Positive Hack Days 2012のビデオ-一般公開

5月30日と31日に、Digital Octoberテクノロジーセンターは、実用的な安全性問題に関するPositive Hack Days 2012国際フォーラムを開催しました。 1500人、多数のレポートとワークショップ、大規模なCTF競技、豊富な競技プログラム-これらはすべてPHDaysです。 これで、インターネットコミュニティの代表者、セキュリティの専門家、世界中のハッカーからの特別なカクテルを何とか混合し、カクテルが美味しくなったことを全責任で宣言できます。

今日、約束どおり、PHDays 2012のレポートとワークショップの記録を公開します。情報セキュリティに関するギガバイトのビデオの中には、ゲーテの「ファウスト」よりも強力なものがあります-ブルースシュナイアー、世界暗号の伝説。 素敵な景色を！

主要論文

Bruce Schneierによるビデオレポートは、 このリンクから入手できます（13:00から）。 暗号学の第一人者は彼のセキュリティ哲学について語り、多くの人を驚かせました。 法の違反者（ハッカー）は、彼の意見では、有害であるだけでなく有用でもあります。

Datuk Mohd Nur Aminは、サイバー脅威との闘いを目指し、国連の専門機関である国際電気通信連合（ITU）と協力する、国連下での最初の公的機関である国際サイバー脅威に対する国際パートナーシップ（IMPACT）の議長です。 インパクトは、サイバースペースの世界最大のセキュリティ協会として認識されています。 137か国で構成されています[ ビデオ ]。

テレコム

レポート： Sergey Gordeychik、「テレコムをハックして生き続ける方法-2.請求に手を差し伸べる」[ ビデオ ]。

技術ネットワークの鍵はどこに保存されていますか？ 会社の中核事業に問題を生じさせずに請求書を入手する方法 これについて、および通信ネットワークの侵入をテストする新しい示唆的で楽しいケースについて、セルゲイは彼のレポートで述べた。

セクション： Eugene Klimov、「RISSPA。 テレコム対不正：誰が勝ちますか？」 ビデオはこのリンクから入手できます（12:15から）。

公共部門

報告書：ミハイル・エメリアニコフ、「個人データに関するロシアの法律に違反しないことは不可能な場合と理由」[ 動画 ]。

レポート：ロシアのFSTECのアンドレイV.フェディチェフ、「なぜ国家の秘密がインターネットに現れるのか？」[ ビデオ ]。

レポート：アレクセイ・ルカツキー、「ロシアの大統領選挙は情報セキュリティ市場にどのように影響しますか、または規制はどこに向かっていますか？」ビデオはこのリンクで利用できます（午後4時から）。

ネットワークセキュリティ

レポート：ウラジミール・スタイラン、「虚偽についての真実：セキュリティのためのソーシャルエンジニアリング」[ 動画 ]。

マスタークラス：アンドレイマサロビッチ、「インターネット上の競争的情報」。 ビデオはこのリンクから入手できます（16:08以降）。

マスタークラスの参加者は、実際の競合インテリジェンスの例を使用して、分析技術、特に機密情報の漏洩を迅速に検出する技術、およびサーバーのセクションを開く方法、セキュリティを破らずにFTPサーバーに侵入してパスワードリークを検出する方法、およびアクセスする方法に精通しましたDLPをバイパスし、対応する権限なしでパーティションに侵入する機密文書（エラー403）。 デモは、十分に保護された企業（ITおよび情報セキュリティ市場のリーダー、大規模な政府機関、特別サービス）のポータルの例で実施されました。

マスタークラス： Dmitry Ryzhavsky、「ワイヤレスLANセキュリティ：ネットワークへの侵入方法と回避方法」[ ビデオ ]。

プレゼンテーション中に、Wi-Fiネットワークへの不正アクセスを取得するための最も適切な方法が検討され、説明された攻撃から保護するためのCisco Unified Wireless Networkの包括的なソリューションが提供するメカニズムが実証されました。

マスタークラス： Sergey Lozhkin、「コンピューターインシデントの調査」。 ビデオはこのリンクから入手できます（14:00から）。

このワークショップは、インターネットリソースへの不正アクセスに関連するインシデントの調査専用でした。 ホストはリスナーに現代のハッカーの心理的な肖像を紹介し、侵入者の種類について話しました。 悪意のある行為の痕跡を検出し、ハッキング信号に応答することから、法執行機関と協力して攻撃者を探すことまで、インシデントに取り組むプロセスを調査しました。 さらに、フォーラムのゲストは、実際のセキュリティインシデントに関する興味深い話を聞きました。

マスタークラス： Nikhil Mittal、「入出力デバイスの助けを借りてカオスを作成する」[ ビデオ ]。

このワークショップでは、非常に重要ですが、普遍的に無視されているコンピューターセキュリティの側面、つまり人間との対話用に設計されたデバイス（Human Interface Devices、HID）の脆弱性について説明しました。

レポート： Sylvain Munot、「サイバー犯罪者によるカリプソ電話の使用」[ ビデオ ]。

レポート： Andrey Kostin、PostScript：危険！ MFP、PCなどのハッキング” [ ビデオ ]。

レポート：セルゲイクレボギン、「CEH。 倫理的なハッキングと侵入テスト」[ ビデオ ]。

ワークショップの参加者は、ネットワークプロトコル、オペレーティングシステム、およびアプリケーションの典型的な脆弱性について学びました。 スピーチの過程で、進行役はコンピューターシステムおよびネットワークに対するさまざまな種類の攻撃のシーケンスを説明し、セキュリティを強化するための推奨事項も作成しました。 リスナーは実際の環境に飛び込み、システムを実際にハッキングする方法を確認しました。その後、ハッカーの行動を予測し、それらにうまく対処するためです。

プレゼンテーション： Travis Goodspeed、「Packets-in-Packets Technologyを使用した無線干渉の操作」ビデオは、 このリンクで利用できます（15:10から開始）。

講演者は、PIPエクスプロイトの機能について説明し、IEEE 802.15.4ネットワークと北欧RF低電力無線モジュールの例を示しました。

SAP、SCADA、ERP

報告：ユディン・アレクセイ、「攻撃者の目から見たERP」。 ビデオはこのリンクで利用できます（15:00から）。

報告：アンドレイ・ペトロヴィッチ・デュカロフ、「産業情報システムの保護-人類の生存要因」[ ビデオ ]。

レポート： Evgenia Schumacher、「職場を離れずに同僚の給与を調べる方法、またはSAP HR Security」[ ビデオ ]。

報告：アレクサンダー・ミハイロヴィチ・ポリヤコフ、「SAPの不安定性 ：新しくてより良い」[ イデオ ]

このレポートは、暗号化の問題から認証のバイパス、おかしなエラーから複雑な攻撃ベクトルまで、SAPシステムで最も興味深い10の脆弱性と攻撃ベクトルに専念しました。 初めて、一般大衆は、レポートに示された脆弱性のかなりの部分に精通しました。

ワークショップ： Alexei Yudin、「自分の手でのSAPセキュリティ」[ ビデオ ]。

このワークショップの参加者は、利用可能なツールを使用して、SAP R / 3およびNetWeaverシステム（アプリケーションサーバーとインフラストラクチャを含む）の基本的なセキュリティ分析を行う方法を学びました。

ウェブセキュリティ

マスタークラス： Vladimir Lepikhin、Webアプリケーションへの攻撃。 基本。 ビデオはこのリンクから入手できます（09:00から）。

このレポートは、侵入者のWebアプリケーション、トリック、およびツール（手動分析中の作業結果を使用した特殊なセキュリティスキャナー、ユーティリティ）に対する攻撃を実装するメカニズムを体系的に提示しました。 攻撃の実行を可能にするWebアプリケーションの実際的な弱点は、実際の例と、使用される保護ツールの欠点およびそれらを回避する方法によって示されました。

レポート： Miroslav Stampar、「DNSを介したデータ漏洩：sqlmapの使用」[ ビデオ ]。

スピーカーは、SQLインジェクションを使用したDNS抽出技術を紹介し、その長所と短所について話し、視覚的なデモンストレーションも行いました。

レポート： Vladimir Vorontsov、「MicrosoftネットワークのWebクライアントへの攻撃」[ ビデオ ]。

このレポートでは、ユーザーがMicrosfotネットワーク内でInternet Explorerを攻撃できる方法について説明し、リモートサーバー（アクセスポリシーの制限を回避）とローカルPCの両方にある機密ユーザーデータの取得を目的とした攻撃を検討しました。

マスタークラス： Andres Ryancho、「Security Web 2.0。 高度なテクニック” [ ビデオ ]。

マスタークラスは、XML、HPP / HPCを使用した攻撃、およびクリックジャッキングやセッションパズルなどの攻撃から保護するための手法を検討しました。

レポート： Sergey Shcherbel、「すべてのPHPが同じように役立つわけではありません。」 ビデオはこのリンクで利用できます（16:00から）。

レポートでは、ゼロデイ脆弱性の例と同様に、サードパーティのPHP実装を使用する場合のWebアプリケーションの動作の特定されたセキュリティ問題と機能を調べました。

レポート： ThibaultKöhlen、「Naxsiはポジティブセキュリティモデルに基づいたオープンソースのWebアプリケーションファイアウォールです」[ ビデオ ]。

レポート： Alexey Moskvin、「PHPラッパーの安全な使用について」[ ビデオ ]。

レポート： Vladimir Kochetkov、「ASP.NETのサイトをハッキングしますか？ 難しいが、可能だ！」[ ビデオ ]。

このレポートでは、根本的に新しいタイプの「コードインジェクション」攻撃を含む、新しいゼロデイ脆弱性の例とその悪用の可能なテクニックを検証しました。

モバイルセキュリティ

マスタークラス： Manish Chasta、「Androidのアプリケーションセキュリティ」[ 動画 ]。

このレポートでは、Androidモバイルアプリケーションの脆弱性を検出および排除するための手法について簡単に説明しました。 さらに、このプレゼンテーションでは、Androidプラットフォームで実行されているデバイスの管理者権限を取得する問題（Androidルーティング）、SQLiteデータベースの分析、Android Debug Bridge（ADB）のアプリケーション、モバイルサーバーに関連する脅威に対処しました。 Open Web Application Security Project（OWASP）コミュニティによって公開されたモバイルアプリケーションに対する10の最も危険な脅威のリストも聴衆に提示されました。

レポート： Marcus Nimitz、「Androidのユーザーインターフェイスの傍受」[ ビデオ ]。

マスタークラス： Sergey Nevstroyev、「モバイルセキュリティの実用的側面」[ ビデオ ]。

ボットネットの戦い
レポート： Maria Garnayeva、「ボットマスターのホイールにスティックを挿入する方法：Kelihosボットネット」。 ビデオはこのリンクから入手できます（09:10以降）。

報告：アレクサンダー・ゴステフ。 この報告書はもともと「The Secret of DuQu」と呼ばれていましたが、その後、発言者はFlameと呼ばれる新しい脅威に焦点を合わせることにしました。 ビデオはこのリンクから入手できます（14:00から）。

報告：アレクサンドル・リアミン、DDos：サバイバルの実践ガイド。 パート2」。 ビデオはこのリンクから入手できます（17:03から）。

レポート： Fedor Yarochkin、Vladimir Kropotov、「ボットネットのライフサイクルとネットワークトラフィックの分析によるボットネットの検出」[ ビデオ ]。

マスタークラス：ピエールマルクビューロー。 「Win32 / Georbot。 マルウェアの機能とその自動分析” [ ビデオ ]。 このボットネット上の世界初のマスタークラス。

パスワード保護の問題

レポート： Aleksey Evgenievich Zhukov、「軽量暗号化：リソースに対する要求が厳しくなく、攻撃に強い」 ビデオはこのリンクから入手できます（12:00から）。

レポート： Dmitry Sklyarov、Andrey Belenko、「スマートフォン用の安全なパスワードマネージャーと軍用グレードの暗号化：「Che、seriously？..」」。 ビデオはこのリンクから入手できます（10:15から）。

プレゼンテーション： Alexander（Solar Designer）Peslyak、「パスワード保護：過去、現在、未来」[ ビデオ ]。

プレゼンテーションの一環として、パスワード保護の問題、開発履歴、および認証技術の当面の見通しが検討されました。

報告：ベンジャミン・デルピー、「ミミカッツ。 Windows 8のパスワードを回復します。「[ ビデオ ]。

ハッカーとお金

セクション： Artyom Sychev、「彼らはどのようにお金を保護しますか？」[ ビデオ ]。

レポート： Dmitry Gorelov、「ロシアのスマートカード：公衆電話からUECへ」。 ビデオはこのリンクから入手できます（10:00から）。

レポート： Alexander Matrosov、Evgeny Rodionov、「最新のバンキングマルウェアに関するスマートカードの脆弱性」 ビデオはこのリンクから入手できます（11:07から）。

「最新のバンキングマルウェアに関するスマートカードの脆弱性」というレポートを作成するにあたり、スピーカーはそのようなプログラムの最も一般的なものを調査し、2要素認証とスマートカードを使用した場合の興味深い脆弱性を明らかにしました。 さらに、このレポートでは、法医学的検査の実施を妨げる悪意のある要因やトリックについても説明しています。

報告：ミカ・ボーマン、「オンラインでクレジットカードで支払いますか？」 頭痛に備えましょう」[ ビデオ ]。

実用的な安全性

マスタークラス： Boris Ryutin、「ウイルス対策なしのセキュリティ」[ 動画 ]。

オペレーティングシステムでトロイの木馬を検出する基本的なスキルを習得した4時間のマスタークラスは、Windows用のトロイの木馬（SpyEye、Carberp、Duqu）を開発するための最も高度な技術を研究し、Android用のトロイの木馬を調べ、現在のエクスプロイト（PDF、Java）の分析にも精通しました。

レポート：ユーリ・グバノフ、「干し草の山で象を見つける方法」[ ビデオ ]。

レポート： Dmitry Evdokimov、「コード分析ツール：明るい面と暗い面」[ ビデオ ]。

Dmitryは、ソースコード、バイトコード、バイナリコードをインスツルメントする方法を検討しました。

レポート： Nikita Tarakanov、Alexander Bazhanyuk、「自動脆弱性検索ツール」。 ビデオはこのリンクで利用できます（17:00から）。

レポート： Igor Kotenko、「ソフトウェアエージェントのサイバー戦争：インテリジェントエージェントのチームワークの理論を応用したサイバー軍隊の構築」[ ビデオ ]。

レポート： Ulrich Fleck、Martin Eisner、「人気のあるフレームワークの例で0日からAPTへの攻撃」[ ビデオ ]。

セクション：デモセクション「一度見たほうがいい」 ビデオはこのリンクから入手できます（17:10以降）。

匿名およびLulZ

レポート：ジェリーガンブリン、「LulzSecストーリーから何を学ぶことができます（また、そうすべきか）」[ ビデオ ]。
講演中、ジェリーは人々のグループによる「トローリング」の対象になりましたが、驚くようなユーモアのセンスに反応しました[ ビデオ ]。

報告：ヘイゼム・エル・ミール、「チュニジアはどのように匿名に直面したか」 ビデオはこのリンクから入手できます（14:10から）。

その他のトピック

報告：アレクセイ・アンドレーエフ（マーシー・シェリー）、「サイバーパンクの過去と未来」[ 動画 ]。

アレクセイは、ロシアのサイバーパンクの発展に関する彼の見解を共有しました。

報酬：受賞者には賞品[ ビデオ ]が贈られます。

コンサート：フォーラム終了時のUnderwoodグループ[ ビデオ ]。

PS以下では、Positive Hack Days 2012フォーラムに関するレビューを含むさまざまなブログのエントリへのリンクを公開しています。

sgordey.blogspot.com/2012/06/phdays.html
andreicostin.com/index.php/brain/2012/06/08/phdays_2012_overview
sgordey.blogspot.com/2012/06/blog-post_07.html
www.itsec.pro/2012/06/phdays.html#more
blog.eset.com/2012/06/05/smartcard-vulnerabilities-in-modern-banking-malware
alekskrasnov.blogspot.com/2012/06/phdays-everywhere.html
hashcat.net/forum/thread-1246.html
xanadrel.blogspot.fr/2012/06/phd-hash-runner-contest.html
forum.insidepro.com/viewtopic.php?p=95655#95655
lexa.livejournal.com/47491.html
devteev.blogspot.com/2012/06/phdays-2012.html
amatrosov.blogspot.com/2012/06/phdays2012.html
c3ret.wordpress.com/2012/06/04/positive-hack-days-2012
blog.scrt.ch/2012/06/04/ctf-phdays-2012
ax330d.blogspot.de/2012/06/positive-hack-days-2012-moscow.html asintsov.blogspot.de/2012/06/phdays-write-up.html
toxa.livejournal.com/549105.html
oxod.ru/?p=367
scii.ru/_shr/2012/06/phdays-2012-%D0%B2%D0%BF%D0%B5%D1%87%D0%B0%D1%82%D0%BB%D0%B5%D0%BD ％D0％B8％D1％8F
vkochetkov.blogspot.de/2012/06/phdays-2012.html
jerrygamblin.com/post/24221592284/phdays
jerrygamblin.com/post/24165573828/trolled-in-russia
www.tsarev.biz/informacionnaya-bezopasnost/positive-hack-days-2012-poslevkusie
raz0r.name/other/phdays-snatch-writeup
i-business.ru/blogs/20371
www.securitylab.ru/blog/personal/secinsight/22549.php
securegalaxy.blogspot.com/2012/06/dery.html

Twitterでフォーラムノートを読みたい（またはTwitterブロードキャストを読み直したい ）場合は、ハッシュタグ#PHDaysを使用してください。