EAS-SEC
«Accounting hacking — arch bugs in MS Dynamics GP»

Докладчик: Алексей Тюрин

Dynamics GP — крупное и мощное программное accounting/ERP-решение от компании Microsoft, которое широко распространено в Серверной Америке. В докладе будет рассказано про то, как оно было проанализировано в рамках проекта EAS-SEC, а так же о том, какие результаты были достигнуты. Будут показаны примеры того, как на основе имеющихся архитектурных решений Dynamics GP можно атаковать систему; как можно поднять свои привилегии от минимальных до максимальных и как захватить полный контроль над системой.

«HR Hacking — bugs in PeopleSoft»

Докладчик: Алексей Тюрин

В данном докладе раскрываются подробности анализа одного из топовых решений HRMS от компании Oracle – PeopleSoft, имеющей тысячи и тысячи внедрений по всему миру в рамках проекта EAS-SEC. На примере данного продукта и выявленных в нём уязвимостей будет показана важность комплексного подхода к безопасности. Будет продемонстрировано, как на основе смешения уязвимостей средней и низкой критичности каких-то полгода назад можно было захватить контроль почти над любой системой на базе PeopleSoft. Будет показан путь восхождения от анонимного пользователя до администратора системы.

«DBO Hacking — arch bugs in BSS»

Докладчик: Глеб Чербов

Время банковской магии.

Будут представлены особенности архитектуры банковских систем на примере ряда уязвимостей в ДБО-решениях от ведущего отечественного вендора.

Увлекательные подробности бесполезного применения стойкой криптографии и нюансы реализации аутентификации. Таинственные исчезновения и преумножения клиентских капиталов прилагаются.

«Business Intelligence hacking – Breaking ICCube»

Докладчик: Дмитрий Частухин

Вариант 1

Бизнес-аналитика — жизненно необходимый процесс любой крупной компании, который базируется на большом количестве данных, собранных, как правило, за длительный промежуток времени. Результаты данной аналитики, позволяют принимать разного рода управленческие решения менеджерам компании, от которых напрямую зависит ее дальнейшая судьба. Стоит ли беспокоиться о безопасности этих данных? Несомненно, да. Безопасны ли технологии, которые используются для построения систем бизнес-аналитики?

В данном докладе будут рассмотрены уязвимости популярного OLAP-сервера icCube и как атакующий используя язык запросов MDX может скомпрометировать ОС OLAP-сервера и все бизнес данные.

Вариант 2

Пацаны! Пацаныыы!! Я узнал новую аббревиатуру! MDX. Слышали о такой? Нет? А OLAP? Вот и я не слышал. Так может надо похакать эту непонятную штуковину? Ведь люди любят доклады связанные со взломом непонятных им аббревиатур. Так ведь и на конференцию можно будет какую-нибудь съездить типа BlackHat или на ZeroNights выступить (хотя бы на фаст треке). Расскажу что-нибудь про OLAP и MDX и покажу парочку багов на примере icCube, а меня за это покормят на конфе. Ну круто же, да?


«EAS-SEC — руководство по безопасному внедрению бизнес-приложений»

Докладчик: Александр Поляков

В докладе будет представлен результат проекта EAS-SEC. Проект имеет два направления: руководства по анализу защищённости критичных систем на этапе эксплуатации и руководства по безопасной разработке критичных систем с учетом специфики бизнес-приложений. Данный доклад затронет область анализа бизнес-приложений на этапе внедрения и эксплуатации. Как следствие, будет представлен список из ключевых проблем безопасности бизнес-приложений на всех уровнях: от сетевого до конкретных проблем приложений. Будет также представлено руководство по безопасности для платформы SAP в качестве первого шага данного проекта.


«EAS-SEC — руководство по безопасной разработке бизнес приложений»

Докладчик: Александр Миноженко

Доклад о последних результатах работы проекта EAS-SEC (Enterprise Application Systems Security). Проект, бывший в течении 3-х лет частью консорциума OWASP и называвшийся OWASP-EAS, теперь получил новую жизнь, и избавился от рамок исключительно WEB. В данном докладе будет представлено руководство по безопасной разработке и список из девяти ключевых недостатков, встречаемых при разработке бизнес-приложений, от инъекций кода до скрытых каналов утечки данных. Самое главное, увидите примеры реальных уязвимостей, обнаруженных в ходе использования ручного анализа и автоматизированных средств применимо к SAP-системам, и, конечно, способы их устранения.


«Dev system hacking — arch bugs in SAP SDM»

Докладчик: Евгений Неелов

Зачем взламывать сами критичные системы, если можно атаковать серверы развёртывания приложений, откуда исходный код растекается по всем системам? В ERP SAP эту задачу включает NetWeaver Development Infrastructure, состоящая из подсистем SDM, DTR, CBS, CMS.

Не идеальная ли это цель для атаки? Кого заботит безопасность сервера развёртывания приложений при десятках серверов и тысячах клиентских машин? Вот почему в таких решениях есть архитектурные уязвимости, позволяющие анонимно внедрить свой код в приложения на продакшн-серверах. В результате, вредоносный код атакующего растекается по любым выбранным системам, предоставляя возможность контролировать каждую из них.


«С Большими Данными приходит большая ответственность: практическое использование MDX-инъекций»

Докладчики: Александр Большев, Дмитрий 'chipik' Частухин



Заглянем в хранилище критичных данных, куда они попадают для дальнейшей обработки — Business Warehouse (BW), где содержатся большие данные (Big Data). Для обработки больших объемов данных классические транзакционные системы (OLTP) подходят не очень хорошо, именно поэтому им на смену пришла OLAP-технология с ее многомерными структурами. Данная технология реализована практических во всех приложениях класса Business Intelligence от таких крупных вендоров, как Microsoft, Oracle, SAP и т. д. Все критичные данные компании в одном месте, хммм... не прекрасная ли цель для атакующего?

OLAP-технология принесла в наш мир множество новых терминов и понятий: OLAP-куб, измерения, меры, а также язык запросов к многомерным структурам данных — MDX. На современном рынке Business Intelligence большая часть OLAP-серверов и почти все клиенты BI говорят на языке MDX. В докладе будут подробно разобраны все сущности технологии и особое внимание уделено языку запросов MDX. Будут рассмотрены возможные атаки с использованием MDX, описаны векторы проведения внедрений кода, получения данных из БД и обновления.

Помимо этого, будут показаны примеры систем, эксплуатируемых через уязвимости, связанные с MDX, их системные различия, векторы постэксплуатации и шпаргалка для упрощения MDX-инъекций.

Организаторы:
При поддержке:
При участии:
Золотой спонсор:
Серебряные спонсоры:
Официальный напиток:
HR-партнер
Генеральный медиа-партнер:
Золотой медиа-партнер:
Стратегический медиа-партнер:
Медиа-партнеры:
Информационные партнеры: