RU | EN

ПАРТНЕРЫ И СПОНСОРЫ 2011

 

 

 

 

Технические семинары 2011

Безопасность браузеров: новый взгляд (0-day)

Владимир Воронцов, главный эксперт по безопасности, ONsec

Дополнительные материалы:

http://www.youtube.com/watch?v=lp8_YnYfPvU

http://www.youtube.com/watch?v=lp8_YnYfPvU

http://www.youtube.com/watch?v=anEKOG8x5gM


Доклад посвящен вопросам безопасности клиентских приложений, используемых для работы в Интернете. Основной акцент сделан на исследовании механизмов кэширования и загрузки файлов в современных браузерах (IE8, IE9, Chrome, Opera, Safari, Firefox). Приводятся схемы и примеры атак с использованием результатов исследования и уязвимостей браузеров, обнаруженных в результате подготовки материала. Рассматриваются атаки Cross Application Scripting, где браузер выступает как в роли приложения-отправителя, так и в роли целевого приложения. Также рассматривается вопрос взаимодействия с файловой системой внешних плагинов браузеров, таких как Adobe Flash и Adobe Acrobat, и атаки, использующие этот вектор.



Уязвимости систем контроля подлинности цифровых фотографических изображений

Дмитрий Скляров, аналитик информационной безопасности, "Элкомсофт"


В докладе рассматриваются практические аспекты надежности существующих систем обеспечения подлинности фотографических улик. Рассматривается уязвимость в системе проверки аутентичности фотографий Canon Original Data Security, предназначенной для подтверждения подлинности изображений, сделанных зеркальными цифровыми фотокамерами Canon.



DNS Rebinding возвращается (0-day)

Денис Баранов, эксперт по информационной безопасности, Positive Technologies

Дополнительные материалы:

http://www.youtube.com/watch?v=at-RmGhAnXc

http://www.youtube.com/watch?v=Ysix0ME9UWs


Доклад посвящен известной несколько лет атаке под названием "DNS Rebinding" ("Anti-DNS Pinning"). Суть атаки состоит в возможности обойти ограничения "Same Origin Policy" во всех современных веб-браузерах и тем самым получить доступ к любым данным, обрабатываемым в уязвимом приложении. Несмотря на богатую историю, считается, что современные средства защиты блокируют атаку, и реализовать ее на практике почти невозможно. В докладе будут продемонстрированы практические приемы использования метода Anti-DNS Pinning для атак на корпоративные сети, системы виртуализации и защищенные внешние ресурсы, представлен инструментарий для использования уязвимости. Будут приведены реальные сюжеты получения максимального доступа к любым целевым системам в крупных гетерогенных сетях, а также возможные варианты защиты.



Нулевой день для SCADA (0-day)

Юрий Гуркин, генеральный директор, GLEG Ltd.


Уязвимости систем SCADA после массового распространения червя Stuxnet стали любимой страшилкой журналистов и страшным сном для всех, кто связан с промышленностью и национальной безопасностью. Насколько тяжело найти уязвимость в SCADA? Какие векторы атак для этих систем наиболее опасны? Сколько неустранённых уязвимостей в SCADA известно на настоящий момент? В рамках доклада пройдет практическая демонстрация уязвимостей нулевого дня в популярных системах управления производственным процессом.



"Злая горничная" атакует PGP

Александр Терешкин, независимый исследователь, ex-Invisible Things Lab


Полнодисковое шифрование широко применяется для защиты информации от несанкционированного доступа. Наиболее часто с помощью таких систем защищают информацию на жестких дисках ноутбуков и сменных носителях, так как они легко могут быть потеряны или украдены. В докладе рассматривается, может ли владелец полагаться на надежность полнодискового шифрования в свое отсутствие в случае, если злоумышленник имеет возможность не только завладеть носителем, но и произвести незаметные манипуляции над ним. Речь пойдет о доверенной загрузке, контроле целостности, статическом и динамическом контроле корней доверия и их использовании в системах полнодискового шифрования. Будет показано, насколько надежно подобный контроль реализован в продукте PGP® Whole Disk Encryption и нет ли в нем недочетов с криптографической точки зрения.



__________________________________ __________________________________ __________________________________ __________________________________
Copyright © 2011
Positive Technologies