Итоги ZeroNights 201818.12.2018 11:32

В этом году ZeroNights прошла в петербургском клубе А2 и объединила более 1000 участников со всего мира, среди них: руководители и сотрудники служб ИБ, программисты, исследователи, аналитики, пентестеры, журналисты и все, кто интересуется прикладными аспектами сферы информационной безопасности.

ahdiee0ivn0fyjsv7dzh05tvl8y.jpeg

На конференции были представлены доклады 60 спикеров из 9 стран: Франция, Испания, Германия, Китай, Малайзия, Мальта, Казахстан, Россия и Армения. Из различных компаний: Airbus, Facebook, Synacktiv, Kaspersky Lab, Tencent Security Xuanwu Lab, Shape Security, Wrike, X41 D-Sec GmbH и других.

e_bgdlmpieqakv8_qkeoovja04a.jpeg

Главные темы конференции:


  • Как хакеры могут завладеть мобильным устройством через Wi-Fi чип
  • Как факсы могут стать врагами в корпоративной сети
  • Что драйвера USB устройств для Windows содержат большое количество уязвимостей
  • Как веб-серверы Git расширяют возможности атакующего
  • Как использовать аппаратное обеспечение, чтобы скомпрометировать
    сетевое оборудование и инфраструктуру
  • Как злоумышленники могут использовать протокол UPnP, чтобы скрыть свою активность в сети
  • Какие существуют проблемы безопасности и процесса закрытия уязвимостей в продуктах российских систем администрирования технологического процесса
  • К каким последствиям приводит необдуманное использование новых технологий в клиентской разработке
  • Что и в компиляторах существуют ошибки, которые могут быть использованы для встраивания бэкдоров в ПО
  • Как может быть заражена система до уровня BIOS
  • Что атака по методу Ntlm Relay все еще является опасной и может быть использована новыми способами
  • Как можно быстро и эффективно оценивать безопасность конфигурационных файлов сетевого оборудования
  • Какие существуют проблемы с безопасностью в технологии SD-WAN
  • Как системы для разработки могут быть атакованы и использованы против их владельцев
  • Как средства виртуализации графического процессора могут быть использованы для атаки системы
  • Какие уязвимости и проблемы можно найти в широко распространенных продуктах и библиотеках ImageMagick, Redis, SCADA системах и node.js проектах.

В рамках ZeroNights также были реализованы различные активности: хакерские квесты, секции Web Village и Hardware Zone.


Web Village

Приятно видеть, что Web Village снова и снова собирает огромное количество зрителей.

x7olb03ofvfsdcj6cixs_stigzm.jpeg

Отметим уже традиционный поток докладов от матёрых веберов с большим опытом в практической сфере. Посмотрите сами, в этот раз среди докладчиков: Mail.Ru, Яндекс, Лаборатория Касперского, Digital Security, Sploitus, Acunetix, Deteact, Рамблер. Также мы считаем большим плюсом — полное отсутствие пиара компаний, различных решений и рассуждений о рынке. Но, конечно, главное достижение ZeroNights 2018 — высокий уровень подготовки докладов с неизбитыми примерами:


  1. Знаешь все про XSS? Спорим, из этого доклада все равно узнаешь что-нибудь новенькое? — Читать
  2. Все еще вставляете Blind-XSS вектора руками? Тогда мы идем к вам! — Читать
  3. В очередной раз XSS не сработала? Видимо там CSP, сейчас забайпасим — Читать
  4. Зачем делать одни и те же действия вручную, когда можно автоматизировать поиск уязвимостей? — Читать
  5. Хочешь взломать браузер, но не знаешь с чего начать? — Читать
  6. Взгляд пентестера на типичную инфраструктуру разработчиков — Читать
  7. Атипичные уязвимости или как составить МЕГАБАГУ из нескольки абсолютно легальных фич — Читать
  8. Обзор особенностей и проблем PHP которые могут привести и обязательно приведут к уязвимостям — Читать
  9. Что такое (де)сериализация, как она реализована в PHP и чем это может быть опасно — Читать
  10. Что делать, если вы встретили SPEL — язык выражений для Spring Framework — Читать
  11. Не так то просто запатчить уязвимость так, чтобы не появилось еще три. Fix like a PRO — Читать

jau9can3ygmv6xob3liqh-ijrsi.jpeg

Что у нас в планах на следующий год?


  • Точно запланируем больше стульев и диванчиков :)
  • Устроим больше активностей. Security-викторина от Mail.ru и Яндекса доказала, что это весело и круто.
  • Количество желающих выступить в WV-треке растет, и это радует. Похоже, придется организовать отдельный CFP.
  • Постараемся оставлять в наследие не только презентации, но и полноценные читшиты.


Hardware Zone

hn9v8wdwsmfboozqg0tkm1ucydy.jpeg

Принять участие в Hardware Zone гости конференции могли в течение двух дней. Полноценные доклады со сцены освещали темы практической безопасности банкоматов, IoT, средств и методов анализа аппаратных протоколов и многое другое.

otuj0hbbg3dgh222g7cmpltrkr8.jpeg

Участники могли взломать вендинговую систему и игровую валюту с использованием NFC-карт, которыми потом могли расплатиться в баре. Для успешного выполнения задачи участники использовали полезную информацию, полученную на нескольких воркшопах Павла Жовнера, а также весь необходимый аппаратный инструментарий, представленный на стенде. Любой желающий мог применить полученные знания на практике и проверить свои силы в анализе беспроводных протоколов и проведении атак на типичных представителей мира IoT, получив (в результате) небесполезные памятные подарки (proxmark3, chameleon mini, BBC Microbit).

qckggtbwjvww18af3hkpbavuduk.jpeg

Активность участников показывает неугасающий интерес к теме безопасности встраиваемых устройств и аппаратных хаков, поэтому мы будем и дальше продолжать традицию Hardware Zone и увеличивать количество просветительских докладов и конкурсов.


Конкурсы

На площадке также проходили активности от наших партнеров.

Mail.ru провели конкурс по взлому пневмопочты, победители заработали по 100 баксов и толстовки Bug Hunter.

j-pvgnffrem8wgsdqk74fsmbfw4.jpeg

SEMrush разыграли MacBook Air, Sony PlayStation 4 Pro и Квадрокоптер DJI Spark в конкурсе Crush SEMrush. Участники должны были найти уязвимости в сервисе с отключенным WAF.

g1cp2-9gdhdhprbcewf5pernmkg.jpeg

Получить сертификаты на занятия по английскому языку в самой крупной онлайн-школе можно было в партнерской зоне Skyeng.

cbtgzwoxxhsfujj9mwe7-h5xn7e.jpeg

Роль «белого» хакера в виртуальном мире антиутопии примерили на себя участники хакерского квеста DefHack. А в конкурсе «Игровой автомат» — однорукий бандит, игра которого построена на базе Blockchain, джекпот составил 100 ед. криптовалюты, первый взломавший систему получил билет на ZeroNights 2019.

Также на открытии конференции состоялась вечеринка, хедлайнером которой стал музыкальный проект The Dual Personality, победители конкурса ремиксов от Linkin Park и участники фестиваля электронной музыки Alfa Future People.

zcauyi0fgkvpdqd52yatbh7kmg8.jpeg

Мы благодарим каждого участника конференции, а также партнеров, которые поддержали ZeroNights в этом году: Яндекс, Mail.ru, Сбербанк, Epam, SEMrush, Digital Security.


  • Видео выступлений доступны на нашем YouTube.
  • Фотографии с конференции доступны тут.
  • Материалы конференции найдете здесь.

jmhvcivz28kstv-n_ebzymqfm9c.jpeg

Для тех, кто дочитал до конца — конкурс! За самый содержательный фидбек о ZeroNights 2018 мы подарим наш крутой мерч: первое место — рюкзак, второе и третье — свитшоты. Ваши отзывы с подробным рассказом о том, что вам очень понравилось или совсем не понравилось на конференции, присылайте на visitor@zeronights.org. С пометкой «Фидбек за мерч». Мы за честность!

И до встречи на ZeroNights 2019!

© Habrahabr.ru