Health Insurance Support System (Blockchain Based)Denis Efremov
Презентация проекта системы поддержки медицинского страхования с летней школы Мастерчейн. Систему разрабатывали: Максимов Сергей, Стряпчев Артем, Крылов Павел и Ефремов Денис.
Исходные коды: https://github.com/maksimov1/HISS
Видео с презентации: https://youtu.be/hUE87AWIBYE
Прототип системы: https://hissbb.com
ЛШМ, НИУ ВШЭ, Москва, 13 июля 2018
Bo0oM - Deanonymization and total espionage (ZeroNights, 2014)Дмитрий Бумов
This talk is dedicated to de-anonymizing active Internet users. We will give a hands-on demonstration of various Internet resources tracking and/or storing user data, and explain how this data can be used to find out the identity on the other side of the screen for your own (either good or evil) purposes.
Доклад посвящен деанонимизации активных пользователей интернета. На практике будет показано, как различные интернет-ресурсы следят или содержат информацию о пользователях и как ее можно использовать, чтобы вычислить, кто находится по ту сторону монитора для собственных (как плохих, так и хороших) нужд.
Юнусов Тимур «Особенности проведения социотехнического тестирования на проник...Mail.ru Group
В офисе Mail.Ru Group прошла девятая встреча Defcon Moscow, посвящённая информационной безопасности.
Подробнее о встрече читайте в нашем блоге: http://team.mail.ru/.
Health Insurance Support System (Blockchain Based)Denis Efremov
Презентация проекта системы поддержки медицинского страхования с летней школы Мастерчейн. Систему разрабатывали: Максимов Сергей, Стряпчев Артем, Крылов Павел и Ефремов Денис.
Исходные коды: https://github.com/maksimov1/HISS
Видео с презентации: https://youtu.be/hUE87AWIBYE
Прототип системы: https://hissbb.com
ЛШМ, НИУ ВШЭ, Москва, 13 июля 2018
Bo0oM - Deanonymization and total espionage (ZeroNights, 2014)Дмитрий Бумов
This talk is dedicated to de-anonymizing active Internet users. We will give a hands-on demonstration of various Internet resources tracking and/or storing user data, and explain how this data can be used to find out the identity on the other side of the screen for your own (either good or evil) purposes.
Доклад посвящен деанонимизации активных пользователей интернета. На практике будет показано, как различные интернет-ресурсы следят или содержат информацию о пользователях и как ее можно использовать, чтобы вычислить, кто находится по ту сторону монитора для собственных (как плохих, так и хороших) нужд.
Юнусов Тимур «Особенности проведения социотехнического тестирования на проник...Mail.ru Group
В офисе Mail.Ru Group прошла девятая встреча Defcon Moscow, посвящённая информационной безопасности.
Подробнее о встрече читайте в нашем блоге: http://team.mail.ru/.
Константин Червяков и Иван Спиридонов, Ringostat&Mixdata — «Построение сквозн...shevchuk_conf
1. Как мы пришли к построению сквозной системы аналитики?
2. Проблемы, которые нужно было решить:
- учитывать прибыль по рекламным кампаниям и сопоставлять с тратами;
- учитывать промежуточные метрики в виде целевых обращений, при этом отсекая повторы;
- интегрировать всё это дело в бизнес-процессы, чтобы работало в автоматическом режиме в реальном времени;
- обеспечить учёт обращений из всех или как минимум из ключевых каналов коммуникации с клиентами по единой логике.
3. Как именно и с помощью каких инструментов и интеграций решали проблемы.
4. Какие подводные камни мы нашли в конце?
- мы узнаем откуда продажа только в момент закрытия сделки;
- нет доступов к конкретному пользователю в GA — нельзя построить дополнительные событийные модели или просто подгрузить его поведение;
- данные о расходах загружаются на UTM метки, а не на пользователя.
5. Как обходили эти подводные камни?
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...Mail.ru Group
В докладе были рассмотрены возможные подходы к решению задач идентификации, аутентификации и авторизации на уровне инфраструктуры организации.
Защита приложения требует наличия в нем встроенных функций идентификации/аутентификации/авторизации пользователя. Однако полагаться на встроенные функции становится сложно, когда необходимо обеспечить работу пользователей с множеством приложений, развернутых внутри организации и в облаке, и к тому же дать пользователям доступ с разнообразных устройств (ПК, мобильные устройства) и из сети организации, и вне ее периметра. В таких случаях задача обеспечения идентификации/аутентификации/авторизации должна быть решена на уровне инфраструктуры организации.
Описание нескольких кейсов, в которых возможно продемонстрировать обоснование финансовых инвестиций в ИБ на примере типичных банковских процессов - кредитование, повышение продуктивности, удержание персонала, private banking, борьба с криптолокерами, отражение DDoS и т.п.
Опыт совместной работы хостера (Webzilla) и клиента (CityADS) над достижением...Ontico
Для любого крупного проекта работа над uptime сервиса должна быть постоянной, непрерывной и многовекторной.
Каждый инцидент с доступностью проще всего “свалить” на поставщика услуг хостинга и провайдера. Однако, начиная с определенного уровня масштаба сервиса, такой подход уже начинает стоить бизнесу слишком много.
Данный доклад — это обзор работы над проблемами доступности на пути от клиента до хостера, проведенной с целью достижения доступности сервисов клиента выше 99,99% на примере интернет-компании с оборотом выше 1 млрд рублей.
Ключевая особенность доклада в том, что он максимально объективен в силу того, что каждый докладчик представляет свою сторону "баррикад".
В докладе будут рассмотрены вопросы:
+ Почему хостер — наименьшая из проблем?
+ Какие бывают источники проблем?
+ Как научиться видеть проблемы и построить необходимый базис для своевременного их обнаружения и решения?
+ Третий не лишний — почти всегда между хостером и вами есть еще один источник проблем.
+ Что учитывать в современных реалиях при выборе dedicated / colocation услуг?
+ Чем различаются хостеры, как их сравнить, что от них стоит ждать?
Unlocking Any Door In The 21st Century. Immersion In Biometric Security.Payment Village
The future is here! Adding "AI" to the device description will surely increase its price. But what about security? We looked at three biometric authentication systems equipped with machine-learning features. How much ML and security are actually there? What new threats does the "AI" buzzword on the box bring? Is there any difference between $100 and $1,000 devices? One of the collateral AI risks we were hunting for is data privacy. And yes, we confirmed the emerging threat to customer data within these and similar devices. To actually try and hack ML engines, we had to use various creative techniques to bypass liveness checks and automate our ML attacks. One of these attacks aimed to create and print a "universal synthetic face" that could bypass authentication mechanisms. This presentation will be a source of inspiration for ML hackers, physical pentesters, appsec, hardware security engineers, and, of course, futurists writing about emerging technologies and threats.
More Related Content
Similar to СМС – «золотой» стандарт двухфакторной аутентификации. Актуальные проблемы
Константин Червяков и Иван Спиридонов, Ringostat&Mixdata — «Построение сквозн...shevchuk_conf
1. Как мы пришли к построению сквозной системы аналитики?
2. Проблемы, которые нужно было решить:
- учитывать прибыль по рекламным кампаниям и сопоставлять с тратами;
- учитывать промежуточные метрики в виде целевых обращений, при этом отсекая повторы;
- интегрировать всё это дело в бизнес-процессы, чтобы работало в автоматическом режиме в реальном времени;
- обеспечить учёт обращений из всех или как минимум из ключевых каналов коммуникации с клиентами по единой логике.
3. Как именно и с помощью каких инструментов и интеграций решали проблемы.
4. Какие подводные камни мы нашли в конце?
- мы узнаем откуда продажа только в момент закрытия сделки;
- нет доступов к конкретному пользователю в GA — нельзя построить дополнительные событийные модели или просто подгрузить его поведение;
- данные о расходах загружаются на UTM метки, а не на пользователя.
5. Как обходили эти подводные камни?
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...Mail.ru Group
В докладе были рассмотрены возможные подходы к решению задач идентификации, аутентификации и авторизации на уровне инфраструктуры организации.
Защита приложения требует наличия в нем встроенных функций идентификации/аутентификации/авторизации пользователя. Однако полагаться на встроенные функции становится сложно, когда необходимо обеспечить работу пользователей с множеством приложений, развернутых внутри организации и в облаке, и к тому же дать пользователям доступ с разнообразных устройств (ПК, мобильные устройства) и из сети организации, и вне ее периметра. В таких случаях задача обеспечения идентификации/аутентификации/авторизации должна быть решена на уровне инфраструктуры организации.
Описание нескольких кейсов, в которых возможно продемонстрировать обоснование финансовых инвестиций в ИБ на примере типичных банковских процессов - кредитование, повышение продуктивности, удержание персонала, private banking, борьба с криптолокерами, отражение DDoS и т.п.
Опыт совместной работы хостера (Webzilla) и клиента (CityADS) над достижением...Ontico
Для любого крупного проекта работа над uptime сервиса должна быть постоянной, непрерывной и многовекторной.
Каждый инцидент с доступностью проще всего “свалить” на поставщика услуг хостинга и провайдера. Однако, начиная с определенного уровня масштаба сервиса, такой подход уже начинает стоить бизнесу слишком много.
Данный доклад — это обзор работы над проблемами доступности на пути от клиента до хостера, проведенной с целью достижения доступности сервисов клиента выше 99,99% на примере интернет-компании с оборотом выше 1 млрд рублей.
Ключевая особенность доклада в том, что он максимально объективен в силу того, что каждый докладчик представляет свою сторону "баррикад".
В докладе будут рассмотрены вопросы:
+ Почему хостер — наименьшая из проблем?
+ Какие бывают источники проблем?
+ Как научиться видеть проблемы и построить необходимый базис для своевременного их обнаружения и решения?
+ Третий не лишний — почти всегда между хостером и вами есть еще один источник проблем.
+ Что учитывать в современных реалиях при выборе dedicated / colocation услуг?
+ Чем различаются хостеры, как их сравнить, что от них стоит ждать?
Unlocking Any Door In The 21st Century. Immersion In Biometric Security.Payment Village
The future is here! Adding "AI" to the device description will surely increase its price. But what about security? We looked at three biometric authentication systems equipped with machine-learning features. How much ML and security are actually there? What new threats does the "AI" buzzword on the box bring? Is there any difference between $100 and $1,000 devices? One of the collateral AI risks we were hunting for is data privacy. And yes, we confirmed the emerging threat to customer data within these and similar devices. To actually try and hack ML engines, we had to use various creative techniques to bypass liveness checks and automate our ML attacks. One of these attacks aimed to create and print a "universal synthetic face" that could bypass authentication mechanisms. This presentation will be a source of inspiration for ML hackers, physical pentesters, appsec, hardware security engineers, and, of course, futurists writing about emerging technologies and threats.
We interact with payments every day. Yet how many of us actually know how they work? Join us to learn about payments and techniques for spotting vulnerabilities in them.
This is a "payments 101" training course covering vulnerability research in payments and related issues and attacks.
The main goal of this course is to break the status quo of payment insecurity. We help our audience to gain a better understanding to:
Find vulnerabilities in payment systems while staying within the law
Obtain necessary skills and equipment - Learn from the best in the industry—and leave with your wallet a little lighter.
Payment technologies are an integral part of our lives, yet few of us know much about them. What payment security consists of? What careers options it can bring to the table? What exiting security research hackers had come up in the last decade and how can you fit into that? We are not promising to answer all your questions, but we will try to help you with the first steps and give guidelines to move forward.
Launch Impossible Current State of Application Control Bypasses on ATMs.
СМС – «золотой» стандарт двухфакторной аутентификации. Актуальные проблемы
1. СМС – «золотой» стандарт
двухфакторной аутентификации.
Актуальные проблемы
Юнусов Тимур
Старший эксперт,
руководитель отдела безопасности банковских систем
Positive Technologies
2. Кто
О нас:
―Десятки аудитов и работ по анализу
защищенности банковских продуктов ежегодно
―Постоянное желание увеличивать свою
компетенцию
―Ежегодная статистика
Обо мне:
―НЕ блондинка
―Почти 6 лет в Application Security
―2 года анализа защищенности банковских
приложений
4. Почему
―Потери от мошенничества в банках
растут ежегодно (26% в 2015г)
• Атаки на пользователей
• Атаки на банки
• Атаки на пользователей через проблемы
банков
5. Двухфакторная аутентификация
Знаю (пароль), обладаю (устройство):
―Одноразовые пароли (СМС, генераторы
OTP, чеки)
―Криптоподпись операций (токены,
клиентские сертификаты)
―Остальное (голосовая аутентификация,
кодовое слово и т.д.)
33. Статистика 2015
―27% проектов не содержали
уязвимостей
―36% содержали XSS, которые помогали
злоумышленникам в фишинговых атаках
и обходе механизмов ДА
―54% проектов некорректно
реализовывали механизмы ДА, что
позволяло их обходить тем или иным
способом.
34. Решения
―Взаимодействие с операторами
• IMSI
―Корректная реализация алгоритма на
сервере и мобильном клиенте
―Защита периметра
―Обучение клиентов и сотрудников
―Антифрод