Новости
Lightning Talk: получите свои пять минут на PHDays VI
Приглашаем принять участие в сессии пятиминутных выступлений на форуме PHDays. Расскажите о новой уязвимости или о проблеме в алгоритмах безопасности. Придумали концепт инструмента анализа безопасности или запланировали масштабное исследование? Поделитесь своими идеями с трибуны и найдите единомышленников. Слушателям нравится формат Lightning Talk по нескольким причинам. Во-первых, это возможность влиться в интересный проект. Во-вторых, если тема скучная, а оратор плохо подготовился — долго терпеть не придется, через несколько минут на сцене будет уже новый докладчик. Если вы хотите принять участие, о докладе надо заявить ведущему секции FastTrack либо на стол регистрации. Правила Lightning Talk просты: ваше выступление длится 5 минут (1 или 2 слайда); доклады не премодерируются; лучшие докладчики получат приглашение на PHDays VII. Международный форум по практической безопасности Positive Hack Days VI состоится 17—18 мая 2016 года в московском ЦМТ. На площадке можно будет увидеть, как атакуют ГЭС, взламывают сотовую связь, отключают вентиляцию в умном доме, выводят деньги из интернет-банкинга, — и узнать, как противостоять таким атакам.
Истории участников PHDays VI: как Мокси Марлинспайк победил ФБР, а Джон Бамбенек вычислил хакера № 1
В начале апреля о Мокси Марлинспайке написали все крупнейшие издания мира. Миллиард пользователей WhatsApp получили обязательное сквозное шифрование трафика на основе алгоритмов его мессенджера Signal. Через месяц, 17 и 18 мая, с Мокси можно будет познакомиться на форуме PHDays VI. На мероприятии выступит не только он, но и Рахул Саси, Пол Викси, Андрей Масалович, Джон Бамбенек. Обама и Кэмерон против Марлинспайка
Объявлены результаты отбора на секцию Young School
В конце февраля в рамках ежегодного форума Positive Hack Days стартовал прием заявок на секцию для молодых ученых Young School. Несмотря на смену формата (раньше Young School был конкурсом), цель осталась той же — поддержка талантливых специалистов в области ИБ. В течение двух месяцев мы принимали исследовательские работы студентов, аспирантов и независимых молодых ученых по различным темам практической безопасности — от защиты бизнес-систем и приложений до прикладной криптографии. Нам были интересны работы, подкрепленные результатами экспериментов. В этом году наметился уклон в сторону криптографии — именно ей посвящена большая часть работ. Мы рады, что заявки присылали студенты и аспиранты не только из тех вузов, которые давно стали завсегдатаями Young School, — НГУ, СПбГЭТУ «ЛЭТИ», ТГУ, ЮФУ, — но и новички (например, ОмГТУ). Итак, на секцию были отобраны следующие работы: Антон Плёнкин (ЮФУ) — «Интеграция квантовых ключей в алгоритмы шифрования данных отечественной телеком-сети»; Никита Олексов и Олег Брославский (ТГУ) — «Разработка и реализация схемы хеширования HMAC в рамках модели White-box cryptography»; Елена Дойникова (СПИИРАН) — «Методики и программный̆ компонент оценки рисков и выбора контрмер на основе графов атак для SIEM-систем»; Юрий Огородников (ОмГТУ) — «Комбинированная атака на алгоритм RSA с использованием SAT-подхода»; Максим Коломеец (СПбГЭТУ «ЛЭТИ») — «Разработка новых графических моделей для визуализации компьютерных сетей»; Максим Вахрушев и Евгений Загурских (НГУ) — «Разработка криптографических систем с открытым ключом, основанных на обобщении задачи о ранце». Авторы представят свои исследования на международном форуме Positive Hack Days VI, который пройдет в Москве 17 и 18 мая. Для каждой работы, прошедшей отбор, организаторы возместят одному из авторов расходы на дорогу и проживание, а соавторы получат билеты на форум. Вспомнить финалистов прошлых лет можно на сайте PHDays (2012, 2013, 2014, 2015).
Новые конкурсы на PHDays VI: ломаем ГЭС и «умный» дом
Новые конкурсы на PHDays VI: ломаем ГЭС и «умный» дом Форум PHDays всегда славился своей конкурсной программой. Чего только не взламывали за шесть лет: электрическую подстанцию, мобильную связь, систему ДБО. Хакеры сбивали с цели ракетные установки, похищали деньги из банкомата, пускали под откос поезда. Бо́льшая часть соревнований будет основана на инфраструктуре города СityF и объединена в главное состязание этого года «PHDays VI СityF: Противостояние». Конкурсы форума как всегда имеют практическое значение. Участники будут взламывать АСУ ТП, Интернет вещей, интернет-банки, GSM и сетевое оборудование. Подробности можно узнать на странице форума, а сегодня мы расскажем о двух новых испытаниях в рамках взлома автоматических систем управления — BMS & Smart House Attack и Critical Infrastructure Attack: Blackout. На полигоне PHDays VI СityF среди прочих объектов развернется стенд электроэнергетической компании (распределительная и магистральная подстанции, гидроэлектростанция, центральный и региональный диспетчерские пункты) и «умный» дом. Участники смогут изучить безопасность реальных систем. Объекты можно будет взломать как простому посетителю форума, так и участникам команд CityF. Critical Infrastructure Attack: Blackout Задача хакеров — атаковать модель системы электроснабжения небольшого региона. Модель приближена к реальности как технически, так и в функционально. Она разделена на отдельные части: генерация, передача, распределение и управление электроснабжением. Участникам предлагается нарушить нормальную работу общей системы электроэнергетики. В части распределения хакеры смогут воздействовать на подстанцию города классом напряжения 10 кВ, которая распределяет электроэнергию на объекты инфраструктуры города (жилые дома, промышленные предприятия). Для дополнительной детализации будет подключена модель дома со множеством систем жизнеобеспечения. Атаковав часть передачи, можно будет захватить магистральную подстанцию (500 кВ), которая в случае нарушения ее работы позволит атакующим командам устроить не только локальный blackout, но и нарушить нормальную работу общей системы электроэнергетики или «отключить» город. В части генерации команды смогут воздействовать на гидроэлектростанцию. Это позволит либо отключить передачу электроэнергии от станции, либо повлиять на работу автоматики гидроагрегатов и системы управления станции, например включить аварийный водосброс и затопить город рядом со станцией. Также атакующие команды могут получить доступ к мониторингу всех систем, так и к управлению энергорайоном, получив доступ к региональному пункту диспетчеризации и управления энергосистемой и к центральной диспетчерской. Победителю конкурса достанется планшет Apple. Обладателю второго места — Raspberry Pi 2 Ki. BMS & Smart House Attack В распоряжении хакеров будут предоставлены системы жизнеобеспечения, начиная от центральных систем распределения электричества, заканчивая розеткой в доме. Стенд представляет собой гибрид систем автоматизации зданий и «умного дома», среди них система освещения, счетчики воды, лифт, вентиляция и автоматика квартиры-офиса. Задача хакеров — получить контроль над отдельными системами или отключить их при условии, что некоторые из них будут дополнительно защищены. Задача осложняется тем, что энергообеспечение дома напрямую зависит от работы распределительной подстанции города, которую тоже нужно взломать. Победители соревнования получат подарки от наших партнеров Advantech и «ПроСофт», которые предоставили бо́льшую часть макета и систем автоматики.
Онлайн-конкурсы на PHDays: битва за инвайты
Онлайн-конкурсы на PHDays: битва за инвайты До PHDays VI остался всего месяц, но уже сейчас есть отличная возможность размяться перед форумом и попробовать себя в нескольких хакерских конкурсах, которые стартуют 11 и 13 апреля. На кону возможность бесплатно попасть на PHDays! HackQuest Компания ONsec готовит традиционный конкурс HackQuest, в котором участники смогут попробовать свои силы в решении различных заданий по информационной безопасности. Задания будут основаны на реальных кейсах, с которыми приходилось работать ONsec во время проектов по аудиту безопасности в 2015 и 2016 годах. Решение каждого задания подтолкнет на исследования и поможет выработать новые практические навыки. Организаторы обещают много веба! Разного, хорошего и, что самое главное, нового. По итогам соревнования участники получат памятные сувениры и инвайты на форум. Конкурс продлится с 13 по 19 апреля. Best Reverser Для того чтобы любители (и профессионалы!) ковыряния кода смогли полностью насладиться конференцией PHDays, мы решили провести конкурс Best Reverser чуть раньше. Условия заданий будут вполне обычными для конкурсов такого плана. Победителю достанется ценный приз и инвайт на конференцию. Конкурс пройдет с 11 по 17 апреля. Информация о старте конкурсов будет опубликована в ближайшее время. Следите за новостями и готовьтесь — будет весело!
Стенд EAST 4 SCADA: как устроить аварию на железной дороге
Стенд EAST 4 SCADA: как устроить аварию на железной дороге На площадке технической зоны форума PHDays VI впервые развернется стенд EAST 4 SCADA. Все, кто интересуется безопасностью АСУ ТП, смогут попробовать свои силы в поиске уязвимостей SCADA-систем и написании собственных эксплойтов — и даже попытаются устроить аварию на тестовой железной дороге. Команда EAST 4 SCADA проведет мастер-класс, на котором расскажет о типовых уязвимостях индустриальных систем и способах взлома с помощью отечественного open-source-фреймворка EAST (exploits and security tools). Для тестирования на стенде будут представлены различные системы автоматики фирм ABB, Siemens, Rockwell, ICP DAS и других. Вы узнаете, как проводить поиск уязвимостей в АСУ ТП, компонентах SCADA и PLC, как создавать и запускать тестовые модули и эксплойты, иллюстрирующие риски SCADA-систем. Вы сможете попрактиковать простейшие способы воздействия на тестовые системы АСУ ТП, найти уязвимости и пустить под откос полюбившийся с предыдущих PHDays поезд. Приглашаем опытных и начинающих взломщиков принять участие. Рекомендуем захватить собственные ноутбуки.
Новое на PHDays: площадка Hardware Village
Новое на PHDays: площадка Hardware Village В этом году впервые на Positive Hack Days развернется открытая площадка Hardware Village. Команда этого проекта решила сняться с якоря и принять участие в шестом ежегодном форуме PHDays. Любители хакерского железа смогут «пощупать» оборудование и посетить мастер-классы, на которых ребята поделятся знаниями в области взлома и низкоуровневого программирования. Hardware Village рассчитан как на опытных хардварщиков, так и на начинающих энтузиастов. В течение двух дней посетителей ждут мастер-классы и лекции матерых хакеров, которые расскажут о своем опыте. Для всех желающих будут доступны целые развалы хакерского железа, которое можно не только посмотреть, но и опробовать в деле. Первый день будет посвящен проводным сетям и интерфейсам передачи данных: Ethernet, 1-Wire, UART, JTAG, SPI, USB, CAN. Команда Hardware Village расскажет, как подобрать оборудование для конкретных задач и как правильно с ним работать. Вы узнаете все о мультиметрах, осциллографах, логических анализаторах, познакомитесь с самодельными хакерскими девайсами на базе Arduino, ARM, FPGA. Второй день отдан теме беспроводных сетей: широкий диапазон частот от 125 кГц до 5 ГГц, популярные протоколы обмена — RFID, NFC, Wi-Fi и Bluetooth. Также организаторы подготовили мастер-класс и конкурс по SDR. Приглашаем всех принять участие. И не забудьте захватить свои девайсы!
Конкурс CityF: битва между хакерами и безопасниками
Конкурс CityF: битва между хакерами и безопасниками Через два месяца состоится шестой форум Positive Hack Days. Уже во всю идет подготовка к мероприятию: объявлена первая группа докладчиков и близится к концу вторая волна Call For Papers, стартовал прием заявок на Young School и конкурс киберпанковских рассказов «Взломанное будущее». Теперь мы рады сообщить, что опубликованы правила соревнования PHDays VI СityF: Противостояние. Главный конкурс PHDays сменил формат: мы отошли от привычного CTF — на форуме развернется настоящая битва хакеров и безопасников. В этот раз сражаться будут три команды: «хакеры», «защитники» и SOC (security operations centers). События на полигоне будут максимально приближены к реальности. В распоряжении команд — эмуляция города, в котором есть банк, телеком-оператор, офис крупного холдинга, электроэнергетическая компания и другие объекты. Помимо команд на полигоне будет множество пользователей и клиентов. Во время игры команды для достижения цели смогут действовать любыми способами, которые не запрещены правилами. Если вы хотите стать участником этой масштабной битвы — пишете по адресу phd@ptsecurity.com. Кстати, в CTF могут принять участие гости PHDays и интернет-пользователи в рамках PHDays Everywhere, а также те, кто решил попробовать себя в определенных заданиях (например, во взломе банка или АСУ ТП). Заявки принимаются до 10 апреля 2016 года. Количество мест ограничено!
Нетехническая программа, или От хакеров до художников один шаг
Нетехническая программа, или От хакеров до художников один шаг Хакеры и художники — казалось бы, что может быть общего между ними, ведь это совершенно разные миры? Однако и те и другие не понаслышке знают, что такое вдохновение и творческий процесс. Мы решили повторить прошлогодний опыт и собираем на площадке международного форума по практической безопасности Positive Hack Days VI хакеров, художников и всех творческих людей. Рассказываем, что будет за кулисами технической программы. Для посетителей и участников PHDays пройдет выставка иллюстраций Алексея Андреева — художника из Санкт-Петербурга. Его работы, выполненные в технике digital painting, очень полюбились посетителям прошлогоднего форума. Художник вновь приглашает всех отправиться в путешествие в фантастический мир: привычные глазу объекты и явления предстают в новом свете, и кажется, что все происходящее — правда, что это и есть самая настоящая жизнь. Фантазийные сюжеты, обаятельные герои и невероятное правдоподобие — вот, пожалуй, три главные составляющие картин Андреева. На этот раз художник приготовил сюрприз — серию картин с дополненной реальностью. Посетители выставки смогут «оживить» картины с помощью смартфона. Для этого нужно будет скачать специальное приложение и просканировать QR-код понравившейся картины. Всего несколько секунд, и вы уже в мире летающих электричек и постапокалиптических монстров. У каждого будет возможность пообщаться с художником и приобрести его картины. Как и раньше, будет работать игровая зона. Советские игровые автоматы, классика олдскула — «Магистраль», «Морской бой», «Авторалли-М». А также полюбившиеся всем в 90-х годах Sega, Dendy и PlayStation. Подзарядиться энергией перед многочасовыми виртуальными боями или перед новой порцией докладов можно будет в автомате с космической едой. Да-да, той самой, в тюбике, которой питаются космонавты на орбите. Организаторы форума подготовили еще несколько сюрпризов. Например, пообщаться за кулисами можно будет не только с коллегами, но и с самым настоящим роботом. Он ответит на любой вопрос — если, конечно, собеседник ему понравится :) Любители высокого искусства встретятся с удивительными арт-объектами. Летопись PHDays на панно из дискет, хакерский манифест на большом экране, оптические инсталляции, рассмотреть которые можно только со строго определенного расстояния... Обмануть зрение и в прямом смысле слова услышать, как работает мозг, — все это и многое другое можно будет на PHDays VI. Не останется в стороне и литература. В этом году снова пройдут чтения, в рамках конкурса киберпанковских рассказов «Взломанное будущее». Рассказы, вышедшие в финал, зачитают бессменные участники форума, создатели культовой радиопередачи «Модель для сборки». Они создадут подходящую атмосферу: чтение пройдет в сопровождении современной электронной музыки. Кстати, у каждого из вас еще есть возможность стать участником конкурса: рассказы принимаются до 15 апреля 2016 года по адресу cyberpunk@ptsecurity.com. Напомним, что PHDays VI уже не за горами — он состоится 17 и 18 мая 2016 года в Центре международной торговли в Москве. На форуме соберутся со всего мира специалисты по безопасности и хакеры, представители госструктур, бизнесмены, молодые ученые и журналисты. Не упустите шанс принять участие! Купить билеты можно на странице runet-id.com/event/phdays16. Чтобы бесплатно участвовать в форуме, вы можете выступить с исследованием в области ИБ (вторая волна Call for Papers продлится до 31 марта), стать участником одного из хакерских конкурсов (регистрация и отборочные соревнования откроются ближе к маю) или выйти в финал конкурса рассказов.
Стартует прием заявок на секцию PHDays VI Young School
Конкурс молодых ученых в рамках ежегодного форума Positive Hack Days стал хорошей традицией. Подумать только, уже в пятый раз Young School дает начинающим безопасникам возможность представить результаты своих исследований перед ведущими экспертами со всего мира!.. Однако на этот раз мы решили изменить формат Young School: теперь это не конкурс, а секция. Мы рады объявить о приеме заявок. Приглашаем студентов, аспирантов и независимых молодых ученых, ведущих исследования по различным направлениям ИБ. Тематика интересующих нас исследований осталась неизменной — практическая безопасность: Новые цели хакерских атак. Internet of things: ботнеты из утюгов, умные браслеты и удаленное управление автомобилями. Компьютерная криминалистика против целевых APT и кибершпионажа. Атаки на платежные системы и ДБО, безопасность payWave, PayPass и Apple Pay. Работа SOC: кейсы, методы, инструменты. Методы борьбы с DDoS-атаками. Безопасность ERP-систем, бизнес-приложений. Противодействие атакам на веб-приложения. Новые векторы и техники атак на мобильные устройства. Защита облачных сред, корпоративных и частных. Безопасность государственных информационных систем и электронного правительства. Прикладная криптография. Методы и средства обеспечения физической безопасности. Защита АСУ ТП (SCADA). Безопасность промышленных систем и современного города. Уязвимости нулевого дня и новые способы доставки эксплойтов. Небезопасная безопасная разработка. SSDL и уязвимости в ИБ-продуктах. Важное условие: практическая ценность предлагаемых решений должна быть подтверждена экспериментально, а также обоснована с точки зрения новизны и актуальности. Мы не принимаем работы, в которых изложены только идеи (пусть даже гениальные), не подкрепленные конкретными результатами. Авторы лучших исследований получат возможность выступить перед хакерами и специалистами по безопасности на международном форуме Positive Hack Days VI, который пройдет в Москве 17 и 18 мая. Для каждой работы, прошедшей отбор, организаторы возместят одному из авторов расходы на дорогу и проживание, а соавторы получат билеты на форум. Заявка В этом году, в отличие от прошлого, заявка на секцию представляет собой тезисы произвольного формата, на русском или английском языках. Главное требование: рецензенты должны иметь возможность оценить исследование в полном объеме (подробнее см. правила оформления). Рецензентами выступают эксперты из академической среды, имеющие опыт работы в практической безопасности. Кстати, теперь у участников есть возможность проконсультироваться с организаторами перед подачей заявки. По всем вопросам можно написать Андрею Петухову — youngschool@phdays.com. Напомним, что впервые PHDays Young School прошел в 2012 году, в финале встретились представители учебных заведений Красноярска, Москвы, Новосибирска, Санкт-Петербурга и Таганрога. Со временем конкурс вышел на международный уровень: в прошлом году финалистами стали молодые ученые из Германии, России, Румынии и США. Не упустите свой шанс принять участие в Positive Hack Days VI! Заявки принимаются по адресу youngschool@phdays.com до 1 апреля 2016 года.