Таймлайн

NEOQUEST-2018

Отборочный online-этап

C 5 по 16 марта проходил online-этап NeoQUEST-2018, легендой которого было путешествие на подводной лодке за сокровищами таинственного острова Атлантиды! Ключ к сокровищам, по легенде, был разделен на 11 частей (11 заданий), и части эти были разбросаны по всему острову.

Задания online-этапа были посвящены безопасности Android и Web, поиску уязвимостей, криптографии (блокчейн добрался даже до Атлантиды!) и конкурентной разведке. Тройка лидеров часто менялась, и вот наши победители:
1 место - mityada, 1527 баллов;
2 место - bay, 1508 баллов;
3 место - hackzard, 1429 баллов.

Поздравляем победителей и от души благодарим всех участников!

Все задания были «распечатаны» (но не все – пройдены полностью!), хотя бы 1 ключ получили 167 участников NeoQUEST-2017. В скором времени мы начнем публиковать разборы заданий в блоге на ХабраХабр.

Впереди – «очная ставка» NeoQUEST-2018, которая пройдет в конце сентября в Санкт-Петербурге в еще более крутом формате! Кроме докладов и воркшопов «Очной ставки» NeoQUEST, наши гости смогут посетить и научно-техническую конференцию «Методы и технические средства обеспечения безопасности информации», где узнают о том, каким образом наука помогает в разработке современных механизмов безопасности, и почему научный research – это важно и интересно!

Посетить «Очную ставку» смогут АБСОЛЮТНО ВСЕ, даже те, кто не участвовал в online-этапе! Кто-то – в качестве участника hackquest, кто-то в качестве гостя, но мы обещаем: будет круто! Доклады, воркшопы, real-time демонстрации атак, финал hackquest – всё это ждет вас в Питере на «Очной ставке»!
Подробнее о грядущих событиях – на объединенном сайте.

Очная ставка

26 сентября 2018 года состоялась шестая «Очная ставка» NeoQUEST!

В этот раз мероприятие проходило вместе с научно-технической конференцией «Методы и технические средства обеспечения безопасности информации», и у гостей была возможность параллельно познакомиться поближе с science research!

В основную программу вошли следующие доклады:

  • «Неочевидное применение проверяемых вычислений»
    Возможно ли создать систему отзывов на товары или услуги, в которой отзывы будут совершенно анонимными, и один пользователь сможет оставить на один товар только один отзыв? Да, и протокол проверяемых вычислений zk-SNARK позволяет решить эту проблему!

  • «Что Facebook знает о нас? Что мы знаем о Facebook?»
    У Facebook паранойя. После истории с выборами блокируют пользователей направо и налево. Как быть, что делать, чтобы не попасть под раздачу?

  • «Абсолютная власть: управление процессором через USB»
    Разбираемся, что представляет собой технология Direct Connect Interface (DCI), внедренная компанией Intel вместе с процессорами семейства Skylake, каким образом она предоставляет доступ к аппаратной отладке через порты USB 3.0 и почему не стоит держать ее включенной на своем рабочем компьютере.

  • «Status: online»
    Рассказываем о том, каким образом можно использовать видимость статуса on-line в социальных сетях и продемонстрируем скрипт, автоматизирующий подобный сбор данных.

  • «OK Google»
    В докладе рассматриваем поисковики, о существовании которых многие не догадывались, и обсуждаем, как именно владение мощными операторами помогает в поиске уязвимых систем.

  • «Извините, роботов не обслуживаем»
    Как найти общий язык с поисковиками, если необходимо отправлять запросы часто и много? Разбираем ограничения на этапе автоматизации поисковых запросов и возможные пути их обхода.

  • «Впихнуть невпихуемое. Проблематика встраивания кода в проприетарные ОС»
    Подробно обсуждаем, как встраивать пользовательский код в различные проприетарные ОС, в ОС, построенные на базе Linux, а также в прошивки устройств.

  • «Генезис: первая секунда жизни компьютера»
    Рассказываем о том, что делает компьютер в первую секунду жизни, какие средства защиты действуют до старта процессора, что работает, когда ничего не работает и многое другое.

  • «Цифровые подписи и где они обитают»
    Рассказываем о том, какие виды цифровых подписей существуют, и с какими из них мы можем встретиться в реальной жизни.

  • «Ghostbusters: Spectre & Meltdown»
    В докладе выясняем, что же из себя представляют аппаратные уязвимости типа Spectre и Meltdown? Говорим о вычислительном конвейере, смотрим на различные реализации данных уязвимостей и размышляем, как от них защититься.

  • «Ястреб сбит. Исследуем защищенность дронов»
    Заглядываем внутрь дронов, говорим об актуальных уязвимостях и демонстрируем, как злоумышленник может воздействовать на летающий дрон на примере квадрокоптера DJI Spark.

  • «Глубокое обучение в стеганографии: we need to go deeper»
    Говорим о том, как можно манипулировать случайностью, чтобы спрятать в сгенерированном контенте секретные данные. На примере музыки рассматриваем процесс встраивания данных, а также размышляем, кто и для чего может использовать эту технику.

Видеозаписи всех докладов можно увидеть на нашем YouTube-канале.

Как обычно было и много-много практики – на протяжении всего дня один воркшоп сменялся другим. У гостей была возможность попробовать себя в роли пентестера, научиться создавать загрузочные флешки без ОС на своем коде, перепрошить BIOS материнских плат и многое другое!

В этом году в программе вновь появилось легендарное Сold-boot шоу, присутствовали гости из команды DC7831, традиционное «ЕГЭ по ИБ», конкурсы и подарки. А компания-спонсор «Медоварус» целый день угощала самых активных участников вкусным лимонадом!

Одновременно с конференцией проходил финал индивидуального CTF-соревнования, итоги таковы: 3 место - hackzard, 2 место - ch1sh1rsky, 1 место - mityada! Поздравляем ребят и гордимся ими!

Впереди очередной online-этап NeoQUEST, следите за новостями в группе VK!

Партнеры

Сбербанк Сбербанк SCS ИБКС Портал SecurityLab Всё о CTF в России! Айти-Событие.рф RO CREW