СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Мероприятия
Артем
#Dev#ИБ#Облака

Онлайн-встреча по информационной безопасности: «Digital Security ON AIR»

10 июня присоединяйтесь к онлайн-встрече по информационной безопасности Digital Security ON AIR. Старт — в 17:00, окончание — в 21:00. В программе доклады на актуальные темы ИБ, небольшой online CTF, а также игра Kahoot с призами. Вход свободный.

Реальность, в которой мир существует несколько последних месяцев, заставляет посмотреть на привычное под другим углом и приносит новые идеи.

У Digital Security есть традиция: периодически специалисты компании собираются вместе, презентуют доклады на интересные темы, обсуждают нетривиальные вопросы ИБ, играем в Kahoot и едят пиццу. Теперь встречи переехали в онлайн, и в Digital Security решили пригласить всех желающих присоединиться. Да, пиццу вместе поесть уже не получится, зато участников будет больше, ну и отличные доклады неизменны.

10 июня присоединяйтесь к онлайн-встрече Digital Security ON AIR. Старт — в 17:00, окончание — в 21:00. Три часа будут проведены максимально интересно и продуктивно.

Представленные доклады:

  • Облачные сервисы: атаки и защита
  • Уязвимости корней доверия Intel (Authenticated Code Modules)
  • 3D Secure, или что скрывается в механизмах безопасности онлайн-платежей
  • DevSecOps: Фаззинг исходного кода
  • Безопасность PHP-фреймворков

Также будет игра в Kahoot, призы по всем канонам гостеприимства – выигранное отправится победителям.

Планируется и небольшой online CTF для тех, кто приходит на конференции не только ради докладов. Будут задания на реверс-инжиниринг, веб-безопасность и форензику.

Подробнее о докладах:

  • Фёдор Ярочкин — Облачные сервисы: атаки и защита

Многие компании выигрывают от перемещения своей инфраструктуры в облака. Облачные сервисы предлагают большие возможности масштабируемости и доступности и кажутся более простыми в использовании. Однако за эти удобства приходится платить. В начале 2019-го года в Digital Security провели исследование и обнаружили множество незащищенных или небезопасно сконфигурированных сервисов.

Когда речь заходит о недостатках защиты облачных сервисов, первое, что приходит на ум, — некорректно настроенные S3 бакеты. В Digital Security выяснили, что проблемы безопасности куда более разнообразны. Некоторые из них могут привести к раскрытию чувствительных данных, другие — к обходу аутентификации и раскрытию аутентификационных данных.

Будет рассмотрено, как улучшить безопасность развертываний в облаке путем повышения устойчивости облачных сервисов к атакам и правильной настройки определенных аспектов их конфигурации.

  • Александр Ермолов — Уязвимости корней доверия Intel (Authenticated Code Modules)

В последнее время многое сделано с целью улучшить безопасность x86-совместимых компьютерных платформ. В частности, Intel представила аппаратно-поддержанные механизмы защиты: TXT, BIOS Guard, Boot Guard и SGX. Ввиду того, что runtime-окружению доверять нельзя, эти механизмы полагаются на хардварные рамки, заложенные еще на этапе создания архитектуры и производства платформы.

В итоге есть два основных корня доверия в архитектуре Intel 64: Intel Management Engine ROM и Intel CPU ROM (Microcode ROM). Последний, кстати, отвечает за аутентификацию, загрузку и исполнение различных доверенных кодовых модулей Intel. Они же – Authenticated Code Modules (ACMs). Это специализированные подписанные (Intel) бинари, в которых заложена основа для поддержки вышеупомянутых технологий защиты. Очевидно, что уязвимость в ACM может привести к компрометации технологии, которую данный модуль поддерживает.

  • Александр Романов — 3D Secure, или что скрывается в механизмах безопасности онлайн платежей

Ежедневно в мире совершаются миллионы онлайн-покупок. Объем отрасли e-commerce исчисляется триллионами долларов, и такие обороты, естественно, привлекают внимание злоумышленников. О том, как работают механизмы защиты онлайн-платежей и какие уязвимости могут в них скрываться, будет показано на примере протокола 3D Secure.

  • Борис Рютин и Павел Князев — DevSecOps: Фаззинг исходного кода

За последние 10 лет фаззинг стал неотъемлемой частью процессов аудита и поиска уязвимостей в ПО. Fuzz-машина Google, запущенная в 2011 году, нашла тысячи уязвимостей в Chromium и показала необходимость превращения разового исследования в постоянный процесс. Будет рассказано, с чем придется столкнуться разработчикам при подготовке своего продукта на С/С++ к фаззингу, какие подводные камни ожидают DevOps-инженеров, и как это в результате поможет сократить количество уязвимостей в вашем продукте еще на этапе разработки.

  • Владимир Волков — Безопасность PHP-фреймворков

Несмотря на то, что сейчас принято строить веб при помощи модных JS-фреймворков, довольно много веб-проектов написано на PHP. Представьте, что вам предстоит пентест проекта на PHP и вы хотите разобраться в устройстве и особенностях популярных PHP-фреймворков. Будет рассказано, как выглядит структура таких проектов, какие интересные уязвимости в них можно встретить, а также обсуждены некоторые PHP-специфичные баги.

Регистрируйтесь на Digital Security ON AIR.

Период проведения: 10.06.2020 с 17:00 до 21:00 по московскому времени.
Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: