Ru
En

11 - 17 апреля

Неделя
кибербезопасности

Кафедра "Криптографии и безопасности
компьютерных систем" (№41) НИЯУ МИФИ
О мероприятии

Приглашаем Вас принять участие в традиционной Неделе прикладной кибербезопасности «CyberFox», организуемой кафедрой «Криптография и безопасность компьютерных систем» НИЯУ МИФИ, Институтом интеллектуальных кибернетических систем НИЯУ МИФИ при участии АО «Лаборатория Касперского».

Целью мероприятия является популяризация прикладных направлений кибербезопасности. Лекции будут интересны как начинающим, так и опытным специалистам.

Спикеры

Неделя кибербезопасности «CyberFox» - это уникальная возможность познакомиться с известными спикерами. В 2026 г. мероприятие станет международным, и ее откроет лекция преподавателя из университета прикладных наук Западной Швейцарии (HES-SO) . В рамках Недели будет также представлена возможность прослушать лекции ведущих экспертов , кафедры «Компьютерная и информационная безопасность» РТУ МИРЭА, кафедры «Криптография и безопасность компьютерных систем» НИЯУ МИФИ, а также ведущих сотрудников АО «Лаборатория Касперского», и Positive Technologies.

  • Анна Мелехова

    Архитектор ПО, системщик с склонностью к производительности и безопасности. 10+ лет провела в ядре виртуальной машины, потом 5 лет занималась архитектурой в распределенных сервисах. Последние 5 лет занимаюсь безопасностью безопасной операционной системы Kaspersky OS. Преподавала в МФТИ и Innopolis, довела до диплома более 50 студентов.

  • Роланд Сако

    Роланд Сако — преподаватель в Университете прикладных наук Западной Швейцарии, где он ведёт курсы по сетям, Java, кибербезопасности и фаззингу. Ранее он семь лет работал исследователем в области безопасности в команде Kaspersky ICS CERT, находясь в Женеве и сотрудничая с командой, базирующейся в московском офисе компании. До этого занимался пентестами в качестве консультанта. Роланд также является сооснователем Winsl0w.io — обучающего проекта в сфере информационной безопасности. Он получил степень магистра в области правовых аспектов, киберпреступности и ИБ в Лозаннском университете, где специализировался на мобильной криминалистике. Время от времени участвует в bug bounty-программах

  • Сергей Темников

    Сергей — исследователь в области кибербезопасности с сильной страстью к поиску уязвимостей. Он специализируется на выявлении и анализе проблем безопасности в Java и PHP приложениях, уделяя особое внимание сложным и критически важным уязвимостям.


    В настоящее время он работает в компании Kaspersky, а ранее занимал позиции в SEC Consult и Amazon, получив обширный опыт как в корпоративной среде, так и в консалтинге.


    Основное направление исследований — это методы фаззинга (fuzzing), которые он использует для обнаружения ранее неизвестных уязвимостей в современных программных системах. В свободное время он активно участвует в bug bounty программах, постоянно совершенствуя свои навыки и внося вклад в повышение глобальной безопасности.

  • Николай Фролов

    Исследователь угроз информационной безопасности с более чем десятилетним опытом. За это время работал в «Перспективном мониторинге», «Лаборатории Касперского», а сейчас занимаюсь исследованиями в «Позитив Текнолоджис». Основная специализация — аппаратный реверс-инжиниринг и безопасность промышленных систем (ICS). Преподаю на 41-й кафедре МИФИ курс «Введение в реверс-инжиниринг». Выступал на PHDays, Insomnia Hack, Kaspersky ICS Conf и других профильных конференциях.

  • Татьяна Курмашева (crytech7)

    Специалист по информационной безопасности и тестированию на проникновение

    с опытом более 7 лет в red team, R&D и автоматизации. Занимается исследованиями в сфере offensive security, консалтингом

    и проектированием безопасной архитектуры приложений.

  • Илья Пугачев

    Выпускник кафедры «Информационная безопасность»(ИУ-8) МГТУ им Н.Э. Баумана. Долгое время преподавал в «альма-матер». В настоящее время старший преподаватель кафедры «Компьютерной и Информационной безопасности» (КиИБ) РТУ МИРЭА.

    Сфера интересов и увлечений: электроника, схемотехника и ассемблер для решения задач информационной безопасности.

Программа
11 Апреля 19:00
Цвет команды чёрный — Введение в физический пентест
Роланд Сако, преподаватель в Университете прикладных наук Западной Швейцарии
Уязвимости в софте патчат. Физические — часто нет. Этот доклад — мягкое введение в блэк тиминг, тестирование безопасности за пределами сети, на физическом уровне. Разберём, что такое физический пентест, зачем он нужен и как связан с классическим кибераудитом. Темы:
· Связь физической и логической безопасности
· Аудит vs. пентест
· Методы разведки
· Объекты интереса: контроль доступа, видеонаблюдение, точки входа
· Цепочки уязвимостей и маршруты атак
13 Апреля 19:00
CosmicSting: раскрытие одной из крупнейших уязвимостей в электронной коммерции — обнаружение, демонстрация и влияние на безопасность
Сергей Темников, Ведущий эксперт, АО Лаборатория Касперского
Программа bug bounty была создана для повышения уровня безопасности по всему миру. Однако из-за цепочки сбоев одна найденная уязвимость превратилась в одну из крупнейших атак на приложения электронной коммерции, затронув 75% магазинов Adobe Commerce. Взломы происходят со скоростью от 3 до 5 магазинов в час. Эта атака известна как CosmicSting (CVE-2024-34102). Как исследователь, обнаруживший её, я представлю все детали этой уязвимости PHP, покажу демонстрацию proof-of-concept в реальном времени и подниму вопросы о пробелах в безопасности на всех этапах — от первоначального обнаружения до масштабного распространения проблемы.
14 Апреля 19:00
От детской игрушки до электрозаправки: три истории о том, как IoT-устройства нас подводят
Николай Фролов, Эксперт, Positive Techologies
В докладе я расскажу о трех совершенно разных IoT-устройствах, которые я исследовал. Каждое из них можно купить в обычном магазине, и каждое открывает неочевидные возможности для злоумышленника.

Начну с детской игрушки — умного робота с видеосвязью. Производитель упростил взаимодействие с облаком до такой степени, что через официальное приложение можно  выйти на связь с ребенком. Заодно покажу, какая личная информация родителей утекает вместе с этим.

Вторая история про принтер. Производители здесь почему-то больше заняты защитой картриджей от подделок, чем безопасностью самой прошивки. Расскажу, что можно найти внутри, если покопаться в обновлениях, и к чему это приводит.

Третья — про домашнюю зарядную станцию для электромобиля. Покажу, как небезопасный BLE превращает розетку у вас во дворе в общедоступную и кто за это в итоге платит.

Три истории, одна проблема: безопасность в умных устройствах до сих пор остается слабым звеном.
15 Апреля 19:00
Как разработать безопасную операционную систему?
Анна Мелехова, Архитектор безопасности, АО Лаборатория Касперского
Обсуждаем как написать систему, которую будет не так просто взломать. Строим фронт работ - от конструктивной безопасности (secure-by-design) к харденингам и SDL процессу. Пробуем понять, чем они отличаются. Обсудим, почему конструктивной безопасностью одной нельзя спастись от атакующего и почему сотня харденингов не заменит хорошей архитектуры. Будем говорить как об общих практиках разработки безопасного программного обеспечения, так и погружаться в низкоуровневый и прекрасный мир операционных систем. Задача максимум - понять, почему в Linux постоянно находят CVE, но это не так страшно.
.
16 Апреля 19:00
From firmware to cloud: аудит безопасности коммерческих сервисных роботов
Татьяна Курмашева, Независимый исследователь

Коммерческие сервисные роботы уже стали частью повседневности, но это не просто умная бытовая техника, а полноценные IoT-платформы с OTA-обновлениями и облачной инфраструктурой управления. Такая архитектура делает их особенно интересными с точки зрения offensive security. В докладе покажем, как подходить к аудиту подобных систем и представим результаты исследования безопасности коммерческого сервисного робота

17 Апреля 17:30 (очно НИЯУ МИФИ)
Нужно ли реверсистам знать схемотехнику?
Илья Пугачев, старший преподаватель кафедры «Компьютерной и Информационной безопасности» (КиИБ) РТУ МИРЭА
В одном старом анекдоте спрашивают: сколько программистов нужно, чтобы заменить лампочку? И тут же дают ответ: ни одного, it`s a hardware problem. Или Вы общаетесь с Заказчиком:
- Мы Вам передаём прошивку.
- Отлично! А когда Вы передадите устройство?
- А оно Вам зачем, Вы что не можете так, по одной прошивке посмотреть??

Вашему вниманию предлагается доклад посвященный как раз тем случаям, когда без знания схемотехники анализ прошивки не завершился бы успехом.
Зарегистрироваться Скачать программу
Контакты:
cryptofox@mephi.ru