Новости

16.07.2014

Опубликован разбор заданий конкурса WAF Bypass

Опубликован разбор заданий конкурса WAF Bypass В этом году на Positive Hack Days проходил конкурс WAF Bypass, участники которого могли попробовать свои силы в обходе PT Application Firewall. Для нас проведение такого конкурса было отличным шансом проверить новый продукт в бою, ведь на конференции собрались лучшие специалисты в области информационной безопасности. Каждое из конкурсных заданий представляло собой сценарий с типовой уязвимостью, с помощью которой нужно было добыть флаг. Все задания имели решения, но не всегда очевидные. Участникам был доступен отчет о сканировании исходных кодов заданий с помощью другого продукта нашей компании — Application Inspector. Первыми стали представители команды из МГУ — Георгий Носеевич, Андрей Петухов и Александр Раздобаров, которые решили все задания! Второе место досталось Ивану Новикову (d0znpp), а третье — докладчику из Бельгии, Тому Ван Гутему. Победители получили ценные призы: Apple iPad Air, Sony Xperia Z2 и годовую лицензию на Burp Suite Pro соответственно. О заданиях, способах обхода WAF и полученном опыте читайте в нашем блоге на Хабре.

09.07.2014

Итоги конкурса Hash Runner

Итоги конкурса Hash Runner В нашем блоге опубликован разбор заданий конкурса Hash Runner, который проводился перед форумом Positive Hack Days IV. В течение трех дней участники соревновались в знании криптографических алгоритмов и умении взламывать хэш-функции. За трехлетнюю историю конкурса победителями становились команды hashcat (выступавшие под названием teardrop в 2012 году), john-users (в 2013-м) и InsidePro (в 2014-м). Бóльшую часть расшифрованных паролей участники всегда загружали в последние 15 минут соревнования, поэтому только в самом конце становилось ясно, кто же победит. Два года команда InsidePro довольствовалась вторым местом: в 2012 году их обошли hashcat, а в 2013-м — john-users. В этом году ребята из InsidePro наконец-то стали первыми! Итак, поздравляем победителей! 1. InsidePro с результатом 22,81% (write-up: www.phdays.ru/download/Write-up.pdf) выиграли две видеокарты AMD Radeon R290X. 2. hashcat с результатом 21,23% (write-up: hashcat.net/forum/thread-3397.html) выиграли одну AMD Radeon R290X. 3. john-users с результатом 12,78% (write-up: openwall.com/lists/john-users/2014/05/29/2) взяли бронзу. Всем призерам были вручены сувениры на память о форуме.

29.05.2014

Итоги форума Positive Hack Days IV: есть двери, открывать которые надо осторожно

Итоги форума Positive Hack Days IV: есть двери, открывать которые надо осторожно Высказывание Фридриха Ницше про «бездну, которая всматривается в тебя» стало девизом форума по практической безопасности PHDays IV. На ежегодной международной конференции демонстрировались киберугрозы, к которым цивилизация пока не совсем готова: атаки на энергетические и транспортные системы города, превращение «умного дома» в ловушку, опустошение хакерами виртуального банка, — и обсуждались различные способы выживания в современных цифровых джунглях. Рецепт, по которому делается PHDays, не меняется уже четвертый год: минимум рекламы и максимум полезной информации, голливудский размах конкурсов, неформальное общение «пиджаков» и «футболок», до предела насыщенные выступления в несколько потоков, не всегда удобные вопросы на круглых столах, атмосфера исследовательской лаборатории на практических занятиях Hands-on Labs. 21 и 22 мая форум посетили более 2500 человек из 18 стран мира: лидеры и специалисты подразделений информационной безопасности из 700 компаний (финансовых, телекоммуникационных, промышленных), молодые ученые и предприниматели, представители государственной власти и интернет-индустрии. В числе спикеров и участников дискуссий на PHDays IV были представители МИДа, Центробанка, ФСБ, Совета Федерации, а также политтехнологи, российские и зарубежные ИБ-эксперты. В выступлениях и соревнованиях участвовали 15 тысяч посетителей 19 площадок PHDays Everywhere в шести странах. «Это самое сильное событие в области информационной безопасности в России. Организаторы обеспечивают присутствие лучших экспертов, как из России, так и из-за рубежа. Всегда насыщенная событиями программа, интересные доклады, а главное — очень много молодых людей, которые именно на таком мероприятии, как PHDays, ясно видят преимущества применения своих талантов "на светлой стороне"», — отметил Сергей Химаныч, глава внедрения проектов по информационной безопасности «Мегафона». Сценарии для фильма-катастрофы Может ли один-единственный злоумышленник парализовать целый город? Ответ на этот вопрос искали участники конкурса Critical Infrastructure Attack, которым предстояло проверить на прочность системы АСУ ТП (SCADA), управляющие ТЭЦ, транспортом, городским освещением, кранами и промышленными роботами-манипуляторами. Нужно было найти уязвимости и продемонстрировать их использование на живом макете «умного города». Организаторы форума предоставили участникам настоящую промышленную сеть, полностью готовую к работе. Несмотря на игрушечный вид макета, на всем представленном аппаратном обеспечении были установлены реальные, самые последние версии программных продуктов. Лучше всех оказалась Алиса Шевченко. Российская Лисбет Саландер обнаружила ряд критических уязвимостей в достаточно распространенной системе промышленной автоматизации, применяемой крупнейшими компаниями мира. В реальной городской среде эксплуатация большинства этих ошибок может привести к самым губительным последствиям — отказу в обслуживании и нарушению функционирования систем управления жизненно важными объектами. Места со второго по четвертое заняли Никита Максимов, Павел Марков и Дмитрий Казаков. Уильям Хейджстад (William Hagestad II), эксперт в области военных информационных атак: «Positive Hack Days — уникальное мероприятие, которое дает возможность увидеть, как создается безопасность, и кто есть кто в этой области. Форум сильно выделяется на общем фоне благодаря реалистичным соревнованиям, таким как CTF, конкурс Critical Infrastructure Attack по взлому SCADA-систем и преодоление полосы препятствий в "умном доме"». Вещи нового поколения Вышедшие из-под контроля автомобили, входные двери, пылесосы и телевизоры только на первый взгляд кажутся фантазиями из книг Стивена Кинга. Через некоторое время практически любой обыватель может быть атакован в своем собственном доме, который может «сойти с ума» под влиянием злоумышленника. По прогнозу аналитической компании Gartner, к 2020 году количество бытовых устройств с интернетом превысит 26 млрд штук, а объем рынка достигнет 300 млрд долларов. Копия реальной квартиры, созданная организаторами PHDays и оборудованная различными электронными приборами и системой «умного дома», оказалась настоящим испытанием для тех, кто в ней оказывался (конкурс «Безумный дом»). Истории успешно выбравшихся из этой ловушки участников будут опубликованы в самое ближайшее время. Количество клиентов интернет-банкинга в Европе и США превысило 120 млн человек, и защищенность таких систем постоянно растет. Но на PHDays как всегда всё сломали! В ходе конкурса «Большой ку$h» хакеры смогли вывести из виртуального банка практически все заложенные в него деньги (17 из 20 тыс. рублей), обнаружив несколько серьезных новых уязвимостей в ПО. В конце второго дня форума состоялся также мастер-класс по анализу защищенности банкомата и конкурс по его взлому — но на этот раз, в отличие от прошлого года, устройство никому взломать не удалось. Армия будущего Десять лет назад говорили, что в глобальной войне, которая будет вестись с помощью роботов, победят игроки в Counter-Strike. Но уже сейчас понятно, что войну выиграют хакеры, которые просто выключат эту тяжелую артиллерию. Масштабное соревнование хакерских команд, организованное по принципу Capture the Flag, стало одним из самых ярких событий форума. Несмотря на молодой возраст мероприятия, участвовать в нем престижно: победители PHDays CTF без конкурса проходят в финал многих других CTF-соревнований по всему миру. От других подобных сражений PHDays CTF отличают нестандартный игровой сценарий (герои бросают вызов мировому заговору), реальные уязвимости, взятые из настоящих систем, и крутая визуализация. Интересно было не только участвовать, но и наблюдать за виртуальной битвой. В отборочных соревнованиях приняли участие несколько сотен команд, а в финал вышли 10 коллективов из России, Испании, Польши, США и Южной Кореи. В течение двух дней форума они сражались за доступ к секретной информации, искали уязвимости в системах противников и защищали собственные сети, устраняя в них уязвимости. Сильнейшими в CTF этого года стали хакеры из польского Dragon Sector, второе место заняла группа Int3pids из Испании, а российская команда из МИФИ BalalaikaCr3w взяла третье. Киберпрогноз На деловых секциях самым популярным было слово «форсайт» — так назвали методы прогнозирования угроз и создания предупредительных методов защиты. Игра на опережение — не роскошь, а острая необходимость: об этом говорили на главной секции первого дня «Безопасность критической инфраструктуры». Обсуждали, в частности, что делается для кибербезопасности важных объектов в энергетике, банковском секторе, на транспорте, в телекоммуникациях; пытались систематизировать киберугрозы и оценить степень готовности к инцидентам. И вопросы эти поднимаются весьма своевременно: в прошлом году на каждое крупное предприятие приходилось уже по 100 инцидентов ИБ различного типа. Такие данные были получены Positive Technologies в ходе исследования состояния защищенности системообразующих предприятий, входящих в российский список топ-100. Основные причины сложившийся ситуации лежат на поверхности: это неустраненные уязвимости систем и приложений (возраст некоторых ошибок более 7 лет). О необходимости активного прогнозирования угроз не раз упоминали в дискуссии о законах, регулирующих интернет, где основным лейтмотивом была еще одна фраза Ницше: «Сражающемуся с чудовищами следует позаботиться о том, чтобы самому не превратиться в чудовище». Из Сколково позвонят PHDays IV — это не только трибуна для опытных профессионалов, но и шанс для увлеченных и талантливых молодых ребят найти себя в «белом» ИБ-сообществе, представить свое исследование, запустить собственный проект. На форуме ежегодно проходит PHDays Young School — конкурс исследовательских работ студентов, аспирантов и молодых ученых, организуемый в рамках инициативы Positive Education. В этом году участвовали 22 работы, причем впервые не только из России, но и из других стран. Финалисты выступали в формате Fast Track, и первое место заняли Мария Коростелева и Денис Гамаюнов с работой «Обеспечение криптографически защищенных групповых коммуникаций с функцией отказуемости». Второе место досталось Елене Дойниковой, а третье поделили Денис Колегов и Николай Ткаченко. Все подробности вскоре на сайте PHDays. О судьбе отечественных стартапов говорили участники дискуссии «Перспективы инвестиций в области ИБ», которая была организована Positive Technologies совместно с кластером информационных технологий фонда «Сколково». На встрече обсуждались флагманские направления в области ИБ для банков, производства и государственных структур, а также продемонстрировали механизм организации стартап-мероприятий. Фонд «Сколково» объявил о запуске 2 июня 2014 года конкурса ИБ-проектов (isecurity.sk.ru), который продлится до ноября. Фонд предоставит победителю грантовое финансирование и менторскую поддержку ведущих профессионалов отрасли. Куда идет ИБ На секции «Рынок ИБ: новинки, вопросы, ответы» ведущие игроки представили свои продукты, которые, возможно, определят судьбу отрасли в ближайшие годы. В марафоне новинок приняли участие Cisco, Intel Security, RSA, Positive Technologies, «Лаборатория Касперского». По мнению выступавших, в настоящее время есть три-четыре основных направления, интерес к которым постоянно растет. К примеру, среднему и малому бизнесу требуются готовые инструменты ИБ, способные учитывать их специфику; крупному — продукты, позволяющие транслировать информацию об угрозах ИБ в терминах, понятных акционерам и риск-менеджерам. Не менее актуальное направление — проактивная защита приложений (и веб, и обыкновенных), которыми пользуются сотни миллионов людей во всем мире. Прежними методами обеспечить их безопасность уже невозможно, а количество их и важность только растет. Евгения Поцелуевская, руководитель аналитической группы компании Positive Technologies, представила экосистему управления безопасностью приложений, рассказав о новой парадигме защиты, реализованной в новых продуктах PT Application Inspector и PT Application Firewall, а также об их уникальных функциях. Заметим, кстати, что система PT Application Firewall компании Positive Technologies, несмотря на свой «юный» возраст (запуск продукта состоялся в середине 2013 года), уже вошла в список надежных WAF, составленный исследовательской компанией Gartner, и была внедрена в компании «Мегафон». Десять самых цитируемых докладов Через несколько дней после завершения Positive Hack Days IV был составлен рейтинг наиболее цитируемых в соцсетях докладов и секций форума. Наибольший интерес у аудитории вызвала тема конкурентной разведки — в тройку лидеров вошли доклады Игоря Ашманова, Андрея Масаловича, а также Дмитрия Курбатова и Сергея Пузанкова. С полным списком наиболее обсуждаемых докладов PHDays IV можно ознакомиться на Хабре, а записи всех выступлений представлены на сайте мероприятия. Литературно-музыкальная пауза «Ночь киберпанка» на PHDays тоже по-своему боролась с дырами, увлекательно заполняя временной вакуум между первым и вторым днем вдохновляющими историями о людях, которые создают и ломают цифровые миры. В первой части зрители встретились с проектом «Модель для сборки», известным технической интеллигенции своим замечательным чтением фантастических произведений на радио: читались рассказы Мерси Шелли и Брюса Стерлинга. После литературных чтений открылся ночной кинозал — герои виртуального фронта визуализировались на экране. Кто помогал делать форум Партнерами мероприятия выступили крупнейшие технологические компании, в их числе Cisco, EMC, Intel Security, «Лаборатория Касперского», «ICL-КПО ВС», Mail.Ru. Информационную поддержку форуму оказали 27 ведущих деловых и отраслевых СМИ, а ключевыми медиапартнерами выступили общенациональный деловой журнал «Эксперт», деловой портал BFM.RU, журнал «Хакер», интернет-порталы SecurityLab.ru, Anti-Malware.ru, информационное агентство Bankir.Ru. О форуме Positive Hack Days Positive Hack Days — международный форум по практической безопасности, организованный компанией Positive Technologies. Беспрецедентный по масштабу ИБ-марафон, объединяющий на одной площадке специалистов с разных сторон баррикад, теорию и практику, профессиональную дискуссию и захватывающие соревнования по защите информации.

22.05.2014

Итоги первого дня PHDays IV: от критически важных объектов до клипового мышления

Итоги первого дня PHDays IV: от критически важных объектов до клипового мышления 21 мая в Москве стартовал международный форум по практической безопасности Positive Hack Days IV, для участия в котором со всего мира прибыли более 2000 экспертов в области информационной безопасности, хакеры, ученые, писатели, государственные деятели и представители интернет-сообщества. Множество докладов и мастер-классов, дискуссий и конкурсов дали возможность познакомиться с реальной практической безопасностью и обсудить будущее всей отрасли, а также центральную тему форума – защищенность критической инфраструктуры. Как защитить заводы и пароходы Инфраструктурные предприятия стремительно попадают в зависимость от интернет-систем, и это дает экспертам повод предполагать различные сценарии Армагеддона, начиная с разрушения систем водоснабжения, энергетики, транспорта и заканчивая остановкой торговых операций, продовольственным кризисом или потерей контроля над медицинским оборудованием. Участники секции «Безопасность критической инфраструктуры» попытались систематизировать киберугрозы для ключевых предприятий и организаций, чтобы определить степень их готовности к подобным нештатным ситуациям. В ходе дискуссии с участием представителей ФСБ обсуждалась и защита крупных международных событий, в частности прошедшей Олимпиады. Булат Гузаиров, руководитель отдела серверных технологий компании «ICL-КПО ВС», рассказал о создании на Универсиаде консолидированного центра защиты от угроз, в который вошли эксперты Positive Technologies, «Лаборатории Касперского» и других компаний. На сессии заместитель генерального директора Positive Technologies Борис Симис представил результаты опроса 63 директоров крупнейших компаний из российского списка топ-100 и представителей государственных организаций. Согласно полученным данным, с хакерскими атаками и заражением вредоносным ПО сталкивались все без исключения организации – участники опроса, причем свыше половины подобных инцидентов привели к существенным неприятностям – нарушению операционной деятельности, финансовым потерям, репутационным издержкам. Несмотря на то что опрашивались компании с отлаженными процессами ИБ, в каждой седьмой компании инцидент обнаруживали только тогда, когда атакующий уже проник во внутреннюю сеть. В дискуссии принимали участие представители всех ключевых отраслей – Андрей Курило, заместитель начальника ГУБЗИ Центробанка; Гаральд Бандурин, директор по информационным технологиям «РусГидро»; Марк Фюрре (Marc Furrer), президент швейцарской компании ComCom; Ахмад Хассан, директор по управлению рисками и обеспечению соответствия стандартам du Telecom; Борис Макаров, руководитель центра кибербезопасности ОАО «РЖД». По мнению участников, одна из основных проблем в области информационной безопасности критической инфраструктуры состоит в отсутствии практики форсайтов (работы на опережение). Так, Гаральд Бандурин отметил, что вопросы ИБ должны отрабатываться в системах еще на этапе их проектирования, а нормативная база должна способствовать этому. Об этом говорил и Булат Гузаиров из «ICL-КПО ВС» в своем кейсе про защиту Универсиады в Казани. Главный урок, подчеркнул он, в том, что разработка системы обеспечения информационной безопасности должна начинаться параллельно с развитием бизнес-проекта по организации крупного события. Другими словами, специалистов по информационной безопасности необходимо подключать к проекту как можно раньше. Ахмад Хассан из du Telecom, представляя свой практический пример из области телекоммуникаций, рассказал, что работа, как правило, начинается с анализа информационных рисков и разработки планов реагирования. Он также отметил, что подход к информационной безопасности сегодня значительно изменился – благодаря влиянию тренда «переход в облака». В «РЖД» к проблемам ИБ подходят не менее комплексно. Как отметил Борис Макаров, среди задач, которые компания ставит перед собой на перспективу, — перевод всего цикла производства микропроцессорных систем управления на территорию России и постепенный переход на отечественную элементную базу. В ходе дискуссии эксперты отметили также высокое значение информационного обмена как между компаниями, так и между странами. Кроме того, кадровую проблему участники дискуссии оценили как «глобальную». Цитаты дня: Борис Симис: «Передать знания и опыт в нашей области совсем не так просто, как может показаться. Необходима комплексная система подготовки и удержания кадров, и желательно — на уровне специальной государственной программы». «Не нужно никакого АНБ» Аплодисментами встречали и провожали Игоря Ашманова. Специалист в области искусственного интеллекта и генеральный директор известного медиаагентства поведал о безопасности в соцсетях, а точнее о невозможности сохранить какие-либо секреты, будучи пользователем подобных сервисов. Благодаря современным системам, обрабатывающим большие данные, можно выяснить о человеке очень много фактов – от планируемой беременности и проблем с автомобилем до политических пристрастий. Персональная информация миллионов пользователей наиболее активно используется не угрюмыми разведслужбами, а гигантскими корпорациями с приятным человеческим имиджем. В частности Фейсбук, по словам Игоря, хранит и анализирует комментарии пользователей, которые были просто написаны в мессенджере, но не были опубликованы... «Пишущая и читающая аудитория Рунета почти вся мигрировала из ЖЖ в Фейсбук, – говорит Игорь Ашманов. –Теперь она привыкает к коротким текстам и репликам, короткоживущим темам и вырабатывает клиповое мышление. Время активной жизни сообщения – 4–6 часов. Это время, когда сообщение получает 98% действий, – комментариев, лайков, ретвитов и т. п. Кроме того, 90% людей в соцсетях – потребители, они не генерируют никакого контента, даже комментариев». Игорь Ашманов: «После Олимпиады и Крыма многие либералы скачали новую прошивку и обновились до патриотов #phdays» Взлом во благо Что общего между вторым по объему в мире газохранилищем в Туркмении, аэропортом в Цюрихе и Большим адронным коллайдером? Заместитель генерального директора Positive Technologies Сергей Гордейчик вместе с экспертами-энтузиастами из SCADA Strangelove рассказали о новых уязвимостях в промышленных компьютерных системах АСУ ТП (SCADA), управляющих работой множества критически важных объектов. По словам Сергея Гордейчика, компания Positive Technologies за несколько лет обнаружила более 200 уязвимостей нулевого дня в таких системах, и многие из них до сих пор не устранены. В настоящий момент к сети Интернет подключено почти 70 тысяч систем АСУ ТП, для их обнаружения в свободном доступе есть специальные инструменты, а для использования этих багов написано множество эксплойтов – но производители не очень торопятся исправлять ошибки. При этом почти пятая часть уязвимостей позволяет выполнять произвольный код в системе, а это прямая угроза не только для бизнеса, но и для физической безопасности огромного количества людей. Специалист отдела анализа защищенности Positive Technologies Артем Чайкин поделился информацией о фатальных недостатках защиты «умных» электросетей SmartGrid – новомодных систем мониторинга и оптимизации затрат на электроснабжение, стремительное внедрение которых во всем мире при текущем уровне защиты позволит в будущем отключать целый город при помощи пары строк кода. Помимо обширной конкурсной программы, старта международных хакерских соревнований PHDays IV CTF, множества увлекательных докладов, хардкорных фаст-треков, живых мастер-классов (включая изготовление ключей в исполнении неподражаемых специалистов из TOOOL), в первый день форума при участии представителей фонда Сколково состоялось заседание секции «Перспективы инвестиций в области информационной безопасности в России» с демонстрацией разработок молодых предпринимателей. В рамках круглого стола «Телекомы: от SS7 до биллинга» обсуждались проблемы информационной безопасности телекоммуникационных предприятий, а на секции «Управление безопасностью — управление рисками» (модератором которой стал Михаил Емельянников, а участниками – представители «ВТБ», «ВымпелКома», «Лукойла» и Yota) рассматривали вопрос корреляции операционных рисков с рисками ИБ. И это еще не все! Второй день форума стартовал с секции Алексея Андреева «Государство и информационная безопасность», основной вопрос которой – можно ли сохранить традиционные гражданские свободы в современном цифровом мире. Одновременно в четырех других залах рассказывали про ботнеты, эксплуатацию уязвимостей ARM, про управление доступом и криптографически защищенные групповые коммуникации. В конкурсе «Большой ку$h» 22 мая каждый желающий получит возможность вывести живые деньги с банковских счетов, а приблизившиеся к макету Critical Infrastructure Attack могут парализовать целый город: хакеры проверят на прочность безопасность ТЭЦ, систем городского освещения и транспорта, кранов и промышленных роботов-манипуляторов. В этом конкурсе используются реальные системы АСУ ТП (SCADA), применяемые на заводах и гидроэлектростанциях, для управления транспортным оборудованием, в нефтяной и газовой промышленности. Обо всем этом мы расскажем чуть позже. С расписанием выступлений PHDays IV можно ознакомиться на официальном сайте по адресу www.phdays.ru/program/schedule/, а видеотрансляция выступлений из всех залов проходит по ссылке: www.phdays.ru/broadcast/.

21.05.2014

Киберинциденты в большинстве крупных компаний приводят к серьезным последствиям

Киберинциденты в большинстве крупных компаний приводят к серьезным последствиям Абсолютное большинство российских системообразующих компаний, промышленных предприятий и организаций в 2013 году сталкивались с хакерскими атаками и заражением вредоносным ПО. При этом свыше половины опрошенных компаний испытывали из-за таких инцидентов существенные проблемы. Об этом свидетельствуют результаты опроса, проведенного организатором форума PHDays IV компанией Positive Technologies — в апреле и мае 2014 года среди руководителей служб информационной безопасности 63 ведущих российских компаний, большая часть которых входит в рейтинг ТОП-100 по капитализации компаний России — 2013 (по оценкам «РИА Рейтинг»). В анкетировании участвовали представители банковской (42%), телекоммуникационной (17%), топливно-энергетической (13%), транспортной (4%) и других отраслей, а также государственных организаций и ведомств (12%). Примерно половина (45%) компаний-участников опроса обладает крайне разветвлённой сетевой инфраструктурой и насчитывают свыше 50 000 узлов; еще у 25% —от 20 до 50 тыс. узлов. Цели исследования — выяснить, как представители различных отраслей оценивают состояние информационной защищенности (ИБ) своих предприятий, с какими угрозами ИБ чаще всего сталкиваются, и как оценивают их последствия. Согласно полученным данным, в минувшем году инциденты информационной безопасности были зарегистрированы в каждой из 63 компаний, участвующей в исследовании. Опрос Positive Technologies показал, что несмотря на выстроенные процессы обеспечения информационной безопасности, в 58% опрошенных компаниях инциденты прямо или косвенно приводили к нарушениям доступности внутренней инфраструктуры или сервисов. При этом к финансовым потерям привели инциденты в 15% компаний, к репутационным издержкам — в 12%, к нарушению функционирования IТ-инфраструктуры — в 31%. Статистика инцидентов В целом опрос о состоянии защищенности системообразующих предприятий показал, что в среднем на каждое крупное предприятие за год может приходиться до 100 ИБ-инцидентов различного типа. В число наиболее распространенных инцидентов вошли DOS/DDoS-атаки — им подвержены 23% компаний, хакерские атаки на внешние веб-приложения (21%), заражение вредоносным ПО (14%) — что, как правило, вызвано недостатками управления уязвимостями, а также злоупотребления со стороны сотрудников (14%). Рост внутренних угроз подтверждается еще одним аналитическим отчетом исследовательского центра Positive Technologies: если раньше получение контроля над критически важными ресурсами из внутренней сети было возможно в 84% исследованных систем, то в 2013 году это оказалось возможным для всех исследованных систем. Внутренние атаки на бизнес-критичные информационные системы (ИС) также были широко отмечены респондентами (7%), что говорит о легкости, с которой злоумышленниками могут преодолеть периметр корпоративных сетей. Лишь 2% компаний-участников опроса отметили, что проблемы для информационной безопасности возникли из-за утери мобильных устройств персоналом. Киберпреступность и злоупотребления В качестве источников основных угроз большинство участников опроса отмечают киберпреступность (31%). На втором и третьих местах — злоупотребления администраторов ИС (23%) и сотрудников компаний (17%). Интересно, что не так много респондентов включают в число возможных угроз поставщиков услуг (11%). Те же, кто включил поставщиков, в основном связали это с расширением ИТ-аутсорсинга. Что касается деятельности спецслужб, то на угрозы информационной безопасности со стороны этой категории указали как специалисты государственных организаций и ведомств, так и представители одного из ведущих перевозчиков и крупного медиа-канала. Как быстро устраняют критические уязвимости? Уязвимости высокого уровня риска способны доставить множество неприятностей как самой компании, так и ее клиентам. Согласно данным опроса, чуть больше половины компаний (60%) устраняют такие ошибки в течение несколько дней, каждая пятая тратит на этот процесс недели, а у 15% на «залатывание дыр» уходит месяцы. Наилучшие результаты в опросе показывали банки, что несколько расходится с результатами реальных проверок на уязвимость. По данным отчета Positive Technologies, 37% систем дистанционного банковского обслуживания не защищены от несанкционированных транзакций, и в половине систем ДБО присутствуют критические уязвимости. «Несколько дней на устранение уязвимости — это фантастический результат. Однако исследования Positive Technologies, основанные на результатах работ по тестированию на проникновение, рисуют менее радужную картину, — говорит Борис Симис, заместитель генерального директора Positive Technologies. — По нашему опыту, на практике критические недостатки устраняются гораздо дольше. Мы находили уязвимости, которым и 9 лет. В целом, 57% систем, исследованных в 2013 году, содержали критические ошибки, связанные с использованием устаревших версий программного обеспечения. При этом средний возраст наиболее устаревших неустановленных обновлений составляет 32 месяца. В ходе нашего опроса многие участники проведенного опроса отмечали сложность своевременного реагирования на инциденты, но это невозможно без грамотной политики управления уязвимостями. Отмечу, что санкционированные атаки экспертных групп Positive Technologies, проводимые в ходе пентестов, крайне редко фиксируются службами ИБ компаний, что напрямую связано с наличием уязвимостей. По нашим данным, для преодоления периметра корпоративной сети в 2013 году в среднем требуется использовать всего две уязвимости, тогда как в предыдущие годы требовалось три». Причины, препятствующие эффективной ИБ-защите Основными причинами, препятствующими эффективному обеспечению защиты IT-систем системообразующих компаний России, участники опроса назвали нехватку профессионалов, знакомых и с вопросами информационной безопасности и с производственными процессами (37%), а также несовершенство нормативно-законодательной базы (26%). Увидеть уязвимости своими глазами На PHDays IV состоялся конкурс Critical Infrastructure Attack, который позволил участникам изучить безопасность реальных систем АСУ ТП (SCADA), используемых на заводах и гидроэлектростанциях, для управления городским транспортом и освещением, в нефтяной и газовой промышленности. В этом году участники проверили защиту ТЭЦ, систем городского освещения и транспорта, кранов и промышленных роботов-манипуляторов. Кроме того, с реальными уязвимостями приложений интернет-банкинга, которые были выявлены специалистами компании Positive Technologies при анализе защищенности подобных систем, можно было познакомиться в ходе конкурса «Большой ку$h». Участникам предстояло воспользоваться найденными уязвимостями для вывода денежных средств.

20.05.2014

Большой ку$h: образ системы ДБО доступен для скачивания

Большой ку$h: образ системы ДБО доступен для скачивания Хотите безнаказанно украсть деньги с банковских счетов? Примите участие в конкурсе «Большой ку$h» на Positive Hack Days IV! Состязание призвано проверить знания и навыки в области эксплуатации типовых уязвимостей в веб-сервисах систем дистанционного банковского обслуживания (ДБО). Конкурсное задание представлено реальными уязвимостями приложений интернет-банкинга, которые были выявлены специалистами компании Positive Technologies при анализе защищенности подобных систем. Конкурс проходит в два этапа. Сначала участникам необходимо ознакомиться с системой. Для этого нужно скачать копию виртуальной машины или архив с исходным кодом. Затем нужно обнаружить уязвимости в системе. Во второй день проведения PHDays участникам предстоит воспользоваться найденными уязвимостями для несанкционированного вывода денежных средств. Победитель забирает похищенные из системы деньги себе!

19.05.2014

Конкурс Critical Infrastructure Attack: как взломать целый город

Мы много слышали о том, что автоматизированные системы управления помогают разгружать городские пробки, экономить электроэнергию и воду, повышать эффективность производственных процессов... Но что, если один-единственный хакер cможет нарушить работу всей городской инфраструктуры управления? Думаете, это просто страшилка из фантастического фильма? Давайте проверим! Конкурс Critical Infrastructure Attack позволит участникам изучить безопасность реальных систем АСУ ТП (SCADA), используемых на заводах и гидроэлектростанциях, для управления городским транспортом и освещением, в нефтяной и газовой промышленности. Победителем станет тот, кто найдет больше уязвимостей и продемонстрирует их использование на нашем живом макете умного города. История и легенда В прошлом году на конференции PHDays III прошел конкурс Choo Choo Pwn, в котором предлагалось проверить на прочность систему управления транспортом. Данный конкурс и построенный для него стенд с моделью железной дороги на основе трех SCADA-систем стали хитом не только на нашей конференции, но и на других мероприятиях по безопасности. Так, более 30 специалистов по защите информации приняли участие во взломе стенда Choo Choo Pwn на конференции Power of Community в Сеуле.

16.05.2014

Опубликована сетка выступлений PHDays IV

Опубликована сетка выступлений PHDays IV Расписание четвертого международного форума по практической безопасности Positive Hack Days опубликовано на официальном сайте мероприятия. Ознакомиться с графиком технических и деловых докладов, секций и круглых столов, пресс-конференций и мастер-классов Hands-on Labs можно по адресу: . В рамках форума PHDays IV состоятся более 100 различных событий, участие в которых примут более 2000 человек из 700 организаций 18 стран мира.

16.05.2014

Победители конкурса, проведенного «Хакером», получили инвайты на PHDays IV

Как вы помните, среди различных способов попадания на PHDays IV был и конкурс журнала «Хакер», победители которого получали не только инвайт на форум, но и авторский гонорар вместе с лучом доброй славы. На этой неделе были определены материалы, принятые к публикации в популярнейшем ИБ-издании России и Европы, и их авторы, ставившие обладателями приглашений на PHDays. Помимо редколлегии журнала материалы оценивал программный комитет, отвечающий за Call for Papers на PHDays. Автору наиболее интересного ресёрча на темы компьютерной криминалистики, реальных взломов, передовых атак на веб- и корпоративные приложения и т. п. должны были вручить сразу три инвайта на форум. Этим автором стал Марсель Валеев со статьей «Небезопасная безопасность». По одному приглашению получили еще шестеро участников конкурса: Сергей Белов, «Покажите нам Impact!»; Дима Евдокимов, «MiTM в мобильном мире»; Даниил Светлов, «За высоким забором OSSEC»; Олег Купреев (работа о безопасности сетевого оборудования Huawei); Тюрин Алексей (обзор хакерских утилит); Игорь Рогозин, «Логов побольше, памяти не жалеть». Исследования победителей конкурса будут опубликованы в майском и июньском номерах журнала «Хакер». Напомним, что «Хакер» в четвертый раз становится информационным партнером международного форума по практической безопасности Positive Hack Days. В этом году форум состоится 21 и 22 мая в московском техноцентре Digital October. Следите за новостями и до встречи на PHDays!

16.05.2014

Государство и бизнес в противодействии новым киберугрозам: деловая программа PHDays IV

Защита критической инфраструктуры, перспективы инвестиций в области информационной безопасности, целесообразность ужесточения контроля за интернетом, ключевые тенденции безопасности в телекоммуникационной отрасли, защищенность веб-приложений и систем ДБО, новинки на рынке ИБ — вот главные темы деловой программы международного форума по практической безопасности Positive Hack Days IV, который пройдет 21 и 22 мая 2014 года в Москве. PHDays IV — беспрецедентный по масштабу ИБ-марафон, объединяющий на одной площадке специалистов с разных сторон баррикад, теорию и практику, профессиональную дискуссию и захватывающие соревнования по защите информации. В форуме примут участие более 2000 человек из 700 организаций 18 стран мира. Организатор форума — компания Positive Technologies. Партнерами мероприятия выступают крупнейшие технологические компании, в их числе Cisco, EMC, Intel Security, «ICL-КПО ВС», Mail.Ru, «Лаборатория Касперского». Информационную поддержку форуму оказывают 27 ведущих деловых и отраслевых СМИ, а ключевыми медиапартнерами выступили общенациональный деловой журнал «Эксперт», деловой портал BFM.RU, журнал «Хакер», интернет-порталы SecurityLab.ru, Anti-Malware.ru, информационное агентство Bankir.Ru. Как защитить КВО Форум откроется 21 мая 2014 года дискуссией «Безопасность критической инфраструктуры». Участникам этой встречи, которая задаст тон деловой программы и всего мероприятия, предстоит ответить на два непростых вопроса. Насколько безопасность человечества зависит от устойчивости критической инфраструктуры? И что делается для защиты КВО — критически важных объектов — и достаточно ли этого?.. Спикерами сессии станут Жан-Люк Молине (Orange Group), Гаральд Бандурин («РусГидро»), Ахмад Хассан (du Telecom), Чэхёун Ли (KISA), Борис Симис (Positive Technologies, Борис Макаров («РЖД»). Также к участию в дискуссии приглашены представители ОАО «Россети», «ICL-КПО ВС», ЦИБ ФСБ, «Хоум Кредит Банка», международной организации ИМПАКТ. Перспективы ИБ-стартапов В ходе круглого стола «Перспективы инвестиций в области информационной безопасности в России», организованного компанией Positive Technologies совместно с кластером информационных технологий фонда «Сколково», будет обсуждаться роль молодых специалистов в укреплении ИБ, их возможности для самореализации, требования инвестиционных фондов к стартап-проектам, нынешние и будущие потребности государства, банков, бизнеса. Участниками дискуссии, которая пройдет 21 мая 2014 года, станут представители инвестфондов и технопарков, госорганов и СМИ, а также бизнесмены, разработчики, молодые предприниматели и ученые. Дискуссия об инвестициях — лишь одно из мероприятий деловой программы форума, направленных на поддержку новых технологий и молодых предпринимателей. По ее завершении пройдет питч-сессия, на которой стартапы представят аудитории свои разработки. Это позволит инвестфондам, бизнесменам и банкирам оценить предлагаемых проектов, а тем, кто только задумывается о развитии своих бизнес-идей, — завязать полезные знакомства и получить полезные рекомендации. Государство и информационная безопасность За последние два года в России появилось множество новых законов и законопроектов, направленных на «повышение информационной безопасности». Результатом стали разрешение на блокирование сайтов без суда, запрет на зарубежный хостинг для государственных интернет-ресурсов, снижение порога для анонимных платежей, требование регистрации блогеров-трехтысячников. Насколько действенно такое регулирование при борьбе с терроризмом и криминалом в интернете? Как законодательные инициативы влияют на информационную безопасность? Какие из них являются недостаточными, а какие — чрезмерными? Участники круглого стола «Государство и информационная безопасность», который состоится 22 мая 2014 года, будут искать ответы на эти вопросы, выслушав мнения экспертов из разных отраслей. Здесь выступят представители МИДа, Роскомнадзора и Госдумы, которые лоббируют новые законы об интернете. Изложат свою точку зрения и те, по кому новые законы ударят: представители интернет-бизнеса и СМИ. И конечно, слово получат хакеры, которые лучше всех знают, что такое на самом деле информационная безопасность... В деловой программе PHDays IV организованы отраслевые и специализированные секции: «Телекомы: от SS7 до биллинга» — секция посвящена последним тенденциям обеспечения безопасности в области телекоммуникацией, необходимости сбережения доходов, управления фродом и введения услуг VAS/MSS. Среди выступающих — ведущие эксперты и главы ИБ-подразделений «Мегафона», «ВымпелКома», Vodafone India, Orange, du Telecom, Positive Technologies. «Управление безопасностью — управление рисками». Участники секции рассмотрят зависимость между рисками ИБ и операционными рисками в крупных компаниях. Выступят лидеры бизнеса и руководители подразделений по управлению рисками из компаний «ВТБ», «Лукойл-Информ», «ВымпелКом», Yota. «AppSec: от почты до порталов госуслуг»: секция посвящена безопасности приложений, в том числе систем дистанционного банковского обслуживания. Принять участие в дискуссии приглашены представители Центробанка и «Яндекс.Денег», Emirates, Financial Technologies, Mail.Ru, Positive Technologies. «Рынок ИБ: новинки, вопросы, ответы» — на этой секции ведущие игроки рынка представят свои продукты и решения, которые определят вектор его развития в ближайшие годы. В числе выступающих эксперты Cisco, Intel Security, Positive Technologies, «Лаборатории Касперского», «ICL-КПО ВС». В рамках форума PHDays IV состоятся более 100 различных событий. Подробные анонсы докладов и секций опубликованы в новостях форума.