons-nous prévu pour l'année prochaine?


  • Nous prévoyons plus de chaises et de canapés à coup sûr :)
  • Organisez plus d'activités. Le quiz de sécurité de Mail.ru et Yandex a prouvé que c'était amusant et cool.
  • Le nombre de personnes souhaitant se produire sur la piste WV est en augmentation et cela plaît. Il semble que vous devez organiser un CFP distinct.
  • Nous allons essayer de laisser en héritage non seulement des présentations, mais aussi des tricheurs complets.

Zone matérielle



Les invités à la conférence ont pu participer à la Hardware Zone pendant deux jours. Les rapports complets de la scène ont couvert les sujets de la sécurité pratique des distributeurs automatiques de billets, de l'IoT, des outils et des méthodes d'analyse des protocoles matériels, et bien plus encore.



Les participants pouvaient casser le système de vente et la monnaie du jeu en utilisant des cartes NFC, qu'ils pouvaient ensuite payer au bar. Pour mener à bien la tâche, les participants ont utilisé les informations utiles obtenues lors de plusieurs ateliers de Pavel Zhovner, ainsi que tous les outils matériels nécessaires présentés sur le stand. N'importe qui pourrait appliquer ses connaissances dans la pratique et tester sa force dans l'analyse de protocoles sans fil et la conduite d'attaques contre des représentants typiques du monde de l'IoT, recevant (en conséquence) des cadeaux mémorables sans valeur (proxmark3, caméléon mini, BBC Microbit).



L'activité des participants montre un intérêt sans fin pour le sujet de la sécurité des appareils embarqués et des hacks matériels, nous continuerons donc à poursuivre la tradition de Hardware Zone et à augmenter le nombre de rapports éducatifs et de compétitions.


Concours


Des activités de nos partenaires ont également eu lieu sur le site.


Mail.ru a organisé un concours pour briser la poste aérienne, les gagnants ont gagné 100 dollars et un sweat-shirt Bug Hunter.



SEMrush a tiré au sort le MacBook Air, le Sony PlayStation 4 Pro et le quadricoptère DJI Spark dans le cadre du concours Crush SEMrush. Les participants auraient dû trouver des vulnérabilités dans un service avec WAF désactivé.



Vous pouvez obtenir des certificats pour les cours d'anglais dans la plus grande école en ligne de la zone partenaire de Skyeng.



Le rôle du pirate «blanc» dans le monde virtuel de la dystopie a été testé par les participants à la quête du pirate DefHack. Et dans le concours "Slot Machine" - un bandit manchot dont le jeu est construit sur la base de Blockchain, le jackpot s'élevait à 100 unités. crypto-monnaies, le premier système piraté a reçu un ticket pour ZeroNights 2019.


Également à l'ouverture de la conférence, une fête a été organisée par le projet musical The Dual Personality, les gagnants du concours de remix de Linkin Park et les participants au festival de musique électronique Alfa Future People.



Nous remercions tous les participants à la conférence, ainsi que les partenaires qui ont soutenu ZeroNights cette année: Yandex, Mail.ru, Sberbank, Epam, SEMrush, Digital Security.


  • Des vidéos de performances sont disponibles sur notre YouTube .
  • Des photos de la conférence sont disponibles ici .
  • Les documents de la conférence peuvent être trouvés ici .


Pour ceux qui ont lu jusqu'au bout - un concours! Pour les commentaires les plus informatifs sur ZeroNights 2018, nous vous présenterons notre marchandise cool: la première place est un sac à dos, les deuxième et troisième sont des pulls molletonnés. Envoyez vos commentaires avec une histoire détaillée de ce que vous avez vraiment aimé ou pas aimé à la conférence, à visitor@zeronights.org. Marqué «Feedback pour Merch». Nous sommes pour l'honnêteté!


Et rendez-vous à ZeroNights 2019!

Source: https://habr.com/ru/post/fr433420/

More articles:


All Articles