На PHDays IV покажут, как взломать Gmail и шпионить через телевизор

На PHDays IV покажут, как взломать Gmail и шпионить через телевизор

Громкие разоблачения и скандалы, связанные со взломом электронной почты влиятельных пользователей, всегда сопровождаются спорами о подлинности попавшей в сеть переписки. До сих пор считалось, что корректная подпись DKIM однозначно указывает на автора корреспонденции.

Но стоит ли на сто процентов доверять этому механизму аутентификации? Об уязвимостях в сервисах Google, Яндекс и Mail.Ru, о небезопасности телевизоров и недостатках устройств на базе ARM расскажут 21 и 22 мая в Москве, на международном форуме по практической безопасности Positive Hack Days IV.

Безопасные протоколы небезопасно используются

Суммарная аудитория сервисов Google, Яндекса и Mail.Ru приближается к миллиарду пользователей, к анализу их защищенности привлекаются сотни экспертов со всего мира, однако от уязвимостей никто не застрахован. Один из ярчайших представитель российской «старой школы», основатель securityvulns.ru и разработчик прокси-сервера 3proxy Владимир Дубровин (известный под ником 3APA3A) расскажет об ошибках использования протоколов, обеспечивающих приватность, целостность и шифрование данных, — как о хорошо известных (в случае SSL/TLS и Onion Routing), так и о совсем свежих. На десерт Владимир представит новые векторы атак, направленных на получение и подмену информации в различных сервисах, в том числе в электронной почте.

Smart TV — умный шпион в вашем доме

Телевизор был создан, чтобы сделать нашу жизнь полнее, но никто не подозревал, что наследники приемников «КВН-49», в линзу которых наливалась дистиллированная вода, обернутся компьютерами с собственной операционной системой, камерой, микрофоном, браузером и приложениями. Надо ли говорить, что еще одну дверь в нашу приватную жизнь тут же принялись ломать киберпреступники?..

Донато Ферранте (Donato Ferrante) и Луиджи Аурьемма (Luigi Auriemma), основатели компании ReVuln и известные охотники за уязвимостями в SCADA-системах и многопользовательских играх, расскажут о слабых местах технологии Smart TV, вызывающих интерес злоумышленников, и продемонстрируют уязвимости, обнаруженные в телевизорах со Smart TV разных производителей.

Эксплуатация уязвимостей ARM на примере Android

Вооружившись ноутбуками, участники мастер-класса Асема Джакхара (Aseem Jakhar) с головой окунутся в проблемы защищенности ARM. Исследователь компании Payatu Technologies и один из основателей конференции Nullcon проведет слушателей по всем кругам ада низкоуровнего программирования: начиная от ассемблирования в архитектуре ARM, через написание шелл-кода, мимо переполнения буфера и обратной разработки — до внедрения кода.

Акцент на практических моментах позволит всем желающим освоиться с ассемблированием в ARM и узнать, какие процессы задействованы в эксплуатации уязвимостей Linux-систем на базе ARM. Выбор платформы Android в качестве полигона для экспериментов даст возможность получить представление о принципах разработки и защитных механизмах в самой популярной мобильной ОС.

Как подслушать человека на другом конце земного шара

В последнее время в интернете и даже в эфире телеканалов появляются записи телефонных переговоров, явно полученные без ведома абонентов. Многие из нас получали также очень странные SMS — а потом огромные счета за услуги мобильной связи.

Сергей Пузанков — эксперт Positive Technologies, специализирующийся на информационной безопасности мобильных сетей, рассмотрит возможности злоумышленника, получившего доступ к святая святых телеком-операторов — к системе сигнализации SS7. Он расскажет об алгоритмах проведения атак, направленных на раскрытие конфиденциальных данных абонента и его географического местоположения, на изменение набора подключенных услуг, перенаправление вызовов, несанкционированное «вклинивание» третьей стороны в канал голосовой связи. Все атаки реализуются с помощью документированных сигнальных сообщений. В докладе будут также описаны способы проактивной защиты от подобных атак и методы расследования инцидентов, связанных с уязвимостями сигнальной сети.

Молох в роли следователя

Тысячи лет назад в честь древнего бога Молоха совершались человеческие жертвоприношения. В случае с открытой высокомасштабируемой системой захвата пакетов Moloch все не так кровожадно (хотя злоумышленники могут с этим и не согласиться). Система служит в качестве инструмента расследования случаев компрометации, поскольку способна захватывать трафик в режиме реального времени. Moloch также используется для поиска и взаимодействия с крупными PCAP-репозиториями в целях проведения исследований (трафик вредоносных программ, трафик эксплойта или сканирования). API системы Moloch облегчает интеграцию с системой SEIM и другими инструментами, что позволяет ускорить анализ.

Энди Уик (Andy Wick) и Оуэн Миллер (Eoin Miller) — участники группы CERT корпорации AOL. Участники их hands-on lab смогут установить экземпляры Moloch на собственных виртуальных машинах и узнают, как AOL использует Moloch совместно с другими системами обнаружения вторжений (Suricata, Snort), встраивая функцию оповещения в консоли и SEIM (Sguil, ArcSight), чтобы защитить своих сотрудников, пользователей и интернет в целом. Исследователи также продемонстрируют, как Moloch захватывает трафик сети соревнования PHDays CTF, и подробно разберут все инциденты.

Защита промышленных и инфраструктурных объектов в Европе

События последних лет, начиная с терактов 11 сентября и заканчивая WikiLeaks и Stuxnet, заставили правительства разных стран начать разработку национальных стратегий кибербезопасности для защиты жизненно важных инфраструктур.

Игнасио Паредес — руководитель научно-исследовательского отдела испанского Центра промышленной кибербезопасности — уверен, что сотни тысяч производственных инфраструктур в Европе находятся под угрозой. Он представит доклад о стремительной конвергенции промышленных и корпоративных систем, о связанных с этим процессом рисках и срочных контрмерах, которые необходимо предпринять в целях безопасности европейских государств.

И снова о безопасности WordPress

Пятая часть (19%) всех сайтов в мире работает на WordPress, поэтому неудивительно, что безопасность этой системы управления контентом имеет огромное значение. Однако несмотря на открытый исходный код и регулярную помощь исследователей в области защиты информации, в данной CMS по-прежнему находят серьезные баги и уязвимости.

Бельгиец Том Ван Гутем (Tom Van Goethem), аспирант Лёвенского католического университета, на PHDays IV расскажет о том, как неожиданное поведение MySQL вызывает уязвимость PHP Object Injection в ядре WordPress, и продемонстрирует сценарии использования этой ошибки безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Плохо закрытая уязвимость в Apache Tomcat грозит захватом сервера

Участники проектов Apache Software Foundation перевыпустили патч к недавно закрытой в Tomcat уязвимости RCE, так как прежний оказался неполным. Обновления вышли в ветках 9.0, 10.1 и 11.0; их рекомендуется установить с поправкой на версию Java.

Проблема, возникшая в серверном софте из-за дефектного патча от 17 декабря, зарегистрирована как CVE-2024-56337. Уязвимости, которую так неудачно закрыли, был присвоен идентификатор CVE-2024-50379; степень угрозы оценена по CVSS в 9,8 балла.

Обе классифицируются как состояние гонки вида Time-of-Check Time-of-Use (TOCTOU). Согласно бюллетеню, подобная ошибка может возникнуть при работе в системе, не учитывающей регистр символов в именах файлов, где также включена запись для дефолтного сервлета Tomcat.

Эксплойт позволяет обойти защиту и загрузить на сервер вредоносные файлы с целью захвата контроля над системой.

Доработанный патч включен в состав сборок Tomcat 9.0.98, 10.1.34 и 11.0.2. Помимо установки апдейта пользователям придется внести изменения в настройки в соответствии с используемой версией Java:

  • Java 8 или 11 — выставить значение «false» для системного свойства sun.io.useCanonCaches (по умолчанию «true»);
  • Java 17 — вернуть sun.io.useCanonCaches в дефолтное значение «false» (если оно менялось);
  • Java 21 и выше — все оставить как есть (изменения не потребуются).
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru