В Москве прошла вторая международная конференция по практической кибербезопасности OFFZONE 2019

Главной темой мероприятия, состоявшегося 17 и 18 июня в рамках Международной недели кибербезопасности в Москве, стала уязвимость аппаратного обеспечения

20 июня 2019 г.

17 и 18 июня в рамках Международной недели кибербезопасности в Москве состоялась вторая международная конференция по практической кибербезопасности OFFZONE 2019. Организатором выступила компания BI.ZONE. Партнерами мероприятия выступили @mail.ru, QIWI, Sberbank CS, Swordfish Security, VisionLabs.

За два дня площадку Цифрового делового пространства посетили 1600 человек — практикующие специалисты по кибербезопасности, разработчики, инженеры, исследователи, преподаватели и студенты из более чем 20 стран мира. Более 60 экспертов в области кибербезопасности из России, Европы, Азии и Америки поделились своим опытом с участниками.

Главной темой конференции в этом году стала уязвимость аппаратного обеспечения. Евгений Волошин, директор блока экспертных сервисов BI.ZONE, представил результаты глобального обзора компании — «Атаки на встраиваемые системы», адресованного руководителям и специалистам-инженерам.

Лейтмотивом конференции OFFZONE в 2019 году мы выбрали атаки на встраиваемые системы. Уязвимостям в аппаратном обеспечении не уделяется должного внимания, как это делается с ПО, однако у современного «железа» такие же проблемы, как и у софта: трояны, бэкдоры и т. д. На конференции мы не только предлагали практическую информацию по атакам и мерам защиты от них, но и активно поднимали вопросы необходимости проактивного подхода к безопасности аппаратного обеспечения как на уровне коммерческих компаний, так и на уровне индустрии в целом

Евгений Волошин

Директор блока экспертных сервисов, BI.ZONE

Особенность аппаратных уязвимостей в том, что они возникают не только из-за ошибок разработки, но и из-за побочных физических явлений или сбоев при работе в стрессовых условиях. Иными словами, если в устройство не внедрить защитные механизмы на этапе создания, оно по умолчанию будет уязвимо к аппаратным атакам. Для целых классов таких атак хватит оборудования, которое свободно продается и по цене сравнимо со смартфоном — а вот взломать защищенное устройство не получится без специализированной лаборатории и оборудования стоимостью в десятки миллионов рублей. К сожалению, защищенных устройств сегодня меньшинство

Юрий Купашев

Ведущий специалист, BI.ZONE

Образовательный марафон первого дня начался с выступления на 1^st Track руководителя offensive-исследований железа и прошивок для основных продуктовых линеек компании NVIDIA Александра Матросова на тему «Эволюция сложных угроз: гонка вооружений между аналитиком и атакующим». В своем докладе Александр рассмотрел, как за последнее время изменились подходы к обратному анализу и форензике, рассказал присутствовавшим о «черных пятнах» в системах защиты, сфокусировавшись на том, что необходимо улучшить, чтобы продолжить гонку в направлении эволюции в сторону более эффективной защиты.

Ключевым спикером второго дня стал Родриго Бранко, главный исследователь безопасности Intel, за плечами которого более 10 лет работы в сфере кибербезопасности. Бранко рассказал гостям о «машине изнутри» — о том, как этичный хакинг определяет методы наших вычислений. В рамках выступления Родриго дал собственную оценку самым эффективным схемам предотвращения атак, объяснил, что такое эксплоит, а также поделился информацией о том, как крупные корпорации обеспечивают свою безопасность, сделав акцент на наиболее уязвимых точках.

Во второй день конференции открылась финансовая зона, где освещались актуальные вопросы безопасности платежных карт, уязвимости POS-терминалов, фрода и антифрода. В Finance.Zone с докладами о безопасности в финансовых сервисах выступили практики из BI.ZONE, Kasperskiy Lab, QIWI Cybertonica и Positive Technologies.

В России 86% пользователей цифровых банковских услуг предпочитают заходить в интернет со смартфонов. А подавляющее большинство смартфонов работает на базе ОС Android: так, в третьем квартале 2018 года их доля в общем количестве выпущенных девайсов составляла 87%. Из-за этого на Android-устройства нацелена основная масса вредоносных программ для мобильных телефонов. По нашей статистике, за неделю каждое семейство таких программ заражает в среднем 7400 устройств. После заражения смартфона мошенники получают полный доступ к устройству, в том числе к интернет-банку и управлению счетами

Борис Иванов

Специалист по расследованию компьютерных инцидентов, BI.ZONE

Помимо образовательной части на конференции OFFZONE 2019 было много интерактива: участники конференции находили уязвимости в «умных» устройствах, апгрейдили свои бейджи в зоне пайки, сражались на киберспортивных турнирах и делали авторские татуировки в постапокалиптическом стиле. За успешное прохождение заданий на бейдж гостям начисляли валюту конференции, оффкоины, которые можно было обменять на футболки, плакаты и другие сувениры с символикой OFFZONE.

***

OFFZONE — ежегодная международная конференция по практической кибербезопасности, которая проходит в Москве с 2018 года. Основная миссия конференции — по-настоящему качественный технический контент и практические исследования в области кибербезопасности. Более подробную информацию можно узнать на официальном сайте конференции OFFZONE.MOSCOW.