Geekly articles weekly

Hasil ZeroNights 2018

Tahun ini, ZeroNights diadakan di klub St Petersburg A2 dan mengumpulkan lebih dari 1000 peserta dari seluruh dunia, di antaranya: kepala dan karyawan layanan keamanan informasi, programer, peneliti, analis, pentester, jurnalis, dan semua orang yang tertarik pada aspek terapan keamanan informasi.



Pada konferensi tersebut, laporan dipresentasikan oleh 60 pembicara dari 9 negara: Perancis, Spanyol, Jerman, Cina, Malaysia, Malta, Kazakhstan, Rusia dan Armenia. Dari berbagai perusahaan: Airbus, Facebook, Synacktiv, Kaspersky Lab, Tencent Security Xuanwu Lab, Shape Security, Wrike, X41 D-Sec GmbH dan lainnya.



Topik utama konferensi:


  • Bagaimana peretas dapat mengambil alih perangkat seluler melalui chip Wi-Fi
  • Bagaimana faks dapat menjadi musuh dalam jaringan perusahaan
  • Apa driver perangkat USB untuk Windows mengandung sejumlah besar kerentanan
  • Bagaimana Server Web Git Memperluas Kemampuan Penyerang
  • Cara menggunakan perangkat keras untuk berkompromi
    peralatan dan infrastruktur jaringan
  • Bagaimana penyerang dapat menggunakan protokol UPnP untuk menyembunyikan aktivitas mereka di jaringan
  • Apa masalah keamanan dan proses penutupan kerentanan dalam produk sistem administrasi proses Rusia
  • Apa konsekuensi dari penggunaan teknologi baru yang sembrono dalam pengembangan klien
  • Seperti halnya dengan kompiler, ada kesalahan yang dapat digunakan untuk menanamkan backdoors dalam perangkat lunak
  • Bagaimana sistem dapat terinfeksi ke tingkat BIOS?
  • Bahwa serangan Relay Ntlm masih berbahaya dan dapat digunakan dengan cara baru
  • Cara cepat dan efisien mengevaluasi keamanan file konfigurasi peralatan jaringan
  • Apa masalah keamanan dengan teknologi SD-WAN?
  • Bagaimana sistem pengembangan dapat diserang dan digunakan terhadap pemiliknya
  • Bagaimana Alat Virtualisasi GPU Dapat Digunakan Untuk Menyerang Sistem
  • Kerentanan dan masalah apa yang dapat ditemukan dalam produk dan perpustakaan ImageMagick yang tersebar luas, Redis, sistem SCADA, dan proyek node.js.

Dalam kerangka kerja ZeroNights, berbagai kegiatan juga dilakukan: pencarian peretasan, bagian Desa Web dan Zona Perangkat Keras.


Desa web


Sangat menyenangkan melihat Web Village mengumpulkan banyak sekali pemirsa.



Mari kita perhatikan aliran tradisional laporan dari Weber berpengalaman dengan pengalaman luas di bidang praktis. Lihat sendiri, kali ini di antara pembicara: Mail.Ru, Yandex, Lab Kaspersky, Keamanan Digital, Sploitus, Acunetix, Deteact, Rambler. Kami juga menganggapnya sebagai nilai tambah yang besar - tidak adanya perusahaan humas, berbagai keputusan dan diskusi tentang pasar. Namun, tentu saja, pencapaian utama ZeroNights 2018 adalah persiapan laporan tingkat tinggi dengan contoh-contoh yang tidak terputus:


  1. Apakah Anda tahu segalanya tentang XSS? Saya yakin Anda masih belajar sesuatu yang baru dari laporan ini? - Baca
  2. Masih memasukkan vektor Blind-xss dengan tangan Anda? Lalu kami pergi ke Anda! - Baca
  3. Sekali lagi, XSS tidak berfungsi? Rupanya ada CSP, sekarang memotong - Baca
  4. Mengapa melakukan tindakan yang sama secara manual saat Anda dapat mengotomatiskan pencarian kerentanan? - Baca
  5. Ingin meretas peramban tetapi tidak tahu harus mulai dari mana? - Baca
  6. Pandangan Pentester pada Infrastruktur Pengembang Khas - Baca
  7. Kerentanan atipikal atau cara membuat MEGABAGU dari beberapa fitur yang sepenuhnya legal - Baca
  8. Ikhtisar fitur dan masalah PHP yang dapat menyebabkan dan pasti akan menyebabkan kerentanan - Baca
  9. Apa itu serialisasi (de), bagaimana penerapannya dalam PHP dan bagaimana bisa berbahaya - Baca
  10. Apa yang harus dilakukan jika Anda bertemu SPEL - bahasa ekspresi untuk Spring Framework - Read
  11. Tidak mudah untuk menambal kerentanan sehingga tiga lainnya tidak muncul. Perbaiki seperti PRO - Baca


Apa rencana kami untuk tahun depan?


  • Kami pasti merencanakan lebih banyak kursi dan sofa :)
  • Atur lebih banyak kegiatan. Kuis keamanan dari Mail.ru dan Yandex membuktikan bahwa itu menyenangkan dan keren.
  • Jumlah orang yang ingin tampil di jalur WV terus bertambah, dan itu menyenangkan. Sepertinya Anda harus mengatur CFP terpisah.
  • Kami akan mencoba untuk pergi sebagai warisan tidak hanya presentasi, tetapi juga menipu penuh.

Zona perangkat keras



Para tamu konferensi dapat mengambil bagian dalam Zona Perangkat Keras selama dua hari. Laporan lengkap dari panggung mencakup topik-topik keamanan praktis ATM, IoT, alat dan metode untuk menganalisis protokol perangkat keras, dan banyak lagi.



Peserta dapat memecahkan sistem penjual dan mata uang game menggunakan kartu NFC, yang kemudian dapat mereka bayarkan di bar. Untuk berhasil menyelesaikan tugas, para peserta menggunakan informasi berguna yang diperoleh di beberapa lokakarya Pavel Zhovner, serta semua alat perangkat keras yang diperlukan yang disajikan di stand. Siapa pun dapat menerapkan pengetahuan mereka dalam praktik dan menguji kekuatan mereka dalam menganalisis protokol nirkabel dan melakukan serangan terhadap perwakilan tipikal dari dunia IoT, menerima (sebagai akibatnya) hadiah yang tak terlupakan yang tak terlupakan (proxmark3, bunglon mini, BBC Microbit).



Aktivitas para peserta menunjukkan minat yang tidak pernah berakhir pada topik keamanan perangkat yang disematkan dan peretasan perangkat keras, sehingga kami akan terus melanjutkan tradisi Zona Perangkat Keras dan meningkatkan jumlah laporan dan kompetisi pendidikan.


Kontes


Kegiatan dari mitra kami juga berlangsung di lokasi.


Mail.ru mengadakan kompetisi untuk melanggar pos udara, para pemenang mendapat 100 dolar dan kaus Bug Hunter.



SEMrush diundi dari MacBook Air, Sony PlayStation 4 Pro, dan quadcopter DJI Spark dalam kontes Crush SEMrush. Peserta harus menemukan kerentanan dalam layanan dengan WAF dinonaktifkan.



Anda bisa mendapatkan sertifikat untuk kelas bahasa Inggris di sekolah online terbesar di area mitra Skyeng.



Peran hacker "putih" dalam dunia virtual distopia diadili oleh peserta dalam pencarian hacker DefHack. Dan dalam kontes "Mesin Slot" - bandit satu tangan yang gimnya dibangun atas dasar Blockchain, jackpot berjumlah 100 unit. cryptocurrency, sistem yang diretas pertama menerima tiket untuk ZeroNights 2019.


Juga pada pembukaan konferensi, sebuah pesta diadakan dipimpin oleh proyek musik The Dual Personality, pemenang dari kontes remix dari Linkin Park dan peserta dalam festival musik elektronik Alfa Future People.



Kami berterima kasih kepada setiap peserta konferensi, serta mitra yang mendukung ZeroNights tahun ini: Yandex, Mail.ru, Sberbank, Epam, SEMrush, Digital Security.


  • Video kinerja tersedia di YouTube kami.
  • Foto-foto dari konferensi tersedia di sini .
  • Materi konferensi dapat ditemukan di sini .


Bagi mereka yang telah membaca sampai akhir - sebuah kontes! Untuk umpan balik paling informatif tentang ZeroNights 2018, kami akan menyajikan merchandise keren kami: tempat pertama adalah tas punggung, kedua dan ketiga adalah kaus. Kirimkan umpan balik Anda dengan cerita terperinci tentang apa yang benar-benar Anda sukai atau tidak sukai di konferensi, di visitor@zeronights.org. Ditandai "Umpan Balik untuk Merch." Kami untuk kejujuran!


Dan sampai jumpa di ZeroNights 2019!

Source: https://habr.com/ru/post/id433420/

More articles:


All Articles