Новости
Новое в программе: секция «Развитие информационной безопасности в странах СНГ»
15 мая с 16:30 до 18:30 в пресс-зале состоится обсуждение темы «Развитие информационной безопасности в странах СНГ». Организаторами секции выступили ОЮЛ «Центр анализа и расследования кибератак» (ЦАРКА) при поддержке АО «Национальные информационные технологии». К участию приглашены представители государственных органов стран СНГ. Это уникальное событие для индустрии: такого состава не было ни на одной российской конференции по информационной безопасности. Директор ЦАРКА Арман Абдрасилов вместе с участниками секции обсудит актуальные вопросы информационной безопасности в странах СНГ, тренды и перспективы этого направления. Среди участников: от Республики Казахстан: представители Министерства оборонной и аэрокосмической промышленности Республики Казахстан, Государственной технической службы, АО «Национальные информационные технологии», Генеральной прокуратуры, Министерства внутренних дел, Службы охраны президента, Комитета национальной безопасности и общественных организаций; от Киргизской Республики: Татту Мамбеталиева, советник премьер-министра Киргизской Республики на общественных началах; представители коммерческого сектора; от Республики Армении: Армен Гнуни, советник министра обороны Армении; Арам Геворгян, руководитель службы ИБ Министерства обороны Армении; от Республики Беларусь: Даниил Маршалов, заместитель начальника отдела безопасности ресурсов информационных систем, «АГАТ — системы управления»; Василий Хижный, заместитель начальника управления безопасности, Национальный банк Республики Беларусь; Евгений Липлянин, представитель оперативно-аналитического центра при президенте Республики Беларусь.
Взлом АСУ ТП, или Как устроить конец света
Мало кто знает, насколько многое в городе завязано на автоматизированные системы управления. Они применяются в различных отраслях промышленности, энергетике, транспорте и помогают не только повысить эффективность производственных процессов, но регулировать движение и экономить электроэнергию и воду... Что будет, если однажды кто-то нарушит работу автоматики всей этой инфраструктуры? На эту тему можно долго фантазировать — но лучше прийти на Positive Hack Days и увидеть все своими глазами. Предлагаем гостям и участникам форума попробовать свои силы в поиске уязвимостей SCADA и в атаках на различные объекты АСУ ТП целого города. На площадке технической зоны форума PHDays 8 развернется стенд SCADA bugs comeback компании Gleg, специализирующейся на исследованиях уязвимостей программного обеспечения. На стенде пройдет конкурс по взлому SCADA. В течение двух дней в распоряжении хакеров будут индустриальные системы Wonderware InTouch, iFIX, IGSS, KingView и IntegraXor, а также сетевое оборудование Hirschmann и Advantech. Задача участников — найти как можно больше уязвимостей. Приглашаем опытных и начинающих взломщиков. Для участия понадобится ноутбук. Подведение итогов состоится 16 мая в 14:00. Победителей ждут памятные призы. После награждения, в 15:00, организаторы на примере нескольких SCADA-систем продемонстрируют, как вендоры исправляя одни ошибки делают новые. На протяжении всего форума в кибербитве The Standoff команды атакующих, защитников и security operations centers будут бороться за контроль над городом. Игровой полигон представляет собой масштабную эмуляцию городской инфраструктуры. Участвовать могут только команды The Standoff. В рамках The Standoff у команд атакующих будет возможность проверить на прочность безопасность реальных АСУ ТП, используемых на заводах и гидроэлектростанциях, для управления городским транспортом и освещением, в нефтяной и газовой промышленности. Задача участников — атаковать модель системы автоматики города с большой промышленной зоной, обеспечивающей жизнедеятельность городской инфраструктуры. Возможности по воздействию на системы города ограничены только фантазией атакующего и средствами защиты, используемыми на разных сегментах макета. Модель города включает системы освещения, отопления, вентиляции, видеонаблюдения, жилую часть с автоматизированными зданиями (BMS), умными домами, транспортной системой и IoT-решениями; железную дорогу, ТЭЦ и подстанцию (генерация, распределение и управление электроснабжением); ГЭС, нефтеперерабатывающий завод, хранилище и системы транспортировки нефтепродуктов. Несмотря на немного игрушечный вид макета, все оборудование максимально приближено к реальности. Напоминаем об еще двух стендах, которые обязательно нужно посетить на PHDays. На стенде компании «Физприбор» пройдет конкурс H@rd Logic Combat по взлому реальных средствах низовой автоматики и противоаварийной защиты перспективной российской распределенной АСУ ТП для АЭС. Участникам конкурса в течение двух дней будут противостоять компоненты на ALTLinux и QNX, а также алгоритмические модули на жесткой логике. Также на PHDays состоится конкурс по взлому элементов системы smart grid, который пройдет на стенде «MeterH3cker». Соревнование продлится на протяжении всего форума, принять участие может любой посетитель. Зарегистрироваться и купить билеты на PHDays можно здесь. Цена билета на два дня форума — 14 400 ₽, 9600 ₽ на один день.
Счетчики крутятся, или Взломай smart grid на PHDays
Счетчики крутятся, или Взломай smart grid на PHDays Приглашаем участвовать в конкурсе по взлому элементов системы smart grid, который пройдет на стенде «MeterH3cker» на площадке Positve Hack Days. Соревнование продлится на протяжении всего форума, принять участие может любой посетитель. Правила проведения Стенд представляет собой макеты двух жилых домов, в которых реализована технология smart grid. В домах будут установлены настоящие счетчики и солнечные батареи. Предусмотрены сценарии «день» и «ночь». По задумке организаторов солнечные батареи обеспечивают дом электроэнергией в полном объеме, а возникающие излишки энергии можно продать в общую электросеть по специальному тарифу. Таким образом можно зарабатывать деньги и зачислять их на лицевой счет каждого дома. В распоряжении участников: Контроллер солнечной батареи, который используется для управления электричеством, генерируемым солнечной батареей. Днем солнечная батарея под управлением контроллера вырабатывает электричество и питает дом, а излишки электроэнергии отдает в сеть — в этом случае счетчик вращается в обратную сторону. Счетчики, учитывающие расход и генерацию электроэнергии. Они считают потребляемую, выработанную солнечной батареей и отданную энергию. В зависимости от времени суток действуют разные тарифы, по которым выставляется счет. Электроприборы. В домах работают бытовые приборы — лампочки, телевизоры и стиральные машины. Часть потребителей электроэнергии, например система централизованного кондиционирования и отопления, управляются через программируемый логический контроллер. В каждом доме проведено «обычное» электричество от районной электроподстанции. На ней установлено устройство сбора и передачи данных (УСПД), которое собирает со счетчиков информацию о потребленной и выработанной энергии в локальной базе данных, а сервер выставления счетов электрокомпании забирает эту информацию и на ее основе изменяет баланс лицевого счета. Возле умных домов можно будет найти настоящую зарядную станцию для электромобилей (таких как Тесла), которая уже сегодня встречается на улицах городов. Зарядка питается от районной электросети и позволяет жителям домов заряжать свои транспортные средства. В рамках конкурса участники могут попробовать зарядить авто бесплатно или подложить всем свинью, перенастроив зарядную станцию так, чтоб заряжалось только свое авто, или научиться отключать любого заряжающегося. Условия участия Конкурс продлится два дня. В первый день пройдут отборочные соревнования: у участников будет свободный доступ ко всему оборудованию, а также возможность изучить его, найти уязвимости и потенциальные векторы атак. Участники, достигшие успехов на стенде в первый день, будут приглашены для участия в финальном турнире во второй день. Финал представляет собой своеобразную дуэль. К стенду будут приглашаться по два участника, у каждого из которых будет свой дом. Их задача — за ограниченное время всеми возможными способами обмануть счетчики и сгенерировать больше энергии, чем противник — условный сосед. Выигрывает тот, у кого в конце соревнования баланс лицевого счета будет больше. Задача осложняется тем, что у участников будет доступ к оборудованию друг друга, а значит, возможность навредить соседу и занизить его результаты. Посетители форума смогут наблюдать за происходящим на больших экранах: на них будут в режиме реального времени выводиться графики потребления электричества. График зеленого цвета будет демонстрировать реальные показания потребления электричества, а синего цвета — показания с УСПД, которое получает данные счетчиков, установленных в домах (эти показания отражаются на балансе каждого дома). Показания на синих графиках будут меняться в зависимости от действий атакующих. В случае, если кому-то из участников удастся взломать зарядную станцию для электромобиля, на макете автомобиля погаснет соответствующая индикация. Удастся ли кому-то из участников подкрутить умный электросчетчик, чтобы снизить свои затраты на электричество, обогатиться за счет энергии солнечных батарей или зарядить бесплатно электромобиль? Проверим на PHDays. Зарегистрироваться и купить билеты на форум можно здесь. Цена билета на два дня форума — 14 400 ₽, 9600 ₽ на один день.
Пираты на PHDays: приглашаем на конкурс по захвату судна
Пираты на PHDays: приглашаем на конкурс по захвату судна Попробовать себя в роли современного пирата можно будет в конкурсе Pirate’s Gate, который пройдет 15–16 мая на площадке Positve Hack Days. Сегодня всё больше техники подключено к электронному дистанционному управлению, а там, где используются процессоры, всегда можно найти уязвимости. Хакеры давно научились перехватывать дроны, взламывать автомобили и пускать под откос поезда. А сложно ли угнать корабль? Предлагаем участникам попытать свои силы во взломе системы навигации и отправить судно в свободное плаванье. В распоряжении участников шлагбаум и бассейн, в котором будет плавать радиоуправляемая модель корабля. Задача участников взломать шлагбаум, прорваться к причалу, получить доступ к системе навигации и перехватить управление судном. Победителем будет считаться тот, кто быстрее взломает все объекты. Соревнование будет проходить на протяжении всего форума. Участвовать может любой посетитель, для этого нужно подойти к стенду. Рекомендуем принести свои девайсы — ноутбук и SDR (HackRF и bladeRF). Зарегистрироваться и купить билеты на PHDays можно здесь. Цена билета на два дня форума — 14 400 ₽, 9600 ₽ на один день.
На PHDays пройдет круглый стол «Безопасность применения биометрических технологий»
15 мая с 16:30 до 18:30 в зале «Амфитеатр» состоится круглый стол «Безопасность применения биометрических технологий», организатором которой является компания «Ростелеком». К участию приглашены ведущие IТ- и ИБ-эксперты Банка России, банка Tinkoff.ru, Mastercard, «Центра речевых технологий» и Positive Technologies. Взрывной рост использования биометрических технологий в России и мире — результат простоты и доступности биометрии, помноженной на ее уникальность как ключа. Одним из основных потребителей биометрических технологий стал финансовый сектор: в 2022 году, согласно исследованию J'Son & Partners, они будут использоваться в 27% проектов. В России в 2018 году будет запущена единая биометрическая система, которая позволит гражданам открывать счета, вклады и получать кредиты в любых банках удаленно. Откроет дискуссию доклад «Алгоритмы детектирования атак на биометрические системы» генерального директора «Центра речевых технологий» Дмитрия Дырмовского. Он представит результаты исследования, на основе которых была разработана система, одержавшая победу в международном конкурсе среди разработчиков детекторов спуфинг-атак «Automatic Speaker Verification Spoofing and Countermeasures Challenge 2017». Директор проектов кибербезопасности «Ростелекома» Денис Горчаков обсудит с участниками круглого стола, насколько безопасно использовать технологии биометрической идентификации для проведения важных операций, как биометрию обманывают и как защититься от мошенников. Своим взглядом на эти проблемы поделятся: Иван Беров — директор по цифровой идентичности «Ростелекома»; Артем Калашников — начальник центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России; Артем Харченко — руководитель отдела предотвращения мошенничества банка Tinkoff.ru; Николай Дош — директор по рискам в сфере безопасности электронных платежей «Ассоциации участников МастерКард»; Дмитрий Скляров — руководитель отдела исследований приложений Positive Technologies; Дмитрий Дырмовский — генеральный директор «Центра речевых технологий»; Алексей Голенищев — директор дирекции мониторинга электронного бизнеса «Альфа-банка». Зарегистрироваться и купить билеты на PHDays можно здесь. Цена билета на два дня форума — 14 400 ₽, 9600 ₽ на один день.
30 апреля стартует конкурс Hackazon компании «Делойт»
30 апреля стартует конкурс Hackazon компании «Делойт» Компания «Делойт» проводит онлайн-конкурс Hackazon, приуроченный к форуму Positive Hack Days. Соревнование начнется 30 апреля и продлится 5 дней. Победители получат инвайты на PHDays 8 и сувениры. Конкурс представляет собой capture the flag в формате jeopardy на базе платформы Hackazon, которая была разработана специалистами компании «Делойт» для симуляции атак на реальные объекты инфраструктуры, совершенствования навыков по тестированию на проникновение и проведения обучения. В платформе Deloitte Hackazon будут представлены задания различной сложности, которые необходимо решить как можно быстрее. За каждое задание установлено определенное количество очков, пропорционально уровню сложности. В платформе ведется трекинг выполненных заданий в режиме реального времени. Победителями будут считаться те участники, которые справятся с заданиями быстрее и успешнее других. Для того чтобы принять участие в конкурсе, необходимо зарегистрировать учетную запись на портале: . Первые пятеро участников, которые успешно справятся со всеми заданиями, получат по одному билету на PHDays 8, а трое из них получат также сувениры. Точное время старта и адрес площадки, на которой пройдет Hackazon, организаторы сообщат за несколько дней до соревнования. Следите за новостями!
PHDays 8: стартуют онлайн-конкурсы
PHDays 8: стартуют онлайн-конкурсы До PHDays 8 остался месяц. А значит, самое время размяться перед хардкорной конкурсной программой. За несколько недель до форума пройдут онлайн-конкурсы HackQuest и «Конкурентная разведка». Не упустите возможность попытать свои силы — на кону памятные призы и бесплатные приглашения на PHDays. С 23 по 29 апреля состоится конкурс для всех любителей веба HackQuest, который подготовила команда ONSEC. В этом году организаторы решили вспомнить старые интересные уязвимости и применить их к современному вебу. В основе заданий — только реальные примеры из практики. Рекомендуем покопаться в старых исследованиях и статьях, а также почитать документацию к новым сервисам. Начало 23 апреля в 00:00. В течение трех дней — 4, 5 и 6 мая — пройдет старый добрый конкурс «Конкурентная разведка». Вот уже много лет мы показываем, как просто в современном мире можно собрать конфиденциальную информации о людях и компаниях, все-таки не зря говорят: «Интернет помнит все». Предлагаем вновь примерить на себя роль разведчика и проверить, как быстро вы сумеете разыскать в интернете информацию о некой организации. Задача — найти как можно больше правильных ответов на поставленные вопросы за минимальное время. Конкурс будет доступен с 9:00 04.05.2018 в Telegram — @phdayscibot. Совсем скоро мы расскажем о новых конкурсах, которые будут проходить на площадке в дни форума. Stay tuned! Зарегистрироваться и купить билеты на PHDays можно здесь. Цена билета на два дня форума — 14 400 ₽, 9600 ₽ на один день.
Автор дизассемблера IDA Pro выступит на PHDays 8
Автор дизассемблера IDA Pro выступит на PHDays 8 Ключевым докладчиком PHDays 8 станет известный разработчик дизассемблера IDA Pro и декомпилятора Hex-Rays Ильфак Гильфанов. Широкая общественность узнала об Ильфаке Гильфанове в 2005 году, когда 31 декабря он представил неофициальное исправление уязвимости Windows Metafile в операционной системе Microsoft Windows (официальный патч от Microsoft вышел только 5 января 2006 года). Однако главное достижение Ильфака Гильфанова — создание дизассемблера IDA Pro. Тот, кто хоть раз пытался реверсить, наверняка знаком с этим инструментом. Сегодня он широко используется реверс-инженерами, вирусными аналитиками и специалистами по безопасности по всему миру. Кстати, в 2001 году была издана книга Криса Касперски «Образ мышления — дизассемблер IDA», подробный справочник по всем многочисленным функциям IDA, интерфейсу и архитектуре. И книга, и сам дизассемблер до сих пор пользуются признанием среди специалистов. Еще одной разработкой стал декомпилятор на основе IDA Pro — Hex-Rays, предназначенный для анализа программного кода. Сегодня Ильфак Гильфанов — руководитель созданной им компании Hex-Rays SA, который распространяет IDA Pro и Hex-Rays. Он выступит на PHDays с докладом «Внутренний язык декомпилятора Hex-Rays: микрокод», в котором расскажет об истории возникновения языка и его технических особенностях, а также о проблемах, возникающих при декомпилировании программ. Регистрируйтесь и приходите на Positive Hack Days, чтобы вживую послушать выступление! Если вы хотите выступить на одной трибуне вместе с именитыми экспертами по безопасности, у вас остался последний шанс — Call For Papers продлится до 10 марта. Подробнее о темах и правилах участия читайте на сайте форума.
Заканчивается скидка на участие в PHDays
Заканчивается скидка на участие в PHDays Завтра последний день, чтобы купить билеты на PHDays 8 со скидкой. Уже с 1 марта цена вырастет до 14 400 ₽ за два дня и 9600 ₽ за один. Количество ограничено! Напоминаем, что есть и бесплатные способы попасть на PHDays. Чтобы получить инвайт, можно подготовить яркое исследование в области ИБ (Call for Papers уже в самом разгаре), победить в специальном хакерском конкурсе или стать участником одной из команд The Standoff. Следите за новостями!
Дорогу молодым: принимаем заявки на участие в секции Young School
У нас отличные новости — на PHDays cнова пройдет секция для студентов, аспирантов и молодых ученых Young School. В этом году мы предлагаем молодым исследователям два формата участия — научный трек и сессию пятиминутных выступлений Spring Hack Tricks. Авторы работ, прошедших отбор, представят результаты своих исследований международному ИБ-сообществу на форуме PHDays 8. «Цель нашей секции, как и прежде, — мотивировать студентов и аспирантов поделиться своими научными работами с широкой аудиторией. Каждый год участники из разных стран присылают нам результаты исследований в области практической безопасности; кстати, есть среди них и те, кто участвует не первый год, — рассказывает член программного комитета PHDays Young School Андрей Петухов. — Лидеры по числу заявок — Томск, Питер и Таганрог. Уверен, в этом году мы увидим как старых знакомых, так и новые имена». В научный трек Young School принимаются качественные авторские работы в области практической информационной безопасности. Ценность предлагаемых решений должна быть подтверждена экспериментально, а также обоснована с точки зрения новизны и актуальности. Один из авторов работы, прошедшей на форум, будет приглашен для выступления, организаторы возместят расходы на дорогу и проживание, соавторы получат билеты на форум без возмещения расходов. В рамках Spring Hack Tricks мы предлагаем рассказать о вашем трике/тулзе, который помогает вам в работе, bug bounty или на CTF. Основной критерий — явно практическая польза и оригинальность. Если заявка успешно пройдет рецензирование комиссией, вы получите входной билет на форум и возможность поделиться вашей идеей с сообществом. Для участия в каждом из форматов отравляйте заявку по адресу youngschool@phdays.com. Подробнее о правилах и формате заявки читайте на странице Young School. Заявки принимаются: до 1 апреля в научном треке Young School, до 15 апреля на секцию Spring Hack Tricks.