Académique Documents
Professionnel Documents
Culture Documents
دبیران کنفرانس
رئیس کنفرانس رئیس افتخاری کنفرانس
ƨȲȈǹ ȐLJȕȲơ
اصغریان دکترǝȕǁǘ
حسن ǡȎƽǝȀȏơ ǝȕǁǘ دبیر ǡȎƽǝȀȏơ
پور حسنابراهیم
دکتر رضا
دکتر دکتر حمید رضا عظمتی
احسان پازوکی
امیرآبادی دکترمجتبی
مهندس اصغریان دکتر حسن اصغریان
žřĮťƧƲƉNjŠ
با توجه به اهمیت علوم مرتبط با رایانه و اینترنت ،و تحول چشمگیر ارتباطات درون و برون
شبکهای در جهان امروز ،نیاز به
فعالیتهای پژوهشی و علمی در
ابعاد مختلف آن در سطح جهانی
با تمرکز بر امنیت این بستر به
طرز قابل ملاحظهای احساس
میشود .از این رو پس از برگزاری
موفق دوره اول کنفرانس آفسک
در آبان ماه ۵۹۳۱در دانشگاه
صنعتی خواجه نصیر با هدف هم
افزایی دانش و انتشار یافتههای
نو و بدیع در زمینههای مختلف
علوم امنیت سایبری ،مجموعه
پژوهشی آفسک در صدد است
سلسله کنفرانسهای آفسک را با هدف توسعهی فرهنگ امنیت و الگوی چالشمحور
تکنیکهای مدرن نفوذ سایبری و به منظور تبادل جدیدترین دستاوردهای علمی و تجارب
کاربردی در این زمینه ادامه دهد .این مجموعه با افتخار اعلام میدارد که یک جامعهی
بزرگ و دوستانه از پژوهشگرانی که علاقمند به اشتراک ایدههایشان هستند و در عرصههای
تخصصی این زمینه در ایران و تقریبا دنیا برگزیده هستند را شکل داده است.
کنفرانس تخصصی
۴ نفوذ و امنیت آفسک
شایان ذکر است ،سلسله کنفرانس های آفسک به عنوان یک رویداد علمی و فنی معتبر در میان
جامعه امنیت سایبری شناخته شده و افزایش تعداد مقالات ارسالی و شرکت کنندگان هر دوره
دلیلی بر این ادعاست .این مجموعه از طریق فعالیتهای کنفرانس و نشریه بر توسعه و ترویج
دانش نظری ،پژوهشهای مفهومی و کاربردی ،و دانش حرفهای تمرکز دارد .اعضای اصلی گروه
پژوهشی آفسک به شرح جدول زیر است:
کنفرانس تخصصی
۱ نفوذ و امنیت آفسک
۰۰:۰۰-۰۰:۵۱مراسم افتتاحیه
۵۰:۵۱-۵۵:۰۰پروژه تلسکم
۵۳:۰۰-۵۳:۴۰فازینگ هوشمند
تهران ،دانشگاه تربیت دبیر شهید رجایی ،سالن شهید تهرانی مقدم
کنفرانس تخصصی
۱ نفوذ و امنیت آفسک
تهران ،دانشگاه تربیت دبیر شهید رجایی ،سالن شهید تهرانی مقدم
کنفرانس تخصصی
نفوذ و امنیت آفسک ۱
وحید بهزادان
عضو گروه پژوهشی آفسك و محقق دانشگاه Kansas Stateامریکا
چکیده :با توجه به افزایش چشمگیر استفاده از هوش مصنوعی در فناوری اطلاعات و سیستمهای
حساس ،مسئلهی امنیت هوش مصنوعی ویادگیری ماشین تبدیل به چالشی رو به رشد در حوزهی
امنیت سایبری شده است .در این ارائه ،به معرفی ابعاد این چالش و پیشرفتهای اخیر تحقیقاتی در
زمینهی امنیت و ایمنی هوش مصنوعی میپردازیم .مواردی همچون امنیت ماشینهای خودران،
سیستمهای بیومتریك ،و محصولات امنیت اطلاعات مبتنی بر هوش مصنوعی از موضوعات این مبحث
خواهند بود.
کنفرانس تخصصی
۱ نفوذ و امنیت آفسک
پروژه تلسکم
تحلیل فنی و آماری کلاهبرداریهای سایبری در بستر تلگرام
محمد جرجندی
مشاور راهبردی گروه پژوهشی آفسك و محقق دانشگاه George Masonامریکا
چکیده :با توجه به استفاده گسترده از پیامرسان تلگرام در سطح جامعه ایرانی ،در این ارائه به بررسی
محیط و قابلیتهای تلگرام از نگاه مجرمین سایبری و قربانیان آنها پرداخته میشود .بررسی دلایل
امنیت ارتکاب جرم در این بستر به نسبت وب و نیز تبدیل خرده جرایم به جرایمی با تاثیر بسیار فراتر
در این بستر و همچنین احتمال سختتر و پیچیدهتر شدن مراحل جرمیابی توسط مراکز قانونی از هر
دو منظر فنی و اجتماعی بخشهای مهم این ارایه خواهند بود.
کنفرانس تخصصی
۰ نفوذ و امنیت آفسک
پویا دارابی
عضو گروه پژوهشی آفسك و مشاور برگزیدهی امنیت شرکت Facebook
چکیده :توانایی اجرای اسکریپت ها در ،CSSنه تنها زمانی که نقاط آسیب پذیر درون استایل تگها
وجود دارند میتواند مفید واقع شود ،بلکه میتواند کمك کند تا بتوانیم از آنها در آسیب پذیری RPO
نیز استفاده کنیم .عرضهکنندگان مرورگرها ،بیش از هر زمان دیگری مخاطرههای امنیتی برایشان مهم
شده است ،به همین دلیل روش های انجام این کار درحال کاهش است .گذشته از این ،هیچ منبع
خاصی برای نمایش روش های جامع این کار وجود ندارد و تنها چیزی که در حال حاضر موجود است،
گیج کننده ،بی کاربرد و به روز نشده است .بنابراین ،در این ارائه به داشتن این فرصت برای جمعآوری
ایده های نو و نیز معرفی تکنیكهای کمتر شناخته شدهی معطوف به این موضوع پرداخته خواهد شد.
کنفرانس تخصصی
۵۰ نفوذ و امنیت آفسک
فازینگ هوشمند
معرفی چارچوب KFuzzو قابلیتهای منحصربفرد آن
شهریار جلایری
محقق سابق ارشد پروژهی Honeynet
چکیده :تحقیق وی که منجر به توسعهی یك فازر شده ،در جهت استفاده از یك طراحی پیمانهای
است که میتواند بصورت مجزا در دو حالت سطح کاربر/هسته ،برای سنجش مقیاسهای پوششدهی
برنامهها اقدام به تغییر فرم ورودیها و کنکاش قسمت تعاملی با سطح هسته کند .با استفاده از یك
آنالیز ایستای سبك روی باینری ،میتوان نیاز به آنالیز ایستا/پویا سنگین و اجرای سمبلیك را در هنگام
مواجهه با «مقایسه ثابتها» در پیمایش بلاکها برای افزایش پوششدهی کد ،از بین برد .سپس برای
مقایسه اثربخش بودن این روش ،چالشی که در مقاله فازر ( Drillerنویسندگان از گروه
Shellphishکه با فازر مطرح شده در این مقاله در مسابقه Cyber Grand Challengeدارپا
سوم شدند) مطرح شده را حل میکنیم .این چالش طوری طراحی شده است که یك فازر
Coverage Guidedهمانند AFLدر پیمایش آن ناتوان بوده و نیاز به آنالیز سنگین
( )Concolic Executionبر روی باینری در هنگام مواجهه با مقادیر ثابت را توجیه کرده و بر آن
تاکید میکند.
۵۵ کنفرانس تخصصی
نفوذ و امنیت آفسک
محمدرضا ضمیری
عضو گروه پژوهشی آفسك و کارشناس اسبق مرکز CERTبانك مرکزی
چکیده :مهاجمان از روش های متنوع و تکنیكهای پیچیده جهت شیوع بدافزارهای خود بهره
میگیرند .آنها برای آلوده سازی رایانه ها به طور جدی بر روی روش های مهندسی اجتماعی تکیه
میکنند .ایمیل های اسپم بطور عمده برای ترغیب کاربران به باز کردن لینكها و یا فایلهای پیوست
مخرب استفاده میشوند .همچنین دیگر روش محبوب مهاجمین استفاده از بستههای اکسپلویت و آلوده
سازی صفحات وب به منظور بهره کشی از آسیب پذیری های موجود در سیستم کاربران و شیوع
بدافزار با روش های Drive-by Downloadsو Malvertisingمیباشد .در این ارائه ابتدا
پیشینهای کوتاه از روش های شیوع بدافزار معرفی شده و در ادامه روشهای پیشرفته امروزی و شیوه
دفاع در برابر آنها مورد بررسی قرار میگیرند.
۵۵ کنفرانس تخصصی
نفوذ و امنیت آفسک
علی رزمجو
مدیر اجرایی گروه پژوهشی آفسك و سرپرست واحد ایران در بنیاد OWASP
چکیده :تحقیقات وی که حاصل کار تیمی چندین نفر از خبرههای برنامه نویسی و مهندسین امنیت
اطلاعات و شبکه می باشد ،امروز به یك چارچوب جمع آوری اطلاعات ،تست خودکار امنیت شبکه،
سرویسها و نیز نرم افزارهای تحت وب تبدیل شده است .این چارچوب نرمافزاری با به کارگیری
روشهای مدرن و تکنیك های دورزدن دیوارهای آتش و سامانههای تشخیص و جلوگیری از نفوذ و
نیز قابلیت توسعه آسان ،یکی از بهرهورترین نرم افزارها در میان رقبای خود به حساب میآید.
۵۳ کنفرانس تخصصی
نفوذ و امنیت آفسک
امیر رسولی
پایهگذار و مدیر گروه پژوهشی آفسك و محقق امنیت فناوریهای وب
چکیده :چرخه زیست امنیت سایبری ما در حال خروج از بستری مهآلود است .حفرههای امنیتی در
زیرساختها و مجاری نرمافزاری ما به شکل قابلتوجهی هنوز ناشناخته ماندهاند .پس از شناساییشدن
نیز از سوی انسان نیاز به درک ،وصلهکردن آنها و انتشار وصلههای مربوط به آنهاست که در حجم
وسیع بین کاربران ،این امر طاقتفرسا و هزینهبر (چه به لحاظ مالی و چه زمانی) میباشد .چالش امروز
آفسك ،به دنبال آن است که این چرخه طولانیمدت و هزینهبر را هم برای سازمانها و نقاط انتهایی،
و هم متخصصین و فعالانی که استعداد آنها به طرز چشمگیری رو به تلف شدن است به سمت مسیر
درستی هدایت نماید .این گروه با معرفی بستری رقابتی در جهت رشد خطی فرهنگ امنیت تهاجمی
برای تمامی افراد حقیقی و حقوقی با هر درجه از سطح رفاه و جایگاه اجتماعی ،میکوشد تا پایدار بماند.
ȜȘ
کنفرانس تخصصی
۵۴ نفوذ و امنیت آفسک
محمد جرجندی
مشاور راهبردی گروه پژوهشی آفسك و محقق دانشگاه George Masonامریکا
چکیده :نگاهی استنادی از زمان انتشار ابزارهای جاسوسی آژانس امنیت ملی امریکا ( )NSAتوسط
گروه هکری Shadowbrokersتا زمان انتشار باج افزار WannaCryو بررسی اجمالی عملکرد
باجافزارها و تغییر رویه مجرمین اینترنتی به سمت استفاده از باج افزار .سپس با ذکر مصادیق قابل تاملی
به بررسی عملکرد مراکز دولتی ایران ،به طور خاص مرکز ماهر ،در مواجههی با این رخداد به عنوان
یك حادثهی مهم جهانی پس از ۸سال که استاکسنت به طور مشخص برای ایران طراحی و اجرا
شده بود و پیشبینی جهت آمادگی احتمالی آنها در برخورد با رخدادهای آتی پرداخته میشود.
۵۱ کنفرانس تخصصی
نفوذ و امنیت آفسک
حسین لاجوردی
عضو گروه پژوهشی آفسك ،محقق امنیت شبکه و مشاور امنیت زیرساخت
چکیده :امروزه ویروسها ،کرم ها ،سرقت اطلاعات و عدم کنترل زیرساختهای فناوری اطلاعات،
سازمان ها را مجبور به اجرای راهکارهای امنیتی جهت کنترل دسترسی به شبکهی داخلی خود کرده
است .اخیرا ظهور نسل جدیدی از راهکارهای نرم افزاری و سخت افزاری از انواع شرکت های امنیتی
برای بهبود وضعیت امنیت شبکه و کمك به کنترل سطح دسترسی کاربران معرفی و ارائه شده است
که تمامی این محصولات کنترل سطح دسترسی به شبکه را با استفاده از روش ها و راهکارهای مختلف
پیاده سازی میکنند .در این ارائه استراتژیهای مختلف جهت کنترل سطح دسترسی به شبکه ،مورد
بررسی قرار میگیرد و نیز به بیان سازوکارهایی که به دور زدن هریك از راهکارهای کنترل دسترسی
بیانجامد ،پرداخته میشود.
ȜȘ
۵۱ کنفرانس تخصصی
نفوذ و امنیت آفسک
ارتباطات ماهوارهای
و تحلیل فنی چالشهای امنیتی آن
فرهاد ساسانی
محقق و مشاور امنیت زیرساختهای ارتباطی و ماهوارهای
چکیده :امروزه شبکههای ارتباطات ماهوارهای با پیشرفت تکنولوژی ارتباطات بسیار مورد توجه قرار
گرفتهاند .این شبکهها امکان اتصال بین شبکههای زمینی ،سرویسهای اینترنت و انتقال نرخ بالای
داده را فراهم کرده و ترکیبی از ماهواره ،گذرگاهها ،کاربران و مرکز کنترل شبکه هستند .ماهواره بخش
فضایی این شبکه است که اتصال بین کاربران و گذرگاهها را برقرار میکند .گذرگاهها نیز قسمتی از
شبکه هستند که روی زمین مستقر شده و دسترسی به بخش فضایی را فراهم میکنند و رابطی بین
شبکههای زمینی هستند .کاربران از طریق ماهواره به گذرگاهها متصل میشوند .مرکز کنترل شبکه
برای هماهنگی دسترسی به منابع ماهوارهای و انجام عملیات منطقی جهت مدیریت و کنترل ،به
سیستم مدیریت اطلاعات کاربر متصل میشود .شبکههای ارتباطات ماهوارهای در کنار کاربردهای
فراوان ،از چالشهای امنیتی نیز برخوردارند .به علت ماهیت پخش بیسیم در ماهوارهها ،استراق سمع
برای مهاجمان در این شبکهها بسیار راحتتر از شبکههای متحرک یا ثابت زمینی است .به دلیل آنکه
توانایی ذخیرهسازی و پردازش در ماهواره محدود است ،منابع محاسباتی در شبکه ماهوارهای باید به
صورت بهینه مورد استفاده قرار گیرند و در این ارائه به مواردی در رابطه با این موضوع و امنسازی
شبکهها پرداخته خواهد شد.
ȜȘ
۵۱ کنفرانس تخصصی
نفوذ و امنیت آفسک
چکیده :در این مدل حملات با جعل رویدادهای سطح نرم افزار و سخت افزار ،برنامه کاربردی دریافت
کننده رویداد را دچار اختلال نموده و از آن سو استفاده میگردد ،اکثر برنامههای کاربردی از این نوع
رویدادها جهت انجام عملیات های حساس و احراز هویت بهره میبرند.
۵۱ کنفرانس تخصصی
نفوذ و امنیت آفسک
محمدرضا اسپرغم
عضو گروه پژوهشی آفسك و سرپرست واحد ایران در بنیاد OWASP
چکیده :بدون شك میتوان گفت مدیریت محتوای VBulletinیکی از برترین سیستمهای مدیریت
محتوا با محوریت انجمنهای گفتگوست و طبیعتا به جهت کاربرد زیاد و نیز اطلاعات موجود از کاربران
در آن ،همیشه موردتوجه نفوذگران بوده و هست .با توجه به عدم وجود یك پویشگر قدرتمند برای آن،
وی برنامهای تحت عنوان VBScanپیادهسازی و در اختیار هکرهای قانونمند و دوستداران امنیت در
سراسر جهان قرار داده است .این پویشگر به زبان برنامهنویسی پرل نوشتهشده و در سال ۶۱۰۲بعنوان
سومین پروژهی امنیتی در دنیا از دیدگاه ToolsWatchشناخته شد و در سال ۶۱۰۲به کنفرانس
جهانی Blackhatراه پیداکرده است.