Обзор лучших технических докладов конференции Still Hacking Anyway 2017

2017-08-28 14:00

С 4 по 8 августа в Нидерландах прошел крупный хакерский фестиваль SHA2017. Несмотря на интенсивную подготовку к своему выступлению (и сильное волнение перед ним), я посетил много интересных докладов. В этой заметке перечислю те из них, которые мне особенно понравились, и поделюсь впечатлениями.

1. How the NSA tracks you

Билл Бинни (Bill Binney) выступил на открытии SHA2017 и рассказал о том, как АНБ следит за нами. С одной стороны, сама тема доклада сенсацией уже не является. С другой стороны, замечу, что этот человек проработал в АНБ 34 (!) года, и в завершении своей карьеры занимал пост технического директора этой службы. На его выступлении я сидел в первых рядах, и меня сильно впечатлил тяжелый и пронзительный взгляд этого пожилого человека в инвалидном кресле.

Запись выступления:

2. Mathematics and Video Games

Забавная и познавательная лекция о применении теории графов и топологии в анализе старых добрых игр типа Packman и Space Invaders.

Запись выступления:

3. Automotive Microcontrollers. Safety != Security

Очень интересный доклад об использовании разнообразных импульсных помех (glitches) для взлома систем автоматизации. Исследователи наглядно показали, что стандарт ISO26262, регламентирующий меры обеспечения надежности систем автоматизации, не обеспечивает их безопасность.

Запись выступления:

4. DNA: The Code of Live

Просто великолепная лекция Берта Хьюберта (Bert Hubert) о ДНК с точки зрения информационных технологий. Он харизматичный докладчик, плюс хорошо подготовил свой материал для хакерской конференции. Я не заметил, как пролетел час, и в итоге был просто восхищен тем, как гениально Творец создал жизнь и описал ее в ДНК.

Запись выступления:

5. Improving Security with Fuzzing and Sanitizers

Классное выступление по актуальной тематике от легенды немецкого ИБ-сообщества — Ханно (Hanno B?ck). Я вынес для себя несколько новых идей по методикам фаззинга и пообщался с докладчиком о возможностях расширить применение Sanitizer'ов.

Запись выступления:

6. Race for Root: Analysis of the Linux Kernel Race Condition Exploit

Очень хороший технический доклад, рекомендую! ;) Я рассказал о найденном мной состоянии гонки в ядре Linux (CVE-2017-2636) и детально описал эксплуатацию этой уязвимости для локального повышения привилегий. Также продемонстрировал прототип эксплойта в действии.

Запись выступления:

Пользуясь случаем, сообщаю, что мой патч, блокирующий аналогичные эксплойты, принят в Linux kernel mainline. Технические детали опубликованы в нашем корпоративном блоге.

7. Flip Feng Shui

Один из самых сильных и громких докладов SHA2017. Виктор ван-дер-Веен (Victor van der Veen) и Кавех Разави (Kaveh Razavi) — передовые фигуры ИБ в Нидерландах. На днях они выиграли престижную награду PWNIE за развитие методики эксплуатации Rowhammer для взлома облачных платформ и атак на Android. Парни отлично выступили, доступно объяснили красоту своих идей и показали демки.

Запись выступления:

8. Computational Thinking

Ценное выступление Паулин Маас (Pauline Maas), которая поделилась своим успешным опытом вовлечения детей и подростков в программирование и алгоритмическое мышление.

Запись выступления:

9. Bypassing Secure Boot using Fault Injection

Полезный технический доклад об атаках с помощью методики внесения неисправностей (fault injection). Особенно впечатлила живая демонстрация обхода проверок Secure Boot на ARM с помощью кратковременного понижения питания в нужный момент.

Запись выступления:

10. Rooting the MikroTik Routers

Добротный технический доклад с живыми демками взлома промышленных маршрутизаторов MikroTik. В конце докладчик сыграл классическую мелодию на бипере устройства. Аудитория оценила.

Запись выступления:

11. Network Traffic Analysis using Deep Packet Inspection and Data Visualization

Бодрое выступление по результатам дипломной работы. Докладчик вживую на своей системе показал интересные возможности, которые дает визуальный анализ сетевого трафика.

Запись выступления:

12. Off Grid: Disclosing Your 0days in a Videogame Mod

Замечательное выступление разработчиков игры Off Grid. Это ролевая компьютерная игра, в которой ты играешь за хакера и взламываешь системы в огромном здании большой корпорации. ПО на компьютерах, смартфонах и т.п., с которыми ты взаимодействуешь, запущено на реальных системах в виртуальных машинах. То есть все по-настоящему :) Плюс есть возможность практиковать социальную инженерию и прочие трюки.

Запись выступления:

13. FaceDancer 2.0

Ценное выступление пары разработчиков FaceDancer 2.0 — технологии фаззинга USB. Дело в том, что в ядре Linux и многих других системах политика доверия аппаратному обеспечению выстроена неверно. В частности, в код USB-стека заложена базовая уверенность в корректном поведении всего, что подключается по USB. И это делает атаки с помощью вредоносных USB-устройств очень эффективными. Так вот FaceDancer 2.0 — это обновленная технология фаззинга USB-стека, которая помогает найти и устранить его уязвимости.

Запись выступления:

Приятного просмотра!

Источник: habrahabr.ru



		Обзор лучших технических докладов конференции Still Hacking Anyway 2017
МЕНЮ Искусственный интеллект Поиск Регистрация на сайте Помощь проекту ТЕМЫ Новости ИИ Искусственный интеллект Голосовой помощник Городские сумасшедшие ИИ в медицине ИИ проекты Искусственные нейросети Слежка за людьми Угроза ИИ Разработка ИИ ИИ теория Компьютерные науки Машинное обуч. (Ошибки) Машинное обучение Машинный перевод Реализация ИИ Реализация нейросетей Создание беспилотных авто Трезво про ИИ Философия ИИ Внедрение ИИ Big data Генетические алгоритмы Капсульные нейросети Основы нейронных сетей Распознавание лиц Распознавание образов Распознавание речи Техническое зрение Чат-боты Работа разума и сознание Изучение сна Изучение сознания Психология Работа головного мозга Работа памяти Работа разума Модель мозга Модель мозга Робототехника, БПЛА Беспилотные автомобили БПЛА Робототехника Трансгуманизм Трансгуманизм Обработка текста Анализ социальных сетей Компьютерная лингвистика Лингвистика Поисковые алгоритмы Теория эволюции Головной мозг Нейронные сети Поведение животных Теория эволюции Дополненная реальность Виртулаьная реальность Дополненная реальность Железо Интернет вещей Квантовые компьютеры Нейронные процессоры облачные вычисления Суперкомпьютеры Киберугрозы Кибербезопасность Научный мир Методы исследования Наука и образование Семинары ИТ индустрия ИТ-гиганты Новости ит Разработка ПО Разработка ПО Теория алгоритмов Теория информации Кластеризация Математика Актуальная математика Статистика Теория вероятности Теория информации Теория хаоса Цифровая экономика Технология блокчейн Цифровая экономика Авторизация RSS RSS новости		2017-08-28 14:00 Семинары С 4 по 8 августа в Нидерландах прошел крупный хакерский фестиваль SHA2017. Несмотря на интенсивную подготовку к своему выступлению (и сильное волнение перед ним), я посетил много интересных докладов. В этой заметке перечислю те из них, которые мне особенно понравились, и поделюсь впечатлениями. 1. How the NSA tracks you Билл Бинни (Bill Binney) выступил на открытии SHA2017 и рассказал о том, как АНБ следит за нами. С одной стороны, сама тема доклада сенсацией уже не является. С другой стороны, замечу, что этот человек проработал в АНБ 34 (!) года, и в завершении своей карьеры занимал пост технического директора этой службы. На его выступлении я сидел в первых рядах, и меня сильно впечатлил тяжелый и пронзительный взгляд этого пожилого человека в инвалидном кресле. Запись выступления: 2. Mathematics and Video Games Забавная и познавательная лекция о применении теории графов и топологии в анализе старых добрых игр типа Packman и Space Invaders. Запись выступления: 3. Automotive Microcontrollers. Safety != Security Очень интересный доклад об использовании разнообразных импульсных помех (glitches) для взлома систем автоматизации. Исследователи наглядно показали, что стандарт ISO26262, регламентирующий меры обеспечения надежности систем автоматизации, не обеспечивает их безопасность. Запись выступления: 4. DNA: The Code of Live Просто великолепная лекция Берта Хьюберта (Bert Hubert) о ДНК с точки зрения информационных технологий. Он харизматичный докладчик, плюс хорошо подготовил свой материал для хакерской конференции. Я не заметил, как пролетел час, и в итоге был просто восхищен тем, как гениально Творец создал жизнь и описал ее в ДНК. Запись выступления: 5. Improving Security with Fuzzing and Sanitizers Классное выступление по актуальной тематике от легенды немецкого ИБ-сообщества — Ханно (Hanno B?ck). Я вынес для себя несколько новых идей по методикам фаззинга и пообщался с докладчиком о возможностях расширить применение Sanitizer'ов. Запись выступления: 6. Race for Root: Analysis of the Linux Kernel Race Condition Exploit Очень хороший технический доклад, рекомендую! ;) Я рассказал о найденном мной состоянии гонки в ядре Linux (CVE-2017-2636) и детально описал эксплуатацию этой уязвимости для локального повышения привилегий. Также продемонстрировал прототип эксплойта в действии. Запись выступления: Пользуясь случаем, сообщаю, что мой патч, блокирующий аналогичные эксплойты, принят в Linux kernel mainline. Технические детали опубликованы в нашем корпоративном блоге. 7. Flip Feng Shui Один из самых сильных и громких докладов SHA2017. Виктор ван-дер-Веен (Victor van der Veen) и Кавех Разави (Kaveh Razavi) — передовые фигуры ИБ в Нидерландах. На днях они выиграли престижную награду PWNIE за развитие методики эксплуатации Rowhammer для взлома облачных платформ и атак на Android. Парни отлично выступили, доступно объяснили красоту своих идей и показали демки. Запись выступления: 8. Computational Thinking Ценное выступление Паулин Маас (Pauline Maas), которая поделилась своим успешным опытом вовлечения детей и подростков в программирование и алгоритмическое мышление. Запись выступления: 9. Bypassing Secure Boot using Fault Injection Полезный технический доклад об атаках с помощью методики внесения неисправностей (fault injection). Особенно впечатлила живая демонстрация обхода проверок Secure Boot на ARM с помощью кратковременного понижения питания в нужный момент. Запись выступления: 10. Rooting the MikroTik Routers Добротный технический доклад с живыми демками взлома промышленных маршрутизаторов MikroTik. В конце докладчик сыграл классическую мелодию на бипере устройства. Аудитория оценила. Запись выступления: 11. Network Traffic Analysis using Deep Packet Inspection and Data Visualization Бодрое выступление по результатам дипломной работы. Докладчик вживую на своей системе показал интересные возможности, которые дает визуальный анализ сетевого трафика. Запись выступления: 12. Off Grid: Disclosing Your 0days in a Videogame Mod Замечательное выступление разработчиков игры Off Grid. Это ролевая компьютерная игра, в которой ты играешь за хакера и взламываешь системы в огромном здании большой корпорации. ПО на компьютерах, смартфонах и т.п., с которыми ты взаимодействуешь, запущено на реальных системах в виртуальных машинах. То есть все по-настоящему :) Плюс есть возможность практиковать социальную инженерию и прочие трюки. Запись выступления: 13. FaceDancer 2.0 Ценное выступление пары разработчиков FaceDancer 2.0 — технологии фаззинга USB. Дело в том, что в ядре Linux и многих других системах политика доверия аппаратному обеспечению выстроена неверно. В частности, в код USB-стека заложена базовая уверенность в корректном поведении всего, что подключается по USB. И это делает атаки с помощью вредоносных USB-устройств очень эффективными. Так вот FaceDancer 2.0 — это обновленная технология фаззинга USB-стека, которая помогает найти и устранить его уязвимости. Запись выступления: Приятного просмотра! Источник: habrahabr.ru Комментарии:

Обзор лучших технических докладов конференции Still Hacking Anyway 2017

Комментарии: