Я вам уже рассказывал про Positive Hack Days, который пройдет | Android Guards

Я вам уже рассказывал про Positive Hack Days, который пройдет 18-19 мая и жаловался, что там совсем небыло докладов про безопасность мобилок. Ситуация изменилась! На момент написания этого сообщения программы на сайте нет, но со мной по большому секрету поделились темами докладов и я хочу рассказать вам о нескольких, которые вызвали у меня интерес.

1. BootROM на Qualcomm: извлечение, исследование и эксплуатация уязвимостей. Докладчик расскажет как найти точку G JTAG в смартфоне на базе Qualcom и c его помощью извлечь BootROM. Также обещает показать 1day уязвимость в извлеченном BootROM, но это неточно ;)
2. Фреймворк безопасной разработки от компании Swordfish Security. Обещают показать фреймворк для безопасной разработки, и это звучало бы как очердное бла-бла-бла если бы не тот факт, что ребята действительно знают толк в SSDLC. Я уже делал с ними стрим и подкаст, поэтому проверьте это утверждение самостоятельно.
3. Уязвимое мобильное приложение Allsafe глазами аналитика исходного кода с примерами для начинающих. А это видимо конкуренты предыдущего доклада. Собираюсь дать им шанс и послушать эту историю про комбинацию SAST и DAST для поиска уязвимостей.
4. Хранение API-ключей. Доклад о том как надежно хранить ключи и предотвратить их утечку. Скорее всего тут речь про сервер, поэтому рекомендую прийти на этот доклад хотябы за тем, чтобы задать докладчику вопрос как хранить ключи в мобильных приложениях ;)
5. Безопасная разработка в вашей IDE. Доклад о разработке плагинов для Intellij IDEA и VSCode. С одной стороны про это сказано уже много, а с другой - уходя за границы очередного туториала начинаешь ловить летящие в тебя грабли. Кстати, написание плагинов для IDE полезно не только разработчикам. Выгрузив код из Jadx в Android Studio можно сильно упростить себе работу используя самописные плагины для автоматизации разных хакерских задач.

Что касается конференции в целом, то в этом году она пройдет под флагом "IN-dependence". Главный вопрос: реально ли быть independent — то есть независимыми — в текущих условиях без полного контроля над виртуальной средой? Это достижимо, если выбрать путь результативной и измеримой кибербезопасности.

Кибербезопасность в России сейчас находится на острие повестки. За последние месяцы шквал хакерских атак захлестнул все отрасли: госсектор, банки, СМИ, ВПК, ТЭК, IT, науку… Число запросов на киберзащиту выросло в разы. Из страны ушли практически все иностранные вендоры ИБ. Началась небывалая трансформация российского рынка кибербеза и есть отличный шанс не пролюбить момент и потусить с ИБ экспертами на Positive Hack Days и задать им острые вопросы про будущее.

Кроме собственно докладов, на конференции традиционно будет:

- самая масштабная открытая кибербитва The Standoff, позволяющая наглядно увидеть, к каким необратимым последствиям могут приводить хакерские атаки, и сделать выводы о построении эффективной защиты. Виртуальная страна, за ресурсы которой будут бороться команды этичных хакеров, представляет собой визуализацию цифровой реальности современной России. На этот раз вы увидите взаимозависимость отраслей экономики, когда даже незначительное влияние на одну из систем может иметь большие и непредсказуемые последствия в совершенно другом месте
- хакерские конкурсы: начинающие специалисты попробуют взломать банкомат, справиться с багами умного дома и обмануть систему биометрической аутентификации

Говорят, что количество билетов ограничено, поэтому если хочется прямо во все тяжкие, то лучше поторопиться. А для тех, кто не успел - будет трансляция. Но если вы хоть раз в жизни были на PHD, то трансляцию смотреть просто не захотите, в этом нужно участвовать лично!