"Бейдж" - какие образы возникают в голове у типичного посетителя хакерских конференций, когда он слышит это слово? Печатная плата с сотнями компонентов? Пластиковая карточка с россыпью мигающих светодиодов? Виниловая пластинка? Может быть, интересные задания с ним связанные?
Мы, OFFZONE, решили не отходить от канонов и разработать свою версию бейджа. Красота, функциональность и интересные задачи внутри. Мы постарались сохранить ключевые принципы, но внести что-то новое и доселе невиданное.
Получилось ли у нас? Увидите на OFFZONE!
#offzone #offzone2018
Мы, OFFZONE, решили не отходить от канонов и разработать свою версию бейджа. Красота, функциональность и интересные задачи внутри. Мы постарались сохранить ключевые принципы, но внести что-то новое и доселе невиданное.
Получилось ли у нас? Увидите на OFFZONE!
#offzone #offzone2018
💥Анонсируем первые доклады конференции - ресерчи о низкоуровневых уязвимостях!
🔺"Проснись, Нео: детектирование виртуализации при помощи спекулятивного исполнения"
(Иннокентий Сенновский)
Ошибки в реализации спекулятивного исполнения привели к нескольким уязвимостям, позволяющим читать данные с повышенными привилегиями из ядра, других процессов и даже из гипервизора. Однако есть ещё несколько способов применения спекулятивного исполнения злоумышленниками. В докладе будет рассмотрена одна из таких техник, которая может позволить злоумышленникам избежать обнаружения современными виртуализованными песочницами за счет детектирования виртуализации (Spectre Variant 3a, CVE-2018-3640).
🔺Intel ME Manufacturing Mode – скрытая угроза
(Максим Горячий, Марк Ермолов)
В своём докладе исследователи расскажут, как, используя недокументированные команды, можно перезаписать SPI-flash память и реализовать самый страшный сценарий - локальную эксплуатацию уязвимости в ME (INTEL-SA-00086) на Apple Mac Book (CVE-2018-4251).
Принцип безопасность через неясность (security through obscurity) не один год критикуется специалистами, но это не мешает крупным производителям электроники под предлогом защиты интеллектуальной собственности требовать подписывать соглашения о неразглашении (Non-Disclosure Agreement) для получения технической документации. Ситуация ухудшается из-за возрастающей сложности микросхем и интеграцией в них различных проприетарных прошивок, что фактически делает невозможным анализ таких платформ независимым исследователями и ставит под удар как обычных пользователей, так и производителей оборудования.
Подробная информация о каждом из докладов скоро будет анонсирована на сайте: https://offzone.moscow
#offzone #offzone2018
🔺"Проснись, Нео: детектирование виртуализации при помощи спекулятивного исполнения"
(Иннокентий Сенновский)
Ошибки в реализации спекулятивного исполнения привели к нескольким уязвимостям, позволяющим читать данные с повышенными привилегиями из ядра, других процессов и даже из гипервизора. Однако есть ещё несколько способов применения спекулятивного исполнения злоумышленниками. В докладе будет рассмотрена одна из таких техник, которая может позволить злоумышленникам избежать обнаружения современными виртуализованными песочницами за счет детектирования виртуализации (Spectre Variant 3a, CVE-2018-3640).
🔺Intel ME Manufacturing Mode – скрытая угроза
(Максим Горячий, Марк Ермолов)
В своём докладе исследователи расскажут, как, используя недокументированные команды, можно перезаписать SPI-flash память и реализовать самый страшный сценарий - локальную эксплуатацию уязвимости в ME (INTEL-SA-00086) на Apple Mac Book (CVE-2018-4251).
Принцип безопасность через неясность (security through obscurity) не один год критикуется специалистами, но это не мешает крупным производителям электроники под предлогом защиты интеллектуальной собственности требовать подписывать соглашения о неразглашении (Non-Disclosure Agreement) для получения технической документации. Ситуация ухудшается из-за возрастающей сложности микросхем и интеграцией в них различных проприетарных прошивок, что фактически делает невозможным анализ таких платформ независимым исследователями и ставит под удар как обычных пользователей, так и производителей оборудования.
Подробная информация о каждом из докладов скоро будет анонсирована на сайте: https://offzone.moscow
#offzone #offzone2018
Анонсируем доклады конференции, которые будет представлены в Fast Track! Мы разделили их на две категории и сегодня расскажем о докладах в части Defensive!
▪️ История одного DevSecOps
(Артем Бачевский, Денис Ратченко, Алексей Гуськов)
Как подключить ~500 команд разработки с ~3500 проектов силами четырех человек и внедрить систему Quality Gate-ов для проектов? Артем Бачевский, Денис Ратченко и Алексей Гуськов точно знают ответ на этот вопрос и расскажут в своем докладе о разработке нескольких решений с помощью которых удалось реализовать такую масштабную задачу, а также тех сложностях с которыми пришлось столкнуться на пути "от идеи до реализации".
▪️ AppSec as a Code
(Антон Башарин, Юрий Шабалин)
Сегодня многие говорят про DevOps, диджитализацию, трансформацию бизнеса и много других страшных слов. Эта тема пришла и в безопасную разработку, порушив уютный мир статического анализа перед релизами и заставив многих задуматься, а нужно ли трансформировать AppSec в таком же ключе? В своем докладе спикеры расскажут о том каковы в их понимании принципы построения DevSecOps и в чем заключается его отличие от классической модели безопасности. На примере вымышленной организации будет рассмотрено, как этим всем можно управлять и не потонуть в бесконечных настройках и заведении новых задач.
▪️ Scanner Orchestration Tool - one-click SDLC
(Иван Елкин, Илья Говорков)
Когда уже есть SDLC, процессы налажены, компания выпускает безопасные продукты, но эти продукты начинают распадаться на микросервисы... Cтановится трудно жонглировать обилием инструментов: десятки сканеров, waf, трекеры, CI, bugbounty, сотни разработчиков и админов, где что лежит, кто за что ответственный? В своем докладе Иван Елкин и Илья Говорков расскажут о создании инструмента, который позволил инвентаризировать приложения, и сделать plаybook из различных SDL сценариев.
▪️ HWallet: The simplest Bitcoin hardware wallet
(Nemanja Nikodijevic)
Last year we witnessed a huge leap in value for many cryptocurrencies, which attracted much interest from the hacking community to try and find vulnerabilities in various hardware and software used for storing private keys. Even the most secure, so-called hardware wallets, had to be patched after certain vulnerabilities were discovered. This talk will explore an alternative approach in the hardware wallet design, which can deliver more secure and convenient wallets in the future.
▪️ Что нового в безопасности Android?
(Юрий Шабалин)
В рамках доклада будут освещены основные отличия новых версий Android в плане безопасности, какая новая функциональность появилась, что изменилось в уже существующих механизмах, с какими ограничениями придется столкнуться, а также что может пригодиться для разработки более безопасного приложения.
Подробная информация о каждом из докладов скоро будет анонсирована на сайте: https://offzone.moscow/ru
#offzone #offzone2018 #fasttrack #defensive
▪️ История одного DevSecOps
(Артем Бачевский, Денис Ратченко, Алексей Гуськов)
Как подключить ~500 команд разработки с ~3500 проектов силами четырех человек и внедрить систему Quality Gate-ов для проектов? Артем Бачевский, Денис Ратченко и Алексей Гуськов точно знают ответ на этот вопрос и расскажут в своем докладе о разработке нескольких решений с помощью которых удалось реализовать такую масштабную задачу, а также тех сложностях с которыми пришлось столкнуться на пути "от идеи до реализации".
▪️ AppSec as a Code
(Антон Башарин, Юрий Шабалин)
Сегодня многие говорят про DevOps, диджитализацию, трансформацию бизнеса и много других страшных слов. Эта тема пришла и в безопасную разработку, порушив уютный мир статического анализа перед релизами и заставив многих задуматься, а нужно ли трансформировать AppSec в таком же ключе? В своем докладе спикеры расскажут о том каковы в их понимании принципы построения DevSecOps и в чем заключается его отличие от классической модели безопасности. На примере вымышленной организации будет рассмотрено, как этим всем можно управлять и не потонуть в бесконечных настройках и заведении новых задач.
▪️ Scanner Orchestration Tool - one-click SDLC
(Иван Елкин, Илья Говорков)
Когда уже есть SDLC, процессы налажены, компания выпускает безопасные продукты, но эти продукты начинают распадаться на микросервисы... Cтановится трудно жонглировать обилием инструментов: десятки сканеров, waf, трекеры, CI, bugbounty, сотни разработчиков и админов, где что лежит, кто за что ответственный? В своем докладе Иван Елкин и Илья Говорков расскажут о создании инструмента, который позволил инвентаризировать приложения, и сделать plаybook из различных SDL сценариев.
▪️ HWallet: The simplest Bitcoin hardware wallet
(Nemanja Nikodijevic)
Last year we witnessed a huge leap in value for many cryptocurrencies, which attracted much interest from the hacking community to try and find vulnerabilities in various hardware and software used for storing private keys. Even the most secure, so-called hardware wallets, had to be patched after certain vulnerabilities were discovered. This talk will explore an alternative approach in the hardware wallet design, which can deliver more secure and convenient wallets in the future.
▪️ Что нового в безопасности Android?
(Юрий Шабалин)
В рамках доклада будут освещены основные отличия новых версий Android в плане безопасности, какая новая функциональность появилась, что изменилось в уже существующих механизмах, с какими ограничениями придется столкнуться, а также что может пригодиться для разработки более безопасного приложения.
Подробная информация о каждом из докладов скоро будет анонсирована на сайте: https://offzone.moscow/ru
#offzone #offzone2018 #fasttrack #defensive
Успей купить! Осталось 6 дней продаж Early Birds Tickets! С 07.11.2018 стоимость билета увеличивается до 8000 рублей.
Программа мероприятия: https://offzone.moscow/ru/program/ #offzone #offzone2018
Программа мероприятия: https://offzone.moscow/ru/program/ #offzone #offzone2018
Наш партнер иммерсивный театр «Москва 2048» — нашумевший развлекательный проект, напоминающий спектакль, кино и компьютерную игру одновременно. За тем лишь исключением, что события происходят не на сцене или на экране, а в реальности!
На конференцию OFFZONE 2018 «Москва 2048» привезет элементы декораций постапокалиптического города, колоритных NPC-персонажей, а также представит ряд активностей, среди которых велотрек-соревнование на звание самого быстрого хакера, кикер «зомби против выживших», а также лавка торговца артефактами, найденными на просторах пустоши.
#offzone #offzone2018
На конференцию OFFZONE 2018 «Москва 2048» привезет элементы декораций постапокалиптического города, колоритных NPC-персонажей, а также представит ряд активностей, среди которых велотрек-соревнование на звание самого быстрого хакера, кикер «зомби против выживших», а также лавка торговца артефактами, найденными на просторах пустоши.
#offzone #offzone2018
Forwarded from Хакер — Xakep.RU
Опубликована программа конференции OFFZONE 2018
Мероприятие объединит признанных экспертов отрасли, практикующих специалистов и всех неравнодушных к безопасности окружающих нас технологий.
https://xakep.ru/2018/11/02/offzone-program/
Мероприятие объединит признанных экспертов отрасли, практикующих специалистов и всех неравнодушных к безопасности окружающих нас технологий.
https://xakep.ru/2018/11/02/offzone-program/
Представьте — будущее наступило. Несмотря на поголовную кибернетизацию и разитие технологий, неотвратимая ядерная зима все равно пришла, и мир откатился до состояния первобытного киберпанка. Трубы горят. Воды на всех не хватает. Посреди выжженной пустыни, раньше называвшейся "планета Земля", разбросаны лишь редкие оазисы, в которых могут найтись пончики, алкоголь и чипсы.
Мы предлагаем всем Выходцам посетить один из таких оазисов — убежище «Лаборатории Касперского» на конференции OFFZONE.
Там ты найдешь все, что сможет защитить тебя и скрасить последние деньки в этом суровом будущем:
1. лекции как выжить в постаппокалиптическом мире
2. hands-on воркшопы по поиску уязвимостей в IoT
3. конкурс crackme по разреверсиванию ядерной молвары
От тебя понадобится помощь в компьютерной криминалистике.
Приходи в оазис «Лаборатории Касперского» и докажи, что ты достоин жить в будущем, которое мы заслужили.
#offzone2018 #offzone #kasperskylab
Мы предлагаем всем Выходцам посетить один из таких оазисов — убежище «Лаборатории Касперского» на конференции OFFZONE.
Там ты найдешь все, что сможет защитить тебя и скрасить последние деньки в этом суровом будущем:
1. лекции как выжить в постаппокалиптическом мире
2. hands-on воркшопы по поиску уязвимостей в IoT
3. конкурс crackme по разреверсиванию ядерной молвары
От тебя понадобится помощь в компьютерной криминалистике.
Приходи в оазис «Лаборатории Касперского» и докажи, что ты достоин жить в будущем, которое мы заслужили.
#offzone2018 #offzone #kasperskylab
Осталась всего неделя до конференции OFFZONE!
Не пропусти свой шанс узнать много нового о защите технологий в финансовой сфере, проблемах безопасности веб-приложений и низкоуровневых уязвимостях в широко используемых девайсах. Для самых отчаянных мы запасли постапокалиптическое пиво, привезли тату мастеров и подготовили уйму трофеев для победителей различных конкурсов. Все это и даже больше в Digital October уже через неделю 😎
Узнать больше о программе и купить билеты: https://offzone.moscow
#offzone #offzone2018
https://www.youtube.com/watch?v=FUZE-Pr8BKM
Не пропусти свой шанс узнать много нового о защите технологий в финансовой сфере, проблемах безопасности веб-приложений и низкоуровневых уязвимостях в широко используемых девайсах. Для самых отчаянных мы запасли постапокалиптическое пиво, привезли тату мастеров и подготовили уйму трофеев для победителей различных конкурсов. Все это и даже больше в Digital October уже через неделю 😎
Узнать больше о программе и купить билеты: https://offzone.moscow
#offzone #offzone2018
https://www.youtube.com/watch?v=FUZE-Pr8BKM
YouTube
OFFZONE 2018 / November 15–16 – Cybersecurity conference
The international community conference for security researchers and professionals.
https://2018.offzone.moscow/
https://2018.offzone.moscow/
2048 год. Мир в состоянии полного кризиса. Выжившие после глобальной катастрофы ищут убежища в лагерях, один из которых - в Москве на месте Красного Октября. Это база OFFZONE.
День X настал - увидимся внутри!
День X настал - увидимся внутри!
SAVE THE TIME
• 10:00 - Начало регистрации участников
• 11:30 - Открытие конференции (Main Track)
📢 Полная программа в приложении
• 10:00 - Начало регистрации участников
• 11:30 - Открытие конференции (Main Track)
📢 Полная программа в приложении