Новости
Конкурс WAF Bypass на Positive Hack Days V
Как и в прошлом году, на международном форуме по практической безопасности Positive Hack Days проходил конкурс WAF Bypass. Задача участников ― обойти защиту PT Application Firewall, веб-файрвола компании Positive Technologies. Специально для конкурса был создан сайт «Choo Choo Roads» с типовыми уязвимостями: Cross-Site Scripting, SQL Injection, XML External Entities Injection, Open Redirect и др. Результатом обхода проверки для каждой уязвимости были MD5-флаги, за которые присуждались очки. Флаги располагались в файловой системе, базе данных, в cookie-параметрах, которые присваивались специальному боту, написанному с использованием Selenium.
Новые соревнования на PHDays: взлом мобильной связи, электрических подстанций и протоколов маршрутизации
Форум Positive Hack Days славится своей разносторонней и оригинальной конкурсной программой. Соревнования по анализу защищенности систем ДБО, АСУ ТП и банкоматов стали визитной карточкой PHDays. Однако мы не собираемся останавливаться на достигнутом и сегодня представляем вашему вниманию три совершенно новых хакерских конкурса, принять участие в которых сможет любой участник мероприятия. MitM Mobile Проблемы безопасности мобильной связи уже давно ни для кого не являются секретом. На общем фоне особенно выделяется стандарт GSM, который уже научились взламывать не только спецслужбы разных стран, но и инженеры-одиночки, у которых нет больших бюджетов или доступа к сложному оборудованию. Даже использование более защищенных стандартов 3G и 4G кардинально не влияет на ситуацию, поскольку полный отказ от GSM будет невозможен еще долгое время. Это, к примеру, открывает простор для проведения downgrade-атак с использованием evil twin базовых станций для принудительного переключения абонентов в «дырявый» GSM. Перехват SMS, USSD, телефонных разговоров, работа с IMSI-catcher, взлом ключей шифрование с помощью kraken и клонирование мобильных телефонов. Все это посетители PHDays смогут увидеть на специальном стенде. Подробности атак будут раскрыты в ходе мастер-класса, и любой желающий сможет попытаться проникнуть в сеть нашего небольшого оператора связи, специально созданную для конкурса. Самые расторопные участники получат ценные призы. Призы: 1-е место — SIM Tracer, набор osmocom-bb, сувениры от организаторов 2-е место: набор osmocom-bb, сувениры 3-е место: сувениры Digital Substation Takeover от iGrids У посетителей форума будет возможность увидеть и даже попробовать взломать настоящую электрическую подстанцию, построенную по стандарту IEC 61850. Реальные коммутаторы, серверы времени, контроллеры и устройства релейной защиты, представленные на специально созданном макете, управляют современными высоковольтными сетями и защищают их от аварийных и внештатных ситуаций, например от коротких замыканий или повреждения на линии электропередач. Взлом программно-технического комплекса управления (SCADA) или интеллектуальных устройств защиты (IED) может привести к отключению потребителей от электричества или целенаправленному уничтожению силового оборудования и дорогостоящей аппаратуры.
Вперед к победе: опубликована конкурсная программа PHDays V
26 и 27 мая в ЦМТ состоится пятый по счету форум Positive Hack Days. Подготовка к мероприятию идет полным ходом: формируется программа докладов и мастер-классов (проголосовать за то или иное выступление можно на сайте), к инициативе PHDays Everywhere присоединились первые площадки из разных стран, но это еще не все. Традиционно на форуме проходил много конкурсов. Сегодня мы расскажем о том, в каких соревнованиях смогут принять участие гости PHDays и интернет-пользователи, а также о том, какие призы ждут победителей. Соревнования на площадке Внимание! Для участия в большинстве конкурсов нужно принести с собой ноутбук. Leave ATM Alone Физические атаки на банкоматы постепенно уступают место интеллектуальным атакам на программное обеспечение. На этом конкурсе любой желающий сможет попробовать свои силы в поиске уязвимостей в банкоматах.
Определены финалисты конкурса Young School
Четвертый год подряд в рамках подготовки к Positive Hack Days проводится конкурс для молодых ученых Young School. Цель соревнования — поддержка талантливых специалистов в области ИБ. Финалисты Young School получают возможность представить результаты своих работ перед международной аудиторией форума. В конкурсе обычно участвуют исследования по широкому спектру тем, от безопасности бизнес-систем и приложений до прикладной криптографии. В этом году формат был расширен: допущены не только классические тезисы, но и результаты практических экспериментов (подробно об условиях мы написали в анонсе). Финалисты Прием заявок продолжался нескольких месяцев, а на этой неделе были определены лучшие работы. В финал вышли: Константин Борисенко (СПбГЭТУ «ЛЭТИ») — «Система имитационного моделирования для разработки и тестирования методов защиты от DDoS-атак с возможностью подключения реальных узлов»; Олег Брославский (Томский государственный университет) — «Исследование скрытых каналов по времени на основе заголовков кэширования протокола HTTP» ; Истван Кисс (Технический университет г. Клуж-Напока, Румыния) — «Взлом электросети: от отдельной подстанции к блэкауту»; Алина Трепачева (Южный федеральный университет) — «Взлом полностью гомоморфной криптосистемы на основе факторизации»; Андрей Федорченко (СПИИРАН) — «Разработка сервиса доступа и управления интегрированной базой уязвимостей»; Ярослав Шмелев (МИЭТ), «Компьютерная контркриминалистика в *NIX-системах». Победителем соревнования станет кто-то из этих молодых ученых. Вне конкурса приглашены студент Технического университета Гамбурга Александр Винницкий с работой «Безопасность АСУ ТП: экспериментальный анализ завода по производству мономера винилацетата» и аспирант факультета компьютерных наук Калифорнийского университета в Санта-Барбаре Ян Шошитайшвили с исследованием «Firmalice: автоматическое обнаружение уязвимостей обхода аутентификации в бинарных прошивках». Финалисты представят свои работы на форуме Positive Hack Days V, который состоится в Центре международной торговли в Москве 26 и 27 мая. По результатам выступлений будут определены призеры соревнования. Все исследователи, прошедшие в финал, получат возмещение расходов на дорогу и проживание. Каждый финалист получит два дополнительных билета на форум, которыми сможет поделиться со своими коллегами. Победитель конкурса, помимо других призов, получит сертификат на прохождение онлайн-курса Offensive Security авторов Metasploit Framework (offensive-security.com/information-security-training). Кроем того, все финалисты получат возможность опубликовать статью на основе проведенного исследования в журнале, одобренном ВАК. Статьи финалистов конкурсов предыдущих лет были опубликованы в журнале БИТ — в № 1 за 2013 год и № 3 за 2014 год. Информация о финалистах Young School прошлых лет предоставлена на сайте PHDays (2012, 2013 и 2014 годы). Жюри конкурса В этом году в состав программного комитета вошли: Денис Гамаюнов (ВМК МГУ), Алексей Качалин (Advanced Monitoring), Петр Волков («Яндекс»), Игорь Котенко (СПИИРАН), Никита Абдуллин (OpenWay), Иван Чижов (ВМК МГУ), Павел Ласков (Huawei European Research Center), Екатерина Рудина («Лаборатория Касперского»), Евгений Тумоян (ЮР РУНЦ ИБ ЮФУ), Александр Колыбельников (МФТИ). Форум Positive Hack Days V состоится 26 и 27 мая в Москве. Регистрируйтесь и приходите, чтобы своими глазами увидеть будущее прикладной науки в области ИБ!
Новое в программе PHDays: защита суперкомпьютеров, безопасность iOS-приложений и продажа эксплойтов
Новое в программе PHDays: защита суперкомпьютеров, безопасность iOS-приложений и продажа эксплойтов Не так давно прошла первая волна Call For Papers форума по информационной безопасности PHDays V. Представляем вашему вниманию новую порцию выступлений, которые прозвучат 26—27 мая в Москве (на Хабрахабре можно почитать первый и второй анонсы). Докладчики расскажут, как повысить безопасность iOS-приложения, чем суперкомпьютер привлекает хакеров и как его защитить, а также поведают о взаимоотношениях продавцов и покупателей эксплойтов уязвимостей нулевого дня. Автоматизация отладки Александр Тарасенко расскажет об автоматизации отладки с помощью инструмента WinDbg. Слушатели получат практические навыки написания скриптов с помощью встроенного движка WinDbg, а также использования Python и расширения Pykd. Доклад может быть интересен исследователям кода и разработчикам софта, требующего применения нестандартных отладочных средств. Безопасность iOS-приложений Член OWASP и ИБ-специалист авиакомпании Emirates Пратик Гианчандани (Prateek Gianchandani) проведет мастер-класс по созданию эксплойтов для iOS-приложений. Во время демонстрации докладчик будет использовать специально разработанное им приложение, содержащее типовые уязвимости. Слушатели узнают о том, как повысить уровень безопасности iOS-приложения еще на этапе его разработки. По завершении вводной части все желающие смогут попробовать свои силы в тестировании приложений. На страже суперкомпьютеров Сотрудники немецкой ИБ-компании ERNW Феликс Вильхельм (Felix Wilhelm) и Флориан Грунов (Florian Grunow) расскажут о файловой системе IBM General Parallel File System, которая используется в некоторых известных суперкомпьютерах (например, Watson от IBM), ее архитектуре и уязвимостях. Популярность системы делает ее целью киберпреступников, которые интересуются не только хранимыми данными, но и возможностью получения доступа к вычислительным ресурсам мощнейших компьютеров. Докладчики продемонстрируют эксплуатацию двух реальных ошибок безопасности IBM GPFS. Продажа эксплойтов Основатель проекта BeeWise и главный консультант компании secYOUre Альфонсо Де Грегорио (Alfonso De Gregorio) расскажет о нравах, царящих на рынке эксплойтов уязвимостей нулевого дня: будут описаны сложившиеся на популярных площадках отношения между продавцами и покупателями таких инструментов. Взлом хешей на пятой скорости Алексей Черепанов, который принимал участие в разработке известной утилиты для взлома паролей John the Ripper и поддерживает GUI-интерфейс для нее, на PHDays V расскажет об увеличении скорости взлома хешей с помощью методов генерации кода. Быстро и полезно Помимо стандартных докладов, в программе PHDays V запланирован обширный FastTrack, состоящий из насыщенных и динамичных пятнадцатиминутных выступлений. Посетители форума узнают о том, как атаки на GSM-сети с подменой базовой станции позволяют прослушать любой GSM-телефон — об этом расскажет сотрудник инжинирингового центра НИЯУ МИФИ Сергей Харьков. Кроме того, криптограф и специалист по безопасности компании Kudelski Security Сильвен Пелисье (Sylvain Pelissier) на примере файловой системы для GNU/Linux eCryptfs покажет, что в некоторых случаях шифрование файлов помогает при взломе паролей. Из рассказа Дениса Горчакова слушатели узнают о том, как противодействовать платежному фроду в сети оператора связи. Речь пойдет о программно-аппаратном комплексе для анализа вирусов под ОС Android, выявлении центров управления (online & SMS) бот-сетями из зараженных устройств, коллекторов данных и счетов-аккумуляторов средств. С 16 февраля стартовала вторая волна Call For Papers. Прием работ продлится до 31 марта, так что у вас еще есть шанс стать докладчиком грядущего PHDays. Также мы приглашаем вас поучаствовать в CFP друзей нашего форума — конференции HITB. Ждем вас на Positive Hack Days V!
Неизбитая формула: хакеры и художники встретятся на PHDays V
Неизбитая формула: хакеры и художники встретятся на PHDays V Грань между физиками и лириками стирается, когда речь идет о первооткрывателях. Термин hack означает оригинальный ход в программировании, а источником вдохновения художников часто служат стереотипы массовой культуры. Мы решили объединить эти два «океана», как называл культурный и хакерский миры ключевой спикер конгресса 31C3 Alec Empire, — на площадке международного форума по практической безопасности Positive Hack Days V и провести художественную выставку во время форума, а значит, нам требуется ваше участие. Знаменитый эссеист Пол Грэм писал, что из множества различных типов людей хакеры и художники — едва ли не самые похожие. Искусство давно с интересом поглядывает в сторону великих искателей приключений нашего времени, как называли хакеров организаторы выставки в Мадриде, — да и просто в сторону программистов. К примеру, экс-главред «Афиши—Мир» Даниил Дугаев уверен, что в нашем веке каждый приличный человек должен уметь программировать, и рекомендовал изучение языка JavaScript как способ борьбы с кашей в голове. Итак, мы объявляем о крупном арт-событии и приглашаем художников из самых разных стран, работающих во всех основных жанрах, выставить свои работы на юбилейном пятом форуме PHDays. У вас будет возможность: Показать свои работы аудитории в 3000 человек и 10 000 онлайн-зрителей. Заявить о себе на международной площадке перед ведущими IT-экспертами из десятков стран. Пригласить на вечернюю программу мероприятия своих гостей. Выступить с докладом в секции «Способы алгоритмизации творчества». Получить фотоотчет и видеоролик, которые вы сможете приложить к своему портфолио. Открыть для себя новый формат демонстрации своего творчества. Принять участие в лучшем, по мнению российских и британских экспертов, ИБ-мероприятии в России. Найти для своего проекта партнеров и друзей, а возможно, и спонсоров. Среди участников форума — первые лица, CIO и CISO крупнейших российских и зарубежных компаний, ведущие специалисты крупнейших банков, нефте- и газодобывающих, телекоммуникационных, промышленных и IT-компаний, студенты профильных вузов и молодые ученые. В работе форума традиционно принимают участие представители Госдумы, Совета Федерации, Минкомсвязи и других государственных ведомств. Свои предложения и вопросы вы можете направлять нам по адресу PHD@ptsecurity.com. Заявки принимаются до 3 апреля 2015 года.
Осталось две недели, чтобы принять участие в конкурсе молодых ученых в области ИБ
Осталось две недели, чтобы принять участие в конкурсе молодых ученых в области ИБ Конкурс PHDays Young School был придуман три года назад, чтобы помочь начинающим исследователям проявить себя, продемонстрировать свои работы и поделиться неожиданными идеями. В этом году мы продлили прием заявок до 1 марта, а значит, у каждого наблюдательного разработчика, читающего эти строки, будь он школьник или студент, есть шанс в конце весны рассказать о своих открытиях с трибуны перед тысячами лучших хакеров и специалистов по безопасности. Работы участников PHDays Young School рассмотрит авторитетное жюри в составе представителей ведущих технологических компаний и профильных вузов. Среди них: Денис Гамаюнов (ВМК МГУ), Алексей Качалин (Advanced Monitoring), Петр Волков («Яндекс»), Игорь Котенко (СПИИРАН), Никита Абдуллин (OpenWay), Иван Чижов ВМК МГУ кафедра ИБ, Павел Ласков (Huawei European Research Center), Екатерина Рудина («Лаборатория Касперского»), Евгений Тумоян (ЮР РУНЦ ИБ ЮФУ), Александр Колыбельников (МФТИ). Организаторов интеллектуального состязания интересуют не регалии и не возраст участников, а новые подходы к самым разным вопросам информационной безопасности. Взять, к примеру, 13-летнего Аймана Кампури из Абу-Даби, который взломал зашифрованные сообщения британской разведки, или австралийского подростка под ником @zzap, сумевшего на несколько часов парализовать работоспособность твиттера. А что можете вы? Обнаружили новый способ атаки или защиты — присылайте свой рисерч и становитесь знаменитыми, не нарушая закон. Помимо соревновательных аспектов, участие в конкурсе — хорошая возможность увидеть столицу России. Финалисты получат приглашения на Positive Hack Days и всестороннюю поддержку со стороны организаторов. За время проведения PHDays Young School было обработано более 50 заявок из дюжины городов России и СНГ. При этом исследования участников уже находят применение в реальной жизни. Например, в 2013 году наиболее интересной и перспективной была признана работа «Система двухфакторной аутентификации на основе QR-кодов» Андрея Исхакова из Томского университета систем управления и радиоэлектроники. Впоследствии здания особой экономической зоны Томска были оснащены системой безопасности, созданной Андреем: электронные пропуска сменила специальная программа идентификации для мобильных телефонов сотрудников. Необходимо отметить, что первый день весны имеет непосредственное отношение к программированию. 1 марта родился Сеймур Пейперт — математик, специалист по искусственному интеллекту и выдающийся популяризатор программирования. Сеймур всегда был уверен: дело не в способностях человека, а в организации процесса обучения, он разработал концепцию школы будущего, основанную на естественном любопытстве, и придумал систему, позволяющую практически любому человеку освоить программирование в процессе игры. Так что если вы не умеете программировать — самое время начинать учиться! Тезисы исследований просьба высылать на адрес youngschool@phdays.com с указанием в теле письма имени и фамилии заявителя, имен его соавторов, мест их работы или учебы. Все подробности о конкурсе читайте на странице phdays.ru/program/ys.
Positive Hack Days проводит конкурс киберпанковских рассказов «Взломанное будущее»
Positive Hack Days проводит конкурс киберпанковских рассказов «Взломанное будущее» В 2014 году в рамках международного форума по информационной безопасности Positive Hack Days IV прошло необычное мероприятие: создатели культовой радиопередачи «Модель для сборки» читали киберпанковские рассказы Брюса Стерлинга и Мерси Шелли в специальном аудио-музыкальном сопровождении. Организаторы PHDays V решили развить этот проект, предоставив молодым российским фантастам возможность попасть со своими рассказами на следующую «Ночь пожирателей киберпанка», где соберутся главные ценители и герои жанра - хакеры и специалисты по безопасности, IT-бизнесмены и исследователи, представители государства и борцы за цифровую свободу. Для этого мы объявляем конкурс фантастических рассказов «Взломанное будущее», который посвящен непростой жизни человека в стремительно надвигающемся на нас мире глобальных коммуникаций и цифровых суррогатов, тотального надзора и невидимой кибер-войны, искусственного интеллекта и новых человеческих способностей. Победители конкурса будут награждены на конференции PHDays V, а их рассказы будут прочитаны «Моделью для сборки». Кроме того, возможно издание рассказов победителей отдельным сборником либо в составе других сборников издательства «Снежный Ком», которое специализируется на качественной российской фантастике. Условия участия: Любой автор может прислать на конкурс «Взломанное будущее» один фантастический рассказ объемом не более 30 тыс. знаков. Принимаются только рассказы, ранее не публиковавшиеся на бумаге (сетевая публикация разрешается). Жанр и тематика рассказов могут быть шире классического киберпанка, однако информационные технологии должны быть ключевым элементом в сюжете. Рассказы присылайте в формате .doc (MS Word) по адресу cyberpunk@ptsecurity.com Срок подачи заявок - с 15 декабря 2014 года до 15 апреля 2015 года. Награждение победителей и чтение их рассказов: Positive Hack Days V, 26-27 мая, Москва, Центр международной торговли (победители получат приглашение на мероприятие заранее): http://www.phdays.ru/ А судьи кто: В жюри конкурса, помимо организаторов форума PHDays, приглашены известные писатели и издатели, которым не чужда настоящая научная фантастика. Среди них: Глеб Гусаков, писатель-фантаст, руководитель издательства «Снежный Ком», Алексей Андреев a.k.a. Мерси Шелли, IT-журналист и писатель-киберпанк, Владислав Копп, актер, бессменный ведущий передачи «Модель для сборки», Сергей Чекмаев, писатель-фантаст, редактор проекта «Модель для сборки». Это лишь часть нашего уважаемого жюри, полный список будет опубликован позже. А пока мы ждём вашего киберпанка - такого, какой ещё не снился Уиллу Гибсону и Нилу Стивенсону!
PHDays Young School — конкурс молодых ученых в области информационной безопасности
Мы рады анонсировать очередной, уже четвертый по счету, конкурс среди работ молодых ученых — Young School 2015. Говорят, что научная и академическая среда очень консервативна и зачастую не отвечает вызовам времени. Young School же отвечает дерзко — мы решили расширить список возможных вариантов участия в конкурсе, а также предложить победителям «призы, о которых можно только мечтать». Итак, что же сохранилось с прошлых раз? Как обычно, мы ожидаем видеть результаты исследований в области практической безопасности. Вот наши любимые направления: безопасность ERP-систем и бизнес-приложений, защита организации и ее активов в эпоху BYOD, новые типы уязвимостей или новые способы эксплуатации уязвимостей известных типов, поиск и обход уязвимостей в современных single page application, противодействие атакам на веб-приложения, практические угрозы в виртуальных корпоративных средах и облаках, прикладная криптография (OTR) и атаки на нее, защита АСУ ТП (SCADA), безопасность промышленных систем и современного города, безопасность RFID-решений, от банков до городских туалетов, анонимность в интернете и методы деанонимизации. Как обычно, нужно продемонстрировать практическую ценность работы, обосновать новизну и актуальность полученных результатов; в работе должна быть описана и обоснована методика научного исследования. Как и в прошлые годы, конкурс будет проходить в два этапа: на первом этапе поданные работы пройдут перекрестное слепое рецензирование в нашем программном комитете, в результате которого определятся участники второго этапа. Финалисты будут приглашены на форум Positive Hack Days, который состоится в Москве 26 и 27 мая, — и там представят свои работы. По результатам выступления будут определены призеры конкурса. Все финалисты конкурса получат возмещение расходов на дорогу и проживание. У всех у них будет также возможность опубликовать в журнале, одобренном ВАК, статью на основе представленной работы. Что нового Во-первых, формат представления работ расширился. Теперь на конкурс можно подать не только классические тезисы, но и результаты практических экспериментов. Во-вторых, в качестве вознаграждения победитель получит (помимо прочих призов) сертификат на прохождение онлайн-курса Offensive Security, авторов Metasploit Framework (offensive-security.com/information-security-training). Кроме того, каждый финалист конкурса получит два дополнительных билета на форум, которыми сможет поделиться со своими коллегами. В-третьих, представить свою работу можно как на русском, так и на английском языке. Подаваемая работа может быть представлена на других конференциях, но не более чем за полгода до PHDays. Требования к заявке Подаваемые на конкурс работы должны быть обезличены: в тексте не должно быть имен или адресов электронной почты авторов, явные ссылок на другие их исследования. Работы должны быть оформлены в формате ACM/IEEE US Letter (оформленные не по правилам будут отклоняться автоматически). Для работ, подаваемых в форме тезисов статьи: тезисы должны представлять законченное исследование с практической направленностью; в тексте обязательно должна быть обоснована применимость предлагаемого метода или инструмента. Для работ, подаваемых в виде результатов практического эксперимента: в тексте должны быть явно обозначена цель эксперимента, обоснована методика; в работе должны быть детально представлены результаты эксперимента и их интерпретация, должны быть сделаны выводы; Важным критерием качества экспериментальных работ является полнота данных для воспроизведения эксперимента. Область исследований можно очертить, к примеру, так: «Подверженность мобильных приложений топ-100 российских банков атаке Man in the Middle» или «Поддержка заголовков безопасности (HSTS, CSP, X-XSS-Protection, X-Frame-Options) на популярных сайтах Рунета». Важные даты Подача тезисов — до 23:59 (GMT) 15 февраля 2015 г. Уведомление о принятии — до 15 апреля 2015 г. Финальные тезисы и презентация — до 23:59 (GMT) 15 мая 2015 г. Доклад на форуме: 26 или 27 мая 2015 г. Все вопросы о конкурсе направляйте по адресу: youngschool@phdays.com.
Видео докладов и презентации PHDays IV доступны для загрузки
Современный горожанин уйму времени проводит в общественном транспорте. Почему бы не использовать эти томительные минуты для самообразования? С сегодняшнего дня видеозаписи большинства докладов и мастер-классов PHDays IV можно скачать с сайта Vimeo, загрузить на смартфон и посмотреть, например, в метро.