CFP для основной программы конференции ZeroNights закрыт, и программный комитет заканчивает отбор докладов на конференцию. А вот CFP на Fast Track продолжается.
Сегодня я поделюсь с вами небольшим секретом о том, как бесплатно посетить конференцию ZeroNights 2012 в ноябре в столице нашей родины. Для тех, кто забыл или не в курсе – это самое ожидаемое событие для исследователей информационной безопасности, место, где нет маркетинговых докладов, а только реальные исследования от мировых рисёчеров и самые полезные тренинги, где вы, например, научитесь писать эксплойты под уязвимости в браузерах, чтобы сорвать в следующем году приз на PWN2OWN. Уже сейчас подтверждено участие таких экспертов, как: Grugq – знаменитый тусовщик на все конференциях, FX – лидер культовой хак-тимы Phoenolit, Miaubiz – хардкорный исследователь из Финляндии, J00ru – автор кучи исследований в области низкоуровневого потрошения Windows Kernel ,Michele Orru из TrustWave, Rick Flores из Rapid7 (MetaSploit), joernchen из Phenoelit, Alexey Sintsov – основатель DCG#7812, автор этого поста и множество других исследователей.
На самом деле всё очень просто, и некоторые исследователи уже воспользовались этой возможностью. На конференции ZeroNights помимо основных докладов есть секция под названием Fast Track. Эту идею я позаимствовал на ряде западных конференций, куда постоянно езжу, и мне она показалась крайне правильной. Я решил добавить эту секцию в программу прошлой ZeroNights, и, как мне кажется, она вышла не менее интересной, чем основной трек.
Секция Fast Track – это короткие доклады по 15 минут. Очень удобный формат, так как зачастую слушать про одну уязвимость, растянутую на часовой доклад, приправленную водой, скучновато, а так можно услышать целых четыре хороших доклада. Да и вообще, TED доказал, что 15 минут должно хватить для любого выступления, а за деталями можно отправить к вайтпеперу. Соответственно, на эту секцию проще попасть, и отбор не такой жесткий.
Какие же доклады интересны для Fast Track?
Изначально я предполагал, что эта секция будет носить более неформальный характер и освещать не только технические изыскания, но и весёлые живые хаки, а также просто мысли о наболевшем и даже троллинг на злободневную тему. Студенты могут представить свои интересные НИРы и дипломы, а разработчики – рассказать о том, что их беспокоит. В прошлом году было всё из перечисленного, но больше двух третей составили, конечно, технические темы, о чём я не жалею. Увидеть прошлогодние темы можно тут, а я приведу немного примеров, чтобы было яснее, что же такое Fast Track.
Примеры технических докладов
• Андрей Лабунец (ТюмГУ, DSecRG):«Методы трассировки сетевого трафика для поиска уязвимостей»
• Дмитрий “D1g1” Евдокимов (СПбГПУ, Digital Security): «Основы DBI (Dynamic Binary Instrumentation)»
• Артём Шишкин, «Метод перехвата печати путем модификации Windows GDI»
Примеры весёлых лайфхаков
• Дмитрий Частухин (СПбГПУ, Digital Security),«Практические атаки на интернет-киоски и платёжные терминалы»
• Никита Кислицин (][akep) – про уязвимости внутренних систем в редакции Gameland
Пример обсуждения проблематики
• Алексей Краснов (Газинформсервис): «Мы все учились понемногу, чему-нибудь и как-нибудь»
Пример скользкой темы на грани троллинга
• Антон «ТОXA» Карпов (Yandex): «Черное и белое в ИБ»
Вот такие были темы в прошлом году. Что же касается этого года, то уже подтверждены доклады:
• Массовые CSRF-атаки
• Ботнеты
• Криптография от самого SolarDesigner
• Python для RE
Что нам интересно в этом году? Естественно, любые технические доклады по тематике конференции, то есть критичные бизнес -приложения, мобильные системы, embedded devices, новые техники взлома. Но также хочется уделить внимание безопасности со стороны разработчиков, QA, проджект-менеджеров, например (в порядке интереса):
1. Реальные кейсы интересных уязвимостей неизвестных или известных систем. Тут же много разработчиков, и я уверен, что у них есть о чём поведать. В обезличенном виде это будет тоже интересно. Кто, как не разработчик, знает все тонкости того или иного продукта и сможет об этом рассказать?
2. Мнения разработчиков о том, как надо подходить к вопросу безопасности и что им не нравится в текущих процессах, если они есть, и в текущем положении дел в индустрии в целом (троллинг не возбраняется). В частности, нам интересно ваше мнение о безопасной разработке под мобильные платформы.
3. Интересные наработки в области фреймворков по избавлению от всем надоевших XSS, SQLinj, CSRF, BOF и прочего. Особенно интересна защита от более изощрённых атак.
4. Интересные кейсы по анализу исходного кода.
Таким образом, хочется посмотреть на безопасность со стороны разработчика, а не только со стороны хакера.
А теперь о плюшках. Докладчик получает бесплатный вход на конференцию, проход на Speaker Party, которая обещает быть жаркой, безумную популярность или помидор в лицо, женское внимание или forever alone – в зависимости от выступления, и, конечно же, возможность пообщаться с самыми интересными людьми в ИБ-тусовке как из России, так и из всего мира. И просто хорошее настроение.
ЗЫ: Лучшие будут приглашены на дискуссионную панель, посвящённую битве разработчиков и хакеров, о чём я расскажу позже (заявиться на дискуссионную панель можно независимо от Fast Track, запросом на cfp@zeronights.org).
И помните! Лозунг Fast Track: “Меньше – не значит хуже”.
Автор: AlexandrPolyakov