Новости
Запрыгнуть в последний вагон: завершается первая волна Call for Papers
Подходит к концу первый этап приема заявок на участие в международном форуме по практической безопасности Positive Hack Days VII. Несмотря на новогодние каникулы, начало года оказалось урожайным на заявки: мы уже получили 50 заявок на доклады и воркшопы. Желающие выступить на форуме еще могут подать заявку: тем, кто успеет зарегистрироваться на первом этапе, могут быть предложены рекомендации от экспертов программного комитета. Итоги первой волны мы начнем подводить с 15 февраля. Подробнее о темах и правилах участия — на странице Call for Papers. Участники из России, Европы, Азии, Африки, Северной и Южной Америки представили на суд программного комитета свои доклады. Среди предложенных тем: Что хуже — «дырявые» реализации или нечеткие стандарты? Выявление уязвимостей в ходе проверок на соответствие стандартам, обход проверок магазинов приложений — российская и международная практика. Взлом приложений на Android и IPv6-сетей: от обзора технологий до проведения типовых атак. Взлом медицинского оборудования: интерфейс hacker to machine и другие темы безопасности интернета вещей. Атака от защитников: ломаем ботнет для расследования инцидентов. Взлом облачной инфраструктуры и приложений: масштабируемость red teams и еще больше возможных объектов атаки в сложных системах. Критический взгляд на технологии защиты: кто мертвее — антивирус или SIEM? Где больше «вкусного» — в vulnerability intelligence, анализе банковских транзакций или логах шпионских трекеров на сайтах? Вчерашние угрозы — реальные атаки сегодня: уязвимости Docker, HTML5, Hadoop, IPv6. Новый уровень (не)безопасности платежных и банковских систем. POS security meets NFC, Java Card security. Напоминаем, что Call for Papers продлится до 15 марта 2017 г. Оглашение результатов — 30 марта 2017 г. Полный список выступлений будет опубликован в апреле на официальном сайте PHDays VII. Конференция состоится 23 и 24 мая 2017 года в Москве, в Центре международной торговли. Зарегистрироваться и купить билеты можно здесь. Цена билета на два дня форума — 9600 рублей и 7337 рублей — на один день. Партнеры форума Positive Hack Days — компании Microsoft, IBM, «ИнфоТеКс» и R-Vision, Solar Security, Axoft; бизнес-партнер форума — MONT, в числе технологических партнеров — Cisco, CompTek, ARinteg, Qrator и Wallarm; партнеры Противостояния — PaloAlto, «ICL Системные технологии», Beyond Security; участники Противостояния — компании «Информзащита», «Перспективный мониторинг», «Инфосистемы Джет», «Крок»; генеральный информационный партнер Positive Hack Days — государственное информационное агентство ТАСС.
PHDays VII: успей купить билеты со скидкой!
Напоминаем, у вас осталась одна неделя, чтобы купить билеты на PHDays VII по скидке Early Birds. До 30 декабря стоимость участия в двух днях форума составляет 7337 рублей. Уже с 31 декабря цены на билет возрастут до 9600 рублей на два дня форума и до 7337 рублей на один день. Зарегистрироваться и купить билеты можно здесь. Есть и бесплатные способы попасть на PHDays: Выступить с исследованием в области ИБ. Для участия нужно отправить заявку через онлайн-форму. Первый этап Call for Papers продлится до 30 января. Подробнее читайте на странице Call for Papers. Участвовать в хакерских конкурсах. Отборочные соревнования и регистрация откроются ближе к мероприятию. Выйти в финал конкурса киберпанковских рассказов. Правила будут опубликованы в ближайшее время. Провести собственный форум по безопасности в своем городе в рамках PHDays Everywhere. Следите за новостями на официальном сайте. Шанс получить бесплатный билет на форум есть и у студентов — такую возможность дает участие в секции PHDays Young School. В этом году помимо научного трека появились сессия пятиминутных выступлений Spring Hack Tricks и конкурс аналитических статей. Подробности читайте на странице PHDays Young School. Авторы лучших исследований получат возможность выступить перед хакерами и специалистами по безопасности. График приема заявок: до 15 января на участие в аналитическом исследовании (завершить работу нужно до 1 апреля), до 1 апреля в научном треке Young School, до 15 апреля на секцию Spring Hack Tricks. Заявку отправляйте по адресу youngschool@phdays.com
PHDays VII Young School: принимаем заявки на участие
Мы рады объявить о запуске секции PHDays VII Young School. Приглашаем студентов, аспирантов и независимых молодых ученых, ведущих исследования по различным направлениям ИБ. Напомним, что в прошлом году Young School сменил статус и из конкурса превратился в секцию. На этот раз тоже не обошлось без изменений: мы расширили варианты участия молодых исследователей. Прежде всего, мы, конечно, сохранили научный трек. Тематика интересующих нас исследований остается неизменной — практическая безопасность. Практическая ценность предлагаемых решений должна быть подтверждена экспериментально, а также обоснована с точки зрения новизны и актуальности. Один из авторов работы, прошедшей на форум, будет приглашен для выступления, организаторы возместят расходы на дорогу и проживание, соавторы получат билеты на форум без возмещения расходов. Также исследователи могут попробовать выступить в Spring Hack Tricks — сессии пятиминутных выступлений формата lightning talk, в рамках которых вы можете рассказать о вашем трике/тулзе, который помогает вам в работе, bug bounty или на CTF. Основной критерий — явно практическая польза и оригинальность. Если заявка успешно пройдет рецензирование комиссией, вы получите входной билет на форум и возможность поделиться вашей идеей с сообществом. Еще одна возможность попасть на форум — написать аналитическую статью, в которой будет представлено сравнение двух или более ИБ-средств одного класса. Совершенно новый формат для Young School, поэтому организаторы готовы оказать всяческую поддержку: помогут с подготовкой плана аналитического исследования и дадут обратную связь для повышения качества работы. Авторы, чьи работы пройдут отбор, будут приглашены на форум с возмещением расходов на проезд и проживание, смогут представить результаты своего исследования на форуме. Правила Для участия в каждом из форматов необходимо отправить заявку по адресу youngschool@phdays.com. Подробнее о правилах и формате заявки читайте на странице phdays.com/ru/join/ys/. Перед подачей заявки участники могут проконсультироваться с организаторами. Все вопросы о том, подходят ли темы исследований и результаты для секции, как их лучше оформить и т. п., можно задать по адресу youngschool@phdays.com Заявки принимаются до 15 января* на участие в аналитическом исследовании (завершить работу нужно до 1 апреля*), до 1 апреля** в научном треке Young School, до 15 апреля** на секцию Spring Hack Tricks. Партнеры форума Positive Hack Days — компании Microsoft, IBM, «ИнфоТеКс» и R-Vision, Solar Security, Axoft; бизнес-партнер форума — MONT, в числе технологических партнеров — Cisco, CompTek, ARinteg, Qrator и Wallarm; партнеры Противостояния — PaloAlto, «ICL Системные технологии», Beyond Security; участники Противостояния — компании «Информзащита», «Перспективный мониторинг», «Инфосистемы Джет», «Крок»; генеральный информационный партнер Positive Hack Days — государственное информационное агентство ТАСС.
Началась продажа билетов на PHDays VII
Началась продажа билетов на PHDays VII 29 ноября стартовала продажа билетов на международный форум по практической безопасности Positive Hack Days VII. Зарегистрироваться и купить билеты можно здесь. Как и в прошлом году, на билеты действует скидка Early Birds: до 30 декабря стоимость участия в двух днях форума составляет 7337 рублей. Уже с 31 декабря билет на два дня форума будет стоить 9600 рублей, а на один день — 7337 рублей. Как попасть на PHDays VII бесплатно Участвовать в форуме можно в качестве докладчика. Желающие выступить с докладом на PHDays должны отправить заявку — первый этап Call for Papers продлится до 30 января. Представить результаты своих исследований могут как признанные эксперты, так и начинающие специалисты. Узнать о темах и правилах участия можно на странице Call for Papers. Другие способы — стать участником хакерских конкурсов или провести собственный форум по безопасности в своем городе в рамках PHDays Everywhere. Студенты также имеют шанс получить бесплатный билет на форум. Такую возможность дает участие в секции PHDays Young School. Авторы лучших исследований получат возможность выступить перед хакерами и специалистами по безопасности. Подробная информация появится уже скоро, следите за новостями!
Стартует первая волна Call for Papers: расскажите о своем Противостоянии
Стартует первая волна Call for Papers: расскажите о своем Противостоянии 15 ноября открылся первый этап приема заявок на участие в международном форуме по практической безопасности Positive Hack Days VII, который состоится в Москве 23 и 24 мая 2017 года, в Центре международной торговли. Желающие выступить c докладом на форуме должны отправить заявку до 30 января. В качестве докладчиков ждем как признанных экспертов, так и начинающих специалистов. В этом году мы планируем уделить большее внимание угрозам и возможностям построения безопасного интернета вещей. Начатая на шестом PHDays тема противостояния нашла свое продолжение в программе этого года: киберборьба вышла на новый уровень — теперь оружием хакеров неожиданно стало множество цифровых устройств (от автомобилей и сенсоров «умного» дома до детских игрушек и камер наблюдения). Так как PHDays не просто площадка для обсуждения острых вопросов безопасности, а своего рода кузница решений, то мы ждем от спикеров конкретных ответов на угрозы, которые помогут сделать информационные технологии безопаснее. Нам интересны практика и оригинальные исследования в различных направлениях безопасности: защита и нападение, взлом «умных» устройств и атаки в социальных сетях, преодоление физических методов защиты и психологические аспекты социальной инженерии. Если вам есть что рассказать, то ждем вас на трибуне PHDays VII. Подробнее о темах и правилах участия читайте на странице Call for Papers — www.phdays.ru/call_for_papers. Не тяните с подачей заявки: тем, кто успеет зарегистрироваться на первом этапе, могут быть предложены рекомендации по докладу от экспертов программного комитета, а значит, появится больше шансов попасть в финальную программу.
PHDays VII: противостояние продолжается
PHDays VII: противостояние продолжается Мы объявляем о старте подготовки седьмого международного форума по практической безопасности Positive Hack Days. Уже известны дата и место проведения — 23 и 24 мая 2017 года, московский Центр международной торговли. По сложившейся традиции на мероприятии соберутся хакеры, разработчики и ведущие ИБ-эксперты, представители бизнеса и госструктур, специалисты банков, телекоммуникационных, нефте- и газодобывающих, промышленных и IT-компаний и молодые ученые. Как и всегда, гостей и участников ждет множество сюрпризов, но обо всем по порядку. PHDays давно вышел за рамки обычного научно-практического форума: это не просто площадка для обсуждения актуальных проблем безопасности, а огромный исследовательский полигон для самых смелых экспериментов. Организаторы следуют неизменному правилу: минимум рекламы и максимум практики, интересных докладов и захватывающих конкурсов. Лейтмотив седьмого PHDays — противостояние: враг внутри. В стане врага прибавление: пока футурологи пугали нас Большим Братом и боевыми Терминаторами, нашими противниками неожиданно стали множество цифровых устройств, обитающих в наших домах и карманах, на улицах и в офисах. Автомобили и детские игрушки, платежные терминалы и сенсоры «умного» дома, и даже камеры наблюдения, обещавшие улучшить нашу безопасность, — теперь это оружие хакеров. Мы в прямом смысле окружены… Как бороться с врагом, когда линия фронта размыта и атаковать нас может даже кофеварка? Попробуем разобраться на PHDays. В прошлом году мы предложили участникам PHDays новый формат хакерских соревнований — настоящую кибербитву между атакующими и защитниками. Абстрактные конкурсные задания уступили место реальным целям. В этом году мы решили подойти еще ближе к суровой реальности: битва выходит в город, где мишенью для пентестеров могут стать городская инфраструктура и «умные вещи», а жертвами социальной инженерии окажутся не только участники команд, но и обычные посетители PHDays VII. Хакеры, уступившие защитникам в прошлогоднем Противостоянии, постараются взять реванш — но не исключено, что в сражении окажется больше сторон, чем заявлено. В планах развитие игрового сюжета: увеличится количество объектов для взлома, будет больше экшена, появятся сценарии день/ночь и социнженерия. По словам руководителя отдела безопасности банковских систем Positive Technologies, члена оргкомитета PHDays Тимура Юнусова, основные роли останутся теми же — будут команды хакеров, защитников и SOC. Однако список участников Противостояния расширится профессиональными пентестерами. Что касается остальной части конкурсной программы, то она будет основана на инфраструктуре города. Участники смогут попробовать себя во взломе АСУ ТП, телеком-оператора, банка, интернета вещей и сетевого оборудования. К подготовке будут активно привлечены партнеры мероприятия. Каким в итоге получится главный конкурс форума — пока не знает никто, но организаторы уверяют — будет жарко. Игровая битва не помешает участникам конференции посетить множество интересных докладов, мастер-классов, а также обсудить самые актуальные вопросы информационной безопасности с ведущими специалистами отрасли. Однако на этот раз разговор пойдет в совсем другом русле: мы постараемся уйти от модели «как надо» и сделаем упор на конкретные решения. «В этом году мы планируем большое внимание уделить инновациям в области взломов и методов практической безопасности. Наша цель в том, чтобы представители государства, бизнеса, индустрии предложили свой ответ на актуальные угрозы. Ключевые темы: интернет вещей, комбинация IoT и SCADA, разработка ИБ-продуктов, принципы безопасной разработки SSDL. Программная часть конференции в первую очередь будет направлена на сближение различных миров: мы хотим привлечь к обсуждению ИБ- и IТ-руководителей, разработчиков, специалистов SOC и многих других. Как и всегда, мы работаем над тем, чтобы программа форума сочетала техническую и деловую составляющие, а специалисты и руководители могли услышать друг друга и выявить новые возможности для построения более безопасных и надежных IТ-систем», — рассказал Алексей Качалин, заместитель директора по развитию бизнеса компании Positive Technologies в России, член оргкомитета PHDays. Кстати, первая волна приема заявок на доклады откроется совсем скоро. Следите за новостями! А пока можно посмотреть видео лучших докладов с PHDays VI. Напомним, за шесть лет форум посетило более 14 000 человек. В прошлом году на мероприятии было рекордное количество участников — 4200. Не упустите шанс принять участие!
Противостояние: новый формат и новая реальность
Отгремел Positive Hack Days VI. Теперь, когда его события уже стали страницей прошлого, самое время подвести итоги и наметить курс на следующий год. Лейтмотивом шестого PHDays стало противостояние: идея, которая с первых дней создания PHDays бродила в головах организаторов, наконец-то нашла свое воплощение в виде «PHDays VI СityF: Противостояние». Ключевой конкурс форума из узкоспециализированной хакерской игры превратился в двухдневную мегабитву. Первая попытка сменить паруса и приблизить практические соревнования к реальной жизни была предпринята еще в прошлом году, на пятом PHDays. По сюжету каждая команда CTF представляла собой группировку, действующую в вымышленном государстве. Все события были завязаны на подпольной бирже труда, на которой участники получали заказы на взлом тех или иных объектов. В этом году создатели форума пошли дальше и разбавили хакерский междусобойчик командами защитников и экспертных центров безопасности (SOC). С легкой руки организаторов в игру были вовлечены реальные представители мира информационной безопасности — те, кто в жизни строят системы защиты, противодействует атакам, расследует инциденты.
Конкурс WAF Bypass на Positive Hack Days VI
В рамках международного форума по практической безопасностиPositive Hack Days в очередной раз состоялся конкурс WAF Bypass. Как и прежде, задачей участников было решение заданий путем обхода проверок PT Application Firewall, защищавшего уязвимые веб-приложения. Каждое из заданий подразумевало заложенные нами варианты обхода, которые были возможны из-за специально допущенных ошибок в конфигурации. Цель каждого задания — получить флаг, который мог храниться в базе данных, в файловой системе или в Cookie, выдаваемых специальному боту. Описание заданий и способы их решения под катом. 1. m0n0l1th В этом задании участникам было необходимо провести LDAP-инъекцию и извлечь пароль администратора из LDAP-хранилища. Имелась форма ввода имени пользователя, которое напрямую попадало в запрос к LDAP.
PHD VI: как у нас угнали дрона
В этом году на PHDays был представлен новый конкурс, где любой желающий мог перехватить управление квадрокоптером Syma X5C. Производители часто полагают, что если они используют не IP-технологии, а какой-нибудь другой беспроводной стандарт, то можно не думать о защищенности. Как будто хакеры махнут рукой, решив, что разбираться с чем-то, кроме IP, — это слишком долго, сложно и дорого. Но на самом деле, как мы уже много раз упоминали, SDR (software-defined radio) — отличный инструмент для доступа в мир IoT, где уровень вхождения определяется уровнем добросовестности производителя IoT-решений. Однако даже не имея SDR можно творить чудеса, пусть и в ограниченном пространстве частот и протоколов. Цель — перехватить управление дроном. Входные данные: - диапазон управления дроном: 2,4 ГГц ISM, - управление осуществляется модулем nRF24L01+ (на самом деле — его клоном BK2423). Средства (выдавались желающим): Arduino Nano, nRF24L01+. Результат — угонщик получил Syma X8C в подарок. Так как среди желающих угнать наш дрон оказались уже подготовленные люди, имеющие в арсенале HackRF, BladeRF и другие серьезные игрушки, мы опишем два метода — SDR и непосредственно nRF24L01+. Путь самурая — SDR Первым делом необходимо найти каналы, на которых работает данный пульт. Но перед этим стоит пробежаться по даташиту, чтобы понять, что вообще искать. Первое, что нам необходимо, это организация частот.
Cамое интересное c первого дня PHDays VI
Завершился первый день форума Positive Hack Days, стартовавшего 17 мая в Москве, в Центре международной торговли. Сегодня форум посетило рекордное число участников — более 3000. Также свои двери в рамках PHDays Everywhere распахнули 15 хакспейсов в России, Бангладеш, Белоруссии, Индии, Казахстане, Перу, Тунисе и Швеции. На два дня организована онлайн-трансляция с площадки мероприятия, так что все интернет-пользователи смогут принять активное участие в форуме. В первый день прозвучало более 50 докладов, прошли мастер-классы и круглые столы, стартовали десятки хакерских конкурсов. Тенденция к ухудшению В рамках форума был представлен отчет аналитического центра Positive Technologies — Positive Research 2016. Эксперты отмечают ухудшение общего уровня защищенности информационно-телекоммуникационных систем практически во всех областях. Защищенность IT-инфраструктур крупных компаний по-прежнему оставляет желать лучшего: в каждом втором случае (46%) для получения доступа к ресурсам внутренней сети злоумышленнику достаточно даже низкой квалификации. Самые распространенные уязвимости — использование словарных паролей (53%), уязвимости веб-приложений (47%) и служебных протоколов (100%), неэффективность антивирусной защиты (91%), устаревшее ПО (82%). Данные абонентов сотовой связи под угрозой: к такому неутешительному выводу пришли эксперты. Исследования защищенности сетей SS7, проведенные в 2015 году, показали, что в 89% случаев возможен перехват входящего SMS-сообщения, в 58% случаев — определение местоположения абонента, а в 50% — прослушивание звонков. Банковская индустрия по-прежнему уязвима. Все проанализированные экспертами Positive Technologies в 2015 году системы ДБО содержали уязвимости, причем 90% из них содержали критически опасные уязвимости, оставшиеся 10% — недостатки среднего уровня риска. В половине случаев механизмы двухфакторной аутентификаций с помощью одноразовых кодов, передаваемых через SMS-сообщения, отсутствовали или были реализованы некорректно. Мобильный банк на iOS на данный момент безопаснее решений на Android: серьезные уязвимости содержали 33% и 75% приложений соответственно. Не отстает и сфера АСУ ТП: в 2015 году Positive Technologies обнаружила более 100 уязвимостей в промышленных системах управления, эксплуатация половины из этих ошибок может привести к отказу в работе оборудования. Наиболее уязвимы SCADA-серверы и HMI-панели, ПЛК и удаленные терминалы, сетевые устройства и инженерное ПО.