Positive Hack Daysへの参加申し込みの受付は本格的です。 一般的な要望により、私たちは論文募集を3月31日まで延長します。 これは、フォーラムで話したいと思っている誰もが申請するためにさらに数週間あることを意味します 。
最近、IDA Proの逆アセンブラーおよびHex-RaysデコンパイラーIlfak Gilfanovの有名な開発者となる最初の基調講演者PHDays 8を発表しました。 さて、今日は、メインのPHDaysプログラムに既にレポートが含まれている参加者のグループに注目します。 今年、フォーラムの訪問者は、企業の顔認識システムをバイパスする方法、スマートカーの危険性、侵入者がIoTデバイスをクラックする方法を学びます。
近い将来のIBディレクター
過去数年にわたって、ビジネスは犯罪者やハクティビストの行動の結果として大きな損失を被ってきました。 脅威の状況は常に変化しているため、今まで以上に、ビジネスに対するリスクとハッカーの能力を理解することでセキュリティソリューションが生まれる情報セキュリティモデルを維持することが重要です。
企業の情報セキュリティポリシーの有効性は、組織的および技術的な手段だけでなく、従業員の能力にも依存します。 今日、多くの重要な分野では、情報セキュリティソリューションは時代遅れであり、専門家のスキルは技術とともに発達せず、ビジネスの要件を満たしていません。 訓練する人-人またはコンピューター? お金が必要ですが、CISO要件をCEOに変換する方法はありますか? これらの質問は、情報システムの監査および管理のための協会(ISACA)の国際理事会のメンバーであり、協会の情報セキュリティチームの議長であるEddie SchwartzのDarkMatterのエグゼクティブバイスプレジデントによって回答されます。 DarkMatterの前は、シュワルツはVerizonのセキュリティディレクターおよびRSAのセキュリティディレクターでした。
認証ハッキング
アルゼンチンの情報セキュリティの専門家であり、Cinta Infinita CEOのNahuelGrisolía氏はPHDaysで再び講演します。 彼は、Webアプリケーションのセキュリティとハードウェアのハッキングを専門としています。 グリソリアは、McAfee、VMware、ManageEngine、Oracle、Websense、Google、Twitter、および無料ソフトウェアAchievo、Cacti、OSSIM、Dolivarr、osTicketに脆弱性を発見しました。
5回目のPHDaysフォーラムで、グリソリアはRFIDのマスタークラスを開催しました。今回は、2,000人以上の顧客にサービスを提供し、1日あたり4,200万の認証を提供する最新の認証プラットフォームAuth0に焦点を当てます。 このレポートは、JSON Webトークンのセキュリティ、認証と承認、暗号化、およびHTTPトラフィックの傍受と操作の方法の概念に当てられています。 スピーカーは、認証をバイパスし、Auth0を使用するすべてのアプリケーションを危険にさらす脆弱性について話します。
Windows Helloをバイパスする1、2、3
Windows Helloは、虹彩、指紋、顔認識のスキャンを含むMicrosoftの生体認証システムです。 これは、サイトおよびアプリケーションでの承認のために、Windowsを備えたデバイスでパスワードなしで入力するために使用されます。
侵入テストサービスのドイツの大手プロバイダーであるSySSの責任者であるMatthias Deegは、Windows Helloの研究について語り、簡単な方法を使用してシステムのさまざまなバージョンを回避する方法を示します。
武器としてのスマートカー
現代のスマートカーは、単なる交通手段ではなく、高度なインフォテインメントプログラムが詰め込まれた実際のコンピューターです。 新しい技術は、攻撃者に幅広い機会を提供します。コンピューターの世界の特徴であった脅威は、現在では自動車に関連しています。
Ixiaの代表者-チーフセキュリティ研究者Stefan Tanaseおよび上級ソフトウェア開発者Gabriel Cirlig-は、車両自体のネットワークインフラストラクチャから完全に分離された統合インフォテインメントシステムを搭載した自動車を調査しました。 彼らは、平文で保管されている大量のデータを見つけました。 この研究の著者は、攻撃者がマシンの動きを監視し、オンボードコンピューターを使用してネットワークのアクセスポイントに侵入する方法を示します。
IoTを破る方法
PHDaysのもう1人のスピーカーは、エンタープライズセキュリティ評価技術の開発を専門とするBeyond Securityの創設者の1人であるNoam Rathausです。 Rathouseは、オープンソースの情報セキュリティと侵入テストに関する4冊の本の著者です。 彼はさまざまなソフトウェアに40以上の脆弱性を発見し、Nessusコードベースの約3分の1を作成しました。これは既知の脆弱性を自動的に検索するプログラムです。
彼のレポート「あなたのデバイスをインターネットに置き換える」は、モノのインターネットの安全性に当てられています。 Noam Rathouseは、有名なベンダーの製品で彼のチームが発見したさまざまな脆弱性について話し、IoTデバイスの保護に関する推奨事項を提供します。
IoTセキュリティのトピックは、AMT-GROUP Andrey Biryukovの主要な情報セキュリティエンジニアによって継続されます。 Fast Trackセクションでは、「M2M Leaky Clouds:How to Break IoT」について講演します。 フォーラムの参加者は、クラウドデバイス(オープンソースを含む)を使用してIoTデバイスを管理する方法を学びます。 スピーカーは、最も興味深い脆弱性を悪用したビデオを表示し、それらの修正方法に関する推奨事項を示します。
量子コンピューター保護
2016年2月、NISTはポスト量子暗号レポートを公開しました。 量子コンピューターに対して脆弱であると考えられるアルゴリズムについて説明しています。 ほとんどすべてのアルゴリズムがリストに追加されました。
ノボシビルスク州立大学現代コンピューター技術研究所所長のセルゲイ・クレンデレフは、「量子脅威」に関連する問題、ポスト量子暗号のアルゴリズムとプロトコルについて語ります。 さまざまなデジタル署名アルゴリズム、ハッシュ関数、キー交換の例、およびポスト量子暗号化と公開キーインフラストラクチャの実際の実装で発生する可能性のある問題について説明します。
ところで、セルゲイ・クレンデレフとナウエル・グリソリアはPHDays Vで講演しました。彼のレポート「 ソビエトのスーパーコンピューターK-340Aとクラウドコンピューティングのセキュリティ 」は、非標準の暗号化アルゴリズムを使用したエンコードデータの処理に当てられました。
バグバウンティパン
公的にアクセス可能なリソースの所有者は、脆弱性により深刻な評判と経済的損失を被ります。 QIWI CISOとVulners.comの共同設立者であるIgor Bulatenkoは、脆弱性に対処する既存の方法の欠点とバグ報奨金プログラムの利点の問題を提起します。 リスナーは、バグバウンティがペンテストや大規模なIBチームよりも収益性が高く、財務の安定性と企業の評判に優れている理由、およびそのようなプログラムを開く必要がある人(必要ない人)を学習します。 イゴールはまた、QIWIの経験を共有し、彼らがどのようにバグバウンティを展開したかについて話します。
パフォーマンスの全リストは、4月にPHDays Webサイトで公開されます。 参加のトピックとルールの詳細については、論文募集ページをご覧ください 。
Positive Hack Daysフォーラムの産業パートナーは、モスクワの工場FIZPRIBORです。 フォーラムパートナー-R-Vision。 展示スポンサー─グループIB; 対決の参加者─Informzaschita社、「パースペクティブモニタリング」。 テクノロジーパートナーには、Cisco、Moxa、Advantechが含まれます。