Ведущий: Евгений Колотинский
Device Fingerprinting (точнее – Browser Fingerprinting) является классическим способом опознавания пользователя и его устройства в интернете. Этот подход давно и успешно демонизируется борцами за сетевую анонимность. Тем не менее, мы будем говорить не только о темных сторонах Device Fingerprinting, но и о применении этой технологии для повышения надежности и качества обслуживания там, где это оправдано. Обязательно поговорим и о самих способах построения Fingerprint, о точности, надежности и устойчивости, а также о том, почему TOR Browser не всегда является лекарством против отслеживания, и о том, что анонимности в интернете на самом деле намного меньше, чем кажется.
Ведущий: Дан Корецкий
Миллионы устройств на Android содержат уязвимости, которые дают права суперпользователя. Докладчик расскажет о технических причинах проблем безопасности (коллизии хеш-функций, злоупотребление межпроцессорным взаимодействием, ошибки работы с сертификатами приложений). Продемонстрирует атаку на «живое» устройство и предоставит рекомендации для снижения риска. Слушатели узнают, почему нельзя полностью устранить уязвимости. Докладчик также поведает историю о том, как были обнаружены атаки в Google Play.
Ведущий: Владимир Иванов и Сергей Гордейчик
Эксперт ИТ и исследователь кибербезопасности поделятся своим взглядом на проблему современных целевых атак, спонсируемых государствами и криминальными группировками. Докладчики расскажут об эффективности существующих подходов к защите, о способах обхода песочницы, и о том, пора ли IDS и AV отправляться на свалку.
Техники пентеста для активной защиты - Николай ОвчарукHackIT Ukraine
Презентация с форума http://hackit-ukraine.com/
Николай Овчарук
Служба IT безопасности, Воля
Техники пентеста для активной защиты
О спикере: Занимается техническим аудитом, расследованием инцидентов, разработкой и внедрением средств защиты. Играет в CTF.
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»Yandex
Научно-технический семинар «Android и iOS: безопасность мобильных приложений» в московском офисе Яндекса, 7 марта 2013 г.
Юрий Леонычев, администратор ИБ, Яндекс.
С чего начать свой путь этичного хакера? - Вадим ЧакрянHackIT Ukraine
Презентация с форума http://hackit-ukraine.com/
Вадим Чакрян
С чего начать свой путь этичного хакера?
Руководитель проекта Hackup {Learning} Network
О спикере: Руководитель проектов Hackup {Learning} Network, Харьковского OWASP сообщества, ISACA KNURE; Инструктор сетевой академииCisco; независимый тренер-консультант по вопросам информационной безопасности.
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
Ведущий: Дан Корецкий
Миллионы устройств на Android содержат уязвимости, которые дают права суперпользователя. Докладчик расскажет о технических причинах проблем безопасности (коллизии хеш-функций, злоупотребление межпроцессорным взаимодействием, ошибки работы с сертификатами приложений). Продемонстрирует атаку на «живое» устройство и предоставит рекомендации для снижения риска. Слушатели узнают, почему нельзя полностью устранить уязвимости. Докладчик также поведает историю о том, как были обнаружены атаки в Google Play.
Ведущий: Владимир Иванов и Сергей Гордейчик
Эксперт ИТ и исследователь кибербезопасности поделятся своим взглядом на проблему современных целевых атак, спонсируемых государствами и криминальными группировками. Докладчики расскажут об эффективности существующих подходов к защите, о способах обхода песочницы, и о том, пора ли IDS и AV отправляться на свалку.
Техники пентеста для активной защиты - Николай ОвчарукHackIT Ukraine
Презентация с форума http://hackit-ukraine.com/
Николай Овчарук
Служба IT безопасности, Воля
Техники пентеста для активной защиты
О спикере: Занимается техническим аудитом, расследованием инцидентов, разработкой и внедрением средств защиты. Играет в CTF.
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»Yandex
Научно-технический семинар «Android и iOS: безопасность мобильных приложений» в московском офисе Яндекса, 7 марта 2013 г.
Юрий Леонычев, администратор ИБ, Яндекс.
С чего начать свой путь этичного хакера? - Вадим ЧакрянHackIT Ukraine
Презентация с форума http://hackit-ukraine.com/
Вадим Чакрян
С чего начать свой путь этичного хакера?
Руководитель проекта Hackup {Learning} Network
О спикере: Руководитель проектов Hackup {Learning} Network, Харьковского OWASP сообщества, ISACA KNURE; Инструктор сетевой академииCisco; независимый тренер-консультант по вопросам информационной безопасности.
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
Мобильные устройства прочно вошли в нашу жизнь. Смартфоны и планшеты позволяют выполнять множество различных задач, в том числе и в области информационной безопасности. Но хотя разнообразного ПО для мобильных ОС очень много — необходимые для пенстеста программы на них отсутствуют. В качестве решения автор доклада предлагает самостоятельно собрать планшетный компьютер на базе Raspberry Pi 3 под управлением Linux. В отличие от прочих решений на базе Raspberry предлагаемое устройство не требует никаких дополнительных периферийных устройств — ни клавиатуры, ни мыши. Все взаимодействия с пользователем ведутся только посредством touch screen, что позволяет уменьшить устройство до размеров смартфона. На планшете установлены: Aircrack-ng, Kismet, Nmap, Wireshark, Metasploit (!), а также кастомизированные скрипты на Python. Докладчик продемонстрирует работу устройства и расскажет о том, как самостоятельно его собрать и настроить.
Ievgen Kulyk - Advanced reverse engineering techniques in unpackingNoNameCon
Talk by Ievgen Kulyk at NoNameCon 2019.
https://nonamecon.org
https://cfp.nonamecon.org/nnc2019/talk/HMVMNL/
There are a lot of packers/protectors used to hide the functionality of the software. Sometimes this software is legal, sometimes malicious. It is vital to be able to unpack such software for future investigation. But the main issue is that many commercial protections use different algorithms to make automation of unpacking difficult. We will discuss more advanced techniques that are powerful and can be used to break strong protection. We will talk about debugging without debugging API. Year, it's strange but it's real life.
During the debugging, we often talk about debugging API on windows or ptrace routine on Linux. These mechanisms are provided by OS developers. So it is strongly recommended to use them for user-mode debugging (debugging in ring3). But software protection systems can use a lot of techniques for detecting and preventing debugging.
In practical reverse engineering anti-anti debugging plugins can be used. The most famous of them: - Phantom and StrongOD (for OllyDbg); - ScyllaHide (for x64dbg, IDA Pro)
But such plugins can only protect from well-known detection algorithms. If some unknown technique will be used they will fail. So we will talk about how to implement your own tracing/debugging engine without debugging API and hide such an engine from anti-debug. We will dive into kernel development and implement our engine from scratch.
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Denis Batrankov, CISSP
Надеемся, что данные предложения помогут Вам эффективно и быстро реализовать защищенный и надежный удаленный доступ для ваших сотрудников, и реагировать на вызовы новых бизнес практик.
Документ как настраивать GlobalProtect на NGFW: http://tiny.cc/GLobalProtect
Запись этой презентации на youtube https://youtu.be/MqrNZ1J-7oE
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
Ведущий: Илья Сафронов
Докладчик расскажет о различных технико-организационных схемах, которые позволяют злоумышленникам обогащаться за счет телеком-оператора. Речь пойдет о манипуляции с номерами, биллингом, настройками коммутации и межоператорских стыков. Будут описаны принципы работы SIM-боксов и схем с петлями трафика.
Мобильная связь небезопасна. Аргументы, подкрепленные фактамиPositive Hack Days
Ведущие: Сергей Пузанков и Дмитрий Курбатов
Сети любого оператора мобильной связи содержат уязвимости, доставшиеся от старых технологий. Докладчики расскажут об уровне защищенности операторов на основе данных, полученных при исследовании реальных сетей.
Мобильные устройства прочно вошли в нашу жизнь. Смартфоны и планшеты позволяют выполнять множество различных задач, в том числе и в области информационной безопасности. Но хотя разнообразного ПО для мобильных ОС очень много — необходимые для пенстеста программы на них отсутствуют. В качестве решения автор доклада предлагает самостоятельно собрать планшетный компьютер на базе Raspberry Pi 3 под управлением Linux. В отличие от прочих решений на базе Raspberry предлагаемое устройство не требует никаких дополнительных периферийных устройств — ни клавиатуры, ни мыши. Все взаимодействия с пользователем ведутся только посредством touch screen, что позволяет уменьшить устройство до размеров смартфона. На планшете установлены: Aircrack-ng, Kismet, Nmap, Wireshark, Metasploit (!), а также кастомизированные скрипты на Python. Докладчик продемонстрирует работу устройства и расскажет о том, как самостоятельно его собрать и настроить.
Ievgen Kulyk - Advanced reverse engineering techniques in unpackingNoNameCon
Talk by Ievgen Kulyk at NoNameCon 2019.
https://nonamecon.org
https://cfp.nonamecon.org/nnc2019/talk/HMVMNL/
There are a lot of packers/protectors used to hide the functionality of the software. Sometimes this software is legal, sometimes malicious. It is vital to be able to unpack such software for future investigation. But the main issue is that many commercial protections use different algorithms to make automation of unpacking difficult. We will discuss more advanced techniques that are powerful and can be used to break strong protection. We will talk about debugging without debugging API. Year, it's strange but it's real life.
During the debugging, we often talk about debugging API on windows or ptrace routine on Linux. These mechanisms are provided by OS developers. So it is strongly recommended to use them for user-mode debugging (debugging in ring3). But software protection systems can use a lot of techniques for detecting and preventing debugging.
In practical reverse engineering anti-anti debugging plugins can be used. The most famous of them: - Phantom and StrongOD (for OllyDbg); - ScyllaHide (for x64dbg, IDA Pro)
But such plugins can only protect from well-known detection algorithms. If some unknown technique will be used they will fail. So we will talk about how to implement your own tracing/debugging engine without debugging API and hide such an engine from anti-debug. We will dive into kernel development and implement our engine from scratch.
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Denis Batrankov, CISSP
Надеемся, что данные предложения помогут Вам эффективно и быстро реализовать защищенный и надежный удаленный доступ для ваших сотрудников, и реагировать на вызовы новых бизнес практик.
Документ как настраивать GlobalProtect на NGFW: http://tiny.cc/GLobalProtect
Запись этой презентации на youtube https://youtu.be/MqrNZ1J-7oE
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
Ведущий: Илья Сафронов
Докладчик расскажет о различных технико-организационных схемах, которые позволяют злоумышленникам обогащаться за счет телеком-оператора. Речь пойдет о манипуляции с номерами, биллингом, настройками коммутации и межоператорских стыков. Будут описаны принципы работы SIM-боксов и схем с петлями трафика.
Мобильная связь небезопасна. Аргументы, подкрепленные фактамиPositive Hack Days
Ведущие: Сергей Пузанков и Дмитрий Курбатов
Сети любого оператора мобильной связи содержат уязвимости, доставшиеся от старых технологий. Докладчики расскажут об уровне защищенности операторов на основе данных, полученных при исследовании реальных сетей.
Для всех популярных облачных провайдеров данных существуют сервисы, позволяющие анонимно загружать файлы в расшаренные пользователями хранилища. Примерами таких сервисов могут служить Dropittome, Balloon, Cloudwok, Sookasa. С учетом того, что конечные пользователи часто устанавливают клиенты для синхронизации с облаком, данный способ доставки зловредов на компьютер жертвы становится весьма действенным.
Ведущий: Иван Ёлкин
Ведущий фаст-трека расскажет об опыте внедрения Static Analysis Security Tool в QIWI, о сложностях, с которыми сталкивались разработчики. Писать «костыли» или рефакторить код? Что делать, когда мнения клиента и разработчика расходятся? Поведает, сколько строк кода пришлось прочитать и написать до и после запуска сканера, и предложит краткий обзор найденных и упущенных уязвимостей.
Ведущий: Артем Шишкин
Доклад описывает разработку средства отладки при помощи виртуализации: как применить существующие средства виртуализации для отладки, как обеспечить целостность отлаживаемой среды, как сделать отладку интерактивной и как обуздать низкоуровневую специфику аппаратной виртуализации. Докладчик расскажет об интеграции железа с операционной системой и о том, как встроить отладчик прямо в прошивку. Будут рассмотрены несколько жизненных примеров динамического анализа.
This document summarizes three security vulnerabilities that can exist in Flash applications:
1. Same-origin policy bypass through loader contexts and cross-domain policies
2. Phishing through manipulation of SWF URLs in metadata
3. Cross-site scripting through user-supplied parameters if the SWF is loaded from a public CDN domain that is shared by other sites.
Возможно, время не на твоей стороне. Реализация атаки по времени в браузереPositive Hack Days
Ведущий: Том Ван Гутем
В докладе будет рассмотрена новая киберугроза: атака по времени с использованием браузера. Атакующий добывает секретный ключ криптосистемы (например, RSA) при помощи анализа времени, затрачиваемого на шифрование входных данных, и получает доступ к конфиденциальной информации, размещенной на доверенном веб-сайте. Исследовав популярные веб-службы (приложения для работы с электронной почтой, социальные сети и сайты финансовых учреждений), докладчик выяснил, что атака компрометирует каждую из них и представляет неминуемую угрозу безопасности пользователей. Вниманию слушателей будет предложено несколько случаев из практики, иллюстрирующих тяжелые последствия атаки.
Нейронечёткая классификация слабо формализуемых данных | Тимур ГильмуллинPositive Hack Days
1. Проблемы автоматизации классификации слабо формализуемых (нечётких) данных.
2. Нечёткие множества и нечёткие измерительные шкалы.
3. Моделирование нейронной сети для классификации данных.
4. Инструмент FuzzyClassificator и его внедрение в Компании.
5. Автоматизация классификации данных на базе TeamCity.
Ведущий: Сергей Кавун
Докладчик расскажет о способе выявления инсайдеров на любом предприятии. Разработанная методика представляет собой математический аппарат, который программируется и закладывается в различные системы безопасности.
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПОPositive Hack Days
Ведущие: Эмиль Олейников и Юрий Гуркин
Как медицинские, так и SCADA-системы обладают возможностью удаленного управления, настройки и наблюдения. Зачастую их подключают к интернету. В докладе рассказывается об уязвимостях в специализированном ПО, используемом в медицине и промышленности, которые были исследованы с помощью отечественного пентест-фреймворка EAST (exploits and security tools). Аналогично Metasploit, он позволяет автоматизировать и облегчить поиск уязвимостей и иллюстрацию уровня риска.
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege EscalationPositive Hack Days
The document is a presentation about lockpicking and attacking master-keyed systems. It discusses pin tumbler locks and how to pick them by exploring the bitting depths of each pin position. It shows how information can be extracted from a lock's response to different key configurations to determine the full bitting of the lock. The goal is to demonstrate how master-keyed systems can be compromised by extracting bitting information from keys that have access to different parts of the system.
Fingerprinting and Attacking a Healthcare InfrastructurePositive Hack Days
The document discusses fingerprinting and attacking healthcare institutions. It notes that healthcare is an easy target due to less security maturity compared to other industries. It provides information on how to fingerprint electronic medical record (EMR) systems, medical devices, and other systems commonly found in hospitals. Specific techniques are presented for searching online databases to find healthcare systems and EMRs. The document also discusses attacks on the HL7 protocol commonly used in medical devices.
Ведущие: Дмитрий Частухин и Дмитрий Юдин
Бла-бла-бла SAP. Бла-бла-бла крупные компании. Бла-бла-бла взлом на миллионы долларов. Вот так обычно начинается любой доклад о SAP. Но в этот раз все будет по-другому. Давненько не было рассказов о жестокой эксплуатации и необычных уязвимостях. Пришло время пуститься во все тяжкие! Докладчики расскажут (и покажут), как получить полный контроль над системой, используя ряд незначительных уязвимостей в службах SAP.
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблюPositive Hack Days
Ведущий: Маттео Беккаро (Matteo Beccaro)
Доклад посвящен общим вопросам транспортной безопасности, мошенничества и технологических сбоев и будет интересен как профессиональным пентестерам, так и любителям. Докладчик рассмотрит несколько серьезных уязвимостей в реальных транспортных системах, в которых используется технология NFC, и продемонстрирует открытое приложение для тестирования таких систем со смартфона.
Ведущие: Роман Казанцев, Максим Вафин и Андрей Сомсиков
Разработка чит-кодов к различным сетевым играм со временем превратилась в прибыльный бизнес. С помощью внедренных чит-кодов можно анализировать данные памяти и собирать статистику об игроках. На примерах из игры Unreal Tournament 4 докладчики расскажут о методах борьбы с подобным читерством, основанных на запутывании кода.
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиPositive Hack Days
Ведущие: Ольга Кочетова и Алексей Осипов
Доклад посвящен наиболее популярным атакам на банкоматы, а также методам их предотвращения. Докладчик продолжит тему своих прошлых презентаций, однако с более глубоким проникновением в технические детали. Основное внимание будет уделено проблемам безопасности в архитектуре банкоматов и недостаткам защищенности взаимодействия банкоматов с процессинговым центром.
Ведущий: Альфонсо де Грегорио
Докладчик расскажет о рынке эксплойтов, его участниках, о деятельности брокера уязвимостей нулевого дня, а также осветит связанные с этим аспекты деловой этики.
Ведущий: Пол Викси
Система доменных имен (DNS) предлагает отличный вид на локальную и глобальную сети, что дает возможность исследовать действия киберпреступников и методы атак. В докладе будет показано, как обезопасить DNS и использовать ее для защиты других подключенных объектов. Докладчик подробно расскажет о подмене кэша DNS, расширениях защиты для протокола DNS (DNSSEC), DDoS-атаках, ограничении скорости передачи, межсетевом экране DNS и пассивном DNS-мониторинге.
Обратная разработка бинарных форматов с помощью Kaitai StructPositive Hack Days
Ведущий: Михаил Якшин
В докладе будут рассмотрены современные подходы к обратной разработке бинарных файлов: с чего начинают, что хотят получить на выходе, какими инструментами традиционно пользуются. Будет продемонстрирован новый проект— Kaitai Struct, представляющий собой инструментарий для декларативного описания бинарных структур данных с выводом результата в виде готовых библиотек на языках C++, Java, JavaScript, Python и Ruby. Несколько практических примеров использования обратной разработки помогут участникам лучше ознакомиться с проблематикой.
Ведущий: Александр Попов
В настоящем докладе будет рассмотрен успешный опыт использования отладочного механизма KASan (Kernel address sanitizer) для автономного гипервизора. Докладчик расскажет, как удалось усилить KASan по сравнению с его реализацией в ядре Linux.
Аналитика мобильных приложений: как настроить аналитику в приложении, какие инструменты выбрать (Flurry, Google Analytics, Fabric Answers, AppsFlyer), на что обращать внимание
http://light.mdday.ru
Introduction to Mobile applications testingOleg Nikiforov
Видео презентации: http://www.youtube.com/watch?v=pdWYmxbTgYw
Ссылка на iOS specifications map: https://www.dropbox.com/s/40eb09lvlsn8flm/ios_testing.png
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
1. Основные понятия и определения: продукт, пакет, связи между ними.
2. Как узнать, какие изменения произошли в продукте?
3. Проблемы changelog и release note.
4. Решение: инструмент ChangelogBuilder для автоматической подготовки Release Notes
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
1. Обзор Windows Docker (кратко)
2. Как мы построили систему билда приложений в Docker (Visual Studio\Mongo\Posgresql\etc)
3. Примеры Dockerfile (выложенные на github)
4. Отличия процессов DockerWindows от DockerLinux (Долгий билд, баги, remote-регистр.)
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
1. Проблемы в построении CI процессов в компании
2. Структура типовой сборки
3. Пример реализации типовой сборки
4. Плюсы и минусы от использования типовой сборки
1. Что такое BI. Зачем он нужен.
2. Что такое Qlik View / Sense
3. Способ интеграции. Как это работает.
4. Метрики, KPI, планирование ресурсов команд, ретроспектива релиза продукта, тренды.
5. Подключение внешних источников данных (Excel, БД СКУД, переговорные комнаты).
Approof — статический анализатор кода для проверки веб-приложений на наличие уязвимых компонентов. В своей работе анализатор основывается на правилах, хранящих сигнатуры искомых компонентов. В докладе рассматривается базовая структура правила для Approof и процесс автоматизации его создания.
Задумывались ли вы когда-нибудь о том, как устроены современные механизмы защиты приложений? Какая теория стоит за реализацией WAF и SAST? Каковы пределы их возможностей? Насколько их можно подвинуть за счет более широкого взгляда на проблематику безопасности приложений?
На мастер-классе будут рассмотрены основные методы и алгоритмы двух основополагающих технологий защиты приложений — межсетевого экранирования уровня приложения и статического анализа кода. На примерах конкретных инструментов с открытым исходным кодом, разработанных специально для этого мастер-класса, будут рассмотрены проблемы, возникающие на пути у разработчиков средств защиты приложений, и возможные пути их решения, а также даны ответы на все упомянутые вопросы.
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
Разработка наукоемкого программного обеспечения отличается тем, что нет ни четкой постановки задачи, ни понимания, что получится в результате. Однако даже этом надо программировать то, что надо, и как надо. Докладчик расскажет о том, как ее команда успешно разработала и вывела в промышленную эксплуатацию несколько наукоемких продуктов, пройдя непростой путь от эксперимента, результатом которого был прототип, до промышленных версий, которые успешно продаются как на российском, так и на зарубежном рынках. Этот путь был насыщен сложностями и качественными управленческими решениями, которыми поделится докладчик
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
Немногие разработчики закладывают безопасность в архитектуру приложения на этапе проектирования. Часто для этого нет ни денег, ни времени. Еще меньше — понимания моделей нарушителя и моделей угроз. Защита приложения выходит на передний план, когда уязвимости начинают стоить денег. К этому времени приложение уже работает и внесение существенных изменений в код становится нелегкой задачей.
К счастью, разработчики тоже люди, и в коде разных приложений можно встретить однотипные недостатки. В докладе речь пойдет об опасных ошибках, которые чаще всего допускают разработчики Android-приложений. Затрагиваются особенности ОС Android, приводятся примеры реальных приложений и уязвимостей в них, описываются способы устранения.
Разработка любого софта так или иначе базируется на требованиях. Полный перечень составляют бизнес-цели приложения, различные ограничения и ожидания по качеству (их еще называют NFR). Требования к безопасности ПО относятся к последнему пункту. В ходе доклада будут рассматриваться появление этих требований, управление ими и выбор наиболее важных.
Отдельно будут освещены принципы построения архитектуры приложения, при наличии таких требований и без, и продемонстрировано, как современные (и хорошо известные) подходы к проектированию приложения помогают лучше строить архитектуру приложения для минимизации ландшафта угроз.
Доклад посвящен разработке корректного программного обеспечения с применением одного из видов статического анализа кода. Будут освещены вопросы применения подобных методов, их слабые стороны и ограничения, а также рассмотрены результаты, которые они могут дать. На конкретных примерах будет продемонстрировано, как выглядят разработка спецификаций для кода на языке Си и доказательство соответствия кода спецификациям.
The document discusses preventing attacks in ASP.NET Core. It provides an overview of topics like preventing open redirect attacks, cross-site request forgery (CSRF), cross-site scripting (XSS) attacks, using and architecture of cookies, data protection, session management, and content security policy (CSP). The speaker is an independent developer and consultant who will discuss built-in mechanisms in ASP.NET Core for addressing these security issues.
2. A device fingerprint or machine fingerprint or
browser fingerprint is information collected about a
remote computing device for the purpose of
identification.
https://en.wikipedia.org/wiki/Device_fingerprint
12. NOWADAYS
12
• Второй фактор
• Cookies
• IP-репутация
• Device Fingerprint
Вход в интернет-банк
Логин
Пароль
Забыли пароль?
Войти
13. DEVICE FINGERPRINT
• No (need for) user tracking
• More trust
• Frictionless User Experience
В малых дозах полезен в любых количествах
morguefile.com
15. ПРИЗНАКИ
Flash Detection Battery Status Canvas Fingerprinting
Fonts via Flash Player CSS Media queries Date/Time
Host Name Do Not Track Fonts via CSS + Javascript
Installed Plug-Ins
Flash/Silverlight click-to-
play
Javascript version support
Mathematical
Information
Fonts via Silverlight Network Information API
Navigator info HTML colors Referer
Silverlight Detection IP Address Social API
Storage Network Filters Detection TOR Relay detection
VBScript Permissions WebRTC Leak Test
Silverlight System
Environment
Tor Browser Detection WebGL Support
20. ПРИЗНАКИ И СОБСТВЕННАЯ ИНФОРМАЦИЯ,
PANOPTICLICK
Browser characteristic Bits of information One of x browsers
Browser plugin details 14.08 17377.63
Hash of canvas
fingerprint
7.68 204.44
System Fonts 5.71 52.34
Language 5.71 52.26
Hash of WebGL
fingerprint
5.13 35.04
User Agent 4.94 30.72
Time Zone 4.19 18.21
Screen Size and color
depth
2.38 5.22
Platform 1.19 2.27
32. ИНФОРМАТИВНЫЕ ПРИЗНАКИ
• Выбираем признак с наибольшей энтропией и
фиксируем его
• Выбираем следующий признак с наибольшим
Information Gain и фиксируем его
• …
• PROFIT
33. СТРОИМ FINGERPRINT: ПЛОСКАЯ МОДЕЛЬ
Features Self-Information Information Gain
plugins 8.7907 bit 8.7907 bit
fonts 11.7353 bit 2.9446 bit
screen.resolution 13.2996 bit 1.5643 bit
BrowserTimezone 14.1561 bit 0.8565 bit
userAgent.user_agent 14.8491 bit 0.6930 bit
userAgent.device 15.1831 bit 0.3340 bit
userAgent.os 15.3740 bit 0.1909 bit
language 15.4516 bit 0.0776 bit
maxTouchPoints 15.5049 bit 0.0534 bit
objects 15.5178 bit 0.0129 bit
platform 15.5213 bit 0.0035 bit
nameVer 15.5247 bit 0.0034 bit
onLine 15.5274 bit 0.0027 bit
systemDPI 15.5298 bit 0.0024 bit
34. СТРОИМ FINGERPRINT: ДЕРЕВО
180000
Root
150000
Plugin set
#1
100000
Resolution
#1
10
Language
#1
1 Color
Depth #1
99990
Language
#2
50000
Resolution
#2
10000 User
Agent #1
40000 User
Agent #2
5000
Charset #1
30000
Plugin set
#2
5000 OS #1
250
Language
#1
5750
Language
#2
27000 OS
#2
100 System
Language
#1
3000 OS #3
100 User
Agent #1
36. ПРОМЕЖУТОЧНЫЕ ИТОГИ
• Ненадежность
• Неустойчивость
• Только точные
совпадения
• Зависимость от выборки
• Способ отбора значащих
признаков
• Алгоритм построения
fingerprintа
• Оценка размера кластера
• Оценка количества
информации
37. • OS Version
• Applications
• Fonts
Software Environment
• Screen Resolution
• DPI
Hardware Environment
• Versions
• Plugins
• Plugins’ versions
Browser
Anything
Πάντα ῥεῖ καὶ οὐδὲν μένει*
* Все течет, все меняется
38. РАССТОЯНИЕ
• Числовые
• N-граммы
• Whatever
Правила сравнения для каждого из признаков
• Веса для признаков - опять используем энтропию
• Используем время как параметр
Дополнительные параметры
• Расстояние Левенштейна
• Косинусная мера
• Whatever
Метрика
41. ДИНАМИЧЕСКИЕ АНОМАЛИИ
• Изменения признаков во времени:
Допустимые значения, диапазон и направление
userAgent.user_agent:
Firefox 38.0 → Firefox 33.0
42. АНАЛИЗ КОЛЛИЗИЙ
Fingerprint Device
Tags
Users Self
Information
platform: iPad, userAgent.os: iOS, userAgent.user_agent:
Mobile Safari 9.0, screen.resolution: 1024x768,
userAgent.device: Apple iPad iPad, language: ru-ru, Plugins:
NO
7430 5848 6.0946
platform: Win32, userAgent.os: Windows 7,
userAgent.user_agent: Chrome 49.0, screen.resolution:
1920x1080, userAgent.device: None Other None, language:
ru, Plugins: YES
4565 4191 6.7973
platform: Win32, userAgent.os: Windows 7,
userAgent.user_agent: Chrome 49.0, screen.resolution:
1366x768, userAgent.device: None Other None, language:
ru, Plugins: YES
4356 3984 6.8649
platform: iPhone, userAgent.os: iOS, userAgent.user_agent:
Mobile Safari 9.0, screen.resolution: 568x320,
userAgent.device: Apple iPhone iPhone, language: ru-ru,
Plugins: NO
3882 3261 7.0311
platform: iPhone, userAgent.os: iOS, userAgent.user_agent:
Mobile Safari 9.0, screen.resolution: 667x375,
userAgent.device: Apple iPhone iPhone, language: ru-ru,
Plugins: NO
2480 2083 7.6776
44. АНАЛИЗ КОЛЛИЗИЙ
Fingerprint Device Tags Users
platform: iPad, userAgent.os: iOS, userAgent.user_agent:
Mobile Safari 9.0, screen.resolution: 1024x768,
userAgent.device: Apple iPad iPad, language: ru-ru,
systemDPI: 0x0 Plugins: NO
7430 5848
https://stackoverflow.com/questions/24781648/cookies-not-saved-between-browser-sessions-on-ios-safari
45.
46. DEVICE FINGERPRINT
• Способ отбора значащих признаков
• Алгоритм построения
• Оценка размера кластера
• Оценка количества информации
• Области допустимых значений и направления
допустимых изменений
• Способы обнаружения аномалий
• Функция расстояния
• Оценки вероятности коллизии
• Правила использования контекста
47. НЕТ ВРЕМЕНИ ОБЪЯСНЯТЬ
• Persistent cookies
• Clock Skews analysis
• Анализ медиа-устройств
• Особенности и ошибки протоколов
• Поведенческие факторы
• IP-репутация
• Виртуальные устройства
• Нечеткое сравнение
• Организация хранения и поиска
• …
50. Device Fingerprint не нужен*
Device Reputation
* Как самостоятельное явление, с точки зрения бизнеса
51. DEVICE REPUTATION
• Устройства, с которых были атаки
• Боты
• Ненастоящие устройства
• Подозрительные конфигурации
• Странные конфигурации
Подозрительные устройства
• Слишком много устройств у пользователя
• Слишком много пользователей на устройстве
Аномалии
Хорошие устройства
Контекст
52. DEVICE REPUTATION И ANTIFRAUD
• Медленный дрейф во времени – хорошо
• Любая нестандартная конфигурация – допустимо (если
постоянно)
Типичность
• Типичное для пользователя устройство
• Типичная конфигурация в популяции
Хорошая репутация
• Нетипичность!
• Устройство замечено в бот-сети
• TOR
Плохая репутация
53. TOR BROWSER FINGERPRINT
platform os user_agent resolution device language plugins
Win32 Windows 7 Firefox 38.0 1237x600 None en-US NO
Win32 Windows 7 Firefox 38.0 1440x665 None en-US NO
Win32 Windows 7 Firefox 38.0 1600x729 None en-US NO
Win32 Windows 7 Firefox 38.0 1000x600 None en-US NO
Win32 Windows 7 Firefox 38.0 1440x729 None en-US NO
Win32 Windows 7 Firefox 38.0 1000x500 None en-US NO
54. DEVICE REPUTATION И ANTIFRAUD
• Повысить риск
• Запросить дополнительные подтверждения
• Установить лимиты
• Запретить операции
Плохая репутация
• Снизить риск
• Не требовать подтверждение
• Повысить лимиты
Хорошая репутация
• Проигнорировать
Любая репутация
55. ON THE MAP
• Analysis of users and their endpoints
1. Endpoint-centric
• Analysis of navigation behavior and patterns
2. Navigation-centric
• Anomalies detection, one channel
3. Account-centric
• Anomalies detection, multiple channels
4. Cross-channel
• Relationships analysis
5. Entity link analysis
http://www.gartner.com/newsroom/id/1695014
Secure Browsing
Out-of-band authentication
and transaction verification
Endpoint identification
56. ЗАКЛЮЧЕНИЕ
• Следить за пользователями по всему интернету - плохо
• Fingerprint полезен в ограниченных дозах и только там, где это
нужно
• Fingerprint построить не очень сложно. Чем экзотичней система,
тем проще ее найти
• Не всегда возможен точный отпечаток, иногда получится
определить только кластер
• Не всегда нужен точный отпечаток, иногда достаточно знать
только кластер
• Не всегда надо лезть в глубины TOR. Достаточно знать, что это
оно
• Для бизнеса нужен не сам fingerprint, а логика вокруг него
• Не надо делать резких движений
• iPad + Safari + Private Browsing = рецепт невидимости