NoNameCon

"Counter Cyber-terrorism 101" will cover recent actions of Russian Ministry of Defense and Special Operations groups against Ukraine, and how Ukrainian civil hacktivists counter state-sponsored cyber terrorism. As the part of the UCA, Sean has has knowledge of the most notorious Russian cyber-operations against Ukraine, including attacks on the objects of critical infrastructure, such as Ivano-Frankivsk and Kyiv-Severnaya power stations, Advanced Persistence Threat espionage operations, and the most destructive act of cyber-terrorism in history dubbed the "notPetya attack". The talk will cover tactics and techniques used by the aggressor country, and defensive recommendations that can be efficiently used by its opponents.

CAN шина используется в автомобилях, промышленной автоматизации, авиации, беспилотниках, спортивном оборудовании, медицине. Контроллер CAN шины доступен в чипах стоимостью меньше доллара, а cтоимость полноценной ноды сети – меньше $4. Ровно столько же стоит и сниффер, который можно собрать самостоятельно, подключить и анализировать (управлять?) CAN-шиной автомобиля...

Любая уязвимость информационной безопасности - это всего лишь еще один вариант
использования предоставленного функционала. RCE, LFI, XSS, SQL injection - все
они появились из-за особенности написания кода и выполняют именно те функции,
которые написал разработчик. Серверу без разницы, включать в страницу файл
footer.php или /etc/passwd, зовут вас "Max" или "><script>alert()</script>.
В попытках обезопасить свой код от "неправильного" использования разработчики не
всегда руководствуются лучшими практиками и пытаются ограничивают возможности
потенциального злоумышленника проексплуатировать существующую уязвимость.
Проблемы начинаются там, где разработчик начинает думать как человек, а не как
интерпретатор кода. Bash одинаково успешно выполнит "sudo cat /etc/shadow" и
"$(CMD=$‘cat\x20/etc/shadow’;sudo$IFS$CMD)", но разработчики не устают
придумывать велосипеды и отсекать теги <script>, экранировать кавычки, заменять
точки и отсекать пробелы.
В этом выступлении я хочу поговорить о так, как нам, пентестерам, говорить с
сервером на его языке. Обсудим популярные и не очень хаки по обходу фильтров,
как они придуманы, от чего они спасают и почему просто набор 1000+ пейлоадов в
Burp Intruder не достаточно для качественного пентеста.

Robots are going mainstream. In the very near future robots will be everywhere, on military missions, performing surgery, building skyscrapers, assisting customers at stores, as healthcare attendants, as business assistants, as sex partners, cooking in homes, and interacting with our families.
While robot ecosystems grow and become more of a disrupting force in our society and economy, they pose more of a significant threat to people, animals, and organizations if the technology is not secure. When vulnerabilities are exploited in robots, physical features can be utilized by attackers to damage property, company finances, or cause unexpected consequences where human life can be endangered. Robots are essentially computers with arms, legs and wheels, so the potential threats to their physical surroundings increase exponentially and in ways not widely considered before in computer security.
In recent research, we discovered multiple critical vulnerabilities in home, business and industrial collaborative robots from well-known vendors. With responsible disclosure now completed, its time to reveal all the technical details, threats, and how attackers can compromise different robot ecosystem components with practical exploits. Demos will showcase different exploitation scenarios that involve cyber espionage, harmful insider threats, property damage, and more.
Through realistic scenarios we will unveil how insecure modern robot technology can be and why hacked robots could be more dangerous than other insecure technologies. The goal is to make robots more secure and prevent vulnerabilities from being exploited by attackers to cause serious harm to businesses, consumers, and their surroundings.

Доклад посвящен обзору нескольких атак, имевших место в Украине в 2017 году и к исследованию которых был причастен спикер. В процессе презентации рассмотрим пример реализации атаки «по шагам» – от первонального проникновения и lateral movement, до момента достижения атакующими цели – хищения информации. Также, частично будут освещены меры, которые могут предприниматься исследователями при изучении инфраструктуры атакующих и ликвидации самой угрозы.

Hiring a professional red team for security audits is not enough for finding the most critical vulnerabilities. A good level of collaboration between pentesters, company’s blue team, developers, managers is required in order to make this process efficient for both sides. Achieving it requires good planning, preparatory work, continuous improvement and a good understanding of the desired outcomes. This talk will evaluate goals, methods and typical tasks of red and blue teamers in a white-box application security audits and offer practical solutions for the most efficient collaboration of both parties.

This talk will give a definition of “Threat Intelligence”, explain Threat Intelligence Cycle and how collection and research efforts should be prioritized. Then we’ll talk on what’s common and what’s different based on the region in understanding on what exactly Threat Intelligence should deliver. Speaker is going to demonstrate couple real life use-cases on how threat intel discoveries enhanced security capabilities of organizations or launched investigations to remediate the threat.
Please see below couple use case that I will cover.

• DOC exploit builder identification within underground, was proven to be used by one of sophisticated fincrime groups in their operations as an initial vector of getting into victims’ environment. Knowing exactly which vulnerabilities should be prioritized for patching will help organizations in this threat mitigation.
• Will give an example of web-injects development to show the targeting of financial institutions in countries outside of TOP-regions that are under attack. Being aware of the exact timeline, and the fact it was developed and available will indicate the need of financial institution to enhance their defense practices such as incorporating 2FA, raising awareness of its customers, etc.
• Overview of incorporation of a newer exploit by one of notorious APT-groups targeting US, Western and Eastern Europe, recommendation will be in proper patch management.
• Examples of access to infrastructure or database of your organization is being offered at cybercriminal underground, first of all organization should develop their own capabilities or have a CTI provider to be timely aware about this fact, also additional information on TTPs used to gain an unauthorized access reveal what actions should be done to minimize chances for compromise going forward.

A typical scenario of implementing security within infrastructures and software products looks fairly simple (and sad): just slap a few pieces of software and practices together from the ever-changing landscape of common wisdom, close your eyes and hope for good. What do typical consumers of security products and services miss when looking for solutions? What do we, as people who solve security problems, do wrong?

На данный момент для Linux (в отличии от Windows) существует совсем немного инструментов для динамического и статического анализа исполняемого кода. Еще меньше инструментов, которые позволяют качественно выполнять эти задачи на архитектуре ARM. В тоже время, количество устройств на ARM-процессорах растет: это смартфоны, телевизоры, устройства IoT. В скором времени планируется также выход нескольких моделей ноутбуков.
Но при всем при этом, информации о том, как упаковывать и защищать исполняемые ELF-файлы для ARM практически нет, ровно как и популярных инструментов для выполнения этих операций. Идея доклада в том, чтобы продемонстрировать простой и быстрый упаковщик исполняемого кода, который работает с минимальным оверхедом, и обеспечит достаточный уровень защищенности от статического и динамического анализа.

Доклад на основе кейса digital forensics компании RMRF Technology.
Описание подачи заявки на выполнение forensic-анализа. Постановка задачи и описание инцидента, предоставленные клиентом.
Удаленная диагностика для сбора дополнительных доказательств.
Сбор доказательств, включая дампы памяти и диска.
Анализ собранных доказательств.
Идентификация инструментов, используемых для внедренного RAT-агента.
Определение способа компрометации по SSH-ключам.
Идентификация источников внешнего доступа.
Подготовка таймлайна установленных событий и финального отчета.
Логика взлома будет представлена на докладе.