Продолжаем знакомить вас со спикерами конференции и представлять их доклады!

Илья Шапошников (Ilya @drakylar Shaposhnikov) — “Oldschool way of hacking MicroDigital ip-cameras”

Илья Шапошников — специалист в области ИБ в Rostelecom RedTeam. Свободное время посвящает исследованиям кибербезопасности, разработке фреймворка IoTSecSFuzz, играм CTF в составе команд Invuls (в роли капитана) и SFT0.

В докладе Илья расскажет о поиске уязвимостей в IP-камерах  от компании Microdigital: начиная со взлома аппаратной части и дампа прошивки и заканчивая обнаружением более чем 10 уязвимостей (DoS, CSRF, SQL injection, SSRF, Auth Bypass, RCE, BOF).

Якуб Врана, Кшиштоф Котович (Jakub Vrana, Krzysztof Kotowicz) — “Trusted Types & the end of DOM XSS”

Якуб Врана – инженер ПО, занимающийся рефакторингом безопасности в компании Google. В данный момент Якуб занимается реализацией Trusted Types в продуктах Google, обнаруживая и исправляя блокирующие дефекты и зависимости.

Кшиштоф Котович – исследователь веб-безопасности, занимается программной инженерией в команде Information Security Engineering компании Google. Кшиштоф входит в состав Google Vulnerability Reward Program и является автором различных техник веб-атак и средств безопасности. Результаты исследований были представлены на различных конференциях по кибербезопасности. 

Trusted Types – новый способ противодействия DOM XS. Он основан на замене используемых в чувствительном контексте строк на новые типы, генерация которых полностью контролируется и осуществляется приложением. В процессе доклада аудитория узнает, какие изменения Google производит в своей базе кода, чтобы внедрить Trusted Types.

Юхо Нурминен (Juho Nurminen) — “app.setAsDefaultRCEClient: Electron, scheme handlers and stealthy security patches”

Юхо Нурминен уже почти 10 лет занимается безопасностью приложений. Еще будучи школьником, он начал находить уязвимости в рамках Google VRP. За свою карьеру Юхо узнал индустрию ПО как с точки зрения разработчика, так и с точки зрения пентестера. Среди его заслуг – несколько CVE в Chrome, Firefox, Safari и других браузерах.

В ходе доклада будут представлены техники удаленного исполнения кода при помощи обработчиков URI в шести популярных приложениях компании Electron. Несмотря на выпущенный патч, защищающий все исследованные приложения от CVE-2018-1000006, эти техники до сих пор эффективны. Также слушатели узнают о двух малоизвестных средствах снижения рисков, которые внедрила компания Electron.

Юнтао Ван (Yongtao @by_Sanr Wang) — “From JDBC URI to a New Remote Code Execution Attack Surface”

Юнтао Ван – глава Red Team в BCM Social Corp с богатым опытом в области защиты беспроводных сетей и тестировании на проникновение. Исследовательские интересы Юнтао включают поиск угроз Active Directory. Результаты исследовательской деятельности были представлены на China Internet Security Conference (ISC), Blackhat, Codeblue, POC, CanSecWest, HackInTheBox и других конференциях по ИБ.

В докладе Юнтао представит новую технику проведения атак – JDBC (Java Database Connectivity) URI Attack. Используя ее, злоумышленник может перехватить контроль на JDBC URI, взломать сервер жертвы и выполнить на нем произвольный код. Также Юнтао покажет демо различных сценариев атак, и объяснит, как добиться выполнения произвольного кода, атакуя JDBC URI. Будет затронута тема эксплуатации Mysql, Oracle, Postresql и других баз данных, встречающихся в практически каждой корпоративной системе, а также ошибки безопасности официального стандарта JDBC, которые окажут влияние на десериализацию Java.

Андрей Беленко (Andrey Belenko) — “(Why) We Still Fail at Cryptography in 2019”

Андрей Беленко занимается ИБ уже более 15 лет, имеет обширный опыт в сферах криптографии, экспертизы iOS, безопасности мобильных приложений и высокоэффективного восстановления паролей. Андрей участвовал на конференциях Black Hat, Troopers, X Con, Positive Hack Days. Сейчас занимает должность главного инженера по защите информации в Microsoft, а его деятельность связана с защитой Microsoft 365.

Криптография уже многие десятилетия является неотъемлемой частью защиты вычислительных систем и лежит в основе TLS, шифрования запоминающих устройств и файлов, различных видов аутентификации и т.д. Может показаться, что за долгие годы индустрия научилась правильно внедрять средства криптографии, но на самом деле многие компании, включая те, что специализируются в области безопасности, постоянно совершают ошибки. В ходе доклада будут рассмотрены наиболее примечательные криптографические неудачи последних лет. Также Андрей расскажет, как можно предотвратить возникновение подобных проблем.