Конференция ZeroNights

Скачать расписание (PDF)


«Forensics в iOS средствами OpenSource» Докладчик: Андрей Беленко Этот воркшоп – для тех, кто хочет познакомиться с современными передовыми технологиями forensics в iOS. В первую очередь мы будем говорить об извлечении данных и постараемся ограничиться опенсорсными или бесплатными инструментами. Речь пойдет как об устройствах с jailbreak, так и без него. После обзора необходимой теоретической части мы перейдем к практическим упражнениям. Введение в digital forensics Введение в безопасность iOS Как устроена защита данных в iOS? Как работает passcode? Различные методы извлечения данных, их плюсы и минусы Логические Из файловой системы Физические Из NAND-чипов Как разобраться в извлеченных данных iCloud forensics Требования к участникам воркшопа: 2-3 часа Знание русского языка Будет полезен ноутбук с OS X на борту и iOS-устройство с ОС старше iOS 8


«Расследование компьютерного инцидента с {мобильным} банковским трояном» Докладчик: Борис Иванов Продолжается тенденция роста количества целевых атак на банки и финансовые организации, наибольшую активность проявляет одна из действующих преступных групп. На текущий момент общий объем совершенных группой хищений достиг более 250 млн рублей. В рамках workshop мы подробно познакомимся с методиками и набором вредоносного ПО, которое использовала преступная группа, также на практике осуществим анализ системных журналов, памяти и дисков, поиск следов компьютерного преступления. План workshop: Часть I. Теоретическая. Введение в компьютерную криминалистику I.1 Основные принципы мошенничества в системах ДБО I.2 Новые схемы мошенничества I.3 Мошенничества с мобильными устройствами I.4 Вредоносное программное обеспечение для ATM I.5 Реагирование на инцидент Часть II. Практическая. Проведение исследования носителей информации II.1 Сбор первоначальных сведений об инциденте II.2 Извлечение сведений из предоставленных носителей информации II.3 Анализ обнаруженного ВПО. Изучений следов работы ВПО II.4 Построение хронологии событий Участник получит: Подготовленный виртуальный образ накопителя АРМ Дамп оперативной памяти Виртуальный образ мобильного телефона на базе Android Набор криминалистического ПО Требования к участникам workshop: 2 часа Знание русского языка Базовые знания работы с *nix системами Ноутбук c предустановленным VMware Player версии 6.0.3 Виртуальная машина Sift Workstation 3.0


«Реверсинг и отладка вредоносного ПО и прошивок с помощью фреймворка radare2» Докладчики: Антон Кочков, Борис Рютин Radare2 – это сложный фреймворк для реверс-инжиниринга. Написанный на C, полностью переносимый, выпущенный по лицензии LGPL, он незаменим для работы с двоичными файлами, особенно с нестандартными. Множество людей используют его для самых разнообразных целей: binary exploitation, реверсинг нестандартных архитектур процессоров, сравнение двух исполняемых файлов, CFP, эмуляции… Но поскольку это сложный инструмент без графического интерфейса, изучать его долго и трудно, поэтому мы создали специальный воркшоп. Часть 0. Введение в мир radare Часть I. Статический анализ Глава 1. Вредоносные программы Глава 2. Прошивки 2.1. Распаковка прошивки типичного MIPS-роутера 2.2. Анализ прошивки типичного ARM: загрузчики ОС и исполняемые файлы под Android 2.3. Анализ прошивки мобильной системы обработки сигналов (DSP) Часть II. Отладка Требования к участникам воркшопа: 4 часа Знание английского языка Базовые знания реверсинга и ассемблирования архитектур x86/x86_64. Знание ассемблера ARM и MIPS будет плюсом. Не повредят начальные знания Python, Lua и JavaScript (для написания скриптов). Мы предоставим виртуальную машину в формате OVA (возможно, и в других форматах). Но если у вас Linux, вы сможете скачать и собрать radare2 из исходников, и мы подготовим отдельную закачку с использованными примерами, файлами, прошивками и т. п.


«Ищем ключи криптографических алгоритмов через потребленную мощность» Докладчик: Роман Коркикян Криптография воспринимается как волшебная палочка, по мановению которой любая информационная система становится защищенной. Но на удивление, криптографические алгоритмы могут быть успешно атакованы. Все сложные теории криптоанализа нивелируются, если известна хоть малейшая информация о промежуточных значениях шифра. Помимо ошибок в реализации получить такую информацию можно, измеряя физические параметры выполняющего шифр устройства, в частности падение напряжения. Удивительно, но простым измерением падения напряжения можно взломать современные криптографические алгоритмы, которые реализованы на ПЛИС, в железе или в виде кода на процессорах и микроконтроллерах. В своем практикуме я постараюсь объяснить и показать, как это возможно. Практикум включает демонстрацию платформы по сбору данных, которую может собрать исследователь; объяснение атаки на примере алгоритма DES и, возможно, RSA (данные и код будут заранее предоставлены); практического задания по взлому алгоритма AES (данные и часть кода будут заранее предоставлены); в оставшееся время можно будет позадавать вопросы или обсудить способы атак на системы с некоторой защитой. Код для анализа данных будет предоставлен в двух видах: Виртуальная машина под VirtualBox с предустановленными пакетами, данными и исходным кодом; Код, компилируемый под gcc и под Visual Studio (смотри требования). Требования к участникам воркшопа: 3-4 часа Знание русского языка ОБЯЗАТЕЛЬНО: компьютер. Нет смысла приходить на практикум без него. Если есть компьютер, то у вас уже будет возможность поработать в виртуальной машине. Для машин под Linux и Mac OS: GCC + openmp. У меня мало опыта работы с компилятором под Mac, поэтому убедитесь, что openmp корректно компилируется. Для машин под Windows: Visual Studio 2012 либо выше. Для всех машин: Gnuplot (для построения графиков) + 5 Гб свободного пространства. Некоторые знания об атаках по второстепенным каналам желательны, но не обязательны.