en/"/>
ZeroNights 2014: шпионские игры в большом городе

Друзья, все хорошее имеет свойство заканчиваться. Завершилась наша ZeroNights 2014. В этом году конференцию посетило более тысячи участников, свои доклады представили 54 специалиста-практика в области ИБ из 11 стран мира. Как по количественным показателям, так и по уровню контента, ZeroNights вновь подтвердила свой статус крупнейшего события в отрасли ИБ.

«Спасибо огромное за мероприятие. Я получил истинное удовольствие от атмосферы. Сейчас ZeroNights это прекрасное место для обмена знаниями, знакомства с новыми подходами и общения. Именно такие конференции, без маркетинговых докладов, как глоток свежего воздуха».

– Аркадий Прокудин (заместитель руководителя отдела ИБ, группа компаний АйТи, радиоподкаст «Открытая безопасность»). Больше отзывов здесь.

Мы снова строго придерживались концепции: никакого маркетинга, только технические аспекты. На конференции были представлены глубокие технические исследования, проводились уникальные воркшопы, занятия под руководством специалистов по ИБ мирового уровня. Участники конференции получили самую свежую информацию о последних тенденциях мира криптографии, о состоянии дел в области веб-безопасности и веб-технологий, смогли узнать о недавних открытиях в сфере безопасности АСУ ТП, окунулись в новости ИБ мобильного мира, подробно обсудили различные уязвимости.      

Больше фото здесь.

В этом году мы решили организовать в рамках ZeroNights специальную сессию, посвященную реальной, практической защите – Defensive Track. В этой секции прозвучали доклады специалистов, ежедневно работающих «на передовой», отвечающих за сохранность аккаунтов сотен тысяч пользователей. На Defensive Track также состоялось живое обсуждение вопросов практических проблем использования различных технологий защиты: RPKI, DNSSEC, DANE, etc. Участники совместно пытались понять, почему, если существует множество полезных и современных стандартов и технологий, повсеместно используется старое и небезопасное.

Больше фото здесь.

В ходе ZeroNights работала открытая площадка Hardware Village. На HWV любой желающий имел возможность потрогать и потестировать любую понравившуюся «железку» и получить консультацию по нюансам использования того или иного оборудования. Проводились мастер-классы, посвященные безопасности встраиваемых систем и беспроводных сетей.

В этом году на конференции ZeroNights стартовала специальная конкурсная секция Группы QIWI, в рамках которой прошло CTF-соревнование в формате Jeopardy. Специально для турнира призер международных соревнований, команда More Smoked Leet Chicken, подготовила ряд заданий в категориях Reverse / PWN / Web / Crypto / Misc. По статистике Qiwi, для участия в конкурсе зарегистрировалось почти 400 человек/команд, сдали хотя бы один флаг 43 команды, локально участвовало 12 команд. Призовой фонд за 1-3 места составил 60, 30 и 15 тыс. рублей соответственно. Также компания Qiwi проводила конкурс на взлом банкомата, но ни одному из участников не удалось выполнить задание в полном объеме. Кроме того, свои конкурсы представили Protectimus и Лаборатория Касперского.

Больше фото здесь.

Описание докладов, биографии спикеров, программа мероприятия, сообщения об активностях, отзывы, фотографии и презентации доступны на сайте мероприятия. Следите за обновлениями! Хотя все хорошее заканчивается, все самое хорошее через некоторое время обязательно возвращается вновь. Так что до встречи в следующем году, на юбилейной конференции ZeroNights!

Новости
12.11.2014 Отличные новости от Лаборатории Касперского!

В рамках участия  Лаборатории Касперского в ZeroNights 2014 уже завтра и послезавтра можно получить витаминный заряд и проверить свою карму в интернет-игре. Также на форуме будет проходить интереснейший конкурс на «взлом» и конкурс на лучшее фото в социальных сетях с логотипом Лаборатории! Вы сможете задать все интересующие вопросы нашим экспертам в области информационной безопасности на протяжении всей выставки на стенде Лаборатории Касперского. Если вам интересно, то с удовольствием расскажем, как присоединиться к команде ЛК. В завершение форума в 19:00 мы вручим призы за классные фото и тем, у кого будет самая чистая карма :) Лучшие 30 участников – любителей пореверсить будут приглашены в офис Лаборатории Касперского и награждены ценными призами!



12.11.2014 Касса

Друзья, еще одна хорошая новость, для тех, кто по каким-либо причинам не смог оплатить билеты заранее: мы решили предоставить всем желающим посетить конференцию возможность приобрести билеты на месте. 13 и 14 ноября при входе на мероприятие будет работать касса. Стоимость билета для всех категорий участников составит в первый день 11 тыс. рублей и 9 тыс. рублей - во второй.



11.11.2014 Победители школьного CTF приглашены на ZeroNights!

Друзья, рады сообщить вам, что конференция ZeroNights поддержала командные соревнования по защите информации Capture the flag (CTF) среди школьников Москвы и МО, организованные 9 ноября 2014г. факультетом Вычислительной математики и кибернетики МГУ: http://ctf.cs.msu.su/

В рамках соревнований командам были предложены разнообразные задания по криптографии, стеганографии, уязвимости веб-приложений и другим аспектам компьютерной и информационной безопасности. Список победителей представлен здесь: http://ctf.cs.msu.ru:9911/scoreboard.

Первая тройка призеров, команды Shadow servants, Пылающие Помидоры и 1336 h4x0rz приглашены в качестве почетных гостей на конференцию ZeroNights 2014, которая состоится прямо на этой неделе, через 2 дня, в Москве!



10.11.2014 Регистрация продолжается!

Внимание, у нас отличная новость: в связи с большим наплывом желающих принять участие в конференции, мы решили продлить регистрацию до 16:00 12 ноября. Однако обращаем ваше внимание, что с 20:01 MSK 11 ноября для всех потенциальных участников начнет действовать новый тариф – 11 тыс. руб. Чтобы успеть оплатить участие по стандартной цене, указанной на сайте, советуем всем поторопиться! Прямо сейчас пройти регистрацию можно здесь: http://2014.zeronights.ru/registration.html



05.11.2014 Программа ZeroNights 2014 сформирована

Спешим сообщить, что программа конференции ZeroNights полностью сформирована и оформлена. Вы можете ознакомиться с расписанием работы мероприятия, посмотреть схему площадки и отметить интересные и обязательные к посещению пункты, пройдя по ссылке: http://2014.zeronights.ru/assets/files/schedule_rus_fin.pdf

Основными темами конференции в нынешнем году станут: последние тенденции и новости мира криптографии, веб-технологии и веб-безопасность, мобильная безопасность, угрозы ИБ промышленной отрасли, различные векторы прикладного хакинга и методы поиска уязвимостей, реверс-инжиниринг, а также практические аспекты обеспечения защиты. В этом году будет организовано самое большое количество конкурсов для участников с ценными призами за всю историю проекта: начиная от классического CTF и заканчивая взломом платежного терминала.

Ключевым спикером мероприятия станет Александр Песляк, также известный как Solar Designer, автор популярной программы для аудита безопасности паролей John the Ripper, основатель проекта Openwall и компании Openwall. Также среди докладчиков конференции – известные исследователи и хакеры из 11 стран мира, в том числе Патроклос Агироудис (Греция, Census S.A.), Жан-Филипп Омассон и Роман Коркикян (Швейцария, Kudelski Security), Рене Фрайнгрубер (Австрия, SEC Consult), Марко Грасси (Италия, viaForensics), Георги Гешев (Великобритания, MWR InfoSecurity), Джейк МакДжинти (США, Open Whisper Systems, Университет Иллинойса). Описания докладов и биографии спикеров можно найти на сайте. На конференции будет двусторонний перевод.

Обращаем внимание, что онлайн-регистрация на ZeroNights 2014 завершится 11 ноября в 20:00!  



24.10.2014 Заряжаем по полной

Друзья, наша программа почти полностью сформирована, расписание докладов все плотнее. Выбирайте, определяйтесь, какая тема для вас ближе, привлекательнее, интереснее. Описание докладов можно посмотреть здесь: http://2014.zeronights.ru/program.html.

А мы продолжаем рассказывать о вновь прибывших.

Итак, в основной программе встречайте:

  1. Jason Larsen / Джейсон Ларсен (США) и его доклад «Миниатюризация (как уместить целую атаку на технологический процесс в маленький микроконтроллер)». Спикер не только порассуждает на модную сегодня тему взлома PCS (систем управления процессами), но и предложит свой вариант развития событий. Что делать после захвата контроля над технологическим процессом? Как эффективно поместить код программы в прошивку микроконтроллера? Неужели он действительно расскажет об этом? О да, можно не сомневаться ;)
  2. Rahul Sasi/Рахул Саси (Индия) поговорит об уязвимостях безопасности сетей DVB-C (кабельного телевидения) и опишет различные сценарии атак на инфраструктуру DVB-C.
  3. Workshop от Бориса Иванова (Россия) посвящен  расследованию компьютерных инцидентов на примере мобильного банковсого трояна.

Один из наших любимых жанров исследовательского стендапа – FastTracks:

  1. Роман Бажин (Россия) проведет грубые опыты над Oracle, взглянув на Oracle Database Communication Protocol бескомпромиссными глазами пентестера.  Немного подробнее: доклад посвящен анализу проприетарного протокола Oracle Database (TTC, OraNet, TNS) для последующего фаззинга, перехвата и подмены передаваемых данных приложения, использующего OCI. Все продемонстрированные инструменты будут выложены в открытый доступ.
  2. Артем ШишкинМарк Ермолов (Россия) представят трэк «Обход механизма защиты ядра от модификаций (patchguard) на Windows 8.1 и Windows 10». В своем докладе исследователи расскажут о методах обхода patchguard в ОС Windows, его антиотладочных трюках и принципах реверса его будущих версий. Это тот самый механизм, который не дает беспорядочно хукать и сплайсить ядро ОС.
  3. Антон Черепанов (Россия) в рамках доклада «Крадущийся тигр» подробно поведает о недавних атаках на компьютеры, находящиеся в России и странах СНГ. Одной из особенностей этих атак было применение вредоносного ПО, создание и использование которого часто приписывают различным китайским киберзлоумышленникам. Также в этих атаках были использованы офисные документы, содержащие эксплоиты.


22.10.2014 Защитный боекомплект – на Defensive Track

Дорогие друзья, хотим сообщить вам, что в рамках ZeroNights будет организован Defensive Track.  Да, наша конференция немного расширяет свой формат, ведь нас волнует не только то, как на практике все плохо и уязвимо, но и реальная, практическая защита. В этой секции прозвучат доклады от тех ребят, которые действительно озабочены защитой, причем не на словах или в теории, а на практике. Пока вендоры, интеграторы и консультанты рекламируют свои продукты, обычные инженеры в обычных компаниях работают не с маркетингом, а с реальными угрозами. Задача этой секции заключается не в представлении технологий или идей в области защиты, и уж тем более не в рекламе каких-либо продуктов. Мы хотим продемонстрировать, как решаются боевые задачи ИБ в рамках деятельности реальных компаний.

Наши небольшие доклады:

  1. Игорь Булатенко из компании Qiwi расскажет про сложности управления ролями и группами при разделении доступа в сети. Для решения этой задачи ребята используют NGFW и DPI и свою магию. Никто не спорит, что управление доступом к ресурсам – одна из основных базовых задач любой компании. Что ж, посмотрим, как это делают в Qiwi?
  2. Карим Валиев, руководитель группы информационной безопасности Mail.Ru Group, откроет нам некоторые секреты того, как при помощи мониторинга ресурсов сети Интернет, включая форумы и социальные сети, выявлять угрозы безопасности.
  3. Алексей Синцов (Here) расскажет нам, как с помощью банального и простого ModSecurity создать автоматизированную систему мониторинга веб-атак на огромном периметре. Как такую систему поддерживать и разрабатывать малыми силами и что это может дать компании в итоге.
  4. Алексей Карябкин и Павел Куликов покажут практический пример реализации системы мониторинга почтовой корреспонденции на основе OpenSource-продуктов
  5. Николай Гончаров и Денис Горчаков расскажут об импровизированной антивирусной лаборатории внутри оператора «большой тройки»

Но это еще не все! В рамках секции также состоится живое обсуждение вопросов практических проблем использования различных технологий защиты: RPKI, DNSSEC, DANE, etc. Есть множество полезных и современных стандартов и технологий, почему же мы все еще используем старое и небезопасное? Почему продвинутые технологии внедряются медленно либо игнорируются? Приходите послушать и поучаствовать в дискуссии, будет интересно и полезно! Ведущие – Антон Карпов (Yandex) и Александр Лямин (Qrator Labs)!



22.10.2014 PWN 2 PAY

В рамках конференции ZeroNights любой желающий сможет принять участие в поиске уязвимостей на платежных терминалах QIWI. Два полностью рабочих терминала будут доступны в течение всей конференции. 

Запрещено:

  • проводить деструктивные действия с терминалом, которые могут привезти к его физическим повреждениям;
  • проводить атаки на датчики купюроприемника (фальшивые купюры, «рыбалка»).

Разрешается:

  • использовать отмычки для физического доступа к оборудованию терминала;
  • подключать дополнительное оборудование к терминалу.

Интерес представляют уязвимости, которые приводят к выходу в оболочку Windows, и проведение поддельных платежей с помощью данных, полученных с терминала. В зависимости от критичности обнаруженных программных ошибок, вознаграждение может составить до 150 тыс. рублей и будет выплачено в рамках действующей программы bug bounty.



20.10.2014 Неожиданные ожидаемые исключения из правил

Законы логики, правила, руководства и стандарты – все это значительно упрощает нашу жизнь. Но в один момент – бэнг! – умело построенная система защиты может дать трещину, а то и вовсе рухнуть под натиском злоумышленников.

Встречайте доклады, меняющие представления о реальности!

В основной программе:

  1. Кирилл НестеровАлексей ОсиповТимур Юнусов (Россия) представят доклад на тему: «4x4G: от SIM-карты до GGSN», в котором расскажут о результатах своего исследования безопасности сетей 4G. В ряде ситуаций им удалось провести атаки на SIM-карты, удаленно «обновить» прошивку USB-модема, сменить пароль на портал самообслуживания через SMS и даже «достучаться» до внутренней технологической сети оператора.
  2. Иван Новиков (Россия) поговорит о «Неожиданных ожидаемых исключениях», представит альтернативный взгляд на веб-уязвимости. В докладе будут рассмотрены логические уязвимости и уязвимости проектирования веб-приложений, причинами которых являются некорректная обработка исключительных ситуаций в коде, а также неатомарность операций.
  3. Джейк МакДжинти (Великобритания) поведает, как по-настоящему разозлить государственную систему наблюдения своей системой защиты от наблюдения. Он обещает впервые на хакерской конференции совместить психологию, криптографию и политические/технические улики из утечек Сноудена, чтобы найти эффективные методы защиты от тотальной государственной слежки. Если кто не понял, то спикер собирается поговорить о самых современных подходах в новом асинхронном ландшафте, созданном с помощью протокола axolotl через TextSecure.
  4. Александр БольшевГлеб ЧербовСветлана Черкасова (Россия) представят доклад на тему: «Компоненты DTM как секретные ключи от королевства АСУ ТП». Они расскажут о результатах своего исследования, в ходе которого они проанализировали компоненты для сотен полевых устройств на основе низкоуровневых промышленных протоколов. Многие из них подвержены недостаточной фильтрации пользовательских данных, инъекциям XML-кода, SSRF, RCE, DoS и другим уязвимостям.
  5. Сергей СолдатовМихаил Егоров (Россия) удивят своим «некриптографическим исследованием носителей православной криптографии», или, другими словами, расскажут, как они проверяли безопасность хранения ключевой информации на токенах и продемонстрируют утилиту собственной разработки, которая позволяет извлекать контейнеры с ключевой информацией из некоторых типов токенов.
  6. И, наконец, Никита Тараканов опишет прошлое и настоящее техник эксплуатации ПО, а также поговорит о том, чего нам ждать в будущем.

Вы удивитесь, но и это еще не все. Следите за обновлениями ;)



16.10.2014 Объявлены победители ХакКвеста ZeroNights

По традиции, примерно за месяц до ZeroNights мы проводим ХакКвест, предлагая участникам различные задания (найти уязвимости в веб-приложениях, отреверсить, проанализировать, написать эксплойт для бинарщины). Победители получают приглашения на конференцию и вносятся в «зал славы».

Правила таковы:

  • Продолжительность Квеста – 7 дней, с 20:00 1 октября до 20:00 8 октября. В этом году мы решили добавить бонусный день, и квест закончился 9 октября;
  • Каждый день – одно задание. Длительность каждого задания – 24 часа;
  • Каждый, кто первым решает задание, получает инвайт (в этом году инвайтов: 7+1).

За время квеста сайт http://hackquest.zeronights.org/ посетило 3302 уникальных IP-адреса, в общей сложности было 1135 попыток ответа, из которых лишь некоторые содержали верное решение.

Итак, мы объявляем победителей:

1 – BECHED и OKOB

2 – BECHED

3 – Фаюстов Денис

4 – GiftsUngiven

5 – Roman Bondarenko

6 – Torn

7 – Dmitry Ananyev

8 – Сергей Бобров

Все они получают персональный инвайт на конференцию. До встречи на ZeroNights!

P. S. Приятный бонус: решения заданий от участников скоро будут выложены на Хабре.

Следуйте за нами ;)



15.10.2014 Коротко и ясно: серия Fast Tracks

Друзья, представляем вам серию Fast Tracks грядущей конференции ZeroNights. Перед спикерами этой секции стоит непростая задача: ярко, емко и умело рассказать о своем исследовании/находке/инструменте.

Встречайте шустрые треки:

  1. Эльдар ‘kyprizel’ Заитов в своем выступлении «Быстрое (и почти автоматическое) обнаружение SSRF» опишет типичные примеры атак SSRF, методы их автоматического обнаружения и реальные сценарии эксплуатации.
  2. Дмитрий Вьюков в ходе трека под названием «Kernel AddressSanitizer: поиск уязвимостей в ядре Linux» представит инструмент для поиска ошибок в ядре Linux.
  3. Денис Макрушин и Стас Мерзляков проведут сеанс «Паркомагии» и представят новый взгляд на парковочные терминалы. Они расскажут, как устройства, которые никто даже не замечает на парковках и в других общественных местах, могут быть уязвимы и поэтому опасны.
  4. Борис Рютин выступит с треком «Go в продакшене вирмейкера» и опишет плюсы и минусы создания малвари на языке Go (кроссплатформенность, быстрота создания и исполнения, отношение АВ к таким исполняемым файлам и т. п.) и особенности их анализа на примере нескольких реальных сэмплов.
  5. Влад ‘vos’ Росков представит выступление на тему «+22: реверсим 64-битные бинари с помощью Hex-Rays x86 Decompile». На конференции он представит инструмент для получения псевдокода из 64-битных скомпилированных файлов с помощью старой доброй 32-битной версии Hex-Rays Decompiler.
  6. Виктор Алюшин поговорит о небезопасных заводских настройках и прошивках. В частности, речь пойдет о наиболее распространенных типах уязвимостей, присутствующих в стандартных (заводских) конфигурациях беспроводного оборудования, и способах их устранения.
  7. Денис КолеговОлег БрославскийНикита Олексов проведут трек под названием «Скрытые каналы по времени на основе заголовков кэширования протокола HTTP». Они рассмотрят особенности программной реализации этих скрытых каналов в зависимости от заголовка HTTP, модели нарушителя, языка программирования (C, JavaScript, Python, Ruby) и среды функционирования (веб-браузеры, вредоносная программа).

И даже это еще не все! Ждите новостей :)



14.10.2014 QIWI проведет CTF-турнир на ZeroNights 2014

В этом году на конференции ZeroNights стартует специальная конкурсная секция Группы QIWI, в рамках которой пройдет CTF-соревнование в формате Jeopardy.

Специально для турнира призер международных соревнований, команда More Smoked Leet Chicken, подготовила ряд заданий в категориях Reverse / PWN / Web / Crypto / Misc. Решать задания можно будет в произвольном порядке, стоимость решения зависит от сложности задачи.

Приглашаем всех желающих принять участие в турнире в полдень 13 ноября. Победителями соревнований станут участники, набравшие наибольшее количество баллов по результатам прохождения заданий (при одинаковом количестве баллов, приоритетным считается результат, зафиксированный раньше). Призовой фонд за 1-3 места составит 60, 30 и 15 тыс. рублей.



13.10.2014 Пришел, увидел, хакнул

Считаешь себя самым что ни на есть трушным хакером? Ломаешь системы и устройства в два-три приема? А может, ты способен не только сломать, но и собрать интересный девайс и рассказать о нем хакерскому сообществу? Тогда тебе на ZeroNights! В этом году мы зарядили целую обойму разных конкурсов с ценными призами.

В рамках Hardware Village специально для любителей хакерских девайсов запланированы три состязания:

1)      Взлом встраиваемых систем

Этот конкурс будет продолжаться в течение всей конференции. Первый, кто взломает изготовленное организаторами хакерское устройство, получит его в подарок. Уникальных девайсов будет несколько.

2)      Stand up and Hack, конкурс мини-докладов

Благодаря этому конкурсу любой начинающий ресерчер сможет выступить на публике без особых формальностей. На специальной доске в течение всего времени конференции каждый желающий сможет оставить заявку – тему доклада. После появления каждой третьей темы в работе HW Village будет объявляться перерыв, во время которого будут звучать мини-доклады. Лучшие выступления обещаем наградить.

3)      HackDev – разработка и презентация своего хакерского устройства

Данный конкурс дает возможность людям, проводящим ночи за пайкой/сборкой своих хакерских девайсов, явить миру свое изобретение и провести его презентацию. Авторы лучших устройств получат ценные призы.  

Конкурсов так много, что мы даже сделали специальный раздел на сайте, где рассказываем о каждом из них максимально подробно: http://2014.zeronights.ru/hwv-contests.html



09.10.2014 Шпионские тайны – на ZeroNights

В середине ноября состоятся долгожданные технические сатурналии по ИБ – ZeroNights! В гости к нам едут звездные хакеры из разных стран мира, и мы продолжаем афишировать горячие подробности выступлений.

Встречаем в основной программе:

  1. Дмитрий Бумов (Россия) раскроет тайны деанонимизации и тотального шпионажа в Интернете и покажет на практике, как различные ресурсы следят за пользователями;
  2. Дмитрий Щелкунов и Василий Букасов (Россия) расскажут о техниках обфускации, используемых в популярных решениях, а также рассмотрят необходимость использования систем символьных вычислений для деобфускации;
  3. Георги Гешев (Англия) из MWR Labs представит исследование уязвимостей в MQ (Message Queue), включая ActiveMQ (Apache), Qpid (Apache), Apollo (Apache), HornetQ (Red Hat), JBoss A-MQ (Red Hat), FioranoMQ (Fiorano), OpenMQ (Oracle) и другие;
  4. Роман Коркикян проведет воркшоп «Ищем ключи криптографических алгоритмов через потребленную мощность». Невероятно, но факт: простым измерением падения напряжения можно взломать современные криптографические алгоритмы, которые реализованы на ПЛИС, в железе или в виде кода на процессорах и микроконтроллерах. Как? Приходите и узнаете!


02.10.2014 ZeroNights 2014: пополнение в звездных рядах!

Наша интернациональная звездная команда ZeroNights 2014 растет! Сегодня представляем вам трех крутейших докладчиков из трех разных стран.

Знакомьтесь со спикерами из основной программы:

  1. Peter Hlavaty / Петер Хлаваты (Словакия) поиграет в гонки в ядре Android
  2. Rene Freingruber / Рене Фрайнгрубер (Австрия) расскажет, как обстоят дела c EMET 5.0
  3. Marco Grassi / Марко Грасси (Италия) поделится опытом использования стероидов (модификации приложений в runtime) при оценке безопасности приложения для iOS и Android

Кроме того, в самом разгаре наш HackQuesthttp://hackquest.zeronights.org/

И, кстати, не стоит тянуть с регистрацией. В этом году мы ждем рекордное число гостей.



01.10.2014 Новое в программе

Друзья, до нашей с вами встречи остается всего 44 дня. И мы продолжаем извлекать из рукава все новые карты. Встречайте – новые доклады из основной программы :)

Итак,

  1. Петр Каменский (Россия) приведет примеры того, как и когда использование hardware assisted virtualization в антивирусном ПО не доводит до добра.
  2. Далее, Nicolas Gregoire / Николя Грегуар (Франция) расскажет, как можно неплохо зарабатывать на топовых bug bounty программах.
  3. Ну и Fabien Duchene / Фабьен Дюшен (Франция) покажет и расскажет об эволюционном подходе при black-box фаззинге и его результатах.


24.09.2014 Практика, практика и еще раз практика

Приходите на ZeroNights, и одни из лучших специалистов в своих областях поделятся с вами своими знаниями и опытом, и на практике покажут, как их применять.

  1. Workshop от Андрея Беленко (Россия) научит извлекать данные с iOS-устройств (с jailbreak и без него) с помощью OpenSource-инструментов.
  2. Во время workshop «Фаззинг: практическое приложение» исследователь Omair/Омар (Индия) расскажет, как заниматься фаззингом с любовью, но не терять головы.
  3. Антон Кочков (Россия) и Julien Voisin/Жульен Войсин (Франция) на своем воркшопе прольют свет на использование фреймворка radare2 при реверсе и отладке malware и firmware.

PS: CFP еще идет ;)



23.09.2014 Python Arsenal Contest

Сейчас много программ bug bounty, где платят деньги за уязвимости или за патчи к программам. Есть и конкурсы, где платят за эксплойты. В конечном итоге, эти инициативы существуют для пользы разработчика ПО.

Но всем этим движет, в первую очередь, хакерская мысль и инструменты.

Наш конкурс инструментов поможет решать сложные задачи в процессе RE. От этого, как мы полагаем, выиграет все сообщество специалистов по безопасности, так как плагины будут доступны всем желающим, и будет происходить обмен опытом.

Правила

  • Проект/скрипт/плагин/расширение должно использовать библиотеку с сайта (http://pythonarsenal.erpscan.com/).
  • Новый инструмент (ранее не публиковался) либо мажорное обновление к уже известному проекту/библиотеке/плагину с новыми интересными функциями.
  • Необходимо описание, требования, руководство по установке.
  • Присылайте ваши разработки на pythonarsenal@zeronights.org.
  • Результаты будут объявлены на конференции ZeroNights (14 ноября 2014).
  • Призы: уникальная хакерская футболка и сувенир (персональный стальной значок), размещение в зале славы, стикеры (будем рады поддержке от спонсоров!). Призы будут выдаваться в различных номинациях.

Номинации

  • Лучшая тулза/плагин/библиотека для exploit development
  • Лучшая тулза/плагин/библиотека для forensic analysis
  • Лучшая тулза/плагин/библиотека для реверсинга
  • Лучшая тулза/плагин/библиотека для фаззинга
  • Лучшая тулза/плагин/библиотека для анализа вредоносного ПО

Комитет

  • Аарон Портной (Exodus Intelligence)
  • Александр Матросов (Intel)
  • Дмитрий 'D1g1' Евдокимов (Digital Security)
  • Хальвар Флэйк (Google Inc.)
  • Джастин Зайц (Immunity Inc.)


18.09.2014 Внимание – конкурс

В этом году мы решили порадовать участников ZeroNights большим количеством хардкорных увлекательных конкурсов. Немаловажно: победителей соревнований наградят не только памятными призами, но и денежными бонусами.

Первый конкурс объявила компания Protectimus, серебряный спонсор конференции. Соревнования будут проходить в период проведения мероприятия, принять в них участие сможет любой желающий, кроме членов жюри. Цель, задания, область поиска, временные рамки и другие подробности конкурса станут известны в день открытия ZeroNights 2014.  

Призовой фонд:

  • 1 место – 8000 $ + 1000 $ на баланс в Protectimus
  • 2 место – 5000 $ + 500 $ на баланс в Protectimus
  • 3 место – 2000 $ + 350 $ на баланс в Protectimus

Это только начало. Оставайтесь с нами и следите за новостями ;)



18.09.2014 Protectimus Solutions – серебряный спонсор ZeroNights 2014

Рады сообщить, что у нашей конференции ZeroNights 2014 – новый серебряный спонсор. Это компания Protectimus Solutions, разработчик решения для двухфакторной аутентификации.

Отрадно, что Protectimus не только предлагает современные и практичные сервисы, но и предъявляет высокие требования к обеспечению безопасности. Лучше всяких слов это подтверждает поддержка тру-хардкорной конференции для технарей и неравнодушных к вопросам ИБ.    

Protectimus Solutions

Разработчик решения для двухфакторной аутентификации.

Решение поддерживает все стандартные алгоритмы (HOTP, TOTP, OCRA), сертифицировано отраслевой OATH Initiative.
Protectimus запущен в облаке и готов к работе прямо сейчас, или может быть развернут в инфраструктуре Вашего проекта как white-label решение с полным брендингом и гарантированным SLA.

Подробнее на сайте: http://protectimus.com/ru/



15.09.2014 Известны первые докладчики ZeroNights 2014

Готовясь к нашей конференции в этом году и в очередной раз задумавшись, кого пригласить в качестве ключевого докладчика, мы поняли, что на ZeroNights еще ни разу не было русского keynote-спикера. Согласитесь, достаточно странно для русской конференции?!

Посовещавшись, мы единогласно пришли к мнению, что им должен стать Александр Песляк, также известный как Solar Designer! Он знаком всем как отличный специалист с широким диапазоном знаний во множестве областей, включая не только методы атак, но и методы защиты.

Многие знают глубоко технические исследования Александра, но впервые за почти 20 лет в информационной безопасности он выступит с keynote talk! И это будет совсем не такой доклад, как все привыкли видеть ;)

Итак, в основной программе:

  1. Александр Песляк (Россия) поразмышляет над вопросом "Is infosec a game?";
  2. Патроклос Агироудис/Patroklos Argyroudis (Греция) представит проект, который поможет проще исследовать и эксплуатировать уязвимости, связанные с работой кучи;
  3. Дмитрий Недоспасов (Россия) расскажет о реверсинге чипов и об уязвимостях, которые в них можно встретить;
  4. Жан-Филипп Омассон/Jean-Philippe Aumasson (Швейцария) поведает, какие ошибки допускают разработчики криптоалгоритмов на стадии их реализации, а также на что стоит обратить внимание, чтобы не повторять таких ошибок в будущем.

 Это только начало, следите за анонсами!



05.09.2014 Для тех, кто любит потяжелее

Спешим обрадовать любителей железок и хакерских девайсов: в этом году на ZeroNights вновь будет работать открытая площадка Hardware Village. В рамках HWV любой желающий сможет потрогать, поюзать, потестить любую понравившуюся железку и получить консультацию по нюансам использования того или иного оборудования. Будут мастер-классы, посвященные безопасности встраиваемых систем и беспроводных сетей.

Для любителей DIY проведем обзор современных решений для создания своих устройств на основе следующих платформ:

  • Teensy 2.0, 3.1
  • Dragino V2
  • mbed LPC1786
  • Spark Code
  • Arduino разных версий
  • Radxa Rock Pro
  • Raspberry Pi (B+)

Радиолюбители, пользователи SDR и хакеры беспроводных сетей смогут попрактиковаться в использовании таких устройств:

  • HackRF
  • BladeRF
  • Ubertooth
  • Proxmark3

Для реверсеров встраиваемых платформ и просто интересующихся проведем демонстрацию и обучим работе со следующими хакерскими девайсами:

  • Facedancer
  • Die Datenkrake
  • Bus Pirate, Bus Blaster
  • JTAGulator
  • Papillio Pro FGPA
  • USB IR Toy
  • Open Workbench LogicSniffer

Также в программе – конкурсы с призами для победителей: 

  • Взлом встраиваемых систем
  • Stand up and Hack – мини-доклады по предварительной записи во время конференции
  • HackDev – разработка и презентация своего хакерского устройства

Также в рамках HW Village проводится барахолка для продажи/обмена устройств среди всех желающих по предварительным заявкам.



03.09.2014 QIWI – золотой спонсор ZeroNights 2014

Новость, которой так и хочется поделиться: золотым спонсором грядущей конференции ZeroNights 2014, которая в этом году состоится в Москве 13-14 ноября, станет компания QIWI.

QIWI – ведущий платежный сервис в России и странах СНГ – в представлении не нуждается. Ежемесячно услугами компании пользуется свыше 70 млн клиентов, и вопрос безопасности транзакций для нее является первостепенным. Примечательно, что QIWI решила поддержать конференцию, на которой обсуждаются новые и нетривиальные угрозы ИБ, демонстрируются впечатляющие методики взлома и предлагаются различные способы защиты. До встречи на ZeroNights!

О компании QIWI plc.

QIWI – ведущий платежный сервис нового поколения в России и странах СНГ, которому принадлежит интегрированная платежная сеть, позволяющая производить платежи по физическим, интернет - и мобильным каналам связи. Она включает свыше 15,8 млн. виртуальных кошельков и более 171 000 киосков и терминалов. Ежемесячно с помощью QIWI торговые компании принимают платежи (в денежной и электронной форме) на сумму свыше 50 млрд. руб. от более чем 70 млн. клиентов, которые пользуются услугами сети не реже одного раза в месяц. Клиенты QIWI могут использовать наличные, предоплаченные карты и другие способы безналичных расчетов для заказа и оплаты товаров и услуг, как в магазинах, так и через Интернет.



03.09.2014 Qualys – серебряный спонсор ZeroNights

Друзья, компания Qualys, поставщик облачных решений для обеспечения ИБ, решила поддержать ZeroNights 2014, выступив серебряным спонсором мероприятия. Конференция по ИБ для практиков состоится в Москве 13-14 ноября 2014 года и соберет более тысячи человек из России и разных стран мира.

Эксперты, аналитики и хакеры представят на ZeroNights 2014 данные уникальных исследований, расскажут о новых техниках взлома, устроят впечатляющее шоу. Если вы – технический специалист, администратор, руководитель или сотрудник службы ИБ, пентестер, программист или просто человек, неравнодушный к прикладной ИБ, регистрируйтесь и участвуйте! На нашем сайте прямо сейчас: http://2014.zeronights.ru/registration.html

О компании Qualys

Компания Qualys Inc. (NASDAQ: QLYS) является пионером и ведущим поставщиком облачных решений в области безопасности и соответствия требованиям. Qualys используется в более чем 103 странах 7000+ организаций, включая большинство компаний из списков Forbes 50 и Forbes 100.

Эффективные решения Qualys Inc. корпоративного класса для обеспечения безопасности и соответствия требованиям могут быть развернуты в течении нескольких часов в любой точке мира.

Система QualysGuard позволит корпоративному заказчику автоматизировать процесс управления уязвимостями и соответствия политикам безопасности в рамках всей организации, обнаруживать сети и определять взаимосвязь между ними, определять приоритетность активов, оценивать масштаб угроз и следить за установкой исправлений в соответствии с рисками для бизнеса. Функции обеспечения соответствия требованиям позволят контролировать, обеспечивать и документировать соблюдение внутренних политик безопасности и правовых норм.

Основанная в 1999 году, компания Qualys Inc. заключила соглашения о стратегическом партнерстве с провайдерами услуг: Accuvant, BT, Dell SecureWorks, Fujitsu, NTT, Symantec, Verizon, и Wipro. Такое партнерство в сочетании со способностью платформы QualysGuard легко интегрироваться с другими важными приложениями по безопасности значительно повлияло на повсеместную адаптацию решений QualysGuard. Также Компания является основателем Cloud Security Alliance (CSA).

За дополнительной информацией вы можете обратиться на www.qualys.com



31.07.2014 ZeroNights снова ждет друзей

В четвертый раз в Москве состоится международная конференция по ИБ для практиков ZeroNights. Подготовка масштабного события уже началась. Друзья и единомышленники, в этом году ждем вас 13-14 ноября 2014 года в Измайлово Concert Hall.

На этот раз число участников должно превысить 1,5 тыс, поэтому мы постарались создать максимально комфортные условия для всех. Самое интересное – в программе. CFP уже идет полным ходом, и скоро вы узнаете, какие звездные спикеры расскажут о своих исследованиях и находках, продемонстрируют оригинальные хакерские навыки и порадуют сюрпризами.

Конкурсы, демонстрации технических новинок, оптические иллюзии и восторг открытий – все это будет на ZeroNights. Следите за обновлениями!



23.07.2014 Началось! Стартовал CFP ZeroNights 2014

Мы рады объявить об официальном открытии Call for Papers на ZeroNights 2014! Начинаем отбор докладов на международную конференцию, посвященную практическим аспектам информационной безопасности. Мы ждем ваши крутейшие исследования и workshops. Отбор будет осуществлять наш программный комитет (DCG#7812). CFP продлится до 01.10.14, и будет проходить в несколько раундов.

Прежде всего, интересуют такие темы:

  • Mobile security
  • Exploiting stuff
  • Hardware security
  • Web security
  • Security of critical systems

Однако все новое и неожиданное приветствуется и обсуждается.

Что нам нужно:

  • Новые технические исследования
  • Глубокое погружение в тему
  • Виртуозное владение хакерским инструментарием
  • Сила воображения

Что нам НЕ нужно:

  • Маркетинговые рассуждения, APT, NSA, PRISM и прочее bla-bla-bla
  • «Страшилки» с приставкой «Кибер…»
  • Голословные утверждения

Со своей стороны, обещаем двухдневную феерию взлома и защиты, встречи с лучшими спецами-практиками в области ИБ со всего мира и классную атмосферу!

Все заявки необходимо отправлять на cfp@zeronights.ru



11.02.2014 С новым ZeroNights!

Друзья, с Новым Годом! С Новым ZeroNights, который состоится уже в четвертый раз в Москве! Как обычно, конференция для практиков по ИБ пройдет в ноябре на одной из крупнейших современных площадок столицы. Место проведения и точная дата пока строго засекречены. Но уже точно известно, что в гости к нам собираются самые крутые хакеры и исследователи из разных стран мира, которые покажут новые техники, удивят открытиями, снабдят виртуозными навыками и взорвут залы!

Учитывая тот факт, что на ZN 2014 ожидается более 1,5 тыс посетителей, мы значительно расширим масштабы площадки и постараемся обеспечить высококлассный звук и отличную организацию. В этом году мы будем делать ZeroNights с новым партнером. И это тоже сюрприз для вас. Мы надеемся не только порадовать, но и удивить любителей прикладного хакинга и практических аспектов обеспечения ИБ. Следите за анонсами! Первые подробности будут уже к началу весны :)
Организатор:
При поддержке:
При участии:
Золотой спонсор:
Серебряный спонсор:
Серебряный спонсор:
Серебряный спонсор:
Генеральный медиапартнер:
Золотой медиапартнер:
Серебряный медиапартнер:
Стратегический медиапартнер:
Стратегический медиапартнер:
Медиапартнер: