Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Всего неделя остается до «Positive Hack Days 10: Начало».
Всего неделя остается до «Positive Hack Days 10: Начало» , и мы продолжаем знакомить вас с нашими спикерами и самыми ожидаемыми техническими докладами из различных треков конференции .
Практические приемы OSINT в цифровом мире
Генеральный директор Avalanche Андрей Масалович на реальных примерах покажет приемы OSINT, позволяющие эффективно добывать приватную и даже секретную информацию, не прибегая к взлому. В докладе исследуются методы поиска открытых разделов в облачных хранилищах, сканирование незащищенных баз на основе PostgreSQL, MongoDB и Elasticsearch, восстановление секретных данных по глобальным логистическим базам, сбор данных по закрытым профилям в социальных сетях, деанонимизация пользователей мессенджеров.
Специалист по ИБ Дмитрий Андреев расскажет о фундаментальных принципах социальной инженерии, о различных сценариях ее применения, а также поделится опытом противодействия социотехникам в корпоративной среде.
Приоритизация CVE-уязвимостей с помощью Vulristics
Vulristics (от слов vulnerability и heuristics) — это расширяемый фреймворк с открытым исходным кодом для анализа общедоступной информации о публичных CVE-уязвимостях. Независимый эксперт Александр Леонов расскажет об использовании Vulristics для приоритизации уязвимостей, а также о том, почему важно уметь приоритизировать известные уязвимости и какие дополнительные источники данных можно для этого использовать.
Microsoft Active Directory: техники повышения привилегий
Эксперт по безопасности приложений Егор Богомолов (Singleton Security) формализовал все техники повышения привилегий, которые предоставляет Microsoft Active Directory вместе с первоначальной настройкой в локальной сети. Он расскажет об уязвимостях в сетях под управлением AD «из коробки» и о том, как администраторам локальной сети под управлением AD защищаться от них.
Разработка и валидация ML-пайплайнов
Инженер, исследователь компьютерного зрения Артем Кравцов (SberDevices) расскажет об опыте разработки и тестирования ML-системы и мобильного SDK для определения подлинности биометрического образца по фотографии, об архитектуре разработанного решения и продемонстрирует прохождение биометрической проверки реальным пользователем. Докладчик подробно остановится на ML-составляющей системы, а также на процессе внутренней и внешней валидации системы.
Руководитель направления анализа защищенности компании Innostage Александр Борисов рассмотрит несколько ситуаций, когда атаки BadUSB — интересный и довольно эффективный класс атак — могут быть применены, а также основные способы предотвращения таких атак.
Безопасная разработка
На форуме PHDays в этому году к традиционным трекам, посвященным вопросам защиты (defensive), взлома (offensive) и влияния ИБ на бизнес, добавится новый, четвертый трек, касающийся безопасной разработки.
Информационная безопасность в видеоиграх
Руководитель направления безопасности приложений Сбербанка Артем Бачевский на реальных примерах рассмотрит типовые векторы атак в видеоиграх и способы защиты от них.
Михаил Щербаков, соискатель PhD (Королевский технологический институт в Стокгольме), рассмотрит реальные примеры уязвимостей и недостатков, лежащих в корне проблемы небезопасной десериализации, разберет вопрос построения модели угроз, инструменты и подходы для поиска и эксплуатации новых уязвимостей, сфокусируется на техниках статического анализа кода и их ограничениях.
Формальная верификация ядер ОС
Разработчик Денис Ефремов из ИСП РАН поделится опытом участия в проектах по формальной верификации и анализу модулей контроля доступа ядер операционных систем Astra Linux SE и «Эльбрус», верификации кода Contiki (ОС для IoT) в рамках европейской программы VESSEDIA, а также раскроет подробности разработки формальных моделей контроля доступа (Rodin/Event-B) и спецификаций на код (Frama-C/ACSL), использования статических и динамических анализаторов, включения формального анализа в цикл непрерывной интеграции.
С техническими докладами на конференции также выступят: Сергей Волокитин — старший аналитик информационной безопасности компании Riscure; Сергей Голованов — главный эксперт «Лаборатории Касперского»; Максим Горячий — независимый исследователь безопасности; Владимир Кочетков — руководитель отдела исследований по анализу защищенности приложений Positive Technologies.
Соорганизатор форума, компания Innostage , развернет и будет поддерживать инфраструктуру The Standoff, мониторить и контролировать действия команд.. Бизнес-партнером форума стал «Ростелеком-Солар» , национальный провайдер сервисов и технологий информационной безопасности. Технологические партнеры PHDays – российская частная сеть продовольственных супермаркетов «Азбука вкуса» , электронный платежный сервис RBC.money , разработчик ПО в области ДБО iSimpleLab . На выставке PHDays будут представлены Axoft , Crosstech Technologies , ICL , OCS Distribution , R-Vision , Security Vision , «Инфосистемы Джет» . Партнером конкурсной программы выступит ARinteg .
Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.