Техническая программа PHDays: как ломают IoT, обходят Windows Hello и защищаются от квантового компьютера - «Новости»
Заждались: продажи S.T.A.L.K.E.R. 2: Heart of Chornobyl за два дня после релиза превысили миллион копий - «Новости сети»
Заждались: продажи S.T.A.L.K.E.R. 2: Heart of Chornobyl за два дня после релиза превысили миллион копий - «Новости сети»
Блогер показал, как пройти Baldur’s Gate 3, не делая в бою абсолютно ничего - «Новости сети»
Блогер показал, как пройти Baldur’s Gate 3, не делая в бою абсолютно ничего - «Новости сети»
Microsoft открыла доступ к скандальной ИИ-функции Recall — пользователям разрешили ограничить её «подглядывания» - «Новости сети»
Microsoft открыла доступ к скандальной ИИ-функции Recall — пользователям разрешили ограничить её «подглядывания» - «Новости сети»
У Nvidia нашлась ахиллесова пята — треть выручки зависит от настроения трёх клиентов - «Новости сети»
У Nvidia нашлась ахиллесова пята — треть выручки зависит от настроения трёх клиентов - «Новости сети»
Представлен 80-долларовый смартфон Tecno Pop 9 — с Helio G50 и батареей на 5000 мА·ч - «Новости сети»
Представлен 80-долларовый смартфон Tecno Pop 9 — с Helio G50 и батареей на 5000 мА·ч - «Новости сети»
Первая за 11 лет новая книга Анджея Сапковского из цикла «Ведьмак» получила название «Перекрёсток воронов» — первые подробности - «Новости сети»
Первая за 11 лет новая книга Анджея Сапковского из цикла «Ведьмак» получила название «Перекрёсток воронов» — первые подробности - «Новости сети»
Роскомнадзор с декабря начнёт блокировать сайты за публикацию научной информации о VPN - «Новости сети»
Роскомнадзор с декабря начнёт блокировать сайты за публикацию научной информации о VPN - «Новости сети»
Миллионер с зарплатой сантехника: выяснилось, сколько зарабатывает глава OpenAI - «Новости сети»
Миллионер с зарплатой сантехника: выяснилось, сколько зарабатывает глава OpenAI - «Новости сети»
SpaceX рассказала, почему затопила ракету Super Heavy во время последнего запуска Starship - «Новости сети»
SpaceX рассказала, почему затопила ракету Super Heavy во время последнего запуска Starship - «Новости сети»
Представлена технология охлаждения чипов светом — секретная и только по предварительной записи - «Новости сети»
Представлена технология охлаждения чипов светом — секретная и только по предварительной записи - «Новости сети»
Новости мира Интернет » Новости » Техническая программа PHDays: как ломают IoT, обходят Windows Hello и защищаются от квантового компьютера - «Новости»
Прием заявок на участие в Восьмом форуме PositiveHackDays идет полным ходом. По многочисленным просьбам организаторы мероприятия продилили Call for Papers до 31 марта 2018 года. Это значит, что у всех желающих выступить на форуме есть еще пара недель, чтобы подать заявку!

Недавно мы анонсировали первого ключевого докладчика PHDays 8 — им станет известный разработчик дизассемблера IDA Pro и декомпилятора Hex-Rays Ильфак Гильфанов. Сегодня представляем твоему вниманию группу участников, чьи доклады уже вошли в основную программу PHDays. В этом году посетители форума узнают, как обойти корпоративную систему распознавания лиц, чем опасны умные автомобили и как злоумышленники взламывают IoT-устройства.


ИБ-директор в ближайшем будущем


За последние несколько лет бизнес понес огромные убытки в результате действий преступников и хактивистов. Ландшафт угроз постоянно меняется, поэтому сейчас, как никогда, важно поддерживать модель ИБ, при которой решения для обеспечения безопасности исходят из понимания риска для бизнеса и возможностей хакеров.


Эффективность политики информационной безопасности компаний зависит не только от организационных и технических средств, но и компетенции сотрудников. Сегодня во многих критически важных секторах ИБ-решения устарели, а навыки специалистов не развиваются вместе с технологиями и не соответствуют требованиям бизнеса. Кого обучать — людей или компьютеры? Нам нужны деньги — но как перевести требования CISO на язык CEO? На эти вопросы ответит исполнительный вице-президент компании DarkMatter Эдди Шварц (Eddie Schwartz), член международного совета директоров Ассоциации аудита и контроля информационных систем (ISACA), председатель рабочей группы по ИБ ассоциации. До DarkMatter Шварц был директором по ИБ-решениям в Verizon и директором по безопасности в RSA.


Взлом системы аутентификации


На PHDays вновь выступит аргентинский эксперт по информационной безопасности и руководитель компании Cinta Infinita Науэль Грисолия (Nahuel Grisolia). Он специализируется на безопасности веб-приложений и взломе аппаратного обеспечения. Грисолия обнаружил уязвимости в программах McAfee, VMware, ManageEngine, Oracle, Websense, Google, Twitter, а также в бесплатном ПО Achievo, Cacti, OSSIM, Dolibarr и osTicket.


На пятом форуме PHDays Грисолия провел мастер-класс по RFID, на этот раз речь пойдет о современной платформе индентификации Auth0, которая обслуживает более 2000 клиентов и обеспечивает 42 млн авторизаций в день. Доклад посвящен концепции обеспечения безопасности веб-токенов JSON, аутентификации и авторизации, криптографии, а также методам перехвата и манипуляции HTTP-трафиком. Докладчик расскажет об уязвимости, которая позволяет обойти аутентификацию и ставит под угрозу все приложения, использующие Auth0.


Обход Windows Hello на раз, два, три


Windows Hello — биометрическая система компании Microsoft, включающая сканирование радужной оболочки глаза, отпечатка пальца и распознавание лиц. Она используется для входа без пароля на устройства с Windows, для авторизации на сайтах и в приложениях.


Руководитель R&D компании SySS — ведущего немецкого поставщика услуг тестирования на проникновение — Маттиас Дег (Matthias Deeg) расскажет о своем исследовании Windows Hello и продемонстрирует, как с помощью простых методов можно обойти различные версии системы.


Умный автомобиль как оружие


Современные умные автомобили не просто средство передвижения, а настоящие компьютеры, напичканные продвинутыми информационно-развлекательными программами. Новые технологии открывают широкие возможности для злоумышленников: угрозы, которые раньше были характерны для компьютерного мира, теперь актуальны и для автомобилей.


Представители компании Ixia — главный исследователь безопасности Штефан Танасе (Stefan Tanase) и старший разработчик ПО Габриэл Чирлиг (Gabriel Cirlig) — исследовали автомобиль со встроенной информационно-развлекательной системой, полностью оторванной от сетевой инфраструктуры самого транспортного средства. Они обнаружили большое количество данных, которые хранятся в открытом виде. Авторы исследования покажут, как атакующий может следить за передвижением машины и взламывать точки доступа сетей с помощью бортового компьютера.


Как ломают IoT


Еще один докладчик PHDays — Ноам Ратхаус (Noam Rathaus), один из основателей компании Beyond Security, специализирующейся на разработке общеорганизационных технологий оценки безопасности. Ратхаус — автор четырех книг об открытых средствах ИБ и тестировании на проникновение. Он обнаружил более 40 уязвимостей в различном ПО, а также создал около трети кодовой базы Nessus — программы для автоматического поиска известных уязвимостей.


Его доклад «Подставь свой девайс под интернет» посвящен безопасности интернета вещей. Ноам Ратхаус расскажет о различных уязвимостях, которые его команда обнаружила в продуктах известных вендоров, а также даст рекомендации по защите IoT-устройств.


Продолжит тему безопасности IoT ведущий инженер по информационной безопасности «АМТ-ГРУП» Андрей Бирюков. На секции Fast Track он выступит с докладом «Дырявые облака М2М: как ломают IoT». Участники форума узнают о том, как облачные технологий (в том числе open-source) используются для управления IoT-устройствами. Докладчик покажет видео с эксплуатацией наиболее интересных уязвимостей и даст рекомендации по их устранению.


Защита от квантового компьютера


В феврале 2016 года NIST опубликовал отчет о постквантовой криптографии. В нем описываются алгоритмы, которые считаются уязвимыми для квантового компьютера; в список попали практически все алгоритмы.


Заведующий лабораторией «Современные компьютерные технологии» Новосибирского государственного университета Сергей Кренделев расскажет о проблемах, возникающих в связи с «квантовой угрозой», об алгоритмах и протоколах постквантовой криптографии. Будут даны примеры различных алгоритмов цифровой подписи, хеш-функций, обмена ключами, а также рассмотрены проблемы, с которыми, вероятно, придется столкнуться при практическом внедрении постквантовой криптографии и инфраструктуры открытых ключей.


Кстати, Сергей Кренделев, так же как и Науэль Грисолия, выступал на PHDays V. Его доклад «Советский суперкомпьютер К-340А и безопасность облачных вычислений» был посвящен вопросам обработки закодированных данных с использованием нестандартных алгоритмов шифрования.


Плюшки bug bounty


Владельцы публично доступных ресурсов несут серьезные репутационные и финансовые потери из-за уязвимостей. CISO компании QIWI и сооснователь Vulners.com Игорь Булатенко поднимет тему недостатков существующих способов борьбы с уязвимостями и преимуществ программ bug bounty. Слушатели узнают, почему bug bounty выгоднее пентестов и большой ИБ-команды и лучше для финансовой стабильности и репутации компании, а также кому нужно (и кому не нужно) открывать такую программу. Также Игорь поделится опытом QIWI и расскажет, как они разворачивали bug bounty.


Техническая программа PHDays: как ломают IoT, обходят Windows Hello и защищаются от квантового компьютера - «Новости»
WWW

Полный список выступлений будет опубликован на официальном сайте PHDays в апреле. Подробнее о темах форума и правилах участия — на странице Call for Papers.




Источник новостиgoogle.com

Прием заявок на участие в Восьмом форуме PositiveHackDays идет полным ходом. По многочисленным просьбам организаторы мероприятия продилили Call for Papers до 31 марта 2018 года. Это значит, что у всех желающих выступить на форуме есть еще пара недель, чтобы подать заявку! Недавно мы анонсировали первого ключевого докладчика PHDays 8 — им станет известный разработчик дизассемблера IDA Pro и декомпилятора Hex-Rays Ильфак Гильфанов. Сегодня представляем твоему вниманию группу участников, чьи доклады уже вошли в основную программу PHDays. В этом году посетители форума узнают, как обойти корпоративную систему распознавания лиц, чем опасны умные автомобили и как злоумышленники взламывают IoT-устройства. ИБ-директор в ближайшем будущем За последние несколько лет бизнес понес огромные убытки в результате действий преступников и хактивистов. Ландшафт угроз постоянно меняется, поэтому сейчас, как никогда, важно поддерживать модель ИБ, при которой решения для обеспечения безопасности исходят из понимания риска для бизнеса и возможностей хакеров. Эффективность политики информационной безопасности компаний зависит не только от организационных и технических средств, но и компетенции сотрудников. Сегодня во многих критически важных секторах ИБ-решения устарели, а навыки специалистов не развиваются вместе с технологиями и не соответствуют требованиям бизнеса. Кого обучать — людей или компьютеры? Нам нужны деньги — но как перевести требования CISO на язык CEO? На эти вопросы ответит исполнительный вице-президент компании DarkMatter Эдди Шварц (Eddie Schwartz), член международного совета директоров Ассоциации аудита и контроля информационных систем (ISACA), председатель рабочей группы по ИБ ассоциации. До DarkMatter Шварц был директором по ИБ-решениям в Verizon и директором по безопасности в RSA. Взлом системы аутентификации На PHDays вновь выступит аргентинский эксперт по информационной безопасности и руководитель компании Cinta Infinita Науэль Грисолия (Nahuel Grisolia). Он специализируется на безопасности веб-приложений и взломе аппаратного обеспечения. Грисолия обнаружил уязвимости в программах McAfee, VMware, ManageEngine, Oracle, Websense, Google, Twitter, а также в бесплатном ПО Achievo, Cacti, OSSIM, Dolibarr и osTicket. На пятом форуме PHDays Грисолия провел мастер-класс по RFID, на этот раз речь пойдет о современной платформе индентификации Auth0, которая обслуживает более 2000 клиентов и обеспечивает 42 млн авторизаций в день. Доклад посвящен концепции обеспечения безопасности веб-токенов JSON, аутентификации и авторизации, криптографии, а также методам перехвата и манипуляции HTTP-трафиком. Докладчик расскажет об уязвимости, которая позволяет обойти аутентификацию и ставит под угрозу все приложения, использующие Auth0. Обход Windows Hello на раз, два, три Windows Hello — биометрическая система компании Microsoft, включающая сканирование радужной оболочки глаза, отпечатка пальца и распознавание лиц. Она используется для входа без пароля на устройства с Windows, для авторизации на сайтах и в приложениях. Руководитель R

Смотрите также

А что там на главной? )))



Комментарии )))