10 июня присоединяйтесь к онлайн-встрече по информационной безопасности Digital Security ON AIR. Стартуем в 17:00, закончить планируем в 20:00. В программе доклады на актуальные темы ИБ, небольшой online CTF, а также игра Kahoot с призами. Вход свободный.
Реальность, в которой мир существует несколько последних месяцев, заставляет посмотреть на привычное под другим углом и приносит новые идеи.
У Digital Security есть традиция: периодически мы собираемся вместе, презентуем доклады на интересные темы, обсуждаем нетривиальные вопросы ИБ, играем в Kahoot и едим пиццу. Теперь наши встречи переехали в онлайн, и мы решили пригласить всех желающих присоединиться к нам. Да, пиццу вместе поесть уже не получится, зато участников будет больше, ну и отличные доклады неизменны.
Послушаем и обсудим вместе с вами доклады:
- Уязвимости корней доверия Intel (Authenticated Code Modules)
- 3D Secure, или что скрывается в механизмах безопасности онлайн-платежей
- DevSecOps: Фаззинг исходного кода
- to be announced
Развлечемся игрой в Kahoot, призы по всем канонам гостеприимства – за нами, все выигранное отправим победителям.
Проведем небольшой online CTF для тех, кто приходит на конференции не только ради докладов. Будут задания на реверс-инжиниринг, веб-безопасность и форензику.
Подробнее о докладах:
- Уязвимости корней доверия Intel (Authenticated Code Modules)
В последнее время многое сделано с целью улучшить безопасность x86-совместимых компьютерных платформ. В частности, Intel представила аппаратно-поддержанные мехнизмы защиты: TXT, BIOS Guard, Boot Guard и SGX. Ввиду того, что runtime-окружению доверять нельзя, эти механизмы полагаются на хардварные рамки, заложенные еще на этапе создания архитектуры и производства платформы.
В итоге мы имеем два основных корня доверия в архитектуре Intel 64: Intel Management Engine ROM и Intel CPU ROM (Microcode ROM). Последний, кстати, отвечает за аутентификацию, загрузку и исполнение различных доверенных кодовых модулей Intel. Они же – Authenticated Code Modules (ACMs). Это специализированные подписанные (Intel) бинари, в которых заложена основа для поддержки вышеупомянутых технологий защиты. Очевидно, что уязвимость в ACM может привести к компрометации технологии, которую данный модуль поддерживает.
- 3D Secure, или что скрывается в механизмах безопасности онлайн платежей
Ежедневно в мире совершаются миллионы онлайн-покупок. Объем отрасли e-commerce исчисляется триллионами долларов, и такие обороты, естественно, привлекают анимание злоумышленников. О том, как работают механизмы защиты онлайн-платежей и какие уязвимости могут в них скрываться, мы поговорим на примере протокола 3D Secure.
-
DevSecOps: Фаззинг исходного кода
За последние 10 лет фаззинг стал неотъемлемой частью процессов аудита и поиска уязвимостей в ПО. Fuzz-машина Google, запущенная в 2011 году, нашла тысячи уязвимостей в Chromium и показала необходимость превращения разового исследования в постоянный процесс. Мы расскажем, с чем придется столкнуться разработчикам при подготовке своего продукта на С/С++ к фаззингу, какие подводные камни ожидают DevOps-инженеров, и как это в результате поможет сократить количество уязвимостей в вашем продукте еще на этапе разработки.
Онлайн,Digital Security ON AIR
Дата проведения: 10.06.2020. Начало в 17:00
Место проведения: Онлайн
- Анонс
- Программа
- Участники
- Спикеры
10 июня присоединяйтесь к онлайн-встрече по информационной безопасности Digital Security ON AIR. Стартуем в 17:00, закончить планируем в 20:00. В программе доклады на актуальные темы ИБ, небольшой online CTF, а также игра Kahoot с призами. Вход свободный.
Реальность, в которой мир существует несколько последних месяцев, заставляет посмотреть на привычное под другим углом и приносит новые идеи.
У Digital Security есть традиция: периодически мы собираемся вместе, презентуем доклады на интересные темы, обсуждаем нетривиальные вопросы ИБ, играем в Kahoot и едим пиццу. Теперь наши встречи переехали в онлайн, и мы решили пригласить всех желающих присоединиться к нам. Да, пиццу вместе поесть уже не получится, зато участников будет больше, ну и отличные доклады неизменны.
Послушаем и обсудим вместе с вами доклады:
- Уязвимости корней доверия Intel (Authenticated Code Modules)
- 3D Secure, или что скрывается в механизмах безопасности онлайн-платежей
- DevSecOps: Фаззинг исходного кода
- to be announced
Развлечемся игрой в Kahoot, призы по всем канонам гостеприимства – за нами, все выигранное отправим победителям.
Проведем небольшой online CTF для тех, кто приходит на конференции не только ради докладов. Будут задания на реверс-инжиниринг, веб-безопасность и форензику.
Подробнее о докладах:
- Уязвимости корней доверия Intel (Authenticated Code Modules)
В последнее время многое сделано с целью улучшить безопасность x86-совместимых компьютерных платформ. В частности, Intel представила аппаратно-поддержанные мехнизмы защиты: TXT, BIOS Guard, Boot Guard и SGX. Ввиду того, что runtime-окружению доверять нельзя, эти механизмы полагаются на хардварные рамки, заложенные еще на этапе создания архитектуры и производства платформы.
В итоге мы имеем два основных корня доверия в архитектуре Intel 64: Intel Management Engine ROM и Intel CPU ROM (Microcode ROM). Последний, кстати, отвечает за аутентификацию, загрузку и исполнение различных доверенных кодовых модулей Intel. Они же – Authenticated Code Modules (ACMs). Это специализированные подписанные (Intel) бинари, в которых заложена основа для поддержки вышеупомянутых технологий защиты. Очевидно, что уязвимость в ACM может привести к компрометации технологии, которую данный модуль поддерживает.
- 3D Secure, или что скрывается в механизмах безопасности онлайн платежей
Ежедневно в мире совершаются миллионы онлайн-покупок. Объем отрасли e-commerce исчисляется триллионами долларов, и такие обороты, естественно, привлекают анимание злоумышленников. О том, как работают механизмы защиты онлайн-платежей и какие уязвимости могут в них скрываться, мы поговорим на примере протокола 3D Secure.
-
DevSecOps: Фаззинг исходного кода
За последние 10 лет фаззинг стал неотъемлемой частью процессов аудита и поиска уязвимостей в ПО. Fuzz-машина Google, запущенная в 2011 году, нашла тысячи уязвимостей в Chromium и показала необходимость превращения разового исследования в постоянный процесс. Мы расскажем, с чем придется столкнуться разработчикам при подготовке своего продукта на С/С++ к фаззингу, какие подводные камни ожидают DevOps-инженеров, и как это в результате поможет сократить количество уязвимостей в вашем продукте еще на этапе разработки.
