Новости

Станьте докладчиком на PHDays 9

Мы начинаем прием заявок на участие в международном форуме по практической безопасности Positive Hack Days. Все желающие выступить c докладом должны отправить заявку до 31 марта. Ждем как признанных экспертов, так и молодых специалистов. Лучшие доклады выберет международный программный комитет, в который входят независимые исследователи и ведущие эксперты IT-индустрии. Главная тема PHDays 9 — «Взлом константы», мы уделим особое внимание взаимному воздействию социума и информационных технологий. Вопросы, которые будут подняты в конференционной части, выйдут за рамки ИБ для специалистов и затронут проблемы влияния информационной безопасности на цифровые госуслуги, финансовые технологии, киберстрахование, блокчейн, цифровую энергетику, облачные технологии, телеком, коснутся взаимодействия бизнеса и технологий, проблем глобализации, биохакинга, возможностей интеллекта. Также нам интересны практика и оригинальные исследования в различных направлениях безопасности: безопасность встраиваемых систем, бытового и промышленного IoT; недостатки и уязвимости блокчейна; безопасность телекоммуникационных сетей; безопасность умного дома и видеонаблюдения (CCTV); безопасность финансовых технологий и инструментов; безопасность веб- и бизнес-приложений; обратная разработка; прикладная криптография; машинное обучение; вредоносное ПО и разработка эксплойтов; целевые атаки и аппаратные закладки; безопасная разработка и автоматизация средств защиты. Принять участие в конференции можно в одном из форматов: доклад (50 минут), Fast Track (15 минут) и Hands-on Lab (до 4 часов). Для участия в конференции заполните заявку на странице: phdays2019.exordo.com. Подробная информация — на странице Call for Paper.

Лови Positive Wave: на PHDays 9 пройдет музыкальный фестиваль

Positive Hack Days 9 обещает быть музыкальным! Мы запускаем фестиваль Positive Wave и объявляем набор музыкальных групп из IT-компаний. Финалисты конкурса выступят на закрытии форума PHDays 22 мая 2019 года в «Крокус Экспо». Главный приз — промо видеоролик и digital-кампания по его продвижению в социальных сетях в течение месяца. Продюсер PHDays Виктория Алексеева о грядущем фестивале: «Мы решили продолжить традицию и провести музыкальный фестиваль для групп из технологических компаний. На прошлом PHDays случился двухдневный фестиваль Positive Hard Days. Опыт оказался более чем удачным: мы получили множество положительных отзывов как от участников, так и зрителей. Шесть коллективов зажгли на сцене форума, а победителем стала подмосковная группа NEU Stereo. В этот раз мы немного изменили формат участия и добавили полуфинал со зрительским голосованием. Пока не расскрою всех карт, но обещаю — мы всех удивим!» Условия участия В этом году мы не делаем ограничения по жанрам. Участниками фестиваля могут стать музыкальные коллективы любого направления в составе от трех до восьми человек. Главное, чтобы хотя бы один из участников группы был действующим сотрудником IT- или ИБ-компании. Еще одно обязательное условие — на фестивале нужно исполнить не менее одной собственной песни. Чтобы принять участие, нужно отправить заявку на адрес music@phdays.com. В ней в свободной форме нужно указать: название коллектива и IT или ИБ-компании, сотрудниками которой являются члены коллектива; количество участников и используемые музыкальные инструменты; короткий рассказ (не менее 200 слов) о группе с фотографией в хорошем качестве; записи песен: ссылки на аудио- или видеозаписи не менее 4 треков (а лучше — больше), которые вы готовы исполнить на фестивале — хотя бы одна песня должна быть авторской. Заявки рассматривает организаторы фестиваля. Этапы отбора Сбор заявок: заявки принимаются до 28 февраля 2019 года (включительно). Отбор: шесть групп, прошедшие отбор, будут приглашены на полуфинал. Информация о полуфиналистах будет опубликована на странице фестиваля на сайте PHDays до 8 апреля 2019 года. Полуфинал пройдет 25 апреля 2019 года на концертной площадке одного из музыкальных баров г. Москвы. Каждая группа выступит с 20-минутным сетом из 4 песен. В финал пройдут три группы, финалистов выберут зрители, присутствующие на концертной площадке. Точное место проведения будет определено весной 2019 года. Финал и церемония награждения: коллективы, вышедшие в финал, выступят на главной сцене форума PHDауs 22 мая 2019 года в «Крокус Экспо». Группы должны будут исполнить 4 песни, длительность выступления не более 20 минут. Оценивать выступление коллективов и определять победителей будет профессиональное жюри. Объявление победителей и церемония награждения участников Фестиваля состоятся в тот же день сразу после окончания фестиваля. Призы Победитель фестиваля получит возможность снять промо видеоролик и digital-кампанию по его продвижению в социальных сетях в течение месяца за счет организатора Фестиваля Все финалисты получат записи и фото с выступления и памятные подарки. Подробные условия участия – на странице фестиваля.

Появились в продаже билеты на PHDays 9

Появились в продаже билеты на PHDays 9 До 10 января 2019 года действует скидка Early Birds: стоимость участия в двух днях форума — 7337 ₽. С 11 января билет на два дня будет стоить 9600 ₽, на один день — 7337 ₽. Уже с 1 марта цена вырастет до 14 400 ₽ за два дня и 9600 ₽ за один. Количество ограничено! Успейте купить билеты на PHDays 9 со скидкой! Напоминаем и о бесплатных способах попасть форум. Получить инвайт на PHDays можно, если подготовить яркое исследование в области ИБ, победить в специальном хакерском конкурсе или стать участником одной из команд The Standoff. Подробности появятся позже.

Взломай константы на PHDays 9

Стали известны концепция и основные темы международного форума по практической безопасности Positive Hack Days. Тема девятого форума — «Взлом константы», а конференционная и конкурсная программы не ограничатся вопросами информационной безопасности: в фокусе внимания — взаимное воздействие социума и информационных технологий. PHDays 9 объединит вокруг ключевой темы самых разных людей — не только хакеров, безопасников и IT-специалистов, но и специалистов из смежных областей — медицины, нейротехнологии, политики. Что есть константы? Числа правят миром. C помощью констант (число пи, гравитационная постоянная, золотое сечение) можно описать любые явления во Вселенной, от рождения снежинки до динамики курса на бирже. Сегодня мы живем в цифровом мире, где практически все сферы деятельности человека зависят от информационных технологий. И этот цифровой мир тоже подчиняется своим «константам». Облачные технологии, большие данные, искусственный интеллект, машинное обучение, блокчейн, виртуальная реальность, интернет вещей — это и есть то незыблемое, на основе чего строится современная цифровая вселенная. Но если числа правят миром, кто управляет числами? Действительно ли то, что мы принимаем за нерушимые основы, является ими на самом деле? И что будет, если их взломать? На PHDays 9 мы рассмотрим эффект бабочки в контексте цифровой эпохи. Мы предлагаем подвергнуть сомнению существующие представления о непоколебимом цифровом мире и представить, что может произойти, если будут скомпрометированы «константы» нового времени. «В цифровом пространстве живут государство, бизнес и частные лица. И если раньше двигателями прогресса были только адепты информационных технологий, то сейчас в этой роли выступает каждый из нас. Цель PHDays 9 в том, чтобы представители государства, бизнеса, индустрии IT и ИБ посмотрели под новым углом на константы цифрового мира — через призму информационной безопасности, — делится планами заместитель генерального директора Positive Technologies Борис Симис. — Среди вопросов к обсуждению: цифровые госуслуги; финансовые технологии и банковские услуги; киберстрахование; блокчейн; цифровая энергетика; облачные технологии; глобализация и безопасность; безопасность телекома; рынок информационной безопасности; взаимодействие бизнеса и технологий; биохакинг и возможности интеллекта». Отличительной особенностью девятого форума PHDays станет обновленная программа конференции, которая выйдет за рамки вопросов ИБ для специалистов. В планах организаторов расширить аудиторию форума и затронуть на секциях, пленарных заседаниях и круглых столах актуальные проблемы влияния информационной безопасности на самые разные области, чтобы каждый посетитель смог найти для себя что-то интересное. Подробнее об этом мы расскажем в феврале. Больше практики Коснулись изменения и технического трека. В этом году упор на сбалансированную программу выступлений: она будет включать доклады разной сложности: от уровня для начинающих до хардкора. Ключевые темы: безопасность встраиваемых систем и бытового и промышленного IoT; недостатки и уязвимости блокчейна; безопасность телекоммуникационных сетей; безопасность умного дома и видеонаблюдения (CCTV); безопасность финансовых технологий и инструментов; безопасность веб- и бизнес-приложений; обратная разработка; прикладная криптография; машинное обучение; вредоносное ПО и разработка эксплойтов; целевые атаки и аппаратные закладки; безопасная разработка и автоматизация средств защиты. Конкурсная программа станет основой PHDays 9. Планами делится член оргкомитета PHDays Тимур Юнусов: «В этом году мы хотим расширить категорию участников хакерских испытаний. Мы постараемся привлечь внимание не только тех, кто обычно готовится к соревнованиям заранее, но и тех, кто случайно решил поучаствовать — обычных посетителей форума. Большинство конкурсов будет в формате воркшопов — каждые несколько часов на стендах будет проходить обучение базовым принципам, на основе которых можно будет решить хотя бы одно задание. Такой формат позволит участникам быстро погрузиться в тему и отработать полученные знания на практике. Но мы, конечно, не сбрасываем со счетов и классические хакерские конкурсы: все они остаются в программе». Конкурсная программа будет включать воркшопы разного уровня сложности по разнообразным темам прикладной безопасности: среди них безопасность промышленных и финансовых систем, бытовой и промышленный интернет вещей, умные машины и устройства, реверс-инжиниринг, радио и железо, криптография. Ну и куда же без кибербитвы между защитниками и атакующими The Standoff! Она, как и раньше, будет главным соревнованием форума. Подробнее о подготовке The Standoff мы расскажем позже. Следите за новостями! Напоминаем, что PHDays состоится 21 и 22 мая 2019 года в международном выставочном центре «Крокус Экспо». Продажа билетов начнется в декабре.

Противостояние на Positive Hack Days 8: подробности атак

Завершилось очередное Противостояние в рамках конференции Positive Hack Days 8. В этот раз в борьбе приняли участие более ста человек: 12 команд нападающих, 7 команд защитников и целый город, который им предстояло атаковать и защищать. На этот раз за всем происходящим в игровой сети The Standoff наблюдала тройка продуктов нашей компании: MaxPatrol SIEM — SIEM-система. PT Network Attack Discovery — решение сетевой безопасности для анализа сетевого трафика, выявления и расследования инцидентов. PT MultiScanner — многоуровневая система выявления и блокировки вредоносного контента. За работой продуктов и игровыми событиями следила команда экспертного центра безопасности Positive Technologies (PT ESC), чтобы рассказать об этом посетителям. По итогам конкурса данных было настолько много, что хватило бы на огромный отчет. Наиболее полными по описанию получились сети офиса № 2 компании интегратора SPUTNIK и офиса № 1 страховой компании BeHealthy. Офис № 2 был интересен тем, что находился под наблюдением SOC РТК, но не опекался командой защитников, и его полностью взломали команды атакующих. Помимо двух офисов, в городе работали ТЭЦ и подстанция, железная дорога, умные дома с рекуперацией энергии и банки с ATM.

Кибербитва на PHDays, или Как за 30 часов взломать городскую инфраструктуру

Третий год подряд главным соревнованием форума Positive Hack Days остается The Standoff — кибербитва между командами атакующих, защитников и экспертных центров безопасности (SOC). Игры 2016 и 2017 года показали, что максимально приближенный к реальности формат соревнований понятен и интересен не только участникам, но и посетителям конференции. Поэтому сомнений делать или не делать The Standoff в этом году у организаторов не было. Всего в The Standoff 2018 года поучаствовало 19 команд. Почти 30 часов они сражались за контроль над городом. Защитники стойко отстаивали вверенные им объекты, но атакующим все равно удалось кое-что взломать: некоторые объекты по правилам намеренно оставлялись без защиты. А вот битва между самими командами атакующих выдалась горячей: турнирная таблица кардинально изменилась буквально за полчаса до конца игры. Рассказываем, что происходило на площадке в течение двух дней. Первый день: атакующие прощупывают почву День был не очень богатым на события. Атакующим понадобилось много времени, чтобы разведать обстановку и внимательно изучить объекты игрового полигона. По легенде сражение развернулось в городе, вся экономика которого основывается на цифровых технологиях. В городе работали ТЭЦ и подстанция, железная дорога, несколько офисов, «умные» дома с рекуперацией энергии, банки с банкоматами и киосками самообслуживания, сотовая связь, интернет и различные онлайн-сервисы.

PHDays 8: разбор конкурса EtherHack

В этом году на PHDays впервые проходил конкурс под названием EtherHack. Участники искали уязвимости в смарт-контрактах на скорость. В этой статье мы расскажем вам о заданиях конкурса и возможных способах их решения. Azino 777 Выиграй лотерею и сорви банк! Первые три задания были связаны с ошибками при генерации псевдослучайных чисел, о которых мы недавно рассказывали: Предсказываем случайные числа в умных контрактах Ethereum. В основе первого задания лежал генератор псевдослучайных чисел (ГПСЧ), который использовал хеш последнего блока как источник энтропии для генерации случайных чисел: pragma solidity ^0.4.16;

contract Azino777 {


  function spin(uint256 bet) public payable {
    require(msg.value >= 0.01 ether);
    uint256 num = rand(100);
    if(num == bet) {
        msg.sender.transfer(this.balance);
    }
  }


  //Generate random number between 0 & max
  uint256 constant private FACTOR =  1157920892373161954235709850086879078532699846656405640394575840079131296399;
  function rand(uint max) constant private returns (uint256 result){
    uint256 factor = FACTOR * 100 / max;
    uint256 lastBlockNumber = block.number - 1;
    uint256 hashVal = uint256(block.blockhash(lastBlockNumber));


    return uint256((uint256(hashVal) / factor)) % max;
  }


  function() public payable {}
}

Разбор конкурса MeterH3cker: взлом «умных» счетчиков на PHDays 8

В этом году конкурсная программа Positive Hack Days пополнилась соревнованием по взлому элементов системы smart grid — «MeterH3cker». В распоряжении участников был макет двух домов, по задумке организаторов солнечные батареи обеспечивали дома электроэнергией, а возникающие излишки энергии можно было продавать в общую электросеть по специальному тарифу. Задачей атакующих было любыми возможными способами нарушить нормальный процесс учета электроэнергии и повлиять на денежный баланс в биллинговой системе. Стенд

Как Mr. Robot развлекал посетителей PHDays 8

Mr. Robot снова веселил гостей на форуме Positive Hack Days. В этот раз можно было не только поднять себе настроение забавной викториной, но и прокачать свои навыки использования хакерских инструментов, и даже пройти собеседование в Positive Technologies! Пообщаться с роботом-балаболом пришло больше 2000 человек, что, конечно, очень потешило искусственное самолюбие :) Рассказываем, как это было. Что нового Начинка робота значительно изменилась с прошлых лет. Нюансами доработок поделился Александр Мелких: «Мы добавили в робота новый интерактив: помимо конкурсов ("Викторина" и "Экспресс-курс хакинга"), появились новые активности — "Устройся на работу в Positive Technologies" и "Найди свою ИБ-половинку". По этой причине нам пришлось переписать бэкенд. В прошлом году был "сырой" PHP, и это доставило немало проблем, поэтому в этот раз мы использовали более простой Python-фреймворк Falcon». Конкурсы Конкурсы пришлись по душе посетителям форума. Самым популярным, как и раньше, была «Викторина». Ее правила похожи на условия игры «Кто хочет стать миллионером?». Задача участников — ответить на вопросы разной степени сложности, при этом на каждый вопрос дается четыре варианта ответа. Мы подготовили множество наборов по пять вопросов, которые в случайном порядке выводились на экран. Большая часть из них были шуточными, но были и сложные, по информационной безопасности, например по реверс-инжинирингу. В случае если участник ошибался, робот, забывая на время первый закон робототехники, обливал его струей воды так, что кара настигала даже окружающих. Немного освежиться в разгар PHDays мог каждый :) За успешное прохождение викторины никаких подарков предусмотрено не было, ведь, как считает робот, главное — это удовольствие от самого процесса. Второй по популярности был «Экспресс-курс хакинга», и это неудивительно, ведь наша цель была повеселить участников и дать возможность за короткое время попробовать свои силы в разных дисциплинах. Всего было три курса, на каждый отводилось около 15 секунд. Первый курс о внедрении SQL-кода представлял собой веб-страницу вымышленного онлайн-банкинга с формой для логина и пароля. Участникам нужно было нажать на виртуальной клавиатуре «кавычку», а затем кнопку ввода «Enter», чтобы успешно обойти авторизацию. В этом году список пополнился возможностью изучить дизассемблеры IDA и Radare. На курсе, посвященном IDA, участники могли изучить широко известную функциональность просмотра всех строк в бинарном файле. Для этого нужно было нажать клавиши «Shift» и «F12». Курс по Radare учил участников выходить из него. (Это была шутка про чрезмерно сложные комбинации клавиш в «Радаре».) При этом робот был гуманен, и для конкурсантов были предусмотрены подсказки: если человек не знал, какие кнопки на клавиатуре нужно нажимать, то через несколько секунд нужная кнопка на клавиатуре начинала слабо подсвечиваться, поэтому практически все участники благополучно завершали обучение. За успешное прохождение участник получал сертификат с его фотографией: над монитором была установлена веб-камера, которая фотографировала человека в момент окончания курса. Самое сложная и серьезная часть робота в этом году — собеседование в Positive Technologies. Эксперты отделов тестирования на проникновение, реагирования на угрозы информационной безопасности и защиты приложений подготовили вопросы для кандидатов по различным направлениям. Кандидат должен был выбрать одно из предложенных направлений и ответить на пять вопросов из большого списка. При этом правильными могли быть несколько вариантов ответа. По итогам собеседования, в случае положительного результата, фото кандидата и результаты тестирования отправлялись в Телеграм-чат сотрудников HR. Также на принтере печатался специальный сертификат, с которым нужно было подойти к HR-стойке, чтобы получить подарок и продолжить дальнейшей общение для устройства в компанию. Конкурс «Найди свою ИБ-половинку» представлял собой аналог популярного приложения для знакомств «Тиндер». Только лайкать нужно было не понравившиеся фотографии, а цитаты известных личностей в сфере информационной безопасности. Часть цитат были настоящими, а часть — сгенерированными на основе оригинальных. Если большинство понравившихся цитат принадлежала одной и той же фигуре, то робот показывал фотографию, на которой были изображены ИБ-звезда и участник конкурса, а также включал романтическую музыку. Итоги Статистика еще раз подтвердила большой интерес людей к общению с искусственным интеллектом. Суммарно за два дня более 2000 человек участвовали в конкурсах на стенде. Участниками «Викторины» стало около 1800 человек (в прошлом году это число составляло 1400 человек), а облито за неправильные ответы 820 человек (1300 человек в 2017 году). Экспресс-курс хакинга прошли 160 человек (против 360 человек в 2017 году). Прособеседовалось в Positive Technologies 226 человек, а нашли свою ИБ-половинку 105 человек.

Конкурс CAMBreaker: как атаковали камеры видеонаблюдения

В этом году форум Positive Hack Days посетило более 5000 человек, большая часть которых — специалисты по информационной безопасности. Отличительная черта посетителей форума — нестандартный склад ума и сверхинтуиция по многим техническим вопросам. Все эти качества можно было проявить в хакерских конкурсах, которые приготовили организаторы, одним из таких был конкурс по взлому IP-камер CAMВreaker. Удалось ли кому-то справиться со всеми поставленными испытаниями — в нашей статье. Каждый участник мог примерить на себя роль взломщика камер видеонаблюдения и попробовать получить несанкционированный доступ к различным IoT-устройствам и разобрать исходный код прошивок в поисках различных уязвимостей. Наградой за все старания были интересные и полезные призы от организаторов. Подготовка к конкурсу началась за два месяца до начала мероприятия, и честно скажем — было непросто. Она состояла из нескольких этапов: Выбор камер для конкурса. Ревизия камер на версионность прошивок, программное обеспечение, предлагаемое для работы с ними, а также их работоспособность. Получение прошивок (микропрограммное обеспечение) каждой камеры. Оно осуществлялось несколькими методами: Перехват прошивки во время обновления камеры через приложение Android. Скачивание с официального сайта производителя. Через подключение к устройству с помощью Telnet. Через подключение к устройству с помощью интерфейса UART. Для справки: протокол UART (universal asynchronous receiver transmitter), или УАПП (универсальный асинхронный приемопередатчик) — старейший и самый распространенный на сегодняшний день физический протокол передачи данных. Наиболее известный протокол семейства UART — RS-232 (в народе – COM-порт). Подключение программаторов к Flash-чипам, установленным внутри камеры, с помощью зажима-прищепки без выпаивания электронных компонентов устройства. И, пожалуй, самый трудоемкий процесс извлечения дампов — выпаивание и вычитывание чипов с помощью программатора. Настройка статических IP-адресов и данных аутентификации на самих устройствах. Проектирование, построение локальной сети для стенда конкурса. Настройка и конфигурация стенда в demo-среде. Вот несколько фотографий, сделанных в процессе подготовки: