Musim panas berakhir. Penelitian telah dimulai. Pekerjaan itu lagi menarik ke pelukan tenggat waktu ... Tertekan? Jangan tertekan! Kami memindahkan NeoQUEST-2018 Face-to-Head ke musim gugur, sehingga akhir September akan panas!
Pada tanggal 26 September 2018, kami menunggu semua orang ke akun
keenam (!) Dari akun “Penuh waktu”, yang akan disimpan di St. Petersburg di
Parklane Resort and SPA .
Mereka menunggu Anda:
1. Berita tentang dunia cybersecurity yang paling relevanKami yakin Anda secara teratur membaca "Habr", "Peretas", dan secara umum, memonitor berita siber secara dekat. Tetapi di NeoQUEST kami akan berbagi dengan Anda informasi yang tidak ada di Internet - setelah semua, ini adalah penelitian dan eksperimen kami sendiri!
2. Keterampilan praktisTeori itu baik, tetapi tanpa latihan di mana saja! Lokakarya, kontes, kuis Twitter, dan ... sesuatu yang baru. Pilih sesuai selera Anda!
3. Hadiah kerenUntuk menerima hadiah, Anda tidak perlu mem-flash BIOS, tebak dengan IP dan temukan nol hari. Keberhasilan hanya tergantung pada perhatian dan kecerdasan Anda. Ini mungkin tidak mudah, tetapi Anda akan menyukainya!
4. Teman baru dan orang yang berpikiran samaTidak terlalu sering, sejumlah besar orang yang "berada di gelombang yang sama" berkumpul di satu tempat, jadi NeoQUEST-2018 adalah kesempatan besar untuk mengenal perwakilan dari pesta pemuda IB di St. Petersburg, mencari teman baru, dan umumnya bersenang-senang!
Selain itu, tahun ini NeoQUEST-2018 akan diadakan bersama dengan konferensi ilmiah dan teknis
"Metode dan sarana teknis untuk memastikan keamanan informasi" , dan Anda akan memiliki kesempatan untuk mengunjungi bagian paralel dari konferensi dan mempelajari lebih lanjut tentang mengapa penelitian sains penting dan menarik! Lebih detail - di
situs gabungan kami.
Menarik? Kami melaju di bawah kucing - kami akan memberi tahu Anda lebih banyak tentang apa yang telah kami persiapkan untuk Anda!
Siapa yang datang kepada kami di NeoQUEST, ia melakukannya dengan bijak
Untuk tahun keenam,
perusahaan NeoBIT, bersama-sama dengan Departemen
Keamanan Informasi Sistem Komputer, Universitas Politeknik St. Petersburg, telah mengadakan acara yang disebut
NeoQUEST . Itu terjadi dalam dua tahap:
1) hackquest - tahap kualifikasi daring dari kompetisi, yang merupakan CTF individu. Dalam 10-11 hari, peserta yang terdaftar lulus tugas dari berbagai bidang keamanan informasi, menerima poin untuk mereka. Setelah tahap online selesai, kami meringkas, memberikan hadiah berharga untuk tiga yang pertama, dan mengirim suvenir yang menyenangkan kepada mereka yang telah menyelesaikan setidaknya satu tugas. Kemudian kami mengundang peserta terbaik ke final hackquest sebagai bagian dari "Tawaran tatap muka".
2) "Tatap muka" - acara offline St. Petersburg satu hari, termasuk:
- laporan tentang masalah cybersecurity yang paling relevan;
- demonstrasi serangan waktu nyata;
- lokakarya;
- kontes untuk "peretasan";
- Kuis Twitter "Unified State Examination";
- final hackquest untuk peserta terbaik di babak online kualifikasi.
Siapa pun dapat mengunjungi "Konfrontasi" - tiket masuk gratis! Tahun ini, "Konfrontasi" akan diadakan di St. Petersburg di
Parklane Resort and SPA , laporan akan dimulai
pukul 11:00 pagi .
Jadi apa yang telah kami siapkan untuk Anda tahun ini?
Ya, kami senang berbicara: laporan
NeoQUEST adalah acara yang sangat serbaguna, tetapi mungkin yang terpenting adalah konferensi. Oleh karena itu, bagian utama dari program ini adalah laporan - lagipula, kami selalu memiliki sesuatu untuk diceritakan:
1. Alexei Nikolsky: "Kejadian: detik pertama kehidupan komputer"Ketika datang ke keamanan komputer modern, mereka berbicara tentang antivirus, firewall. Mereka yang ingin tahu lebih banyak menyebutkan teknologi perlindungan perangkat keras dan peran mereka dalam keamanan keseluruhan komputer - kami membicarakan hal ini secara rinci di NeoQUEST sebelumnya. Beberapa menyebutkan BIOS dan perannya dalam keamanan.
Tetapi banyak orang lupa bahwa keamanan seluruh sistem didasarkan pada kepercayaan pada kode pertama dalam sistem, yang mulai bekerja ketika tombol daya ditekan - dialah yang menentukan integritas seluruh sistem, dan jika kesalahan atau integritasnya dapat dilanggar di dalamnya, keamanan sistem akan beresiko. Jadi dari mana semua ini dimulai?
Laporan ini akan menjelaskan:
- apa yang dilakukan komputer pada detik pertama kehidupan;
- di mana kode dari mana sistem dimulai dan bagaimana itu dilindungi;
- perlindungan apa yang bekerja sebelum dimulainya prosesor;
- apa yang umum dan apa perbedaan antara berbagai cara untuk memulai komputer: cold start, reboot, sleep, ...;
- apa yang berhasil ketika tidak ada yang berhasil;
- dalam kondisi apa Spartan prosesor memulai hidupnya;
- mengapa memori tidak berfungsi, dan prosesor sudah berjalan;
- cara memberikan perlindungan penuh untuk BIOS dan mengapa tidak ada yang melakukannya (kecuali Intel X-).
2. Ilya Petrov: “Jangan percaya siapa pun, bahkan antivirus Anda”Di dunia modern, sulit menemukan seseorang yang belum pernah mendengar tentang alat perlindungan anti-virus yang dirancang untuk melindungi pengguna dan perangkat mereka. Tapi apa yang diketahui antivirus tentang kita? Laporan ini akan memeriksa informasi apa tentang perangkat dan penggunanya yang dikumpulkan oleh antivirus, dengan metode apa yang mereka gunakan dan di mana data kami dituangkan.
3. Anna Shtyrkina, Anastasia Yarmak (alias gadis Crypto): "Tanda tangan digital dan tempat tinggal mereka"RSA, AES, SHA,
Bitcoin ... Dan asosiasi apa yang Anda miliki,
nama pengguna , dengan kata "Cryptography"?
Semua orang tahu bahwa salah satu primitif terpenting dalam kriptografi adalah tanda tangan digital yang kita hadapi setiap kali kita pergi ke Internet setiap hari. Namun, tidak semua orang tahu bahwa tanda tangan digital tidak terbatas pada skema tradisional (RSA, GOST, tanda tangan Schnorr), tetapi juga menyertakan perwakilan dengan properti yang sangat "eksotis". Dari laporan ini Anda akan belajar tentang jenis tanda tangan digital apa yang ada, dan mana yang bisa kita temui dalam kehidupan nyata.
4. Fedotov Eugene, Babak Eugene: “Elang ditembak jatuh. Menjelajahi keamanan droneAplikasi untuk drone hanya dibatasi oleh imajinasi. Di sini Anda dapat menemukan bantuan dalam pemadaman kebakaran, pengiriman surat, dan bahkan misi militer!
Ada banyak drone - dari mainan hingga profesional, yang menarik perhatian berbagai audiens, termasuk yang tidak bermoral. Bagaimana tidak memberikan mainan favorit Anda ke cengkeraman penyerang berbahaya? Kami akan mencoba menjawab pertanyaan ini, serta melihat ke dalam drone, berbicara tentang kerentanan saat ini dan menunjukkan bagaimana seorang penyerang dapat memengaruhi drone terbang menggunakan quadcopter DJI Spark sebagai contoh.
5. Roman Shcherbakov: “Sorong yang tidak bisa didorong. Masalah menanamkan kode khusus di OS berpemilik "Kami akan membahas secara rinci cara menyematkan kode pengguna di berbagai sistem operasi berpemilik, di sistem operasi berbasis Linux, serta di firmware perangkat. Kami akan meninjau OS tersebut secara singkat dan mempertimbangkan prinsip-prinsip umum untuk membuat firmware. Selain itu, kami akan menganalisis masalah utama yang tidak dapat dihindari muncul saat menulis, menyusun, dan menyematkan kode khusus. Kesimpulannya - kami akan menunjukkan cara mengatasi masalah ini!
6. Vadim Shmatov: “Pembelajaran mendalam dalam steganografi: kita harus melangkah lebih dalam”Mengapa tidak menggunakan jaringan saraf! Dengan bantuan mereka, mereka mencari anomali lalu lintas, menerjemahkan teks, bermain catur ... Dan salah satu aplikasi yang paling menarik dari jaringan saraf adalah penciptaan teks acak, gambar, musik, dan seluruh film.
Mari kita bicara tentang bagaimana Anda dapat memanipulasi keacakan untuk menyembunyikan data rahasia dalam konten yang dihasilkan. Menggunakan musik sebagai contoh, pertimbangkan proses penyematan data, dan pikirkan juga siapa yang dapat menggunakan teknik ini untuk apa. Atau ... sudah menggunakan?
7. Andrey Chernov: "Ghostbusters: Specter & Meltdown"Semua orang telah lama terbiasa dengan fakta bahwa perangkat lunak tersebut mengandung bug dan kerentanan, tetapi awal 2k18 mengingatkan kita bahwa masalah dapat timbul tidak hanya pada komponen perangkat lunak. Bagaimana jika prosesor Anda membawa hantu? "Siapa yang akan kamu telepon?"
Dalam laporan tersebut, kami akan mencoba mencari tahu apa kerentanan perangkat keras seperti Specter dan Meltdown? Mari kita bicara tentang jalur komputasi, dengan hati-hati melihat berbagai implementasi dari kerentanan ini dan mempertimbangkan bagaimana melindungi diri kita dari mereka.
Bagi mereka yang suka tidur di kuliah: bagian FastTrack
Agar Anda tidak bosan dengan laporan panjang, kami telah menyiapkan serangkaian trek cepat - laporan singkat "dengan binar"! Tahun ini, pembicaraan "cepat" tentang hal berikut:
1. Natasha Zaitseva: "Oke Google"Mesin pencari modern adalah layanan yang cepat dan nyaman, dengan bantuan yang mudah untuk menemukan informasi yang diperlukan. Namun, peretas juga menemukan cara untuk mengisi ulang alat mereka dengan mesin pencari. Dalam laporan tersebut, kita akan melihat mesin pencari, yang keberadaannya tidak diketahui banyak orang, dan membahas bagaimana kepemilikan operator yang kuat membantu dalam pencarian sistem yang rentan. Biarkan kami menunjukkan mengapa Anda juga perlu "melindungi diri sendiri" dari bot pencarian.
2. Lagi Natasha Zaitseva: "Maaf, kami tidak melayani robot"Bagaimana menemukan bahasa yang sama dengan mesin pencari, jika Anda perlu mengirim permintaan sering dan banyak? Kami akan menganalisis batasan pada tahap otomatisasi permintaan pencarian dan kemungkinan cara untuk memintasinya.
3. Andrey Dakhnovich: “ Apa yang Facebook ketahui tentang kami? Apa yang kita ketahui tentang Facebook? "Facebook memiliki paranoia. Setelah kisah pemilihan, mereka memblokir pengguna kanan dan kiri. Apa yang harus dilakukan, apa yang tidak termasuk dalam distribusi?
4. Dan lagi, Vadim Shmatov: "Aplikasi perhitungan yang tidak dapat diverifikasi"Apakah mungkin untuk membuat sistem ulasan untuk barang atau jasa di mana, di satu sisi, ulasan akan sepenuhnya anonim, dan di sisi lain, satu pengguna hanya dapat meninggalkan satu ulasan untuk satu produk? Sepintas, tidak, karena kondisinya saling bertentangan. Tetapi ternyata protokol perhitungan
terverifikasi zk-SNARK dapat menyelesaikan masalah ini, dan laporannya akan menjelaskan caranya.
5. Ivan Kvasenkov: "Kekuatan absolut: mengendalikan prosesor melalui USB"Saya naik ke BIOS dan secara tidak sengaja melihat pengaturan "DCI Diaktifkan" diatur ke "Ya"? Yah, aku punya berita buruk untukmu. Teknologi
Direct Connect Interface (DCI) , yang diperkenalkan oleh Intel bersama dengan keluarga prosesor Skylake, menyediakan akses ke debugging perangkat keras melalui port USB 3.0. Mengapa tidak menyalakannya di komputer kantor Anda? Kami akan mengerti.
Lebih banyak aksi, lebih sedikit kata
Apakah Anda ingin lebih banyak gerakan? Bosan mendengarkan laporan sepanjang hari? Selamat datang di workshop kami! Tahun ini kami akan tampil di lokakarya praktis:
1. Workshop "OS? Tidak, saya belum pernah mendengar "Dalam lokakarya ini, para peserta akan melewati tugas legendaris, yang tidak dapat diselesaikan oleh para peserta Hackquest untuk 2017 dan 2016. Anda akan belajar cara membuat flash drive yang dapat di-boot tanpa OS pada kode Anda, menggunakan keyboard dan menampilkan data, mengkonfigurasi IDT dan bekerja dengan port input / output.
2. Workshop “Menjahit dengan Ali. Tinjauan umum dan penerapan programmer Cina »Lokakarya ini akan dikhususkan untuk tinjauan singkat programmer pada umumnya dan perangkat Cina pada khususnya. Mari kita lihat kelebihan dan kekurangan berbagai perangkat dan menganalisis ruang lingkup perangkat Cina. Kami akan menunjukkan nuansa bekerja dengan perangkat yang sama dan akan berurusan dengan menginstal BIOS motherboard.
3. Workshop "Situs Epic Etis Pentestim!"Saat ini, ketika Internet digunakan di mana-mana, ada banyak peluang bagi penyerang untuk merealisasikan rencana licik mereka dan mendapatkan keuntungan. Mereka dapat mencuri data berharga, mengganggu proses bisnis perusahaan yang tidak menyenangkan, membuat botnet, menyebarkan informasi palsu, dll.
Seringkali, penyerang mencapai ini dengan menyerang aplikasi web. Ini mungkin situs toko, bank, blog populer, feed berita. Bagaimana cara melindungi diri sendiri? Cari kerentanan dan tutup mereka sedini mungkin! Jadi peserta kami akan mengambil pentest, dan sebagai "korban" kami telah menyiapkan situs khusus untuk mereka!
Lokakarya ini berfokus pada memperoleh pengetahuan dasar tentang kerentanan terpanjang dan mengeksploitasi dalam aplikasi web. Mari kita lihat siapa yang dipatuhi semua kerentanan!
Perhatian - kami memiliki tamu!
Tahun ini, kami memutuskan untuk memperluas lingkaran kencan cyber (dan Anda) dan mengundang tim Nizhny Novgorod
DEF CON (juga dikenal sebagai DC7831) ke NeoQUEST-2018. Jika seseorang tidak terbiasa dengan mereka, maka NeoQUEST-2018 adalah peluang bagus untuk mengenal!
Orang-orang itu mengadakan kompetisi keamanan online di Nizhny Novgorod, tahun ini mereka melakukan pencarian untuk
PHDays 2018 , dan sekarang mereka akan melakukan tes terpisah untuk tamu NeoQUEST -
"Grape Joe, atau Bagaimana Anggur sysadmin ternyata tidak begitu sulit dipahami .
"Pencarian ini menghadirkan dunia distopia virtual, di mana Anda harus melakukan perjalanan, menyelesaikan berbagai tugas. Mengungkap peran peretas "kulit putih" akan menuntun Anda untuk bertemu lawan yang menarik - Anda akan bertemu dengan perwakilan cerdas kelompok dalam topi "abu-abu" dan "hitam".
Jika Anda ingin menguji diri sendiri atau menghabiskan waktu menunggu laporan yang diinginkan - selamat datang! Anda dapat berpartisipasi baik sendiri maupun dalam tim. Kompleksitas sebagian besar tugas mudah atau sedang, dapat dilakukan oleh administrator, programmer, penguji, dan, terutama, pentester. Selain itu, orang-orang dari DEF CON akan berada di sana sepanjang hari, siap untuk memberikan tips dan mengarahkan pikiran Anda ke arah yang benar. Ayo periksa kekuatanmu!
Anda telah menunggu ini: kembalinya acara Cold Boot!
Di
NeoQUEST-2014, kami mendemonstrasikan serangan Cold Boot di mana, untuk mendapatkan akses ke data RAM, itu dibekukan ke suhu -197 derajat, dan kemudian ditransfer ke komputer lain, di mana memori dibaca.
Tahun ini kami memutuskan untuk mengulangi pertunjukan yang begitu spektakuler dan jelas, dengan satu perubahan penting: kali ini kami tidak akan mendapatkan kunci enkripsi, seperti yang kami lakukan sebelumnya. Sebagai gantinya, kami akan mengembalikan layar mesin virtual dari memori komputer!
Atau mungkin pergi ke sains?
NeoQUEST-2018 tahun ini diadakan bersama dengan konferensi ilmiah dan teknis
"Metode dan cara teknis untuk memastikan keamanan informasi." Jika Anda seorang mahasiswa pascasarjana yang bersiap untuk mempertahankan disertasi, atau seorang ilmuwan muda, Anda memiliki kesempatan tidak hanya untuk "melarikan diri" dari laporan NeoQUEST-2018 ke bagian ilmiah paralel, tetapi juga membuat presentasi!
Berpartisipasi dalam kompetisi laporan, karena penulis laporan terbaik akan memiliki kesempatan untuk berpartisipasi dalam semua acara konferensi secara gratis dan kesempatan untuk menerbitkan artikel tentang laporan dalam jurnal
"PENGENDALIAN OTOMATIS DAN ILMU KOMPUTER" dari penerbit
Allerton Press , diindeks oleh
SCOPUS . Kirim abstrak untuk berpartisipasi dalam kompetisi laporan bagian kaum muda ke mail mitsobi@neobit.ru, yang ditandai "Persaingan laporan."
Tunggu apa lagi Daftarkan dan datang!
Ini bukan keseluruhan program NeoQUEST-2018! Ikuti pembaruan di situs web
NeoQUEST , di situs web
NeoConf gabungan, dan di
grup VK kami!
Ragu apakah akan datang atau tidak? Pikirkan beberapa hari, lalu daftar dan datanglah!
Selain itu, tahun ini kami bekerja dengan
perusahaan Medovarus , sehingga para tamu dapat menikmati biolimonad yang lezat dan membuat masa tinggal mereka di NeoQUEST semakin menyenangkan!
Kami menunggu Anda pada 26 September pukul 11:00 di alamat: st. Ryukhina, 9a, Parklane Resort and SPA (stasiun metro Pulau Krestovsky). Pastikan untuk membawa laptop untuk mendapatkan yang terbaik dari hadiah, ketenaran dan yang lainnya, dan juga teman dan suasana hati yang baik!
Sampai jumpa di NeoQUEST-2018!