На хакерской конференции ShmooСon IX в этом году было очень много интересного. Все видеопрезентации выложены в открытый доступ. В общей сложности это около 38 с половиной часов видеозаписей. Если у вас не хватает времени, чтобы посмотреть их целиком, вот подборка самых интересных с прямыми ссылками на видеозаписи.
Уязвимости мейнфреймов. Вопреки распространённым заблуждениям, мейнфреймы до сих пор работают в большинстве крупных корпораций: авиакомпаниях, страховых агентствах, финансовых компаниях, нефтедобывающих и энергетических компаниях, правительственных организациях и разведывательных агентствах. В то же время хакеры уделяют мало внимания «устаревшим железякам». Презентация должна заполнить информационный вакуум и познакомить хакеров с основами безопасности мейнфреймов, методами поиска мейнфреймов через интернет, брутфорсом паролей и т.д.
Поддельные сертификаты для Apple iOS. В обучающей сессии показывают два новых способа атаки на механизм проверки сертификатов Apple iOS. Авторы потратили несколько месяцев на разработку этих методов, а сейчас со смехом демонстрируют уязвимости в безопасности операционной системы от Apple.
Хакерские инструменты для геолокации. Веб-фреймворк Honey Badger, питоновский скрипт Pushpin для поиска контента в социальных сетях по заданным координатам и несколько пост-эксплойтов к Metasploit для физической идентификации жертвы после взлома её компьютера (EXIF-заголовки фотографий, скан истории в браузере, использование беспроводной карты жертвы и т.д.). Пост-эксплойты позволяют быстро извлечь «биографическую» информацию о владельце компьютера, к которому вы получили доступ: ФИО, фото, возраст, род занятий и т.д.
PunkSPIDER: стабильный и быстрый сканер веб-приложений, работающий на кластере Hadoop, авторы программы опубликовали его исходные коды после презентации.
Взломы как военные действия. Презентация об использовании хакеров для решения задач государственной важности, то есть в военных целях.
