Обзор лучших технических докладов конференции Still Hacking Anyway 2017
Обзор лучших технических докладов конференции Still Hacking Anyway 2017
Alexander Antipov
С 4 по 8 августа в Нидерландах прошел крупный хакерский фестиваль SHA2017.
С 4 по 8 августа в Нидерландах прошел крупный хакерский фестиваль SHA2017. Несмотря на интенсивную подготовку к своему выступлению (и сильное волнение перед ним), я посетил много интересных докладов. В этой заметке перечислю те из них, которые мне особенно понравились, и поделюсь впечатлениями.
Один из самых сильных и громких докладов SHA2017. Виктор ван-дер-Веен (Victor van der Veen) и Кавех Разави (Kaveh Razavi) — передовые фигуры ИБ в Нидерландах. На днях они выиграли престижную награду PWNIE за развитие методики эксплуатации Rowhammer для взлома облачных платформ и атак на Android. Парни отлично выступили, доступно объяснили красоту своих идей и показали демки.
Запись выступления:
8. Computational Thinking
Ценное выступление Паулин Маас (Pauline Maas), которая поделилась своим успешным опытом вовлечения детей и подростков в программирование и алгоритмическое мышление.
Запись выступления:
9. Bypassing Secure Boot using Fault Injection
Полезный технический доклад об атаках с помощью методики внесения неисправностей (fault injection). Особенно впечатлила живая демонстрация обхода проверок Secure Boot на ARM с помощью кратковременного понижения питания в нужный момент.
Запись выступления:
10. Rooting the MikroTik Routers
Добротный технический доклад с живыми демками взлома промышленных маршрутизаторов MikroTik. В конце докладчик сыграл классическую мелодию на бипере устройства. Аудитория оценила.
Запись выступления:
11. Network Traffic Analysis using Deep Packet Inspection and Data Visualization
Бодрое выступление по результатам дипломной работы. Докладчик вживую на своей системе показал интересные возможности, которые дает визуальный анализ сетевого трафика.
Запись выступления:
12. Off Grid: Disclosing Your 0days in a Videogame Mod
Замечательное выступление разработчиков игры Off Grid. Это ролевая компьютерная игра, в которой ты играешь за хакера и взламываешь системы в огромном здании большой корпорации. ПО на компьютерах, смартфонах и т.п., с которыми ты взаимодействуешь, запущено на реальных системах в виртуальных машинах. То есть все по-настоящему :) Плюс есть возможность практиковать социальную инженерию и прочие трюки.
Запись выступления:
13. FaceDancer 2.0
Ценное выступление пары разработчиков FaceDancer 2.0 — технологии фаззинга USB. Дело в том, что в ядре Linux и многих других системах политика доверия аппаратному обеспечению выстроена неверно. В частности, в код USB-стека заложена базовая уверенность в корректном поведении всего, что подключается по USB. И это делает атаки с помощью вредоносных USB-устройств очень эффективными. Так вот FaceDancer 2.0 — это обновленная технология фаззинга USB-стека, которая помогает найти и устранить его уязвимости.