Новости
Первые доклады на PHDays: перехват видеоконференций, новая версия GhostTunnel, атаки на Java Card
Для нашего программного комитета наступила горячая пора — вовсю идет прием заявок на участие в Positive Hack Days. У желающих выступить с докладом осталась всего пара недель для подачи заявок: Call for Papers закроется 31 марта. Недавно мы анонсировали ключевого докладчика PHDays 9, им cтанет знаменитый исследователь безопасности сетей GSM Карстен Ноль (Karsten Nohl). А сегодня представим первую группу докладчиков, чьи выступления уже включены в основную программу форума. Впервые участником PHDays станет исследователь информационной безопасности компании ElevenPaths — Ямила Ванеса Левалье (Yamila Vanesa Levalle). Ее доклад будет посвящен двум опенсорсным инструментам на Python, позволяющим автоматизировать атаки на платформу для видеоконференций Cisco Meeting Server (CMS).
Карстен Ноль выступит на PHDays 9
Одним из ключевых докладчиков Positive Hack Days 9 станет знаменитый исследователь безопасности сетей GSM Карстен Ноль (Karsten Nohl). В студенческие годы его знали как члена сообщества Chaos Computer Club, сегодня Карстен специалист в области шифрования и безопасности данных. Подвергает сомнению и часто опровергает общепринятые идеи о проприетарном программном обеспечении. В своей работе опирается на поддержку Reliance Jio — самой быстрорастущей компании в мире.
Сергей Бобунец («Смысловые Галлюцинации») возглавит жюри музыкального конкурса Positive Wave
Стал известен состав профессионального жюри музыкального конкурса Positive Wave, который состоится весной 2019 года в рамках международного форума по практической информационной безопасности Positive Hack Days. В него уже вошли музыкальный обозреватель издательского дома «КоммерсантЪ» Борис Барабанов, основатель «Гильдии Музыкантов» Павел Данилин, редактор отдела «Культура» интернет-издания «Газета.Ru» Дмитрий Кузьмин, финалист музыкального телешоу «Фактор-А» Сергей Лях. Возглавит жюри лидер группы «Смысловые Галлюцинации» Сергей Бобунец. Positive Wave — ежегодный фестиваль музыкальных групп IT-компаний. Участниками могут стать музыкальные коллективы любого направления в составе от трех до восьми человек. Главное, чтобы хотя бы один из участников группы был действующим сотрудником IT- или ИБ-компании. Финалисты конкурса выступят перед профессиональном жюри на закрытии форума PHDays 22 мая 2019 года в «Крокус Экспо». Главный приз — промо видеоролик и digital-кампания по его продвижению в социальных сетях в течение месяца за счет организатора фестиваля. Заявки принимаются на music@phdays.com до 28 февраля включительно. Подробные условия участия, этапы отбора в полуфинал и финал — на странице фестиваля. О жюри Сергей Бобунец — лидер группы «Смысловые Галлюцинации», поэт, музыкант, продюсер. Обладатель премий «Золотой граммофон» за песни «Разум когда-нибудь победит» и «Зачем топтать мою любовь». Автор и продюсер песен групп «Смысловые Галлюцинации» и «Чичерина». Обладатель премий «Чартова дюжина» за песню «Погружаюсь» и как победитель в номинации «Солист» в 2015 году. Автор музыки к социальным роликам, документальным и художественным фильмам («Брат-2», «На игре», «Краткий курс счастливой жизни», «Про Рок»). Популяризатор отечественной космонавтики. Борис Барабанов — российский журналист, музыкальный обозреватель издательского дома «КоммерсантЪ», радиоведущий и продюсер, педагог. Преподает в инновационно-образовательной компании RMA (специализация «Менеджмент в музыкальной индустрии»), а также в «Школе музыкального менеджмента» в Санкт-Петербурге. Постоянный внештатный автор журналов «Афиша» и Vogue. Консультант по продвижению самого большого концертного зала Москвы «Stadium.Live». Ранее работал на радио «Максимум» и «Нашем радио», сотрудничал в качестве PR-менеджера с группой Billy’s Band и Земфирой. Куратор музыкальной программы для фестиваля современного искусства «Территория» (2006). В 2008 году выпустил в издательстве «Амфора» книгу «АССА. Книга перемен». Дмитрий Кузьмин — редактор отдела «Культура» интернет-издания «Газета.Ru». Закончил Московский станкоинструментальный институт, но профессиональным «технарем» так и не стал — еще будучи студентом, подался в журналистику. Долгое время совмещал журналистскую деятельность с музыкальной, в течение десяти лет играл на ударных. Сотрудничал с полуфиналистом шоу «Голос» и ведущим программы «Орел и решка. Шопинг» Антоном Лаврентьевым, принимал участие в записи альбома группы «Практика», выступавшей на фестивале «Нашествие», играл с одним из самых известных блюзовых гитаристов Москвы Юрием Новгородским. Хотя уже давно не садился за барабанную установку, любовь к музыке, особенно живой, не потерял. Павел Данилин — основатель «Гильдии Музыкантов». «Гильдия Музыкантов» ― это 8 лет организации концертов, более 400 организованных концертов и свыше 600 групп, выступивших благодаря нам на сценах московских и питерских площадок. «Гильдия Музыкантов» ― это прежде всего отношение, с которым члены гильдии подходят к каждому участнику, концерту и репортажу. Сергей Лях — финалист музыкального телешоу «Фактор-А» (телеканал «Россия 1»), команда Лолиты Милявской. Лауреат вокальных конкурсов, автор песен, вокалист в музыкальной группе. Педагог по вокалу, обучает многим вокальным стилям и техникам. С отличием окончил Государственный музыкальный колледж эстрадного и джазового искусства по специальности «эстрадно-джазовый вокал».
Станьте докладчиком на PHDays 9
Мы начинаем прием заявок на участие в международном форуме по практической безопасности Positive Hack Days. Все желающие выступить c докладом должны отправить заявку до 31 марта. Ждем как признанных экспертов, так и молодых специалистов. Лучшие доклады выберет международный программный комитет, в который входят независимые исследователи и ведущие эксперты IT-индустрии. Главная тема PHDays 9 — «Взлом константы», мы уделим особое внимание взаимному воздействию социума и информационных технологий. Вопросы, которые будут подняты в конференционной части, выйдут за рамки ИБ для специалистов и затронут проблемы влияния информационной безопасности на цифровые госуслуги, финансовые технологии, киберстрахование, блокчейн, цифровую энергетику, облачные технологии, телеком, коснутся взаимодействия бизнеса и технологий, проблем глобализации, биохакинга, возможностей интеллекта. Также нам интересны практика и оригинальные исследования в различных направлениях безопасности: безопасность встраиваемых систем, бытового и промышленного IoT; недостатки и уязвимости блокчейна; безопасность телекоммуникационных сетей; безопасность умного дома и видеонаблюдения (CCTV); безопасность финансовых технологий и инструментов; безопасность веб- и бизнес-приложений; обратная разработка; прикладная криптография; машинное обучение; вредоносное ПО и разработка эксплойтов; целевые атаки и аппаратные закладки; безопасная разработка и автоматизация средств защиты. Принять участие в конференции можно в одном из форматов: доклад (50 минут), Fast Track (15 минут) и Hands-on Lab (до 4 часов). Для участия в конференции заполните заявку на странице: phdays2019.exordo.com. Подробная информация — на странице Call for Paper.
Лови Positive Wave: на PHDays 9 пройдет музыкальный фестиваль
Positive Hack Days 9 обещает быть музыкальным! Мы запускаем фестиваль Positive Wave и объявляем набор музыкальных групп из IT-компаний. Финалисты конкурса выступят на закрытии форума PHDays 22 мая 2019 года в «Крокус Экспо». Главный приз — промо видеоролик и digital-кампания по его продвижению в социальных сетях в течение месяца. Продюсер PHDays Виктория Алексеева о грядущем фестивале: «Мы решили продолжить традицию и провести музыкальный фестиваль для групп из технологических компаний. На прошлом PHDays случился двухдневный фестиваль Positive Hard Days. Опыт оказался более чем удачным: мы получили множество положительных отзывов как от участников, так и зрителей. Шесть коллективов зажгли на сцене форума, а победителем стала подмосковная группа NEU Stereo. В этот раз мы немного изменили формат участия и добавили полуфинал со зрительским голосованием. Пока не расскрою всех карт, но обещаю — мы всех удивим!» Условия участия В этом году мы не делаем ограничения по жанрам. Участниками фестиваля могут стать музыкальные коллективы любого направления в составе от трех до восьми человек. Главное, чтобы хотя бы один из участников группы был действующим сотрудником IT- или ИБ-компании. Еще одно обязательное условие — на фестивале нужно исполнить не менее одной собственной песни. Чтобы принять участие, нужно отправить заявку на адрес music@phdays.com. В ней в свободной форме нужно указать: название коллектива и IT или ИБ-компании, сотрудниками которой являются члены коллектива; количество участников и используемые музыкальные инструменты; короткий рассказ (не менее 200 слов) о группе с фотографией в хорошем качестве; записи песен: ссылки на аудио- или видеозаписи не менее 4 треков (а лучше — больше), которые вы готовы исполнить на фестивале — хотя бы одна песня должна быть авторской. Заявки рассматривает организаторы фестиваля. Этапы отбора Сбор заявок: заявки принимаются до 28 февраля 2019 года (включительно). Отбор: шесть групп, прошедшие отбор, будут приглашены на полуфинал. Информация о полуфиналистах будет опубликована на странице фестиваля на сайте PHDays до 8 апреля 2019 года. Полуфинал пройдет 25 апреля 2019 года на концертной площадке одного из музыкальных баров г. Москвы. Каждая группа выступит с 20-минутным сетом из 4 песен. В финал пройдут три группы, финалистов выберут зрители, присутствующие на концертной площадке. Точное место проведения будет определено весной 2019 года. Финал и церемония награждения: коллективы, вышедшие в финал, выступят на главной сцене форума PHDауs 22 мая 2019 года в «Крокус Экспо». Группы должны будут исполнить 4 песни, длительность выступления не более 20 минут. Оценивать выступление коллективов и определять победителей будет профессиональное жюри. Объявление победителей и церемония награждения участников Фестиваля состоятся в тот же день сразу после окончания фестиваля. Призы Победитель фестиваля получит возможность снять промо видеоролик и digital-кампанию по его продвижению в социальных сетях в течение месяца за счет организатора Фестиваля Все финалисты получат записи и фото с выступления и памятные подарки. Подробные условия участия – на странице фестиваля.
Появились в продаже билеты на PHDays 9
Появились в продаже билеты на PHDays 9 До 10 января 2019 года действует скидка Early Birds: стоимость участия в двух днях форума — 7337 ₽. С 11 января билет на два дня будет стоить 9600 ₽, на один день — 7337 ₽. Уже с 1 марта цена вырастет до 14 400 ₽ за два дня и 9600 ₽ за один. Количество ограничено! Успейте купить билеты на PHDays 9 со скидкой! Напоминаем и о бесплатных способах попасть форум. Получить инвайт на PHDays можно, если подготовить яркое исследование в области ИБ, победить в специальном хакерском конкурсе или стать участником одной из команд The Standoff. Подробности появятся позже.
Взломай константы на PHDays 9
Стали известны концепция и основные темы международного форума по практической безопасности Positive Hack Days. Тема девятого форума — «Взлом константы», а конференционная и конкурсная программы не ограничатся вопросами информационной безопасности: в фокусе внимания — взаимное воздействие социума и информационных технологий. PHDays 9 объединит вокруг ключевой темы самых разных людей — не только хакеров, безопасников и IT-специалистов, но и специалистов из смежных областей — медицины, нейротехнологии, политики. Что есть константы? Числа правят миром. C помощью констант (число пи, гравитационная постоянная, золотое сечение) можно описать любые явления во Вселенной, от рождения снежинки до динамики курса на бирже. Сегодня мы живем в цифровом мире, где практически все сферы деятельности человека зависят от информационных технологий. И этот цифровой мир тоже подчиняется своим «константам». Облачные технологии, большие данные, искусственный интеллект, машинное обучение, блокчейн, виртуальная реальность, интернет вещей — это и есть то незыблемое, на основе чего строится современная цифровая вселенная. Но если числа правят миром, кто управляет числами? Действительно ли то, что мы принимаем за нерушимые основы, является ими на самом деле? И что будет, если их взломать? На PHDays 9 мы рассмотрим эффект бабочки в контексте цифровой эпохи. Мы предлагаем подвергнуть сомнению существующие представления о непоколебимом цифровом мире и представить, что может произойти, если будут скомпрометированы «константы» нового времени. «В цифровом пространстве живут государство, бизнес и частные лица. И если раньше двигателями прогресса были только адепты информационных технологий, то сейчас в этой роли выступает каждый из нас. Цель PHDays 9 в том, чтобы представители государства, бизнеса, индустрии IT и ИБ посмотрели под новым углом на константы цифрового мира — через призму информационной безопасности, — делится планами заместитель генерального директора Positive Technologies Борис Симис. — Среди вопросов к обсуждению: цифровые госуслуги; финансовые технологии и банковские услуги; киберстрахование; блокчейн; цифровая энергетика; облачные технологии; глобализация и безопасность; безопасность телекома; рынок информационной безопасности; взаимодействие бизнеса и технологий; биохакинг и возможности интеллекта». Отличительной особенностью девятого форума PHDays станет обновленная программа конференции, которая выйдет за рамки вопросов ИБ для специалистов. В планах организаторов расширить аудиторию форума и затронуть на секциях, пленарных заседаниях и круглых столах актуальные проблемы влияния информационной безопасности на самые разные области, чтобы каждый посетитель смог найти для себя что-то интересное. Подробнее об этом мы расскажем в феврале. Больше практики Коснулись изменения и технического трека. В этом году упор на сбалансированную программу выступлений: она будет включать доклады разной сложности: от уровня для начинающих до хардкора. Ключевые темы: безопасность встраиваемых систем и бытового и промышленного IoT; недостатки и уязвимости блокчейна; безопасность телекоммуникационных сетей; безопасность умного дома и видеонаблюдения (CCTV); безопасность финансовых технологий и инструментов; безопасность веб- и бизнес-приложений; обратная разработка; прикладная криптография; машинное обучение; вредоносное ПО и разработка эксплойтов; целевые атаки и аппаратные закладки; безопасная разработка и автоматизация средств защиты. Конкурсная программа станет основой PHDays 9. Планами делится член оргкомитета PHDays Тимур Юнусов: «В этом году мы хотим расширить категорию участников хакерских испытаний. Мы постараемся привлечь внимание не только тех, кто обычно готовится к соревнованиям заранее, но и тех, кто случайно решил поучаствовать — обычных посетителей форума. Большинство конкурсов будет в формате воркшопов — каждые несколько часов на стендах будет проходить обучение базовым принципам, на основе которых можно будет решить хотя бы одно задание. Такой формат позволит участникам быстро погрузиться в тему и отработать полученные знания на практике. Но мы, конечно, не сбрасываем со счетов и классические хакерские конкурсы: все они остаются в программе». Конкурсная программа будет включать воркшопы разного уровня сложности по разнообразным темам прикладной безопасности: среди них безопасность промышленных и финансовых систем, бытовой и промышленный интернет вещей, умные машины и устройства, реверс-инжиниринг, радио и железо, криптография. Ну и куда же без кибербитвы между защитниками и атакующими The Standoff! Она, как и раньше, будет главным соревнованием форума. Подробнее о подготовке The Standoff мы расскажем позже. Следите за новостями! Напоминаем, что PHDays состоится 21 и 22 мая 2019 года в международном выставочном центре «Крокус Экспо». Продажа билетов начнется в декабре.
Противостояние на Positive Hack Days 8: подробности атак
Завершилось очередное Противостояние в рамках конференции Positive Hack Days 8. В этот раз в борьбе приняли участие более ста человек: 12 команд нападающих, 7 команд защитников и целый город, который им предстояло атаковать и защищать. На этот раз за всем происходящим в игровой сети The Standoff наблюдала тройка продуктов нашей компании: MaxPatrol SIEM — SIEM-система. PT Network Attack Discovery — решение сетевой безопасности для анализа сетевого трафика, выявления и расследования инцидентов. PT MultiScanner — многоуровневая система выявления и блокировки вредоносного контента. За работой продуктов и игровыми событиями следила команда экспертного центра безопасности Positive Technologies (PT ESC), чтобы рассказать об этом посетителям. По итогам конкурса данных было настолько много, что хватило бы на огромный отчет. Наиболее полными по описанию получились сети офиса № 2 компании интегратора SPUTNIK и офиса № 1 страховой компании BeHealthy. Офис № 2 был интересен тем, что находился под наблюдением SOC РТК, но не опекался командой защитников, и его полностью взломали команды атакующих. Помимо двух офисов, в городе работали ТЭЦ и подстанция, железная дорога, умные дома с рекуперацией энергии и банки с ATM.
Кибербитва на PHDays, или Как за 30 часов взломать городскую инфраструктуру
Третий год подряд главным соревнованием форума Positive Hack Days остается The Standoff — кибербитва между командами атакующих, защитников и экспертных центров безопасности (SOC). Игры 2016 и 2017 года показали, что максимально приближенный к реальности формат соревнований понятен и интересен не только участникам, но и посетителям конференции. Поэтому сомнений делать или не делать The Standoff в этом году у организаторов не было. Всего в The Standoff 2018 года поучаствовало 19 команд. Почти 30 часов они сражались за контроль над городом. Защитники стойко отстаивали вверенные им объекты, но атакующим все равно удалось кое-что взломать: некоторые объекты по правилам намеренно оставлялись без защиты. А вот битва между самими командами атакующих выдалась горячей: турнирная таблица кардинально изменилась буквально за полчаса до конца игры. Рассказываем, что происходило на площадке в течение двух дней. Первый день: атакующие прощупывают почву День был не очень богатым на события. Атакующим понадобилось много времени, чтобы разведать обстановку и внимательно изучить объекты игрового полигона. По легенде сражение развернулось в городе, вся экономика которого основывается на цифровых технологиях. В городе работали ТЭЦ и подстанция, железная дорога, несколько офисов, «умные» дома с рекуперацией энергии, банки с банкоматами и киосками самообслуживания, сотовая связь, интернет и различные онлайн-сервисы.
PHDays 8: разбор конкурса EtherHack
В этом году на PHDays впервые проходил конкурс под названием EtherHack. Участники искали уязвимости в смарт-контрактах на скорость. В этой статье мы расскажем вам о заданиях конкурса и возможных способах их решения. Azino 777 Выиграй лотерею и сорви банк! Первые три задания были связаны с ошибками при генерации псевдослучайных чисел, о которых мы недавно рассказывали: Предсказываем случайные числа в умных контрактах Ethereum. В основе первого задания лежал генератор псевдослучайных чисел (ГПСЧ), который использовал хеш последнего блока как источник энтропии для генерации случайных чисел: pragma solidity ^0.4.16;
contract Azino777 {
function spin(uint256 bet) public payable {
require(msg.value >= 0.01 ether);
uint256 num = rand(100);
if(num == bet) {
msg.sender.transfer(this.balance);
}
}
//Generate random number between 0 & max
uint256 constant private FACTOR = 1157920892373161954235709850086879078532699846656405640394575840079131296399;
function rand(uint max) constant private returns (uint256 result){
uint256 factor = FACTOR * 100 / max;
uint256 lastBlockNumber = block.number - 1;
uint256 hashVal = uint256(block.blockhash(lastBlockNumber));
return uint256((uint256(hashVal) / factor)) % max;
}
function() public payable {}
}
Поскольку результат вызова функции block.blockhash(block.number-1) будет одинаковым для любой транзакции в пределах одного блока, в атаке может использоваться контракт-эксплойт с такой же функцией rand(), чтобы вызвать целевой контракт через внутреннее сообщение:
function WeakRandomAttack(address _target) public payable {
target = Azino777(_target);
}
function attack() public {
uint256 num = rand(100);
target.spin.value(0.01 ether)(num);
}
Private Ryan
Мы добавили приватное начальное значение, которое никто никогда не вычислит.
Это задание — немного усложненный вариант предыдущего. Переменная seed, которая считается приватной, используется для смещения порядкового номера блока (block.number), так чтобы хеш блока не зависел от предыдущего блока. После каждой ставки seed перезаписывается на новое «случайное» смещени. Например, в лотерее Slotthereum именно так и было.
contract
PrivateRyan {
uint private seed = 1;
function PrivateRyan() {
seed = rand(256);
}
function spin(uint256 bet) public payable {
require(msg.value >= 0.01 ether);
uint256 num = rand(100);
seed = rand(256);
if(num == bet) {
msg.sender.transfer(this.balance);
}
}
/* ... */
}
Как и в предыдущем задании, хакеру нужно было всего лишь скопировать функцию rand() в контракт-эксплойт, но в этом случае значение приватной переменной seed нужно было получить вне блокчейна и затем отправить его в эксплойт в качестве аргумента. Для этого можно было воспользоваться методом web3.eth.getStorageAt() из библиотеки web3: