DEFCON Russia

Пятница, авг. 9, 2013

В рамках Chaos Construction 2013 пройдет новая встреча DEFCON Russia (DCG #7812) (http://www.defcon-russia.ru/). Это уже будет 16 по счету встреча группы, на которой в очередной раз будут рассмотрены различные технические аспекты информационной безопасности. Если предыдущие встречи проходили в стенах различных университетов, офисов компаний и баров, то в этот раз на большой открытой площадке Chaos Constructions.

Специально для такого события были отобраны наиболее интересные и новые доклады в области ИБ. Также организаторы постарались выбрать доклады из различных областей ИБ, чтобы каждый посетитель фестиваля мог найти что-то свое. Итак, в рамках встречи группы вы услышите:

1) Доклад: "Использование Intermediate Language и SMT-решателей для решения задач ИБ"
Докладчик: Георгий Носенко, исследователь информационной безопасности, Digital Security
Описание: В своем докладе я хочу рассказать о применении точных математических методов для решения задач информационной безопасности, на примере использования SMT-решателя для автоматической генерации кейгенов.

В качестве введения я планирую провести краткое сравнение синтаксического (сигнатурного) и семантических методов анализа, затем перейти к рассмотрению современных подходов применяемых в семантическом анализе – применение промежуточного языка (IL) и SMT (DPLL).

2) Доклад: "Безопасность домашних роутеров на практике."
Докладчики: Олег Купреев,  исследователь информационной безопасности, Digital Security
Глеб Чербов, аудитор, Digital Security
Описание: Обзор типовых ошибок web интерфейса в различных моделях роутеров.
Демонстрация возможной эксплуатации найденных уязвимостей.
Побег из песочницы и root shell backdoor на пример ZyXEL Keenetic.
Возможность удаленной просушки в случае использования VoIP.

3) Доклад: "Database honeypot by design"
Докладчики:
Алексей Осипов
Михаил Фирстов
Описание: Основной целью взлома является получение информации. И часто это информация хранится в базе данных. Но атакующий сам может стать жертвой. Благодаря лазейке оставленной разработчиками - подключившись стандартным клиентом к базе данных – он будет отдавать свои файлы, вместо того чтобы читать из базы!

4) Доклад: "Триста два швейцарских ножа для баг-хантера: что интересного можно сделать с OAuth и зачем"
Докладчик: Андрей Лабунец, Тюменский государственный университет
Описание: Рассказывая про схемы авторизации и аутентификации веб-приложений, я скорее всего обойду стороной вопросы защиты самих схем как неинтересные. Вы не услышите ерунды про формальную верификацию протоколов, про privacy и про модели угроз. Мне вряд ли потребуется произносить чаще двух раз слово “токен” и уже тем более “implicit grant flow”.

Гораздо интереснее было бы обсудить применение открытых стандартов с умом: например, для эксплуатации уязвимостей. Я расскажу, что самое важное в OAuth и OpenID, как ими правильно пользоваться, и покажу, как сломать браузер Гугл Хром, когда ты не умеешь ничего кроме OAuth.

5) Доклад: "More Smoked CTFs для Leet Chicken, пожалуйста!"
Докладчик: Антон Сапожников, KPMG
Описание: 1-4 августа 2013г. Лас-Вегас, США. Проходит крупнейшая в мире конференция DEFCON, в рамках которой мы участвуем в финале DEFCON CTF. В презентации я расскажу: какую игровую механику предложили новые организаторы Legitbs? Как мы играли в финале 2013 года? Какие были уязвимости и как мы их эксплуатировали? В чем был наш вин и фейл?

Группа DEFCON Russia – это независимое и открытое сообщество, объединяемое интересами в области ИТ и ИБ. Основная цель – создание комьюнити среди студентов, программистов, хакеров, системных администраторов и прочих гиков.

10-11 августа, СПб