کنفرانس Typhooncon یه کنفرانس امنیت تهاجمی هستش که توسط ssd secure disclosure برگزار میشه. کمپانی ssd secure disclosure پلتفرم برنامه افشای آسیب پذیری یا vulnerability disclosure program یا بصورت مختصر VDP ارائه میده و میتونید آسیب پذیری هایی که از محصولات مختلف کشف میکنید به این شرکت گزارش کنید و در ازای گزارش مبلغی رو هم دریافت کنید. البته یه اسکوپی هم داره.
بیشتر موضوعاتی که کنفراس روش تمرکز داره موارد زیر هستن :
- Vulnerability discovery
- Advanced exploitation techniques:
- Browsers Exploitation
- OS Kernel Exploitation
- Mobile Exploitation
- Revolutionary Web Hacking Technique
- Mitigation bypass techniques
- Hardware reverse engineering
- Software reverse engineering
- Protocol reverse engineering
- Attacks on cryptography in hardware and/or software
این رخداد امسال 12-16 ژوئن ، 22 تا 26 خرداد، در سئول کره جنوبی قراره برگزار بشه . 15 و 16 برای کنفراس هستش و 12 تا 14 برای ورکشاپ ها و 15 و 16 برای Typhoonpwn هستش.
برای ارائه دهندگان ، علاوه بر سه شب اقامت در هتل Courtyard Seoul Namdaemun ، بلیط رفت و برگشت تا سقف 2000 دلار رو هم پشتیبانی میکنن.
مواردی که باید ارسال کنید :
- نام و نام خانوادگی و اطلاعات تماس
- بیوگرافی مختصر از خودتون
- محل اقامت
- تجربه ارائه های قبلی
- موضوع ارائه و توضیحات
توصیه شده موارد زیر رو هم رعایت کنید :
- ارائه اتون عنوان ساده و مختصری داشته باشه
- مطمئن بشید که ارائه اتون معتبره و شامل ایده اصلی ، سناریوهای دنیای واقعی و مثالهای مرتبط برای یادگیری رو داره.
- توضیح دهید که چرا مردم به ارائه شما میان و چه برداشت هایی از ارائه شما خواهند داشت
- مطمئن بشید که ایده، مفهوم ، تکنیک یا یافته جالبی رو قراره ارائه بدید.
نکات مهم :
- زمان ارسال مقاله به این کنفرانس تا 28 آوریل ، 8 اردیبهشت هستش.
- ارائه ها به زبان انگلیسی هستش.
- ارائه ها 30 یا 60 دقیقه بهمراه سوال و جواب ها خواهد بود.
- موارد ارسالی نباید با عنوان فروش ، کلمات رایج و … باشه.
ورکشاپ هایی که قراره برگزار بشه :
- Mastering fuzzing: a comprehensive training on identifying vulnerabilities in software (Hardik Shah)
- Attacking the Linux Kernel (Andrey Konovalov)
- Introduction to hard target internals (Maxpl0it)
ارائه هایی که تا لحظه نگارش پست ، در سایتشون قرار گرفته :
- Patches, collisions and root shells: a Pwn2Own adventure (Stefan Schiller, Paul Gerste & Thomas Chauchefoin)
- The Future of Windows Vulnerability Research (Alex Ionescu)
- Exploiting preauth RCE and Sandbox escape vulnerabilities in ESXi (Weihua Huang & Dr. Zhiniang Peng)
- No Tux Given: Diving into Contemporary Linux Kernel Exploitation (Sam Page)
- Web Hackers vs. The Auto Industry (Sam Curry)
- Breaking Qualcomm Secure Execution Environment (Swapnil Deshmukh)
- Breaking Docker’s named pipes SYSTEMatically (Eviatar Gerzi)
- Browser Security Showdown: Uncovering Security Vulnerabilities in Modern Browsers (Rafay Baloch)
در کنار کنفرانس و ورکشاپ، یه برنامه هک زنده با عنوان Typhoonpwn هم قرار برگزار میشه:
- شرکت در این رویداد برای همه امکانپذیره و ثبت نام تا 15 ژوئن هم بازه.
- برای شرکت باید 18 سال به بالا داشته باشید. اگه کارمند شرکت فروشنده یا توسعه دهنده محصولات هدف باشید نمیتونید توش شرکت کنید.
- بصورت انفرادی یا تیمی میتونید شرکت کنید
- امکان شرکت بصورت ریموت هم هستش اما یسری قوانین داره.
- برای شرکت ممکنه SSD اطلاعاتی در خصوص هویت و محل اقامت و تواناییهاتون بپرسه و اگه اطلاعات اشتباهی بدید میتونه شما رو حذف کنه.
بصورت کلی محصولاتی که در این رویداد قراره هک بشن:
- روی آخرین نسخه اصلاح شده از سیستم عامل اجرا میشن.
- محصولات در حالت پیش فرض نصب شدن.
- آسیب پذیری های مورد استفاده باید ناشناخته، منتشر نشده و قبلا به فروشنده ارائه نشده باشن.
اهداف و جوایز:
- مایکروسافت ویندوز – افزایش امتیاز – 70 هزار دلار
- لینوکس – افزایش امتیاز – 70 هزار دلار
- مایکروسافت اکسچنج سرور – اجرای کد از راه دور – 80 هزار دلار
- گوگل کروم – دور زدن سندباکس و اجرای کد از راه دور – 250 هزار دلار
- گوگل کروم – اجرای کد از راه دور – 130 هزار دلار
- کریو کنترل – اجرای کد از راه دور بدون احراز هویت – 50 هزار دلار
- مسنجر Wire secure – اجرای کد از راه دور – 60 هزار دلار
- فایروال سوفوس – اجرای کد از راه دور بدون احرازهویت – 50 هزار دلار