В этом году ZeroNights прошла в петербургском клубе А2 и объединила более 1000 участников со всего мира, среди них: руководители и сотрудники служб ИБ, программисты, исследователи, аналитики, пентестеры, журналисты и все, кто интересуется прикладными аспектами сферы информационной безопасности.



На конференции были представлены доклады 60 спикеров из 9 стран: Франция, Испания, Германия, Китай, Малайзия, Мальта, Казахстан, Россия и Армения. Из различных компаний: Airbus, Facebook, Synacktiv, Kaspersky Lab, Tencent Security Xuanwu Lab, Shape Security, Wrike, X41 D-Sec GmbH и других.



Главные темы конференции:


  • Как хакеры могут завладеть мобильным устройством через Wi-Fi чип
  • Как факсы могут стать врагами в корпоративной сети
  • Что драйвера USB устройств для Windows содержат большое количество уязвимостей
  • Как веб-серверы Git расширяют возможности атакующего
  • Как использовать аппаратное обеспечение, чтобы скомпрометировать
    сетевое оборудование и инфраструктуру
  • Как злоумышленники могут использовать протокол UPnP, чтобы скрыть свою активность в сети
  • Какие существуют проблемы безопасности и процесса закрытия уязвимостей в продуктах российских систем администрирования технологического процесса
  • К каким последствиям приводит необдуманное использование новых технологий в клиентской разработке
  • Что и в компиляторах существуют ошибки, которые могут быть использованы для встраивания бэкдоров в ПО
  • Как может быть заражена система до уровня BIOS
  • Что атака по методу Ntlm Relay все еще является опасной и может быть использована новыми способами
  • Как можно быстро и эффективно оценивать безопасность конфигурационных файлов сетевого оборудования
  • Какие существуют проблемы с безопаснос��ью в технологии SD-WAN
  • Как системы для разработки могут быть атакованы и использованы против их владельцев
  • Как средства виртуализации графического процессора могут быть использованы для атаки системы
  • Какие уязвимости и проблемы можно найти в широко распространенных продуктах и библиотеках ImageMagick, Redis, SCADA системах и node.js проектах.

В рамках ZeroNights также были реализованы различные активности: хакерские квесты, секции Web Village и Hardware Zone.


Web Village


Приятно видеть, что Web Village снова и снова собирает огромное количество зрителей.



Отметим уже традиционный поток докладов от матёрых веберов с большим опытом в практической сфере. Посмотрите сами, в этот раз среди докладчиков: Mail.Ru, Яндекс, Лаборатория Касперского, Digital Security, Sploitus, Acunetix, Deteact, Рамблер. Также мы считаем большим плюсом — полное отсутствие пиара компаний, различных решений и рассуждений о рынке. Но, конечно, главное достижение ZeroNights 2018 — высокий уровень подготовки докладов с неизбитыми примерами:


  1. Знаешь все про XSS? Спорим, из этого доклада все равно узнаешь что-нибудь новенькое? — Читать
  2. Все еще вставляете Blind-XSS вектора руками? Тогда мы идем к вам! — Читать
  3. В очередной раз XSS не сработала? Видимо там CSP, сейчас забайпасим — Читать
  4. Зачем делать одни и те же действия вручную, когда можно автоматизировать поиск уязвимостей? — Читать
  5. Хочешь взломать браузер, но не знаешь с чего начать? — Читать
  6. Взгляд пентестера на типичную инфраструктуру разработчиков — Читать
  7. Атипичные уязвимости или как составить МЕГАБАГУ из нескольки абсолютно легальных фич — Читать
  8. Обзор особенностей и проблем PHP которые могут привести и обязательно приведут к уязвимостям — Читать
  9. Что такое (де)сериализация, как она реализована в PHP и чем это может быть опасно — Читать
  10. Что делать, если вы встретили SPEL — язык выражений для Spring Framework — Читать
  11. Не так то просто запатчить уязвимость так, чтобы не появилось еще три. Fix like a PRO — Читать


Что у нас в планах на следующий год?


  • Точно запланируем больше стульев и диванчиков :)
  • Устроим больше активностей. Security-викторина от Mail.ru и Яндекса доказала, что это весело и круто.
  • Количество желающих выступить в WV-треке растет, и это радует. Похоже, придется организовать отдельный CFP.
  • Постараемся оставлять в наследие не только презентации, но и полноценные читшиты.

Hardware Zone



Принять участие в Hardware Zone гости конференции могли в течение двух дней. Полноценные доклады со сцены освещали темы практической безопасности банкоматов, IoT, средств и методов анализа аппаратных протоколов и многое другое.



Участники могли взломать вендинговую систему и игровую валюту с использованием NFC-карт, которыми потом могли расплатиться в баре. Для успешного выполнения задачи участники использовали полезную информацию, полученную на нескольких воркшопах Павла Жовнера, а также весь необходимый аппаратный инструментарий, представленный на стенде. Любой желающий мог применить полученные знания на практике и проверить свои силы в анализе беспроводных протоколов и проведении атак на типичных представителей мира IoT, получив (в результате) небесполезные памятные подарки (proxmark3, chameleon mini, BBC Microbit).



Активность участников показывает неугасающий интерес к теме безопасности встраиваемых устройств и аппаратных хаков, поэтому мы будем и дальше продолжать традицию Hardware Zone и увеличивать количество просветительских докладов и конкурсов.


Конкурсы


На площадке также проходили активности от наших партнеров.


Mail.ru провели конкурс по взлому пневмопочты, победители заработали по 100 баксов и толстовки Bug Hunter.



SEMrush разыграли MacBook Air, Sony PlayStation 4 Pro и Квадрокоптер DJI Spark в конкурсе Crush SEMrush. Участники должны были найти уязвимости в сервисе с отключенным WAF.



Получить сертификаты на занятия по английскому языку в самой крупной онлайн-школе можно было в партнерской зоне Skyeng.



Роль «белого» хакера в виртуальном мире антиутопии примерили на себя участники хакерского квеста DefHack. А в конкурсе «Игровой автомат» — однорукий бандит, игра которого построена на базе Blockchain, джекпот составил 100 ед. криптовалюты, первый взломавший систему получил билет на ZeroNights 2019.


Также на открытии конференции состо��лась вечеринка, хедлайнером которой стал музыкальный проект The Dual Personality, победители конкурса ремиксов от Linkin Park и участники фестиваля электронной музыки Alfa Future People.



Мы благодарим каждого участника конференции, а также партнеров, которые поддержали ZeroNights в этом году: Яндекс, Mail.ru, Сбербанк, Epam, SEMrush, Digital Security.


  • Видео выступлений доступны на нашем YouTube.
  • Фотографии с конференции доступны тут.
  • Материалы конференции найдете здесь.


Для тех, кто дочитал до конца — конкурс! За самый содержательный фидбек о ZeroNights 2018 мы подарим наш крутой мерч: первое место — рюкзак, второе и третье — свитшоты. Ваши отзывы с подробным рассказом о том, что вам очень понравилось или совсем не понравилось на конференции, присылайте на visitor@zeronights.org. С пометкой “Фидбек за мерч”. Мы за честность!


И до встречи на ZeroNights 2019!