Новости
Взлом АСУ ТП, или Как устроить конец света
Мало кто знает, насколько многое в городе завязано на автоматизированные системы управления. Они применяются в различных отраслях промышленности, энергетике, транспорте и помогают не только повысить эффективность производственных процессов, но регулировать движение и экономить электроэнергию и воду... Что будет, если однажды кто-то нарушит работу автоматики всей этой инфраструктуры? На эту тему можно долго фантазировать — но лучше прийти на Positive Hack Days и увидеть все своими глазами. Предлагаем гостям и участникам форума попробовать свои силы в поиске уязвимостей SCADA и в атаках на различные объекты АСУ ТП целого города. На площадке технической зоны форума PHDays 8 развернется стенд SCADA bugs comeback компании Gleg, специализирующейся на исследованиях уязвимостей программного обеспечения. На стенде пройдет конкурс по взлому SCADA. В течение двух дней в распоряжении хакеров будут индустриальные системы Wonderware InTouch, iFIX, IGSS, KingView и IntegraXor, а также сетевое оборудование Hirschmann и Advantech. Задача участников — найти как можно больше уязвимостей. Приглашаем опытных и начинающих взломщиков. Для участия понадобится ноутбук. Подведение итогов состоится 16 мая в 14:00. Победителей ждут памятные призы. После награждения, в 15:00, организаторы на примере нескольких SCADA-систем продемонстрируют, как вендоры исправляя одни ошибки делают новые. На протяжении всего форума в кибербитве The Standoff команды атакующих, защитников и security operations centers будут бороться за контроль над городом. Игровой полигон представляет собой масштабную эмуляцию городской инфраструктуры. Участвовать могут только команды The Standoff. В рамках The Standoff у команд атакующих будет возможность проверить на прочность безопасность реальных АСУ ТП, используемых на заводах и гидроэлектростанциях, для управления городским транспортом и освещением, в нефтяной и газовой промышленности. Задача участников — атаковать модель системы автоматики города с большой промышленной зоной, обеспечивающей жизнедеятельность городской инфраструктуры. Возможности по воздействию на системы города ограничены только фантазией атакующего и средствами защиты, используемыми на разных сегментах макета. Модель города включает системы освещения, отопления, вентиляции, видеонаблюдения, жилую часть с автоматизированными зданиями (BMS), умными домами, транспортной системой и IoT-решениями; железную дорогу, ТЭЦ и подстанцию (генерация, распределение и управление электроснабжением); ГЭС, нефтеперерабатывающий завод, хранилище и системы транспортировки нефтепродуктов. Несмотря на немного игрушечный вид макета, все оборудование максимально приближено к реальности. Напоминаем об еще двух стендах, которые обязательно нужно посетить на PHDays. На стенде компании «Физприбор» пройдет конкурс H@rd Logic Combat по взлому реальных средствах низовой автоматики и противоаварийной защиты перспективной российской распределенной АСУ ТП для АЭС. Участникам конкурса в течение двух дней будут противостоять компоненты на ALTLinux и QNX, а также алгоритмические модули на жесткой логике. Также на PHDays состоится конкурс по взлому элементов системы smart grid, который пройдет на стенде «MeterH3cker». Соревнование продлится на протяжении всего форума, принять участие может любой посетитель. Зарегистрироваться и купить билеты на PHDays можно здесь. Цена билета на два дня форума — 14 400 ₽, 9600 ₽ на один день.
Счетчики крутятся, или Взломай smart grid на PHDays
Счетчики крутятся, или Взломай smart grid на PHDays Приглашаем участвовать в конкурсе по взлому элементов системы smart grid, который пройдет на стенде «MeterH3cker» на площадке Positve Hack Days. Соревнование продлится на протяжении всего форума, принять участие может любой посетитель. Правила проведения Стенд представляет собой макеты двух жилых домов, в которых реализована технология smart grid. В домах будут установлены настоящие счетчики и солнечные батареи. Предусмотрены сценарии «день» и «ночь». По задумке организаторов солнечные батареи обеспечивают дом электроэнергией в полном объеме, а возникающие излишки энергии можно продать в общую электросеть по специальному тарифу. Таким образом можно зарабатывать деньги и зачислять их на лицевой счет каждого дома. В распоряжении участников: Контроллер солнечной батареи, который используется для управления электричеством, генерируемым солнечной батареей. Днем солнечная батарея под управлением контроллера вырабатывает электричество и питает дом, а излишки электроэнергии отдает в сеть — в этом случае счетчик вращается в обратную сторону. Счетчики, учитывающие расход и генерацию электроэнергии. Они считают потребляемую, выработанную солнечной батареей и отданную энергию. В зависимости от времени суток действуют разные тарифы, по которым выставляется счет. Электроприборы. В домах работают бытовые приборы — лампочки, телевизоры и стиральные машины. Часть потребителей электроэнергии, например система централизованного кондиционирования и отопления, управляются через программируемый логический контроллер. В каждом доме проведено «обычное» электричество от районной электроподстанции. На ней установлено устройство сбора и передачи данных (УСПД), которое собирает со счетчиков информацию о потребленной и выработанной энергии в локальной базе данных, а сервер выставления счетов электрокомпании забирает эту информацию и на ее основе изменяет баланс лицевого счета. Возле умных домов можно будет найти настоящую зарядную станцию для электромобилей (таких как Тесла), которая уже сегодня встречается на улицах городов. Зарядка питается от районной электросети и позволяет жителям домов заряжать свои транспортные средства. В рамках конкурса участники могут попробовать зарядить авто бесплатно или подложить всем свинью, перенастроив зарядную станцию так, чтоб заряжалось только свое авто, или научиться отключать любого заряжающегося. Условия участия Конкурс продлится два дня. В первый день пройдут отборочные соревнования: у участников будет свободный доступ ко всему оборудованию, а также возможность изучить его, найти уязвимости и потенциальные векторы атак. Участники, достигшие успехов на стенде в первый день, будут приглашены для участия в финальном турнире во второй день. Финал представляет собой своеобразную дуэль. К стенду будут приглашаться по два участника, у каждого из которых будет свой дом. Их задача — за ограниченное время всеми возможными способами обмануть счетчики и сгенерировать больше энергии, чем противник — условный сосед. Выигрывает тот, у кого в конце соревнования баланс лицевого счета будет больше. Задача осложняется тем, что у участников будет доступ к оборудованию друг друга, а значит, возможность навредить соседу и занизить его результаты. Посетители форума смогут наблюдать за происходящим на больших экранах: на них будут в режиме реального времени выводиться графики потребления электричества. График зеленого цвета будет демонстрировать реальные показания потребления электричества, а синего цвета — показания с УСПД, которое получает данные счетчиков, установленных в домах (эти показания отражаются на балансе каждого дома). Показания на синих графиках будут меняться в зависимости от действий атакующих. В случае, если кому-то из участников удастся взломать зарядную станцию для электромобиля, на макете автомобиля погаснет соответствующая индикация. Удастся ли кому-то из участников подкрутить умный электросчетчик, чтобы снизить свои затраты на электричество, обогатиться за счет энергии солнечных батарей или зарядить бесплатно электромобиль? Проверим на PHDays. Зарегистрироваться и купить билеты на форум можно здесь. Цена билета на два дня форума — 14 400 ₽, 9600 ₽ на один день.
Пираты на PHDays: приглашаем на конкурс по захвату судна
Пираты на PHDays: приглашаем на конкурс по захвату судна Попробовать себя в роли современного пирата можно будет в конкурсе Pirate’s Gate, который пройдет 15–16 мая на площадке Positve Hack Days. Сегодня всё больше техники подключено к электронному дистанционному управлению, а там, где используются процессоры, всегда можно найти уязвимости. Хакеры давно научились перехватывать дроны, взламывать автомобили и пускать под откос поезда. А сложно ли угнать корабль? Предлагаем участникам попытать свои силы во взломе системы навигации и отправить судно в свободное плаванье. В распоряжении участников шлагбаум и бассейн, в котором будет плавать радиоуправляемая модель корабля. Задача участников взломать шлагбаум, прорваться к причалу, получить доступ к системе навигации и перехватить управление судном. Победителем будет считаться тот, кто быстрее взломает все объекты. Соревнование будет проходить на протяжении всего форума. Участвовать может любой посетитель, для этого нужно подойти к стенду. Рекомендуем принести свои девайсы — ноутбук и SDR (HackRF и bladeRF). Зарегистрироваться и купить билеты на PHDays можно здесь. Цена билета на два дня форума — 14 400 ₽, 9600 ₽ на один день.
На PHDays пройдет круглый стол «Безопасность применения биометрических технологий»
15 мая с 16:30 до 18:30 в зале «Амфитеатр» состоится круглый стол «Безопасность применения биометрических технологий», организатором которой является компания «Ростелеком». К участию приглашены ведущие IТ- и ИБ-эксперты Банка России, банка Tinkoff.ru, Mastercard, «Центра речевых технологий» и Positive Technologies. Взрывной рост использования биометрических технологий в России и мире — результат простоты и доступности биометрии, помноженной на ее уникальность как ключа. Одним из основных потребителей биометрических технологий стал финансовый сектор: в 2022 году, согласно исследованию J'Son & Partners, они будут использоваться в 27% проектов. В России в 2018 году будет запущена единая биометрическая система, которая позволит гражданам открывать счета, вклады и получать кредиты в любых банках удаленно. Откроет дискуссию доклад «Алгоритмы детектирования атак на биометрические системы» генерального директора «Центра речевых технологий» Дмитрия Дырмовского. Он представит результаты исследования, на основе которых была разработана система, одержавшая победу в международном конкурсе среди разработчиков детекторов спуфинг-атак «Automatic Speaker Verification Spoofing and Countermeasures Challenge 2017». Директор проектов кибербезопасности «Ростелекома» Денис Горчаков обсудит с участниками круглого стола, насколько безопасно использовать технологии биометрической идентификации для проведения важных операций, как биометрию обманывают и как защититься от мошенников. Своим взглядом на эти проблемы поделятся: Иван Беров — директор по цифровой идентичности «Ростелекома»; Артем Калашников — начальник центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России; Артем Харченко — руководитель отдела предотвращения мошенничества банка Tinkoff.ru; Николай Дош — директор по рискам в сфере безопасности электронных платежей «Ассоциации участников МастерКард»; Дмитрий Скляров — руководитель отдела исследований приложений Positive Technologies; Дмитрий Дырмовский — генеральный директор «Центра речевых технологий»; Алексей Голенищев — директор дирекции мониторинга электронного бизнеса «Альфа-банка». Зарегистрироваться и купить билеты на PHDays можно здесь. Цена билета на два дня форума — 14 400 ₽, 9600 ₽ на один день.
30 апреля стартует конкурс Hackazon компании «Делойт»
30 апреля стартует конкурс Hackazon компании «Делойт» Компания «Делойт» проводит онлайн-конкурс Hackazon, приуроченный к форуму Positive Hack Days. Соревнование начнется 30 апреля и продлится 5 дней. Победители получат инвайты на PHDays 8 и сувениры. Конкурс представляет собой capture the flag в формате jeopardy на базе платформы Hackazon, которая была разработана специалистами компании «Делойт» для симуляции атак на реальные объекты инфраструктуры, совершенствования навыков по тестированию на проникновение и проведения обучения. В платформе Deloitte Hackazon будут представлены задания различной сложности, которые необходимо решить как можно быстрее. За каждое задание установлено определенное количество очков, пропорционально уровню сложности. В платформе ведется трекинг выполненных заданий в режиме реального времени. Победителями будут считаться те участники, которые справятся с заданиями быстрее и успешнее других. Для того чтобы принять участие в конкурсе, необходимо зарегистрировать учетную запись на портале: . Первые пятеро участников, которые успешно справятся со всеми заданиями, получат по одному билету на PHDays 8, а трое из них получат также сувениры. Точное время старта и адрес площадки, на которой пройдет Hackazon, организаторы сообщат за несколько дней до соревнования. Следите за новостями!
PHDays 8: стартуют онлайн-конкурсы
PHDays 8: стартуют онлайн-конкурсы До PHDays 8 остался месяц. А значит, самое время размяться перед хардкорной конкурсной программой. За несколько недель до форума пройдут онлайн-конкурсы HackQuest и «Конкурентная разведка». Не упустите возможность попытать свои силы — на кону памятные призы и бесплатные приглашения на PHDays. С 23 по 29 апреля состоится конкурс для всех любителей веба HackQuest, который подготовила команда ONSEC. В этом году организаторы решили вспомнить старые интересные уязвимости и применить их к современному вебу. В основе заданий — только реальные примеры из практики. Рекомендуем покопаться в старых исследованиях и статьях, а также почитать документацию к новым сервисам. Начало 23 апреля в 00:00. В течение трех дней — 4, 5 и 6 мая — пройдет старый добрый конкурс «Конкурентная разведка». Вот уже много лет мы показываем, как просто в современном мире можно собрать конфиденциальную информации о людях и компаниях, все-таки не зря говорят: «Интернет помнит все». Предлагаем вновь примерить на себя роль разведчика и проверить, как быстро вы сумеете разыскать в интернете информацию о некой организации. Задача — найти как можно больше правильных ответов на поставленные вопросы за минимальное время. Конкурс будет доступен с 9:00 04.05.2018 в Telegram — @phdayscibot. Совсем скоро мы расскажем о новых конкурсах, которые будут проходить на площадке в дни форума. Stay tuned! Зарегистрироваться и купить билеты на PHDays можно здесь. Цена билета на два дня форума — 14 400 ₽, 9600 ₽ на один день.
Автор дизассемблера IDA Pro выступит на PHDays 8
Автор дизассемблера IDA Pro выступит на PHDays 8 Ключевым докладчиком PHDays 8 станет известный разработчик дизассемблера IDA Pro и декомпилятора Hex-Rays Ильфак Гильфанов. Широкая общественность узнала об Ильфаке Гильфанове в 2005 году, когда 31 декабря он представил неофициальное исправление уязвимости Windows Metafile в операционной системе Microsoft Windows (официальный патч от Microsoft вышел только 5 января 2006 года). Однако главное достижение Ильфака Гильфанова — создание дизассемблера IDA Pro. Тот, кто хоть раз пытался реверсить, наверняка знаком с этим инструментом. Сегодня он широко используется реверс-инженерами, вирусными аналитиками и специалистами по безопасности по всему миру. Кстати, в 2001 году была издана книга Криса Касперски «Образ мышления — дизассемблер IDA», подробный справочник по всем многочисленным функциям IDA, интерфейсу и архитектуре. И книга, и сам дизассемблер до сих пор пользуются признанием среди специалистов. Еще одной разработкой стал декомпилятор на основе IDA Pro — Hex-Rays, предназначенный для анализа программного кода. Сегодня Ильфак Гильфанов — руководитель созданной им компании Hex-Rays SA, который распространяет IDA Pro и Hex-Rays. Он выступит на PHDays с докладом «Внутренний язык декомпилятора Hex-Rays: микрокод», в котором расскажет об истории возникновения языка и его технических особенностях, а также о проблемах, возникающих при декомпилировании программ. Регистрируйтесь и приходите на Positive Hack Days, чтобы вживую послушать выступление! Если вы хотите выступить на одной трибуне вместе с именитыми экспертами по безопасности, у вас остался последний шанс — Call For Papers продлится до 10 марта. Подробнее о темах и правилах участия читайте на сайте форума.
Заканчивается скидка на участие в PHDays
Заканчивается скидка на участие в PHDays Завтра последний день, чтобы купить билеты на PHDays 8 со скидкой. Уже с 1 марта цена вырастет до 14 400 ₽ за два дня и 9600 ₽ за один. Количество ограничено! Напоминаем, что есть и бесплатные способы попасть на PHDays. Чтобы получить инвайт, можно подготовить яркое исследование в области ИБ (Call for Papers уже в самом разгаре), победить в специальном хакерском конкурсе или стать участником одной из команд The Standoff. Следите за новостями!
Дорогу молодым: принимаем заявки на участие в секции Young School
У нас отличные новости — на PHDays cнова пройдет секция для студентов, аспирантов и молодых ученых Young School. В этом году мы предлагаем молодым исследователям два формата участия — научный трек и сессию пятиминутных выступлений Spring Hack Tricks. Авторы работ, прошедших отбор, представят результаты своих исследований международному ИБ-сообществу на форуме PHDays 8. «Цель нашей секции, как и прежде, — мотивировать студентов и аспирантов поделиться своими научными работами с широкой аудиторией. Каждый год участники из разных стран присылают нам результаты исследований в области практической безопасности; кстати, есть среди них и те, кто участвует не первый год, — рассказывает член программного комитета PHDays Young School Андрей Петухов. — Лидеры по числу заявок — Томск, Питер и Таганрог. Уверен, в этом году мы увидим как старых знакомых, так и новые имена». В научный трек Young School принимаются качественные авторские работы в области практической информационной безопасности. Ценность предлагаемых решений должна быть подтверждена экспериментально, а также обоснована с точки зрения новизны и актуальности. Один из авторов работы, прошедшей на форум, будет приглашен для выступления, организаторы возместят расходы на дорогу и проживание, соавторы получат билеты на форум без возмещения расходов. В рамках Spring Hack Tricks мы предлагаем рассказать о вашем трике/тулзе, который помогает вам в работе, bug bounty или на CTF. Основной критерий — явно практическая польза и оригинальность. Если заявка успешно пройдет рецензирование комиссией, вы получите входной билет на форум и возможность поделиться вашей идеей с сообществом. Для участия в каждом из форматов отравляйте заявку по адресу youngschool@phdays.com. Подробнее о правилах и формате заявки читайте на странице Young School. Заявки принимаются: до 1 апреля в научном треке Young School, до 15 апреля на секцию Spring Hack Tricks.
Так страшно, что смешно, или Все на конкурс комиксов!
Друзья, в рамках форума PHDays пройдет конкурс комиксов «Нарисованное будущее». Несколько лет подряд участники форума сносили нам всем крышу улетным контентом на конкурсе рассказов «Взломанное будущее». Думаете, тема жесткого и бескомпромиссного киберпанка с легким ламповым привкусом стимпанка и отборного сайенс-фикшна раскрыта? А вот и нет! Мы решили продолжить эту традицию, но на этот раз предлагаем вам не описывать будущее, а нарисовать его. Попробуйте описать мир будущего образами, иллюстрированными историями, а именно — комиксами. Какое оно, будущее? Каждый видит его по-своему и по-разному рисует в своем воображении. Кого-то оно пугает, и сама мысль о нем доводит до дрожи. Кто-то считает, что будущее уже наступило, ведь уже прямо сейчас мы купаемся в технологиях, о которых лет двадцать назад можно было только мечтать. Цифровой мир каждую минуту бросает нам вызов. Одни отмахиваются от него, другие извлекают из него выгоду. А кому-то будущее со всей его бешеной диджитализацией и неизбежной сингулярностью просто по приколу! Нарисуйте свое будущее, каким бы оно ни было: несущим гибель или созидающим, страшным или смешным. Не забывайте, информационные технологии должны быть ключевым элементом в сюжете! Условия конкурса На конкурс принимаются комиксы с историями на следующие темы (пусть они служат лишь ориентиром): В одной очень далекой галактике, Интернет злых и добрых вещей, История одного киберпреступления, Похождения биткойна, Искусственный интеллект атакует. Мы не ограничиваем художественную фантазию участников. В конце концов, это же конкурс, а не экзамен в Британку. Стиль и жанр – на ваш выбор. Но знайте меру и оценивайте свои возможности! Если действительно хотите победить, получить приз, попасть на страницы нашего журнала и даже больше (представьте, что ваш комикс выходит под красивой обложкой вместе с прочими достойными произведениями!)… Тут придется соответствовать: мемасики в стиле «у меня лапки» и рисунки в духе сюжетов про пол-литровую мышь не прокатят. Впрочем, сгодятся и мемы, но здесь придется постараться, чтобы компенсировать отсутствие художественных изысков остроумным подходом к раскрытию темы. Название? Конечно, нужно — не оставляйте свое творение безымянным! И да! Друзья, на конкурс категорически не принимаются работы, в которых содержатся обсценная лексика (проще говоря, мат), призывы к насилию и всевозможный экстремизм. Порнография, хентай #вотэтовсё строжайше запрещены — импровизируйте, вуалируйте, творите-выдумывайте-пробуйте. Словом, дерзайте! Выдавать чужие творения за свои, использовать уже опубликованные комиксы грешно и никому не интересно, даже вам самим. На конкурс принимается самый что ни на есть аутентичный свежак! Гуглить, если что, мы умеем. Технические требования к комиксу Однослойный хайрез 220×320 мм на 300 dpi + легкое превью. Формат: jpeg/png. Будьте готовы к тому, что жюри может запросить послойный исходник работы. Поскольку мы предполагаем последующее издание лучших работ, пожалуйста, присылайте своё творение так, чтобы оно легко укладывалось в формат А4. Обязательно обратите внимание на юридические условия конкурса*. Авторы 10 лучших работ получат пригласительные на PHDays, который состоится 15-16 мая 2018 года. Трех победителей объявят главные судьи во время торжественной церемонии 16 мая. Призы достойные, не сомневайтесь. Иными словами, есть за что побороться. Также будет разыгран приз зрительских симпатий. Хотите узнать подробнее? Заходите на наши страницы в соцсетях (Vkontakte, Facebook, Twitter) и на Хабр, подписывайтесь и следите за новостями. А судьи кто? — пока секрет ;) Присылайте свои работы до 10 мая на адрес comics@phdays.com. Удачи и поехали! Конкурс начался. Есть вопросы по теме? Пишите сюда: comics@phdays.com. * Участие в конкурсе допускается исключительно на условиях полного согласия участника с правилами участия в конкурсе, включая (но не ограничиваясь) раздел «юридические условия». Направляя материалы на адрес comics@phdays.com вы подтверждаете, что ознакомились с условиями участия в конкурсе и полностью согласны на участие в конкурсе на таких условиях.Юридические условия:— Участник гарантирует, что все направленные на адрес comics@phdays.com материалы для участия в конкурсе (Материалы) созданы собственными силами участника и не принадлежат иным лицам.— Участник разрешает организатору конкурса — АО «Позитив Текнолоджиз» (Организатор) — безвозмездно использовать направленные участником Материалы, по усмотрению Организатора, следующим образом:— путем размещения Материалов на сайте phdays.com в целях информирования о ходе конкурса;— путем использования на территории проведения форума по практической безопасности Positive Hack Days в период его проведения в качестве динамических либо статических художественных элементов оформления мероприятия;— путем включения в печатное издание — сборник Материалов победителей конкурса, тиражирования и распространения такого печатного издания как самостоятельно, так и с привлечением субподрядчиков.— Все участники конкурса должны быть не моложе 16 лет.