Продолжаем знакомить вас со спикерами конференции и представлять их доклады!
Илья Шапошников (Ilya @drakylar Shaposhnikov) — “Oldschool way of hacking MicroDigital ip-cameras”
Илья Шапошников — специалист в области ИБ в Rostelecom RedTeam. Свободное время посвящает исследованиям кибербезопасности, разработке фреймворка IoTSecSFuzz, играм CTF в составе команд Invuls (в роли капитана) и SFT0.
В докладе Илья расскажет о поиске уязвимостей в IP-камерах от компании Microdigital: начиная со взлома аппаратной части и дампа прошивки и заканчивая обнаружением более чем 10 уязвимостей (DoS, CSRF, SQL injection, SSRF, Auth Bypass, RCE, BOF).
Якуб Врана, Кшиштоф Котович (Jakub Vrana, Krzysztof Kotowicz) — “Trusted Types & the end of DOM XSS”
Якуб Врана – инженер ПО, занимающийся рефакторингом безопасности в компании Google. В данный момент Якуб занимается реализацией Trusted Types в продуктах Google, обнаруживая и исправляя блокирующие дефекты и зависимости.
Кшиштоф Котович – исследователь веб-безопасности, занимается программной инженерией в команде Information Security Engineering компании Google. Кшиштоф входит в состав Google Vulnerability Reward Program и является автором различных техник веб-атак и средств безопасности. Результаты исследований были представлены на различных конференциях по кибербезопасности.
Trusted Types – новый способ противодействия DOM XS. Он основан на замене используемых в чувствительном контексте строк на новые типы, генерация которых полностью контролируется и осуществляется приложением. В процессе доклада аудитория узнает, какие изменения Google производит в своей базе кода, чтобы внедрить Trusted Types.
Юхо Нурминен (Juho Nurminen) — “app.setAsDefaultRCEClient: Electron, scheme handlers and stealthy security patches”
Юхо Нурминен уже почти 10 лет занимается безопасностью приложений. Еще будучи школьником, он начал находить уязвимости в рамках Google VRP. За свою карьеру Юхо узнал индустрию ПО как с точки зрения разработчика, так и с точки зрения пентестера. Среди его заслуг – несколько CVE в Chrome, Firefox, Safari и других браузерах.
В ходе доклада будут представлены техники удаленного исполнения кода при помощи обработчиков URI в шести популярных приложениях компании Electron. Несмотря на выпущенный патч, защищающий все исследованные приложения от CVE-2018-1000006, эти техники до сих пор эффективны. Также слушатели узнают о двух малоизвестных средствах снижения рисков, которые внедрила компания Electron.
Юнтао Ван (Yongtao @by_Sanr Wang) — “From JDBC URI to a New Remote Code Execution Attack Surface”
Юнтао Ван – глава Red Team в BCM Social Corp с богатым опытом в области защиты беспроводных сетей и тестировании на проникновение. Исследовательские интересы Юнтао включают поиск угроз Active Directory. Результаты исследовательской деятельности были представлены на China Internet Security Conference (ISC), Blackhat, Codeblue, POC, CanSecWest, HackInTheBox и других конференциях по ИБ.
В докладе Юнтао представит новую технику проведения атак – JDBC (Java Database Connectivity) URI Attack. Используя ее, злоумышленник может перехватить контроль на JDBC URI, взломать сервер жертвы и выполнить на нем произвольный код. Также Юнтао покажет демо различных сценариев атак, и объяснит, как добиться выполнения произвольного кода, атакуя JDBC URI. Будет затронута тема эксплуатации Mysql, Oracle, Postresql и других баз данных, встречающихся в практически каждой корпоративной системе, а также ошибки безопасности официального стандарта JDBC, которые окажут влияние на десериализацию Java.
Андрей Беленко (Andrey Belenko) — “(Why) We Still Fail at Cryptography in 2019”
Андрей Беленко занимается ИБ уже более 15 лет, имеет обширный опыт в сферах криптографии, экспертизы iOS, безопасности мобильных приложений и высокоэффективного восстановления паролей. Андрей участвовал на конференциях Black Hat, Troopers, X Con, Positive Hack Days. Сейчас занимает должность главного инженера по защите информации в Microsoft, а его деятельность связана с защитой Microsoft 365.
Криптография уже многие десятилетия является неотъемлемой частью защиты вычислительных систем и лежит в основе TLS, шифрования запоминающих устройств и файлов, различных видов аутентификации и т.д. Может показаться, что за долгие годы индустрия научилась правильно внедрять средства криптографии, но на самом деле многие компании, включая те, что специализируются в области безопасности, постоянно совершают ошибки. В ходе доклада будут рассмотрены наиболее примечательные криптографические неудачи последних лет. Также Андрей расскажет, как можно предотвратить возникновение подобных проблем.