26 Ноября, 2012

ZeroNights'2012: еще одно мнение

Александр Матросов
Сначала хочется сказать, что чуть больше года назад у нас не было ни одной конференции нацеленной на исследователей в области ИБ. Сейчас есть два мероприятия, которые не только не уступают западным, но и превосходят многие по своей масштабности и качеству контента. Можно отметить, что произошла некоторая качественная эволюция всех этих бестолковых инфобезов ... (которые постепенно загибаются), в нечто совершенно иное и куда уже не стыдно пригласить именитых зарубежных исследователей.
Ну, а теперь о самом мероприятии , конечно очень сложно сделать все идеально. Особенно когда мероприятие на несколько сотен человек готовится не большим коллективом и по большей части на энтузиазме. Хочу поблагодарить ребят из Digital Security за отличную конференцию, фейлы конечно были, но писать о них я не буду ;)

Technical HardcoreИменно с этой секции для меня началась конференция, так как до начала этой секции я не успел попасть никуда по причине слишком высокой плотности друзей и знакомых с которыми хотелось пообщаться :)
В рамках этой секции организаторы сконцентрировали достаточно интересный и хардкорный технический стаф. Началось все с "Прикладная анти-форензика: руткиты, уязвимости ядра и все-все-все", где Дмитрий Олексюк поведал об интересном векторе сокрытия вредоносного сокрытия через Differentiated System Description Table (DSDT). DSDT это одна из ключевых таблиц на которых строится реализация ACPI и ее содержимое хранится в системном реестре.


Сразу за Димой, был доклад "Уязвимости подсчета ссылок в ядре Windows: практический анализ" от Mateusz 'j00ru' Jurczyk . Собственно этот доклад я ждал больше всего, так как по прошлым выступлениям автора его слайды и статьи вызывали у меня большой интерес. В докладе прозвучал анализ большого количества векторов атаки на счетчики ссылок в ядре, а так же что не маловажно раскрыта сама природа подобного рода уязвимостей.

Что не мало важно к каждой конкретной уязвимости use-after-free приводилось описание того, как можно ее избежать при правильном кодинге.
Дальше произошли какие-то изменения в расписании секции и следующим был доклад "О фаззинге подробно и со вкусом" от Atte Kettunen, Miaubiz.

Забавный доклад, но для меня он не представлял ничего нового. Разве, что открыл глаза на то, что некоторые финны вполне себе владеют великим и могучим русским матом :)
Наверное это все, что мне удалось послушать в первый день конференции из докладов и дальше была дискуссионная панель: "Исследователи безопасности vs Разработчики".

Которая откровенно получилась несколько странной. В 80% всего времени в дискуссии участвовал гражданин Бобук, который принял позицию главного тролля и убеждал всех присутствующих, что "ресечеры никому не нужны и все это баловство пустая трата денег". Получилось весело, но не серьезно и явно аудитория не совсем поняла основной посыл панели и желание убедить их в том, что они никому не нужны и занимаются любимым делом зря.
Day 2В этот день было много всего по вебу и я не смог заставить себя приехать раньше обеда. Собственно, первый доклад на который я попал был с очень длинным названием "История о несуществующих уязвимостях нулевого дня, стабильных эксплойтах для бинарных приложений и пользовательском интерактиве" от Алисы Шевченко.

Забавный доклад о нестандартном подходе к эксплуатации и в частности к уязвимостям DLL Hijacking.
После чего, я посетил еще "Искусство двоичного дифференциального анализа, или Как найти 0-day бесплатно" от Никиты Тараканова. Который достаточно бодренько зажег по теме доклада.

Отдельно хочется отметить героизм Леши Синцова, который на протяжении всего второго дня конференции проводил воркшоп "Advanced Exploit Development (x32). Browser Edition" и это после вечеринке, которая была в конце первого дня для спикеров.

Леха, респект тебе за качественный контент и выносливость (8 часов!). Пора тебе уже делать платные воркшопы на западных конфах ;)
Ну и конечно же я не могу не отметить моего коллегу Jean-Ian Boutin из Канады, который провел интересный воркшоп "Ревёрсим банковский троян: взгляд вглубь Гаттаки".

В качестве заключения скажу, что мероприятие удалось и мне, не смотря на некоторые недостатки, понравилось принимать в нем участие и в качестве спикера и в качестве слушателя. Ждем еще больше хардкора в следующем году и не опускайте планку по уровню докладов =)
или введите имя

CAPTCHA