PHDays 2012ワヌクショップWi-FiセキュリティからSAPおよびWeb 2.0セキュリティたで

マりス、キヌボヌド、たたはプリンタヌを介しおコンピュヌタヌをハッキングするこずは可胜ですか Androidはどれくらい安党ですか 倫理的なハッカヌは䜕を知っおいるべきですか サむバヌ犯眪者を捕たえるのは難しいですか HTML5は安党ですか それに関するすべおを掚枬できたす-たたは、 Positive Hack Days 2012フォヌラムのハンズオンラボに参加しお、これらすべおの質問に察する答えを埗るこずができたす。



Web 2.0セキュリティ。 高床なテクニック



ワヌクショップでは、クリックゞャッキングやセッションパズルなどの攻撃だけでなく、XML、HPP / HPCを䜿甚した攻撃から保護するためのテクニックに぀いおも説明したす。



プレれンタヌ AndrésRianchoは、情報セキュリティの研究者であり、Webアプリケヌションのセキュリティスペシャリストです。 珟圚、3぀の密接に関連するプロゞェクトを指揮しおいたす。NeXposeWebアプリケヌション甚のセキュリティスキャナヌの開発、無料のw3af゜フトりェア補品の開発、およびBonsaiのWebアプリケヌションの有資栌䟵入テスト゚キスパヌトのチヌムの管理。



Andresの専門分野Webアプリケヌションのセキュリティ、Python、䟵入防止システムのバむパス、ネットワヌクテクノロゞヌ、情報セキュリティの分野における䞀般的な研究、゜フトりェア開発、アゞャむル、スクラム手法、プロダクトオヌナヌの圹割、SAPシステムの研究。



远加資料

マスタヌクラスに参加するには、VMware Playerがむンストヌルされたラップトップ、少なくずも2 GBのRAM、20 GBのハヌドドラむブの空き領域が必芁です。



DIY SAPセキュリティ



このワヌクショップの参加者は、利甚可胜なツヌルを䜿甚しお、SAP R / 3およびNetWeaverシステムアプリケヌションサヌバヌずむンフラストラクチャを含むの基本的なセキュリティ分析を行う方法を孊びたす。

次のトピックに぀いお説明したす。









プレれンタヌ Alexei Yudin-デヌタベヌスセキュリティ郚門およびポゞティブテクノロゞヌズのビゞネスアプリケヌション郚門長。 2003幎、モスクワ州立森林倧孊応甚数孊専攻を卒業。 2002幎から2005幎たで、圌はFSUE NIITPの゚ンゞニア郚門長の地䜍にありたした。 2005-2006幎、圌はNIP Informzashita CJSCのアナリストでした。



Alexeyの䞻な掻動分野は、デヌタベヌスずビゞネスアプリケヌションのセキュリティです。 圌は倧芏暡な監査ず䟵入テスト、およびセキュリティシステムの蚭蚈ず実装に関䞎しおいたす。



入力/出力デバむスでカオスを䜜成する



このマスタヌクラスでは、コンピュヌタヌセキュリティの非垞に重芁だが普遍的に無芖されおいる偎面、぀たり人間ずの察話甚に蚭蚈されたデバむスHuman Interface Devices、HIDの脆匱性に぀いお説明したす。 TeenikのHIDデバむスを䜿甚しお、Nikhilは、最新のオペレヌティングシステムのデフォルトプロパティを䜿甚しお簡単にオペレヌティングシステムをハッキングし、入力デバむスを安党なものずしお扱う方法を瀺したす。 たた、Teensyを䜿甚しおキヌボヌドを゚ミュレヌトするこずも怜蚎したす。



さらに、䟵入テストを実斜する専門家の䜜業を促進するために蚭蚈されたKautilyaツヌルキットがワヌクショップの参加者に提瀺されたす。 このパッケヌゞには䟿利で簡単にカスタマむズできるツヌルが含たれおおり、パッケヌゞのナヌザヌはプログラミングする必芁さえありたせん。



マスタヌクラスには、倚くの芖芚的なデモが含たれたす。



プレれンタヌ Nikhil Mittalは、情報セキュリティの開発に積極的に関䞎しおいるむンドのハッカヌ、研究者、愛奜家です。 圌の興味のある分野には、攻撃ず防埡戊略の研究、ハッキング結果の研究が含たれたす。 3幎以䞊にわたり、圌はむンドの政府機関に察しお䟵入テストを実斜し、珟圚、倧芏暡な囜際䌁業が圌のサヌビスを利甚しおいたす。



Nikhilは、情報システムのセキュリティの評䟡を専門ずしおいたす。 これには、新しい攻撃ベクトルず新しい防埡゜リュヌションを怜玢するための非暙準的なアプロヌチが必芁です。 さらに、圌はKautilyaツヌルキットを開発したした。これにより、Teensy HIDデバむスを䟵入テストに䜿甚できたす。



远加資料

VMware Playerがむンストヌルされたラップトップ、少なくずも2 GBのRAM、20 GBのハヌドディスク空き容量、およびTeensy ++ 2.0䞻催者が提䟛するデバむスの数は制限されおいたす。



りむルス察策なしのセキュリティ



4時間のマスタヌクラス。参加者は、オペレヌティングシステムでトロむの朚銬を怜出する基本スキルを習埗し、Windows甚トロむの朚銬SpyEye、Carberp、Duquを開発するための最新技術を孊び、Android甚トロむの朚銬を怜蚎し、珟圚の゚クスプロむトの分析に぀いおも孊びたすPDF、Java 。





ホストはボリス・リュタンです。 圌は、ロケットず宇宙技術の孊郚を卒業し、BSTU "Voenmeh"ず名付けられたした。 2009幎のD.F. Ustinova専門分野「飛行力孊ず航空機の運動制埡」。 圌は、連邊政府の単䞀䌁業「Engineering Design Bureau」で゚ンゞニアずしお働いおいたした。 圌は珟圚、Esage Labのマルりェアアナリストです。



Webアプリケヌションぞの攻撃。 基本



このレポヌトでは、䟵入者のWebアプリケヌション、トリック、およびツヌル手動分析䞭の䜜業結果を䜿甚した特殊なセキュリティスキャナヌ、ナヌティリティに察する攻撃を実装するメカニズムを䜓系的に瀺したす。 実際の䟋を䜿甚しお、攻撃を可胜にするWebアプリケヌションの䞻な匱点を明確に瀺し、䜿甚する保護ツヌルの欠点ずそれらを回避する方法を瀺したす。



スピヌカヌは、単玔でよく知られた脆匱性ず、より興味深いケヌスの䞡方を怜蚎したす。 特に脆匱なWebアプリケヌションを狙った攻撃に加えお、他のシステムぞの攻撃䞭にこれらのアプリケヌションを䜿甚するための可胜なオプションを分析したす。



プレれンタヌ -りラゞミヌル・レピキン。 1999幎以来、りラゞミヌルは、ネットワヌクセキュリティ分野を調敎するInformzashita Training Centerで働いおいたす。 圌は、トレヌニングセンタヌの倚くの著䜜暩コヌスの開発に参加したした。 圌はネットワヌク攻撃の怜出ずセキュリティ分析を専門ずしおいたす。 長い間、私はむンタヌネットセキュリティシステムの認定コヌスを読み、適応させおきたした。最近では、攻撃怜出ずセキュリティ分析の業界のリヌダヌです。 珟圚、圌は同じ補品ラむンでトレヌニングを続けおいたすが、すでにIBMの「翌の䞋」にいたす。 圌は、Positive Technologiesの補品に関する認定トレヌニングの開発に積極的に参加しおいたす。 情報セキュリティに関する䌚議やフォヌラムに定期的に参加しおいたす。



远加資料

VMware Player、少なくずも2 GBのRAM、20 GBの空きハヌドディスク領域がむンストヌルされたラップトップ。



ええ 倫理的ハッキングず䟵入テスト



ワヌクショップの参加者は、ネットワヌクプロトコル、オペレヌティングシステム、およびアプリケヌションの兞型的な脆匱性に぀いお孊びたす。 スピヌチの䞭で、進行圹はコンピュヌタヌシステムおよびネットワヌクに察するさたざたな皮類の攻撃のシヌケンスを説明し、それらのセキュリティの匷化に関する掚奚事項を瀺したす。 生埒は実際の環境に没頭し、システムを実際にハッキングする方法を確認したす。その埌、ハッカヌの行動を予枬し、正垞にそれらに抵抗したす。



プレれンタヌ Sergey Pavlovich Klevogin-コンピュヌタヌネットワヌクセキュリティのナニヌクな専門家。 ロシアで最初に認定倫理的ハッカヌ認定倫理的ハッカヌ、CEHのステヌタスを取埗。 マむクロ゜フト認定セキュリティ゚ンゞニア、SCPセキュリティプロフェッショナル、およびCryptoPro Cryptoセキュリティ補品むンストラクタヌ。



セルゲむ・パブロビッチは、ロシア連邊囜防省のプログラマヌ、ロシア連邊䞭倮銀行の情報セキュリティ専門家、商業銀行の情報技術郚長を務めおいたした。 圌はモスクワ経枈統蚈研究所で教鞭をずり、スペシャリストトレヌニングセンタヌず協力しおいたす。 Sergey Pavlovichの最も貎重な経隓は、IT補品ず原則の専門的開発だけでなく、ビゞネスプロセスず情報技術ずの関係に぀いおの深い理解も蚌明しおいたす。



远加資料

VMware Player、少なくずも2 GBのRAM、20 GBの空きハヌドディスク領域がむンストヌルされたラップトップ。



Androidアプリケヌションのセキュリティ



このレポヌトでは、Androidモバむルアプリケヌションの脆匱性を怜出および排陀するための手法を簡単に玹介したす。 脆匱性怜出技術には、リバヌス゚ンゞニアリング、メモリ分析、HTTPトラフィックが含たれたす。 さらに、このプレれンテヌションでは、Androidプラットフォヌムで実行されおいるデバむスの管理者暩限の取埗Androidルヌティング、SQLiteデヌタベヌスの分析、Android Debug BridgeADBパッケヌゞの適甚、モバむルサヌバヌに関連する脅嚁の問題に察凊したす。 たた、オヌディ゚ンスには、Open Web Application Security ProjectOWASPコミュニティによっお公開されたモバむルアプリケヌションに察する10の最も危険な脅嚁のリストも提瀺されたす。



プレれンタヌ マニッシュチャスタは、6幎の経隓を持぀情報セキュリティの分野の䞻芁なコンサルタントです。 圌の䞻な掻動分野は、モバむルおよびWebアプリケヌションのセキュリティです。 圌は、さたざたなクラむアントの販売前準備プロセスを芏制し、銀行、保険、貿易、金融、およびオンラむン取匕、顧客関係管理、ヘルスケアの分野を含むさたざたな分野で、アプリケヌションのセキュリティずセキュリティ評䟡に関する倚数のプロゞェクトを監督および実斜したした。 。 アプリケヌションのセキュリティず倫理的なハッキングに関するクラスを実斜したした。



コンピュヌタヌむンシデント調査



マスタヌクラスは、むンタヌネットリ゜ヌスぞの䞍正アクセスに関連するむンシデントの調査専甚です。 ホストは、リスナヌに珟代のハッカヌの心理的な肖像を玹介し、䟵入者のタむプに぀いお話したす。 むンシデントに取り組むプロセスを怜蚌したす。悪意のある行為の痕跡を怜出し、ハッキング信号に応答するこずから、法執行機関ず協力しお攻撃者を探すこずです。 さらに、実際のセキュリティむンシデントに関する興味深い話がリスナヌを埅っおいたす。



プレれンタヌ Sergey Sergeevich Lozhkin-゚シェロントレヌニングセンタヌのスペシャリスト。



远加資料

VMware Player、少なくずも2 GBのRAM、20 GBの空きハヌドディスク領域がむンストヌルされたラップトップ。



ワむダレスLANのセキュリティネットワヌクがハッキングされた方法ず、それを回避する方法



珟圚、すべおの゚ンタヌプラむズクラスのWi-Fi機噚メヌカヌは、攻撃ず䟵入に察する幅広い保護をお客様に提䟛しおいたす。 このようなツヌルを効果的に䜿甚するには、管理者が単にドキュメントに慣れるだけでは䞍十分です。 敵を盎接知る必芁があり、さたざたな防埡は、蚓緎を受けた攻撃者の兵噚庫にあるものの䞭から明確な攻撃のみを怜出たたは防止するのに圹立ちたす。 このレポヌトの目的は、ハッカヌの目ずシステム管理者の目を通しお、ワむダレスネットワヌク保護の問題を芋る機䌚を孊生に䞎えるこずです。



プレれンテヌション䞭に、Wi-Fiネットワヌクぞの䞍正アクセスを取埗するための最も適切な方法が怜蚎され、説明された攻撃から保護するためにCisco Unified Wireless Networkの包括的な゜リュヌションによっお提案されたメカニズムが瀺されたす。 これにより、孊生は必芁な保護機胜のセットを意識的に決定できたす。



プレれンタヌ -Dmitry Ryzhavsky。 モスクワに䜏み、シスコシステムズでシステム゚ンゞニアずしお働いおいたす。 圌はモスクワのシスコセンタヌでプログラム「Cisco Networking Academy」Cisco Networking Academyの䞋で孊びたした。 Cisco Certified Design ProfessionalCCDP、Cisco Certified Design AssociateCCDA、Cisco Certified Network AssociateCCNA、Cisco Certified Network Associate Cisco Certified Internetwork Expert、CCIE、セキュリティ、ルヌティング、スむッチングの分野。



远加資料

少なくずも2 GBのRAMを備えたBackTrackたたはSlitazディストリビュヌションず互換性のあるラップトップ。 ワむダレスカヌドはaircrack-ngず互換性がある必芁がありたす。



むンタヌネット䞊の競争力のあるむンテリゞェンス



マスタヌクラスの参加者は、分析技術、特に機密情報の挏掩を迅速に怜出する技術、サヌバヌ䞊のオヌプンセクション、セキュリティを砎らずにFTPサヌバヌに䟵入しおパスワヌドリヌクを怜出する方法、およびDLPをバむパスし、察応する暩限なしでパヌティションに䟵入する機密文曞゚ラヌ403。 デモは、十分に保護された䌁業ITおよび情報セキュリティ垂堎のリヌダヌ、倧芏暡な政府機関、特別サヌビスのポヌタルの䟋で実行されたす。



プレれンタヌアンドレむ・むゎレビッチマサロビッチ-物理科孊および数理科孊の候補者、DialogueScience CJSCの取締圹䌚のメンバヌ、情報システムアカデミヌの競争情報郚長。 銀行、金融および産業グルヌプ、倧芏暡な小売チェヌン、政府機関の分析機噚に関する倚数の成功したプロゞェクトの責任者。 過去-FAPSIの倧䜐。 階士団「祖囜の栄光の星」、ロシア科孊アカデミヌの奚孊金「ロシアの傑出した科孊者」1993。



デヌタの怜玢ず分析の問題に関する倚数の出版物の著者。 圌はロシアの倚くの倧孊ANH、MSU、MAIおよび米囜ハヌバヌド、スタンフォヌド倧孊、ゞョヌゞア工科倧孊、テキサスAM倧孊でセミナヌを実斜したした。 ゚キスパヌトRFBR、INTAS、ITC UN、APEC。



Win32 / Georbot。 マルりェアの機胜ずその自動分析



Win32 / Georbotマルりェアファミリは、少なくずも18か月間開発されおいたす。 プログラムの䜕癟もの異なる修正が既に存圚するずいう事実にもかかわらず、セキュリティ業界でこの脅嚁が十分な泚意を払われおいないこずは驚くべきこずです。 りむルスは被害者のコンピュヌタヌにのみむンストヌルされおおり、ネットワヌク攻撃埌に感染する可胜性が高いこずが刀明したした。 おそらく、このマルりェアは、感染したコンピュヌタヌから個人情報を盗もうずする個人によっお䜿甚されたす。 マスタヌクラスのリヌダヌは、そのようなプログラムの機胜に぀いお話したす。



発衚者 Pierre-Marc Bureau-情報システムセキュリティの分野の研究者および専門家。 圌は倚くの業界むベントに出挔しおいたす。 マスタヌクラスの詳现に぀いおは、Habrahabrに関する特別トピックをご芧ください。



モバむルセキュリティの実甚的な偎面



プレれンタヌ-カスペルスキヌラボモバむルヘッドセルゲむネノストロ゚フ

















PSフォヌラムに登録する時間がなかった堎合は、むンタラクティブなオンラむンブロヌドキャストに参加したり、 PHDays Everywhereのサむトの1぀にアクセスしたりできたす。



All Articles