Разработка

Информационная безопасность

Куратор секции: Роман Ананьев

Способы взлома данных постоянно совершенствуются, поэтому нужно постоянно держать руку на пульсе новых технологий и получать как можно больше информации о видах и способах хакерских атак. Для этого в секции Информационная безопасность я собрал специалистов своего дела.
Их доклады будут интересны абсолютно всем — от обыкновенного пользователя до IT специалиста, потому что информационная безопасность касается каждого напрямую. Мы узнаем как действуют хакеры, как защитить свою важную информацию и почему легкая паранойя в области безопасности данных никому не помешает. На десерт в этой секции будет настолько важный и ценный доклад, что его содержание до сих пор держится в секрете. Будет интересно. До встречи на «Стачке»!

Я - Роман Ананьев. Я специализируюсь на информационной безопасности, а это значит, что я отвечаю за защиту важных данных компании, анализирую и нахожу возможные пробелы в безопасности прежде чем до них смогут добраться злоумышленники.Мои контакты для любых вопросов ¯ \_(ツ)_/ ¯

Доклады и информация с секции информационной безопасности 2017 тут :)


David Busby
Information Security Architect @ Percona
Whitchurch, United Kingdom

In this talk we will cover what is an attack surface and what you can do to limit it.

  • Acronym hell what does all these acronyms associated with security products mean and what do they mean?
  • Vulnerability media naming stupidity or driving the message home ?
  • Detection or Prevention avoiding the boy who cried wolf.
  • Emerging technologies to keep an eye on or even implement yourself to help improve your security posture.
  • 2014 -> 2017 what's been going on, why have there been so many compromises ?

Ares

ares

Что такое MiTM?

Как он работает и посмотрим на него более подробно вместе с автором Intercepter-NG

  • Заметки об особенностях практической реализации некоторых сетевых атак.

Wire Snark
co-founder @ DEFCON Nizhny Novgorod
Nizhny Novgorod

Поговорим о том, как проводить анализ безопасности исходного кода Андроид-приложения. Узнаем, какие ошибки допускаются наиболее часто — OWASP Mobile Top 10. Рассмотрим Android-специфичные примеры.

В докладе рассматриваются методология и основные этапы анализа безопасности исходного кода Андроид-приложений. Рассказывается, что такое модель угороз, а также практические методы её построения. Затрагиваются вопросы анализа архитектуры приложений с точки зрения безопасности. Приводится практический опыт использования статических анализаторов исходного кода для поиска недостатков, влияющих на безопасность приложений. Рассматриваются наиболее часто встречающиеся ошибки по классификации OWASP Mobile Top 10 с примерами из практического опыта.


Артур Гайнуллин
Руководитель @ Cryptogramm
Казань
  1. Краткий экскурс в мобильные сети
  2. Что такой SS7 (ОКС-7), и почему он не безопасен
  3. Немного практики: схема взлома через SS7 и несколько кейсов с примерами
  4. Что с этим делать простым людям и компаниям:
    • Sim апплеты
    • End-to-end шифрование
    • Оставшиеся надежные способы двухфакторной аутентификации
  5. Несколько советов для параноиков :)

Валерий Боронин
Head of SDL Solutions Dept, R&D @ Positive Technologies
Новосибирск

Доклад о том, как помочь разработчикам включить безопасность в процессы DevOps, в том числе в плане непрерывной интеграции и непрерывного развертывания. Какие практики по безопасности необходимы, какие сделают качество работы выше и почему. Ключевые моменты для успеха и сопутствующие риски на пути распространения практик безопасной разработки (SDL) на фазу Operations


Roman Ananev

Москва

Слайды презентации: https://www.slideshare.net/rsananyev/stachka-priva...

  • TL;DR
    • Про вас все давно всем известно,
    • И про то, что вы делаете,
    • И даже до истории браузера докопаются.
  • Расскажу про OSINT и как "вычислить по IP" или просто найти человека
  • И кто еще и и как ваши данные хранит и передает куда и за сколько $$$
  • "XSS? Фишинг? Криворукость? Штааааа? Да это вообще их другой оперы! И почему это мы сами виноваты?" (с) Все, кто будут слушать
  • Ну и да, что с этим делать и как жить дальше :)

Максим Белоенко
Директор по развитию бизнеса @ Qrator Labs
Москва
  • IoT и что-за зверь этот Mirai
  • Как положить Twitter, PayPal и отключить половину США от интернета
  • И как защищаться от DDoS и что в таких случаях делать

███ ██████
Top Secret @ Top Secret
Top Secret

████████████████ ████████████ █ ████████
█████████████ ███████ █████████████████████████
████ ████ ██████████ ████████ ███████ ████████


Григорий Земсков
Директор @ Ревизиум
Москва

История о том, как обеспечить безопасность своим сайтам в условиях современного агрессивного интернета.
Мифы, заблуждения о безопасности сайтов, практические кейсы, рабочие рекомендации для веб-специалистов и владельцев сайтов.

Стадия 1. Отрицание
Развенчиваем миф о том, что атакуют только какие-то определенные сайты и только с конкретными целями. Про взломы различных (в т.ч. коммерческих) CMS.
Стадия 2. Гнев
Зачем хакеры взламывают сайты, про шпионаж на взломанных сайтах и почему хакеры остаются в итоге безнаказанными.
Стадия 3. Торг
Как хакеры вымогают деньги у магазинов, как их атакуют и что с этим делать.
Стадия 4. Депрессия
Почему специалистам сложно проводить аудит взломанных сайтов и как правильно реагировать на инциденты безопасности.
Стадия 5. Принятие
Организационные меры и технические средства, доступные любому владельцу сайта, для обеспечения безопасности веб-ресурса.

Василий Кузнецов
Управляющий Партнер @ International Blockchain Consulting Group (IBCG)
Москва

Расскажу, как блокчейн повлияет на безопасность людей в повседневной жизни.
Что поменяется в привычном пути "Работа-Дом"? Сколько жизней будет спасено с внедрением этой технологии в медицинском секторе? Почему воровство потеряет смысл? Это, и многое другое вы услышите в этом докладе


Алексей Киселёв
Менеджер проекта Kaspersky DDoS Prevention @ АО "Лаборатория Касперского"
Москва
  • Что такое DDoS-атака?
  • Тенденции современных атак.
  • Почему атакуют и как это бывает
  • Последствия DDoS-атак
  • Подходы к защите от DDoS-атак?

Wire Snark
co-founder @ DEFCON Nizhny Novgorod
Nizhny Novgorod
Поговорим о проектировании безопасных приложений для "интернета вещей" на платформе Embedded Linux (Yocto). Узнаем о том, как создание модели угроз помогает в процессе разработки безопасного ПО. Рассмотрим сервис-ориентированную архитектуру на примере приложения для голосового управления умным домом. В докладе рассматривается методология построения безопасных систем в применении к созданию приложений для "интернета вещей". Рассказывается, что такое модель угроз, как она встраивается в процесс разработки программного обеспечения (SDLC). На примере приложения для голосового управления иллюстрируется применение принипа разделения обязанностей и принципа наименьших привилегий. Рассматриваются практические аспекты создания приложения с сервис-ориентированной архитектурой в окружении Yocto Linux - использование DBus IPC, выбор подходящих безопасных языков программирования (среди Go, Rust, Python, Node.js, Java). Затрагиваются вопросы изоляции уязвимого кода, обрабатывающего недоверенные входные данные.