Geekly articles weekly

Resultados ZeroNights 2018

Este ano, o ZeroNights foi realizado no clube A2 de São Petersburgo e reuniu mais de 1000 participantes de todo o mundo, entre eles: chefes e funcionários de serviços de segurança da informação, programadores, pesquisadores, analistas, pentesters, jornalistas e todos os interessados ​​nos aspectos aplicados da segurança da informação.



Na conferência, foram apresentados relatórios por 60 palestrantes de 9 países: França, Espanha, Alemanha, China, Malásia, Malta, Cazaquistão, Rússia e Armênia. De várias empresas: Airbus, Facebook, Synacktiv, Kaspersky Lab, Tencent Security Xuanwu Lab, Shape Security, Wrike, X41 D-Sec GmbH e outros.



Os principais tópicos da conferência:


  • Como os hackers podem dominar um dispositivo móvel por meio de um chip Wi-Fi
  • Como os faxes podem se tornar inimigos na rede corporativa
  • Quais drivers de dispositivo USB para Windows contêm um grande número de vulnerabilidades
  • Como os servidores da Web Git estendem os recursos do atacante
  • Como usar o hardware para comprometer
    equipamentos e infraestrutura de rede
  • Como os invasores podem usar o protocolo UPnP para ocultar suas atividades na rede
  • Quais são os problemas de segurança e o processo de fechamento de vulnerabilidades nos produtos dos sistemas de administração de processos russos
  • Quais são as consequências do uso imprudente de novas tecnologias no desenvolvimento de clientes
  • Como nos compiladores, existem erros que podem ser usados ​​para incorporar backdoors no software
  • Como um sistema pode ser infectado no nível do BIOS?
  • Que o ataque do Ntlm Relay ainda é perigoso e pode ser usado de novas maneiras
  • Como avaliar de forma rápida e eficiente a segurança dos arquivos de configuração de equipamentos de rede
  • Quais são os problemas de segurança com a tecnologia SD-WAN?
  • Como os sistemas de desenvolvimento podem ser atacados e usados ​​contra seus proprietários
  • Como as ferramentas de virtualização de GPU podem ser usadas para atacar um sistema
  • Quais vulnerabilidades e problemas podem ser encontrados nos produtos e bibliotecas ImageMagick, nos sistemas Redis, nos sistemas SCADA e no node.js.

No âmbito do ZeroNights, também foram realizadas várias atividades: missões de hackers, seções do Web Village e Zona de Hardware.


Aldeia da Web


É bom ver o Web Village reunindo um grande número de espectadores várias vezes.



Observemos o fluxo tradicional de relatórios de Weber experiente, com vasta experiência no campo prático. Veja por si mesmo, desta vez entre os palestrantes: Mail.Ru, Yandex, Kaspersky Lab, Segurança Digital, Sploitus, Acunetix, Deteact, Rambler. Também consideramos uma grande vantagem - a completa ausência de empresas de relações públicas, várias decisões e discussões sobre o mercado. Mas, é claro, a principal conquista do ZeroNights 2018 é um alto nível de preparação de relatórios com exemplos ininterruptos:


  1. Você sabe tudo sobre o XSS? Aposto que você ainda aprende algo novo com este relatório? - Ler
  2. Ainda está inserindo vetores Blind-xss com as mãos? Então vamos até você! - Ler
  3. Mais uma vez, o XSS não funcionou? Aparentemente, há CSP, agora ignorar - Leia
  4. Por que executar as mesmas ações manualmente quando você pode automatizar a busca por vulnerabilidades? - Ler
  5. Deseja invadir um navegador, mas não sabe por onde começar? - Ler
  6. Análise do Pentester à infraestrutura típica do desenvolvedor - Leia
  7. Vulnerabilidades atípicas ou como criar o MEGABAGU a partir de vários recursos completamente legais - Leia
  8. Uma visão geral dos recursos e problemas do PHP que podem levar e certamente levarão a vulnerabilidades - Leia
  9. O que é (des) serialização, como é implementado no PHP e como pode ser perigoso - Leia
  10. O que fazer se você encontrar o SPEL - linguagem de expressão do Spring Framework - Leia
  11. Não é fácil corrigir uma vulnerabilidade para que mais três não apareçam. Corrija como um PRO - Leia


O que temos planos para o próximo ano?


  • Planejamos mais cadeiras e sofás, com certeza :)
  • Organize mais atividades. O questionário de segurança do Mail.ru e Yandex provou que é divertido e legal.
  • O número de pessoas que desejam se apresentar na pista WV está crescendo e agrada. Parece que você precisa organizar um PCP separado.
  • Vamos tentar deixar como legado não apenas apresentações, mas também truques completos.

Zona de hardware



Os convidados da conferência podem participar da Zona de Hardware por dois dias. Relatórios completos do estágio cobriram os tópicos de segurança prática de caixas eletrônicos, IoT, ferramentas e métodos para analisar protocolos de hardware e muito mais.



Os participantes poderiam quebrar o sistema de venda automática e a moeda do jogo usando cartões NFC, que poderiam pagar no bar. Para concluir a tarefa com sucesso, os participantes usaram as informações úteis obtidas em várias oficinas de Pavel Zhovner, bem como todas as ferramentas de hardware necessárias apresentadas no estande. Qualquer pessoa poderia aplicar seu conhecimento na prática e testar sua força na análise de protocolos sem fio e na condução de ataques a representantes típicos do mundo da IoT, recebendo (como resultado) presentes memoráveis ​​sem valor (proxmark3, chameleon mini, BBC Microbit).



A atividade dos participantes mostra um interesse interminável no tópico de segurança de dispositivos incorporados e hacks de hardware, por isso continuaremos a continuar a tradição da Zona de Hardware e aumentar o número de relatórios e competições educacionais.


Concursos


As atividades de nossos parceiros também ocorreram no local.


O Mail.ru organizou uma competição por quebrar o correio aéreo, os vencedores ganharam 100 dólares e um moletom da Bug Hunter.



O SEMrush foi sorteado no quadcopter MacBook Air, Sony PlayStation 4 Pro e DJI Spark no concurso Crush SEMrush. Os participantes devem ter encontrado vulnerabilidades em um serviço com o WAF desativado.



Você pode obter certificados para aulas de inglês na maior escola on-line na área de parceiros Skyeng.



O papel do hacker "branco" no mundo virtual da distopia foi testado pelos participantes da busca do hacker DefHack. E no concurso "Slot Machine" - um bandido de um braço cujo jogo é construído com base no Blockchain, o jackpot chegou a 100 unidades. criptomoedas, o primeiro sistema invadido recebeu um ingresso para o ZeroNights 2019.


Também na abertura da conferência, uma festa foi encabeçada pelo projeto musical The Dual Personality, vencedores do concurso de remixes do Linkin Park e participantes do festival de música eletrônica Alfa Future People.



Agradecemos a todos os participantes da conferência, bem como aos parceiros que apoiaram o ZeroNights este ano: Yandex, Mail.ru, Sberbank, Epam, SEMrush, Segurança Digital.


  • Vídeos de desempenho estão disponíveis no nosso YouTube .
  • As fotos da conferência estão disponíveis aqui .
  • Os materiais da conferência podem ser encontrados aqui .


Para quem leu até o fim - um concurso! Para obter o feedback mais informativo sobre o ZeroNights 2018, apresentaremos nossa mercadoria interessante: o primeiro lugar é uma mochila, o segundo e o terceiro são moletons. Envie seus comentários com uma história detalhada sobre o que você realmente gostou ou não na conferência, em visitor@zeronights.org. Marcado como "Feedback para Merch". Somos pela honestidade!


E até a ZeroNights 2019!

Source: https://habr.com/ru/post/pt433420/

More articles:


All Articles