Новости
Истории участников PHDays VI: как Мокси Марлинспайк победил ФБР, а Джон Бамбенек вычислил хакера № 1
В начале апреля о Мокси Марлинспайке написали все крупнейшие издания мира. Миллиард пользователей WhatsApp получили обязательное сквозное шифрование трафика на основе алгоритмов его мессенджера Signal. Через месяц, 17 и 18 мая, с Мокси можно будет познакомиться на форуме PHDays VI. На мероприятии выступит не только он, но и Рахул Саси, Пол Викси, Андрей Масалович, Джон Бамбенек. Обама и Кэмерон против Марлинспайка
Объявлены результаты отбора на секцию Young School
В конце февраля в рамках ежегодного форума Positive Hack Days стартовал прием заявок на секцию для молодых ученых Young School. Несмотря на смену формата (раньше Young School был конкурсом), цель осталась той же — поддержка талантливых специалистов в области ИБ. В течение двух месяцев мы принимали исследовательские работы студентов, аспирантов и независимых молодых ученых по различным темам практической безопасности — от защиты бизнес-систем и приложений до прикладной криптографии. Нам были интересны работы, подкрепленные результатами экспериментов. В этом году наметился уклон в сторону криптографии — именно ей посвящена большая часть работ. Мы рады, что заявки присылали студенты и аспиранты не только из тех вузов, которые давно стали завсегдатаями Young School, — НГУ, СПбГЭТУ «ЛЭТИ», ТГУ, ЮФУ, — но и новички (например, ОмГТУ). Итак, на секцию были отобраны следующие работы: Антон Плёнкин (ЮФУ) — «Интеграция квантовых ключей в алгоритмы шифрования данных отечественной телеком-сети»; Никита Олексов и Олег Брославский (ТГУ) — «Разработка и реализация схемы хеширования HMAC в рамках модели White-box cryptography»; Елена Дойникова (СПИИРАН) — «Методики и программный̆ компонент оценки рисков и выбора контрмер на основе графов атак для SIEM-систем»; Юрий Огородников (ОмГТУ) — «Комбинированная атака на алгоритм RSA с использованием SAT-подхода»; Максим Коломеец (СПбГЭТУ «ЛЭТИ») — «Разработка новых графических моделей для визуализации компьютерных сетей»; Максим Вахрушев и Евгений Загурских (НГУ) — «Разработка криптографических систем с открытым ключом, основанных на обобщении задачи о ранце». Авторы представят свои исследования на международном форуме Positive Hack Days VI, который пройдет в Москве 17 и 18 мая. Для каждой работы, прошедшей отбор, организаторы возместят одному из авторов расходы на дорогу и проживание, а соавторы получат билеты на форум. Вспомнить финалистов прошлых лет можно на сайте PHDays (2012, 2013, 2014, 2015).
Новые конкурсы на PHDays VI: ломаем ГЭС и «умный» дом
Новые конкурсы на PHDays VI: ломаем ГЭС и «умный» дом Форум PHDays всегда славился своей конкурсной программой. Чего только не взламывали за шесть лет: электрическую подстанцию, мобильную связь, систему ДБО. Хакеры сбивали с цели ракетные установки, похищали деньги из банкомата, пускали под откос поезда. Бо́льшая часть соревнований будет основана на инфраструктуре города СityF и объединена в главное состязание этого года «PHDays VI СityF: Противостояние». Конкурсы форума как всегда имеют практическое значение. Участники будут взламывать АСУ ТП, Интернет вещей, интернет-банки, GSM и сетевое оборудование. Подробности можно узнать на странице форума, а сегодня мы расскажем о двух новых испытаниях в рамках взлома автоматических систем управления — BMS & Smart House Attack и Critical Infrastructure Attack: Blackout. На полигоне PHDays VI СityF среди прочих объектов развернется стенд электроэнергетической компании (распределительная и магистральная подстанции, гидроэлектростанция, центральный и региональный диспетчерские пункты) и «умный» дом. Участники смогут изучить безопасность реальных систем. Объекты можно будет взломать как простому посетителю форума, так и участникам команд CityF. Critical Infrastructure Attack: Blackout Задача хакеров — атаковать модель системы электроснабжения небольшого региона. Модель приближена к реальности как технически, так и в функционально. Она разделена на отдельные части: генерация, передача, распределение и управление электроснабжением. Участникам предлагается нарушить нормальную работу общей системы электроэнергетики. В части распределения хакеры смогут воздействовать на подстанцию города классом напряжения 10 кВ, которая распределяет электроэнергию на объекты инфраструктуры города (жилые дома, промышленные предприятия). Для дополнительной детализации будет подключена модель дома со множеством систем жизнеобеспечения. Атаковав часть передачи, можно будет захватить магистральную подстанцию (500 кВ), которая в случае нарушения ее работы позволит атакующим командам устроить не только локальный blackout, но и нарушить нормальную работу общей системы электроэнергетики или «отключить» город. В части генерации команды смогут воздействовать на гидроэлектростанцию. Это позволит либо отключить передачу электроэнергии от станции, либо повлиять на работу автоматики гидроагрегатов и системы управления станции, например включить аварийный водосброс и затопить город рядом со станцией. Также атакующие команды могут получить доступ к мониторингу всех систем, так и к управлению энергорайоном, получив доступ к региональному пункту диспетчеризации и управления энергосистемой и к центральной диспетчерской. Победителю конкурса достанется планшет Apple. Обладателю второго места — Raspberry Pi 2 Ki. BMS & Smart House Attack В распоряжении хакеров будут предоставлены системы жизнеобеспечения, начиная от центральных систем распределения электричества, заканчивая розеткой в доме. Стенд представляет собой гибрид систем автоматизации зданий и «умного дома», среди них система освещения, счетчики воды, лифт, вентиляция и автоматика квартиры-офиса. Задача хакеров — получить контроль над отдельными системами или отключить их при условии, что некоторые из них будут дополнительно защищены. Задача осложняется тем, что энергообеспечение дома напрямую зависит от работы распределительной подстанции города, которую тоже нужно взломать. Победители соревнования получат подарки от наших партнеров Advantech и «ПроСофт», которые предоставили бо́льшую часть макета и систем автоматики.
Онлайн-конкурсы на PHDays: битва за инвайты
Онлайн-конкурсы на PHDays: битва за инвайты До PHDays VI остался всего месяц, но уже сейчас есть отличная возможность размяться перед форумом и попробовать себя в нескольких хакерских конкурсах, которые стартуют 11 и 13 апреля. На кону возможность бесплатно попасть на PHDays! HackQuest Компания ONsec готовит традиционный конкурс HackQuest, в котором участники смогут попробовать свои силы в решении различных заданий по информационной безопасности. Задания будут основаны на реальных кейсах, с которыми приходилось работать ONsec во время проектов по аудиту безопасности в 2015 и 2016 годах. Решение каждого задания подтолкнет на исследования и поможет выработать новые практические навыки. Организаторы обещают много веба! Разного, хорошего и, что самое главное, нового. По итогам соревнования участники получат памятные сувениры и инвайты на форум. Конкурс продлится с 13 по 19 апреля. Best Reverser Для того чтобы любители (и профессионалы!) ковыряния кода смогли полностью насладиться конференцией PHDays, мы решили провести конкурс Best Reverser чуть раньше. Условия заданий будут вполне обычными для конкурсов такого плана. Победителю достанется ценный приз и инвайт на конференцию. Конкурс пройдет с 11 по 17 апреля. Информация о старте конкурсов будет опубликована в ближайшее время. Следите за новостями и готовьтесь — будет весело!
Стенд EAST 4 SCADA: как устроить аварию на железной дороге
Стенд EAST 4 SCADA: как устроить аварию на железной дороге На площадке технической зоны форума PHDays VI впервые развернется стенд EAST 4 SCADA. Все, кто интересуется безопасностью АСУ ТП, смогут попробовать свои силы в поиске уязвимостей SCADA-систем и написании собственных эксплойтов — и даже попытаются устроить аварию на тестовой железной дороге. Команда EAST 4 SCADA проведет мастер-класс, на котором расскажет о типовых уязвимостях индустриальных систем и способах взлома с помощью отечественного open-source-фреймворка EAST (exploits and security tools). Для тестирования на стенде будут представлены различные системы автоматики фирм ABB, Siemens, Rockwell, ICP DAS и других. Вы узнаете, как проводить поиск уязвимостей в АСУ ТП, компонентах SCADA и PLC, как создавать и запускать тестовые модули и эксплойты, иллюстрирующие риски SCADA-систем. Вы сможете попрактиковать простейшие способы воздействия на тестовые системы АСУ ТП, найти уязвимости и пустить под откос полюбившийся с предыдущих PHDays поезд. Приглашаем опытных и начинающих взломщиков принять участие. Рекомендуем захватить собственные ноутбуки.
Новое на PHDays: площадка Hardware Village
Новое на PHDays: площадка Hardware Village В этом году впервые на Positive Hack Days развернется открытая площадка Hardware Village. Команда этого проекта решила сняться с якоря и принять участие в шестом ежегодном форуме PHDays. Любители хакерского железа смогут «пощупать» оборудование и посетить мастер-классы, на которых ребята поделятся знаниями в области взлома и низкоуровневого программирования. Hardware Village рассчитан как на опытных хардварщиков, так и на начинающих энтузиастов. В течение двух дней посетителей ждут мастер-классы и лекции матерых хакеров, которые расскажут о своем опыте. Для всех желающих будут доступны целые развалы хакерского железа, которое можно не только посмотреть, но и опробовать в деле. Первый день будет посвящен проводным сетям и интерфейсам передачи данных: Ethernet, 1-Wire, UART, JTAG, SPI, USB, CAN. Команда Hardware Village расскажет, как подобрать оборудование для конкретных задач и как правильно с ним работать. Вы узнаете все о мультиметрах, осциллографах, логических анализаторах, познакомитесь с самодельными хакерскими девайсами на базе Arduino, ARM, FPGA. Второй день отдан теме беспроводных сетей: широкий диапазон частот от 125 кГц до 5 ГГц, популярные протоколы обмена — RFID, NFC, Wi-Fi и Bluetooth. Также организаторы подготовили мастер-класс и конкурс по SDR. Приглашаем всех принять участие. И не забудьте захватить свои девайсы!
Конкурс CityF: битва между хакерами и безопасниками
Конкурс CityF: битва между хакерами и безопасниками Через два месяца состоится шестой форум Positive Hack Days. Уже во всю идет подготовка к мероприятию: объявлена первая группа докладчиков и близится к концу вторая волна Call For Papers, стартовал прием заявок на Young School и конкурс киберпанковских рассказов «Взломанное будущее». Теперь мы рады сообщить, что опубликованы правила соревнования PHDays VI СityF: Противостояние. Главный конкурс PHDays сменил формат: мы отошли от привычного CTF — на форуме развернется настоящая битва хакеров и безопасников. В этот раз сражаться будут три команды: «хакеры», «защитники» и SOC (security operations centers). События на полигоне будут максимально приближены к реальности. В распоряжении команд — эмуляция города, в котором есть банк, телеком-оператор, офис крупного холдинга, электроэнергетическая компания и другие объекты. Помимо команд на полигоне будет множество пользователей и клиентов. Во время игры команды для достижения цели смогут действовать любыми способами, которые не запрещены правилами. Если вы хотите стать участником этой масштабной битвы — пишете по адресу phd@ptsecurity.com. Кстати, в CTF могут принять участие гости PHDays и интернет-пользователи в рамках PHDays Everywhere, а также те, кто решил попробовать себя в определенных заданиях (например, во взломе банка или АСУ ТП). Заявки принимаются до 10 апреля 2016 года. Количество мест ограничено!
Нетехническая программа, или От хакеров до художников один шаг
Нетехническая программа, или От хакеров до художников один шаг Хакеры и художники — казалось бы, что может быть общего между ними, ведь это совершенно разные миры? Однако и те и другие не понаслышке знают, что такое вдохновение и творческий процесс. Мы решили повторить прошлогодний опыт и собираем на площадке международного форума по практической безопасности Positive Hack Days VI хакеров, художников и всех творческих людей. Рассказываем, что будет за кулисами технической программы. Для посетителей и участников PHDays пройдет выставка иллюстраций Алексея Андреева — художника из Санкт-Петербурга. Его работы, выполненные в технике digital painting, очень полюбились посетителям прошлогоднего форума. Художник вновь приглашает всех отправиться в путешествие в фантастический мир: привычные глазу объекты и явления предстают в новом свете, и кажется, что все происходящее — правда, что это и есть самая настоящая жизнь. Фантазийные сюжеты, обаятельные герои и невероятное правдоподобие — вот, пожалуй, три главные составляющие картин Андреева. На этот раз художник приготовил сюрприз — серию картин с дополненной реальностью. Посетители выставки смогут «оживить» картины с помощью смартфона. Для этого нужно будет скачать специальное приложение и просканировать QR-код понравившейся картины. Всего несколько секунд, и вы уже в мире летающих электричек и постапокалиптических монстров. У каждого будет возможность пообщаться с художником и приобрести его картины. Как и раньше, будет работать игровая зона. Советские игровые автоматы, классика олдскула — «Магистраль», «Морской бой», «Авторалли-М». А также полюбившиеся всем в 90-х годах Sega, Dendy и PlayStation. Подзарядиться энергией перед многочасовыми виртуальными боями или перед новой порцией докладов можно будет в автомате с космической едой. Да-да, той самой, в тюбике, которой питаются космонавты на орбите. Организаторы форума подготовили еще несколько сюрпризов. Например, пообщаться за кулисами можно будет не только с коллегами, но и с самым настоящим роботом. Он ответит на любой вопрос — если, конечно, собеседник ему понравится :) Любители высокого искусства встретятся с удивительными арт-объектами. Летопись PHDays на панно из дискет, хакерский манифест на большом экране, оптические инсталляции, рассмотреть которые можно только со строго определенного расстояния... Обмануть зрение и в прямом смысле слова услышать, как работает мозг, — все это и многое другое можно будет на PHDays VI. Не останется в стороне и литература. В этом году снова пройдут чтения, в рамках конкурса киберпанковских рассказов «Взломанное будущее». Рассказы, вышедшие в финал, зачитают бессменные участники форума, создатели культовой радиопередачи «Модель для сборки». Они создадут подходящую атмосферу: чтение пройдет в сопровождении современной электронной музыки. Кстати, у каждого из вас еще есть возможность стать участником конкурса: рассказы принимаются до 15 апреля 2016 года по адресу cyberpunk@ptsecurity.com. Напомним, что PHDays VI уже не за горами — он состоится 17 и 18 мая 2016 года в Центре международной торговли в Москве. На форуме соберутся со всего мира специалисты по безопасности и хакеры, представители госструктур, бизнесмены, молодые ученые и журналисты. Не упустите шанс принять участие! Купить билеты можно на странице runet-id.com/event/phdays16. Чтобы бесплатно участвовать в форуме, вы можете выступить с исследованием в области ИБ (вторая волна Call for Papers продлится до 31 марта), стать участником одного из хакерских конкурсов (регистрация и отборочные соревнования откроются ближе к маю) или выйти в финал конкурса рассказов.
Стартует прием заявок на секцию PHDays VI Young School
Конкурс молодых ученых в рамках ежегодного форума Positive Hack Days стал хорошей традицией. Подумать только, уже в пятый раз Young School дает начинающим безопасникам возможность представить результаты своих исследований перед ведущими экспертами со всего мира!.. Однако на этот раз мы решили изменить формат Young School: теперь это не конкурс, а секция. Мы рады объявить о приеме заявок. Приглашаем студентов, аспирантов и независимых молодых ученых, ведущих исследования по различным направлениям ИБ. Тематика интересующих нас исследований осталась неизменной — практическая безопасность: Новые цели хакерских атак. Internet of things: ботнеты из утюгов, умные браслеты и удаленное управление автомобилями. Компьютерная криминалистика против целевых APT и кибершпионажа. Атаки на платежные системы и ДБО, безопасность payWave, PayPass и Apple Pay. Работа SOC: кейсы, методы, инструменты. Методы борьбы с DDoS-атаками. Безопасность ERP-систем, бизнес-приложений. Противодействие атакам на веб-приложения. Новые векторы и техники атак на мобильные устройства. Защита облачных сред, корпоративных и частных. Безопасность государственных информационных систем и электронного правительства. Прикладная криптография. Методы и средства обеспечения физической безопасности. Защита АСУ ТП (SCADA). Безопасность промышленных систем и современного города. Уязвимости нулевого дня и новые способы доставки эксплойтов. Небезопасная безопасная разработка. SSDL и уязвимости в ИБ-продуктах. Важное условие: практическая ценность предлагаемых решений должна быть подтверждена экспериментально, а также обоснована с точки зрения новизны и актуальности. Мы не принимаем работы, в которых изложены только идеи (пусть даже гениальные), не подкрепленные конкретными результатами. Авторы лучших исследований получат возможность выступить перед хакерами и специалистами по безопасности на международном форуме Positive Hack Days VI, который пройдет в Москве 17 и 18 мая. Для каждой работы, прошедшей отбор, организаторы возместят одному из авторов расходы на дорогу и проживание, а соавторы получат билеты на форум. Заявка В этом году, в отличие от прошлого, заявка на секцию представляет собой тезисы произвольного формата, на русском или английском языках. Главное требование: рецензенты должны иметь возможность оценить исследование в полном объеме (подробнее см. правила оформления). Рецензентами выступают эксперты из академической среды, имеющие опыт работы в практической безопасности. Кстати, теперь у участников есть возможность проконсультироваться с организаторами перед подачей заявки. По всем вопросам можно написать Андрею Петухову — youngschool@phdays.com. Напомним, что впервые PHDays Young School прошел в 2012 году, в финале встретились представители учебных заведений Красноярска, Москвы, Новосибирска, Санкт-Петербурга и Таганрога. Со временем конкурс вышел на международный уровень: в прошлом году финалистами стали молодые ученые из Германии, России, Румынии и США. Не упустите свой шанс принять участие в Positive Hack Days VI! Заявки принимаются по адресу youngschool@phdays.com до 1 апреля 2016 года.
Первые доклады PHDays VI: как ломают транспортные карты, ставят хакерские «мышеловки» и продают уязвимости за 100 000 $
Первые доклады PHDays VI: как ломают транспортные карты, ставят хакерские «мышеловки» и продают уязвимости за 100 000 $ 31 января закончилась первая волна приема заявок на участие в шестом международном форуме по практической безопасности Positive Hack Days, который состоится в Москве 17 и 18 мая 2016 года в Центре международной торговли. Желающие выступить на форуме, но не успевшие подать заявку, смогут сделать это в ближайшее время: вторая волна Call for Papers стартует уже 17 февраля и продлится до 31 марта! А пока мы анонсируем первую группу участников, вошедших в основную техническую программу. В этом году слушатели PHDays узнают, как сорвать большой куш в Microsoft, как с помощью смартфона тестировать безопасность транспортных систем, и выяснят всю подноготную рынка уязвимостей нулевого дня. Ловушка для хакеров Впервые на PHDays выступит признанный эксперт по подавлению, предотвращению и ликвидации последствий DDoS-атак Терренс Гаро (Terrence Gareau). Он расскажет, как создать honeypot (ловушку) и организовать сервис с обновляемыми данными о попавшихся DDoS-ботах с помощью Kibana, Elasticsearch, Logstash и AMQP. Терренс Гаро последние два года вместе с командой работал над системой мониторинга и сбора внешней статистики DDoS-атак, и посетители форума смогут ознакомиться с ее исходным кодом. Охотники за наградой, или Кто есть кто на рынке эксплойтов Участник пятого PHDays, основатель проекта BeeWise и главный консультант компании secYOUre Альфонсо де Грeгорио (Alfonso de Gregorio) вновь выступит с докладом на международном форуме по практической безопасности. Он продолжит начатую в прошлом году тему продажи эксплойтов. На этот раз Альфонсо подробнее расскажет об участниках рынка эксплойтов и о деятельности брокера уязвимостей нулевого дня и раскроет некоторые аспекты деловой этики. Как сделать вечный билет на метро Доклад итальянского исследователя Маттео Беккаро (Matteo Beccaro) посвящен общим вопросам транспортной безопасности, мошенничества и технологических сбоев. Маттео Беккаро рассмотрит несколько серьезных уязвимостей в реальных транспортных системах, в которых используется технология NFC. Ключевой момент выступления — демонстрация открытого приложения для тестирования транспортных систем со смартфона. Доклад будет интересен как профессиональным пентестерам, так и любителям. Защита веб-приложений с помощью JavaScript Внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Ведущие эксперты Positive Technologies Денис Колегов и Арсений Реутов продемонстрируют, как защищать веб-приложения с использованием JavaScript, а также поделятся собственными методами обнаружения инъекций без использования сигнатур и фильтраций по регулярным выражениям. Еще один вопрос, который рассмотрят эксперты, — концепция JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF. Как сорвать куш в Microsoft Еще несколько лет назад американский софтверный гигант Microsoft отказывался принимать участие в программе Bug Bounty, несмотря на то что для конкурентов корпорации вознаграждения за уязвимости давно стали обычной практикой. В последние годы Microsoft стал выплачивать вознаграждение за сообщения о некоторых типах уязвимостей — от 100 до 100 000 долл. На регулярной основе публикуется топ-100 исследователей — участников программы. Джейсон Шерк (Jason Shirk) — главный стратег службы безопасности Microsoft Security Response Center поведает слушателям о видах вознаграждений и о том, как MSRC работает с исследователями, а также раскроет секреты крупных наград. Полный список выступлений будет опубликован в апреле на официальном сайте PHDays VI. Для того чтобы бесплатно принять участие в форуме, можно выступить с исследованием в области ИБ, стать участником одного из хакерских конкурсов или написать самый лучший киберпанковский рассказ. Еще один способ попасть на PHDays VI — это купить билет. Напоминаем, что с 15 февраля билет на два дня форума стоит 9600 рублей, на один день — 7337 рублей. С 1 марта цены повысятся до 14 400 и 9600 рублей соответственно.