[0x04] - Руссо туристо! Облико морале! Ферштейн?

• Что: Встреча 0x04 проведена веселья ради, публичных исследований и да, доклады будут только технические с пруфами и POC’ами (без воды, регистрации и СМС).
• Когда: 27 апреля 2019 года (суббота), начиная с 12:00 (GMT+4).
• Где: Встреча будет в Ульяновске в зданиии УлГПУ (пл. Ленина, 4, Ульяновск, Ульяновская обл., Россия, 432700)

Расписание докладов и воркшопов встречи 0x04

• 12:00-13:00 Доклад 0x00.0. {soft-ware} USB: DeviceKey или как получить доступ к телефону
• 13:00-14:00 Доклад 0x00.1. {hard-ware} USB_C0nd0m_v2.0: Технические аспекты и реализация. О железной стороне дела.
• 14:00-15:00 Доклад 0x01. {in-real-life} Кто съел мой обед. Биологические следы человека.
• 15:00-16:00 Доклад 0x02. {for developers} Проактивная защита: Топ-10 требований OWASP
• 16:00-17:00 Воркшоп 0x00. {hard-n-soft-ware} Как не накосячить в разработке IoT-устройств
• 17:00-18:00 Воркшоп 0x01. {soft-ware} Введение в фаззинг. Практика для разработчиков, тестировщиков и исследователей безопасности
• AfterParty 0x00. (18+) {Хмеле}варение как способ склонить к программированию

Доклад 0x00.0: USB: DeviceKey или как получить доступ к телефону

Тезисы

• Зарядки в кафе, аэропортах, торговых центрах или как понять что они хотят от тебя.
• USB: Что это такое, принципы работы, что там передается и как. А главное зачем?!
• AT. MTP. ADB, FASTBOOT. BOOTROM, etc.
• DeviceKey или “GrayKey Из_спичек_и_желудей”
• USBCondom: Куда надеть Condom зачем и как. Видео! Шок-контент!

OpenSource project DeviceKey: https://gitlab.com/dc20e6/devicekey

#### Ссылка на презентацию

Спикер: Roman [deadroot] Ananev

Доклад 0x00.1: USB_C0nd0m_v2.0: Технические аспекты и реализация

Тезисы

• USB - физический уровень, и чего он боится
• Скорости, провода и волновые сопротивления
• Дополнительные возможности USB: о зарядках, токах и QC
• USB_C0nd0m_v2.0, разработка и изготовление. Прототип на коленке.

OpenSource project USB_C0nd0m

#### Ссылка на презентацию

Спикер: Anton [red_bobcat] Durnov

Доклад 0x01: Кто съел мой обед. Биологические следы человека.

Тезисы

• Какие идентификацонные следы мы оставляем
• Отпечатки рук и их устройство
• Выявление и поднятие отпечатка пальца
• Но есть всё равно хочется или как скрыть отпечатки

Ссылка на презентацию

#### Спикер: Alexandr [Alex73] Kurzin

Доклад 0x02: Проактивная защита: Топ-10 требований OWASP

Целью проекта «Проактивная защита: Топ-10 требований OWASP» является привлечение внимания к безопасности приложений, путем рассмотрения наиболее важных аспектов безопасности, на которые разработчикам ПО стоит обращать внимание.

• C1: Определение требований безопасности
• C2: Использование безопасных фреймворков и библиотек
• C3: Обеспечение безопасного доступа к базам данных
• C4: Кодирование и экранирование данных
• C5: Обязательная проверка всех входных данных
• C6: Внедрение цифровой идентификации
• C7: Обязательный контроль доступа
• C8: Повсеместная защита данных
• C9: Внедрение журналирования и мониторинга событий безопасности
• C10: Обязательная обработка всех ошибок и исключений

Ссылка на презентацию

#### Спикер: JetP1L0t

Воркшоп 0x00: Как не накосячить в разработке IoT-устройств

Тезисы

• В дивном новом мире IoT, где S в аббревиатуре означает Security, жить стало очень сложно. Современные ботнеты каждый день заражают десятки тысяч устройств в сети (камеры, роутеры, регистраторы, тысячи их), пользуясь безответственностью разработчиков.
• Мы поговорим как не стать таким бякой. Посмотрим исходные коды известных ботнетов, определим список распространённых уязвимостей, составим список рекомендаций для бяк.
• Для закрепления пройденного материала в сугубо академических и исследовательских целях мы сэмулируем в докер-контейнерах и нескольких железках в рамках закрытой локальной сети работу некоего абстрактного ботнета, смоделируем процесс заражения и прикроем свежеоткрытую лавочку.

Для воркшопа нужно заранее подготовить

• Ноутбук с Linux, можно в виртуальной машине в вашей любимой ОС
• Установленный заранее софт
  • docker

Ссылка на презентацию, bckp

#### Ссылка на видео #### Спикер: Mike Dronov

Воркшоп 0x01: Введение в фаззинг. Практика для разработчиков, тестировщиков и исследователей безопасности

Тезисы. Intro

• Рассмотрим эволюцию инструментов для фаззинг-тестирования: от /dev/random к радамсе и afl, конколикам и qsym.
• Попробуем фаззить модельный уязвимый сервер и реальные приложения.

Для воркшопа нужно заранее подготовить

• Ноутбук со свежим дистрибутивом Linux, можно в виртуальной машине (демо будет на Kali)
• Установленный заранее софт
  • gdb, gcc, clang, llvm, python3, wireshark, git, radare2
  • radamsa (https://gitlab.com/akihe/radamsa)
  • afl (http://lcamtuf.coredump.cx/afl/)
  • afl-utils (https://gitlab.com/rc0r/afl-utils/blob/master/docs/INSTALL.md)

Спикер: Wire Snark, DC7831

(18+) AfterParty 0x00: {Хмеле}варение как способ склонить к программированию

• Пик Балмера, как его достичь и удерживать дольше
• Хмельные напитки и их воздействие на уровень программирования
• Коммуникация между отделами и как её не разрушить алкоголизмом ;)

Ссылка на презентацию

#### Спикер: Vladimir [Fried_cucumber] Kulikov

P.S.

• Чтобы стать докладчиком с крутой темой просто напиши в https://t.me/dc20e6