Новости
Зачем ужесточают контроль за Рунетом? Круглый стол «Государство и информационная безопасность»
Зачем ужесточают контроль за Рунетом? Круглый стол «Государство и информационная безопасность» За последние два года в России появилось множество новых законов и законопроектов, которые связаны с «информационной безопасностью». Здесь и блокирование сайтов до суда, и запрет на зарубежный хостинг для государственных интернет-ресурсов, и ограничение анонимных платежей, и требование регистрации блогеров-трехтысячников. Но действительно ли такое регулирование поможет бороться с терроризмом и другими криминальными проявлениями в Интернете? Можно ли сохранить традиционные гражданские свободы в современном цифровом мире? Чем отличаются позиции разных стран в вопросах обеспечения информационной безопасности граждан? На круглом столе «Государство и информационная безопасность», который состоится во второй день PHDays IV, мы будем искать ответы на эти вопросы, выслушав мнения экспертов из разных отраслей. С одной стороны, здесь выступят представители МИДа, Роскомнадзора и Госдумы, которые лоббируют новые законы об Интернете. С другой стороны, изложат свою точку зрения те, по кому ударят эти новые законы, — представители интернет-бизнеса и СМИ. Мы также дадим слово хакерам, которые больше всех знают о том, где на самом деле заканчивается информационная безопасность. Ну и конечно, все участники круглого стола будут отвечать на каверзные вопросы из зала. Модератор дискуссии — Алексей Андреев, также известный как Lexa и Мерси Шелли, — российский IT-журналист, бывший главный редактор интернет-журнала «Вебпланета» и ряда других сетевых проектов. Автор киберпанковских романов «Паутина» и «2048» со множеством детальных технологических прогнозов будущего. Обладатель литературных премий в области научной фантастики «Бронзовый Икар» (Россия) и «Золотой Кадуцей» (Украина), а также лауреат трех международных конкурсов поэзии хайку (Япония). В настоящее время работает в компании Positive Technologies. Мероприятие состоится 22 мая (10:00—12:00) в конференц-зале Digital October.
15 площадок в четырех странах уже присоединились к PHDays Everywhere
15 площадок в четырех странах уже присоединились к PHDays Everywhere Совсем скоро в Москве, на международном форуме Positive Hack Days, соберутся специалисты по практической безопасности, ученые, политики и бизнесмены со всего мира. И уже третий год подряд присоединиться к ним смогут посетители площадок, организованных в других городах благодаря инициативе PHDays Everywhere (о том, как все проходило в прошлом году, можно почитать в блоге форума). 21 и 22 мая распахнут свои двери хакерские площадки разных стран. К PHDays Everywhere уже присоединились Абу-Даби (ОАЭ), Бир-Зейт (Палестина), Киев и Львов, а также Владивосток, Вологда, Краснодар, Москва, Мурманск, Новосибирск, Омск, Самара, Саратов и Уфа. В программе PHDays доклады и мастер-классы ведущих мировых экспертов, конкурсы и онлайн-соревнования, битва хакеров PHDays CTF, конкурс молодых ученых Young School и многое другое. Посетители площадок PHDays Everywhere смогут наблюдать за всеми событиями форума в прямой трансляции в формате HD на английском и русском языках. Соревнования В дополнение к онлайн-конкурсам, в которых может принять участие любой интернет-пользователь, для гостей площадок PHDays Everywhere организованы отдельные соревнования. Они смогут проверить свою эрудицию в ходе викторины PHDays Quiz, поучаствовать в собственном CTF и посоревноваться с командами из других хакспейсов в отдельном зачете Online HackQuest, представленном лабораторией PentestIT. Памятные призы от организаторов PHDays получит пользователь Твиттера, наиболее подробно рассказавший о PHDays в своем городе, а также автор лучшего опубликованного отчета с места событий. Подробная информация обо всех соревнованиях представлена в блоге PHDays. Организаторы площадок PHDays Everywhere также будут проводить отдельные соревнования для посетителей из других городов: свои CTF пройдут во Владивостоке, Новосибирске и Омске. Не упустите возможность пообщаться со специалистами по информационной безопасности в вашем городе и принять участие в увлекательных соревнованиях. Присоединяйтесь к PHDays Everywhere! Полный список площадок PHDays Everywhere размещен на сайте форума. Новые участники добавляются постоянно, так что если вы пока не нашли свой город в списке — не расстраивайтесь, еще есть время.
Инвестиции в ИБ: быть или не быть?
21 мая 2014 года в рамках международного форума Positive Hack Days состоится дискуссия «Перспективы инвестиций в области информационной безопасности в России», организованная компанией Positive Technologies совместно с кластером информационных технологий фонда «Сколково». Какова роль молодых специалистов в укреплении информационной безопасности (ИБ)? Какие у них возможности для самореализации? Каковы перспективы ИБ-стартапов? Куда инвестируют фонды, какие направления ИБ считаются ведущими? Что нужно государству, банкам, бизнесу от систем защиты информации? Эти и другие вопросы обсудят участники дискуссии — представители инвестфондов, технопарков, госорганов, СМИ, а также бизнесмены, разработчики, молодые предприниматели, ученые-исследователи. «Сегодня перед ребятами, увлеченными информационной безопасностью, стоит непростой выбор, ведь по другую сторону баррикад — на стороне "черных хакеров" — крутятся очень большие деньги. На форуме PHDays мы создаем условия для того, чтобы молодые таланты могли выбрать другой путь — самореализацию в предпринимательстве, в "белом" ИБ-сообществе», — говорит Сергей Гордейчик, заместитель генерального директора Positive Technologies и глава оргкомитета PHDays. Дискуссия об инвестициях — лишь одно из мероприятий деловой программы форума, направленной на поддержку новых технологий и молодых предпринимателей. После нее пройдет питч-сессия для демонстрации стартапов. Это позволит инвестфондам и представителям бизнеса и банков оценить потенциал новинок, а тем, кто только задумывается о развитии своих идей, — посмотреть, как проходят презентации, завязать полезные знакомства, получить рекомендации по открытию своего бизнеса. На форуме будет работать выставка проектов, разработанных ИБ-стартапами и отобранных «Сколково» и оргкомитетом PHDays. Представители более чем 700 компаний из 18 стран мира смогут оценить новинки и выделить лучших. Кроме того, будет проведен PHDays Young School — ежегодный конкурс исследовательских работ студентов, аспирантов и молодых ученых. В дискуссии «Перспективы инвестиций...» примут участие: Сергей Ходаков, руководитель направления «Безопасные информационные технологии», кластер информационных технологий фонда «Сколково», Дмитрий Гальперин, директор по инвестициям «Руна Капитал», Борис Симис, заместитель генерального директора Positive Technologies, авторы стартап-проектов, прошедших отбор оргкомитета форума, представители банков и телекоммуникационных компаний — как самые активные инвесторы в ИБ. К участию также приглашены представители Российской венчурной компании и Национальной ассоциации инноваций и развития информационных технологий. Positive Hack Days — уникальная площадка для обмена опытом в области ИБ, для поддержки исследований и инноваций. Форум пройдет в Москве 21 и 22 мая и соберет более 2000 участников. В программе почти 100 докладов, мастер-классов и семинаров, конкурсы по защите информации.
Новое в программе PHDays: суперпентест и отдельный CTF для участников Everywhere
Новое в программе PHDays: суперпентест и отдельный CTF для участников Everywhere До форума остается три недели и почти все готово к старту, но концентрация событий на Positive Hack Days IV только увеличивается: мы будем проводить отдельные соревнования CTF для площадок Everywhere и тестировать на проникновение распределенную сеть крупной корпорации. Напомним, что в этом году 21 и 22 мая в разных городах и странах вновь состоится инициатива PHDays Everywhere, в местных хакспейсах соберутся специалисты по информационной безопасности — чтобы пообщаться, принять участие в соревнованиях и посмотреть HD-трансляцию с московской площадки PHDays. «Захват флага», она же Capture The Flag — самая популярная хакерская игра в мире. Для тех участников программы PHDays Everywhere, которые понимают, что выходить на высокую международную арену им еще рановато, а потягаться с соперниками из других городов и стран все же хочется, команда Zero Security (создатели программ стажировок из PentestIT) приготовила увлекательное развлечение. Специально для начинающих исследователей разработаны нестандартные киберквесты, разделенные по типу и уровню сложности. Успешно выполнив задание, участник получает доступ к флагу, который необходимо отправить жюри с помощью специальной формы на сайте — как и в классическом CTF. Регистрация на этот турнир стартует на сайте ZeroSecurity.ru одновременно с началом форума — 21 мая в 11:00. Состязание продлится на протяжении всего PHDays, а задания будут доступны и после его завершения. Все программное и аппаратное обеспечение, необходимое для участия в конкурсе, участник выбирает и использует самостоятельно. Обо всех хакерских соревнованиях на PHDays Everywhere читайте на официальном сайте форума. Лаборатория «На шаг впереди» на Positive Hack Days IV На этом энтузиасты из PentestIT не остановились, они представят также лабораторию «На шаг впереди», которая позволяет отрабатывать навыки тестирования на проникновение и понимания психологии кибернарушителя. Участники соревнования столкнутся с типичной корпоративной сетью, которая принадлежит крупной, но вымышленной компании Global Security. У компании несколько офисов, соединенных каналами связи. Распределенная сеть содержит различные ошибки конфигурации, баги и уязвимости, а ее структура максимально приближена к реальности. Правила просты: выступая в роли пентестеров, участники пытаются эксплуатировать уязвимости, а в случае удачи — получить доступ к отдельным узлам сети, каждый из которых содержит специальный токен. Победителем считается участник, первым собравший все токены. Работа в лаборатории тестирования на проникновение от PentestIT, на базе которой построена сеть, осуществляется на основе метода серого ящика. Все программное и аппаратное обеспечение, необходимое для участия в конкурсе, каждый участник выбирает и использует самостоятельно. Лаборатория тестирования на проникновение PentestIT Test.lab v.6 под кодовым названием «На шаг впереди» начнет свою работу 21 мая в 11:00 по московскому времени. Для подключения необходимо пройти регистрацию на сайте lab.pentestit.ru. Регистрация уже открыта и доступна для всех желающих. Все подробности конкурсной программы опубликованы на сайте PHDays IV.
Экспертно-хакерский десант на PHDays IV: делаем ключи от запертых дверей, ломаем браузеры и спасаемся из «умного дома»
Экспертно-хакерский десант на PHDays IV: делаем ключи от запертых дверей, ломаем браузеры и спасаемся из «умного дома» Почему интернет вещей — угроза национальной безопасности? Что такое импрессия? Как найти уязвимость нулевого дня в приложениях с тиражами в сотни миллионов экземпляров? Существует ли панацея от DDoS-атак? Представляем вашему вниманию новую порцию выступлений, которые прозвучат на международном форуме Positive Hack Days IV (см. также 1-й и 2-й анонсы). Примерно 2000 экспертов по практической безопасности соберутся в Москве 21 и 22 мая 2014 года, чтобы поговорить о киберпотенциале Ирана, Китая и КНДР, криптографии после Сноудена и Heartbleed, повышении осведомленности в вопросах ИБ сотрудников «Яндекса», важных находках группы SCADA Strangelove, киберугрозах для современной электрической подстанции, основных направлениях атак на SAP-системы. Гости форума узнают об индикаторах компрометации следующего поколения, визуальной аналитике в ИБ, автоматизации обратной разработки и о многом другом. Всего в программе PHDays IV запланировано более 40 докладов, секций и круглых столов (о последних мы расскажем отдельно), мастер-классов и коротких увлекательных стендапов FastTrack. Своими руками К мастер-классам Positive Hack Days обычно приковано максимальное внимание. Hands-on Labs на PHDays — это практические занятия, для участия в которых нужно, как правило, иметь лишь базовую подготовку, тягу к новым знаниям — и обычно еще ноутбук. Традиционный аншлаг на площадке вызывает, в частности, выступление трех «Гудини» из компании TOOOL (Девианта Оллама, Бабака Жавади и Кита Хоуэлла), которые не устают демонстрировать, что в основе любой безопасности лежит безопасность физическая. На этот раз они расскажут об импрессии — искусстве создания ключа от чужой двери с помощью болванки, плоского напильника и тщательного наблюдения. Все участники представления не только познакомятся с особенностями метода, но и смогут попрактиковаться в его применении. С кратким описанием всех Hands-on Labs можно ознакомиться на сайте мероприятия. Поиск ответов На PHDays будут препарировать наиболее острые проблемы практической безопасности, для решения которых сегодня нет готовых рецептов. Так, участники секции «Интернет вещей — угроза следующего поколения?» сосредоточатся на опасностях, которые может вызвать глубокое проникновение цифровых технологий в наш быт. Как спрогнозировать эти опасности? Какие средства использовать для минимизации возможного ущерба? На эти вопросы попытаются ответить Андрей Босенко и Алексей Качалин («Перспективный мониторинг»), Андрей Москвитин (Cisco), Андрей Петухов (ВМК МГУ), Артем Чайкин (Positive Technologies). PHDays IV посетит французский профессор Эрик Фильоль (Éric Filiol), криптолог, эксперт в области кибербезопасности и ведения кибервойн, обладатель премии Роберваля за книгу «Компьютерные вирусы: теория, практика и применение». Он представит свой взгляд на изменения, произошедших в криптографии после откровений Эдварда Сноудена и скандалов с RSA, Heartbleed, Google, ANSII, и затронет пару тем, о которых пока не писали в газетах. Специалисты со всего мира рассмотрят перспективные подходы к обнаружению и предотвращению вторжений (докладчик — Роберт Гриффин из EMC), новые опасности для телеком-операторов на примере сети компании Orange (Себастьян Роше, служба безопасности базовой сети в Orange Group). Среди других тем — сравнение киберпотенциала Ирана, Китая и Северной Кореи (его представит Уильям Хейджстад (William Hagestad)) и проблемы осведомленности сотрудников в вопросах инфобезопасности — о них расскажет Наталья Куканова из «Яндекса» (по данным Positive Technologies, в среднем более 30% сотрудников крупнейших компаний переходят по фишинговым ссылкам!). С описанием деловых выступлений, запланированных на PHDays IV, можно ознакомиться на сайте форума. Коротко и ясно Помимо стандартных докладов, в программе PHDays IV запланирован обширный FastTrack, состоящий из насыщенных и динамичных пятнадцатиминутных выступлений. Посетители форума узнают, как курьезный случай помог разработчикам Игорю Агиевичу и Павлу Маркову изучить кухню антивирусных лабораторий, и научатся ловить ARM-шеллкоды под руководством Светланы Гайворонской и Ивана Петрова. Назар Тимошик расскажет об облачных системах-ловушках (honeypots) для кибернарушителей, а Дмитрий Ерусов поделится способами атаковать бизнес-данные в Microsoft Dynamics AX при помощи внедрения кода на языке X++. Денис Макрушин из «Лаборатории Касперского» рассмотрит концепцию защиты, которая делает заведомо неэффективными DDoS-атаки, руководитель компании «Ревизиум» Григорий Земсков познакомит слушателей с приемами, затрудняющими обнаружение и анализ вредоносного кода в PHP-сценариях, а Марат Рахимов из «Газинформсервиса» покажет, как реализовать интеграцию систем класса IT-GRC и систем контроля защищенности и соответствия стандартам. Кроме того, с экспресс-докладом выступит старший консультант компании KPMG Антон Сапожников, который представит оригинальную технику использования уязвимости в реализации Windows SSPI, позволяющую получить учетные данные без привилегий администратора, а системный аналитик компании «Перспективный мониторинг» Андрей Пластунов покажет MiTM-атаку на телефон с Android с использованием собственного NFC-передатчика на базе Arduino. Все подробности о выступлениях в формате FastTrack — на сайте PHDays IV. Технические доклады и круглые столы — это лишь часть грандиозного события, которое состоится менее чем через месяц. Уже разработана увлекательная конкурсная программа, подготовлено поле боя для посетителей площадок PHDays Everywhere, определены участники соревнований CTF, выбраны финалисты конкурса молодых ученых Young School. Ждем вас на Positive Hack Days IV!
Определены финалисты конкурса Young School
Уже третий год подряд мы проводим конкурс для молодых ученых Young School, цель которого поддержать талантливых специалистов по информационной безопасности, дав им шанс проявить себя и представить результаты своих исследований на форуме Positive Hack Days. Спектр тем весьма широк: от прикладной криптографии до защиты АСУ ТП и государственных информационных систем. Принять участие могут студенты, аспиранты и независимые молодые исследователи. Прием заявок продолжался на протяжении трех месяцев, и на этой неделе были определены лучшие работы. В этом году в финал вышли (в порядке получения нами тезисов): Мария Коростелева с исследованием «Обеспечение криптографически защищенных групповых коммуникаций с функцией отказуемости» Филипп Буртыка и Алина Трепачева с работой «Безопасные облачные вычисления с использованием стеганографии: определения и задачи», Николай Ткаченко, «Общая модель механизмов защиты веб-приложений на основе хэш-функций», Елена Дойникова, «Динамическое оценивание защищенности компьютерных сетей в SIEM-системах». Победителем соревнования станет кто-то из них. Кроме того, вне конкурса были приглашены Александр Пузаков с докладом с интригующим названием «Сложное время» и Максим Кобилев, который расскажет и покажет, как сделать из квадрокоптера инструмент для проведения пентестов. Молодые исследователи представят свои работы во время Positive Hack Days IV. Поздравляем! Жюри В этом году в состав программного комитета вошли: Денис Гамаюнов (ВМК МГУ), Алексей Качалин (Advanced Monitoring), Владимир Иванов («Яндекс»), Евгений Родионов (МИФИ), Петр Волков («Яндекс»), Дмитрий Олексюк (независимый разработчик), Алексей Смирнов (Parallels), Игорь Котенко (СПИИРАН), Никита Абдуллин (OpenWay), Александра Дмитриенко (Дармштадтский технический университет), Павел Ласков (Тюбингенский университет), Екатерина Рудина («Лаборатория Касперского»), Евгений Тумоян (ЮР РУНЦ ИБ ЮФУ). Председатель программного комитета Андрей Петухов рассказал о том, что ждет нас в финале конкурса: «Во многих видах спорта есть такое понятие — финал четырех, выступить в нем очень престижно. Из года в год такие финалы создают и поддерживают колоссальную интригу. Давайте рассмотрим нашу интригу. Во-первых, в финал вышли бронзовые призеры прошлогоднего конкурса — Денис Колегов и Николай Ткаченко. Во-вторых, в финал попали представители лаборатории проблем компьютерной безопасности СПИИРАН, откуда в 2013 году поступила работа, занявшая второе место. В-третьих, Мария Коростелева из ЛБИС ВМК МГУ попробует повторить успех Анастасии Щербининой, которая заняла первое место на самом первом конкурсе Young School в 2012 году. Наконец, интересно, смогут ли составить конкуренцию опытным участникам новички конкурса, Филипп и Алина из ЮФУ». Форум Positive Hack Days будет проходить 21 и 22 мая в Москве. Регистрируйтесь и приходите, чтобы своими глазами увидеть, как создается будущее отечественной науки!
«Модель для сборки» выступит на PHDays
«Модель для сборки» выступит на PHDays В связи с тем, что вопросы, затрагиваемые в рамках четвертого Positive Hack Days, выходят далеко за границы «технической зоны», участников форума ждет еще один сюрприз. Создатели уникального проекта «Модель для сборки» представят на форуме живой аудиоспектакль, который состоится 21 мая с 19:30 до 22:30 в техноцентре Digital October. История «МДС» началась в 1995 году, когда эта передача впервые появилась в радиоэфире на «Станции 106,8 FM». Многие слушатели познакомились с «МДС» на волнах «Серебряного дождя», где она выходила с 2002 по 2004 годы. В 2012 году на «Неделе российского интернета» программа стала лауреатом премии «Золотой подкаст» как лучший аудиопроект в российском сегменте интернета. Аудиошоу, которое создается под руководством автора идеи и бессменного «голоса» проекта Владислава Коппа, представляет собой литературно-музыкальный симбиоз, состоящий из классических произведений зарубежной и российской литературы, а также современных текстов преимущественно фантастического жанра, которые читают под электронную музыку. Надеемся, что выступление «МДС» вам понравится и даст новую пищу для размышлений о негативных последствиях техноэволюции, ожидающих постиндустриальное человечество в самые ближайшие годы.
Хакерские соревнования на PHDays Everywhere
Хакерские соревнования на PHDays Everywhere В этом году форум Positive Hack Days состоится уже в четвертый раз и, как всегда, присоединиться к нему смогут не только те из вас, кто окажется 21 и 22 мая в московском центре Digital October, но и посетители (и организаторы!) площадок программы PHDays Everywhere, расположенных в разных концах планеты. PHDays Everywhere также легко влилась в жизнь форума за несколько лет его проведения, как соревнование CTF и конкурс «Наливайка». В этом году в разных городах и странах снова соберутся специалисты по информационной безопасности, чтобы посмотреть трансляцию PHDays из Москвы в формате HD, пообщаться и поучаствовать в различных соревнованиях. В предыдущие годы в дополнение к онлайн-конкурсам, в которых может принять участие любой пользователь интернета, для гостей площадок PHDays Everywhere были организованы собственные увлекательные соревнования. Мы не изменим этой традиции и на этот раз. HackQuest В дни проведения форума PHDays IV пройдет организованное лабораторией PentestIT соревнование Online HackQuest, поучаствовать в котором смогут и посетители площадок PHDays Everywhere. Участники конкурса попробуют свои силы в решении различных заданий по информационной безопасности. Правила К участию в HackQuest допускается любой пользователь сети Интернет, но для площадок PHDays Everywhere будет организован отдельный командный зачет. Для участия в конкурсе каждая площадка PHDays Everywhere должна сформировать команду из посетителей мероприятия, которая затем будет соревноваться с командами из других хакспейсов. Далее участникам будет предоставлен доступ к сайту со списком заданий, которые будут разделены по типу и уровню сложности. В случае успешного решения задания команда получает доступ к ключу (флагу), который необходимо отправить жюри с помощью специальной формы. Если флаг правильный — за него будут начислены соответствующие баллы. Победителем командного зачета HackQuest станет команда, которая раньше остальных наберет максимально возможное количество баллов. Регистрация команд будет осуществляться на официальном сайте форума. Конкурс продлится на протяжении всего Positive Hack Days. Победителей ждут памятные призы от организаторов форума и лаборатории PentestIT. PHDays Quiz Каждый из нас не раз смотрел телевикторины. Еще бы! Кому не хочется помериться умом с участниками игры! Это и вправду отличное развлечение, поэтому в рамках конкурсной программы PHDays Everywhere мы устроим собственную интеллектуальную викторину PHDays Quiz, участники которой смогут проверить свои знания в различных аспектах информационных технологий и безопасности. Правила Все просто. Есть несколько категорий вопросов (история ИБ, известные взломы и атаки, хакерский юмор и др.). Есть баллы за правильные ответы (чем сложнее вопрос, тем больше очков начисляется). Нужно ответить на как можно большее количество вопросов. Тот, кто наберет больше всего баллов, станет победителем и получит отличные призы от организаторов. Лучший рассказ в блоге Онлайн- и офлайн-битвы посетителей хакспейсов это замечательно, но уникальные мероприятия в рамках PHDays Everywhere не состоялись бы без людей, которые взяли на себя все заботы по организации хакспейса в своем городе. Это большой труд, и мы считаем, что мир должен знать имена своих героев. Именно поэтому в рамках PHDays IV состоится конкурс блоггеров среди организаторов площадок PHDays Everywhere. Правила Для участия в соревновании необходимо написать развернутую заметку о том, как проходил PHDays в вашем хакспейсе. Публике будет интересно абсолютно все: как проходила организация, какие трудности вам пришлось преодолеть, кто пришел 21 и 22 мая на вашу площадку, какие были запланированы активности — в общем, полный отчет о мероприятии. Естественно, приветствуются фото- и видеоматериалы с места событий. Конкурс будет проходить на протяжении двух недель после старта форума — с 21 мая по 5 июня. Для участия нужно опубликовать свою работу в любом блоге (обязательна подпись автора!), а затем поделиться ссылкой в Твиттере, добавив специальный хештег #PHDContest, — так мы сможем отслеживать все конкурсные посты. Каждая заметка, удовлетворяющая правилам, будет ретвитнута официальными аккаунтами #PHDays (@phdays для англоязычных постов и @phdays_ru для русскоязычных). Затем мы подсчитаем количество ретвитов другими пользователями сервиса, а для финального определения победителя опубликуем специальный пост с ссылками на все конкурсные статьи в блоге PHDays и попросим читателей проголосовать. Тот, кто соберет наибольшее число голосов и ретвитов своего поста, будет назван победителем и получит памятные подарки от организаторов конкурса. Конечно же, этими соревнованиями конкурсная программа PHDays Everywhere не ограничится — каждая площадка организует и свои собственные состязания. Следите за анонсами и до встречи на Positive Hack Days!
Новое на PHDays IV: как взломать Gmail, шпионить через телевизор, подслушать любой телефонный разговор и уронить WordPress
Новое на PHDays IV: как взломать Gmail, шпионить через телевизор, подслушать любой телефонный разговор и уронить WordPress Громкие разоблачения и скандалы, связанные со взломом электронной почты влиятельных пользователей, всегда сопровождаются спорами о подлинности попавшей в сеть переписки. До сих пор считалось, что корректная подпись DKIM однозначно указывает на автора корреспонденции. Но стоит ли на сто процентов доверять этому механизму аутентификации? Об уязвимостях в сервисах Google, Яндекс и Mail.Ru, о небезопасности телевизоров и недостатках устройств на базе ARM расскажут 21 и 22 мая в Москве, на международном форуме по практической безопасности Positive Hack Days IV. Безопасные протоколы небезопасно используются Суммарная аудитория сервисов Google, Яндекса и Mail.Ru приближается к миллиарду пользователей, к анализу их защищенности привлекаются сотни экспертов со всего мира, однако от уязвимостей никто не застрахован. Один из ярчайших представитель российской «старой школы», основатель securityvulns.ru и разработчик прокси-сервера 3proxy Владимир Дубровин (известный под ником 3APA3A) расскажет об ошибках использования протоколов, обеспечивающих приватность, целостность и шифрование данных, — как о хорошо известных (в случае SSL/TLS и Onion Routing), так и о совсем свежих. На десерт Владимир представит новые векторы атак, направленных на получение и подмену информации в различных сервисах, в том числе в электронной почте. Smart TV — умный шпион в вашем доме Телевизор был создан, чтобы сделать нашу жизнь полнее, но никто не подозревал, что наследники приемников «КВН-49», в линзу которых наливалась дистиллированная вода, обернутся компьютерами с собственной операционной системой, камерой, микрофоном, браузером и приложениями. Надо ли говорить, что еще одну дверь в нашу приватную жизнь тут же принялись ломать киберпреступники?.. Донато Ферранте (Donato Ferrante) и Луиджи Аурьемма (Luigi Auriemma), основатели компании ReVuln и известные охотники за уязвимостями в SCADA-системах и многопользовательских играх, расскажут о слабых местах технологии Smart TV, вызывающих интерес злоумышленников, и продемонстрируют уязвимости, обнаруженные в телевизорах со Smart TV разных производителей. Эксплуатация уязвимостей ARM на примере Android Вооружившись ноутбуками, участники мастер-класса Асема Джакхара (Aseem Jakhar) с головой окунутся в проблемы защищенности ARM. Исследователь компании Payatu Technologies и один из основателей конференции Nullcon проведет слушателей по всем кругам ада низкоуровнего программирования: начиная от ассемблирования в архитектуре ARM, через написание шелл-кода, мимо переполнения буфера и обратной разработки — до внедрения кода. Акцент на практических моментах позволит всем желающим освоиться с ассемблированием в ARM и узнать, какие процессы задействованы в эксплуатации уязвимостей Linux-систем на базе ARM. Выбор платформы Android в качестве полигона для экспериментов даст возможность получить представление о принципах разработки и защитных механизмах в самой популярной мобильной ОС. Как подслушать человека на другом конце земного шара В последнее время в интернете и даже в эфире телеканалов появляются записи телефонных переговоров, явно полученные без ведома абонентов. Многие из нас получали также очень странные SMS — а потом огромные счета за услуги мобильной связи. Сергей Пузанков — эксперт Positive Technologies, специализирующийся на информационной безопасности мобильных сетей, рассмотрит возможности злоумышленника, получившего доступ к святая святых телеком-операторов — к системе сигнализации SS7. Он расскажет об алгоритмах проведения атак, направленных на раскрытие конфиденциальных данных абонента и его географического местоположения, на изменение набора подключенных услуг, перенаправление вызовов, несанкционированное «вклинивание» третьей стороны в канал голосовой связи. Все атаки реализуются с помощью документированных сигнальных сообщений. В докладе будут также описаны способы проактивной защиты от подобных атак и методы расследования инцидентов, связанных с уязвимостями сигнальной сети. Молох в роли следователя Тысячи лет назад в честь древнего бога Молоха совершались человеческие жертвоприношения. В случае с открытой высокомасштабируемой системой захвата пакетов Moloch все не так кровожадно (хотя злоумышленники могут с этим и не согласиться). Система служит в качестве инструмента расследования случаев компрометации, поскольку способна захватывать трафик в режиме реального времени. Moloch также используется для поиска и взаимодействия с крупными PCAP-репозиториями в целях проведения исследований (трафик вредоносных программ, трафик эксплойта или сканирования). API системы Moloch облегчает интеграцию с системой SEIM и другими инструментами, что позволяет ускорить анализ. Энди Уик (Andy Wick) и Оуэн Миллер (Eoin Miller) — участники группы CERT корпорации AOL. Участники их hands-on lab смогут установить экземпляры Moloch на собственных виртуальных машинах и узнают, как AOL использует Moloch совместно с другими системами обнаружения вторжений (Suricata, Snort), встраивая функцию оповещения в консоли и SEIM (Sguil, ArcSight), чтобы защитить своих сотрудников, пользователей и интернет в целом. Исследователи также продемонстрируют, как Moloch захватывает трафик сети соревнования PHDays CTF, и подробно разберут все инциденты. Защита промышленных и инфраструктурных объектов в Европе События последних лет, начиная с терактов 11 сентября и заканчивая WikiLeaks и Stuxnet, заставили правительства разных стран начать разработку национальных стратегий кибербезопасности для защиты жизненно важных инфраструктур. Игнасио Паредес — руководитель научно-исследовательского отдела испанского Центра промышленной кибербезопасности — уверен, что сотни тысяч производственных инфраструктур в Европе находятся под угрозой. Он представит доклад о стремительной конвергенции промышленных и корпоративных систем, о связанных с этим процессом рисках и срочных контрмерах, которые необходимо предпринять в целях безопасности европейских государств. И снова о безопасности WordPress Пятая часть (19%) всех сайтов в мире работает на WordPress, поэтому неудивительно, что безопасность этой системы управления контентом имеет огромное значение. Однако несмотря на открытый исходный код и регулярную помощь исследователей в области защиты информации, в данной CMS по-прежнему находят серьезные баги и уязвимости. Бельгиец Том Ван Гутем (Tom Van Goethem), аспирант Лёвенского католического университета, на PHDays IV расскажет о том, как неожиданное поведение MySQL вызывает уязвимость PHP Object Injection в ядре WordPress, и продемонстрирует сценарии использования этой ошибки безопасности. Напоминаем, что анонс выступлений первой группы участников опубликован на официальном сайте. Исследователям, желающим представить свою работу на международном форуме по практической безопасности, необходимо поторопиться: прием заявок заканчивается 31 марта. Впрочем, есть и другие способы попасть в число участников PHDays IV.
Скидка на участие в PHDays IV действует до 16 марта
Скидка на участие в PHDays IV действует до 16 марта У нас хорошие новости: до 16 марта 2014 года можно приобрести билет на PHDays IV со скидкой Early Birds! Стоимость билета со скидкой составляет 9770 руб. за два дня и 7470 руб. за один день. С 17 марта цена вырастет — до 13 870 руб. за два дня и 9770 руб. за один. Напоминаем о совершенно бесплатных способах оказаться на форуме. Один из вариантов — представить интересное исследование в сфере ИБ до 31 марта 2014 года и выступить докладчиком на форуме. Кроме того, любой желающий может побороться за инвайт в различных конкурсах (следите за новостями на официальном сайте) или организовать собственный интерактивный PHDays у себя в городе. Все о способах участия в PHDays IV можно узнать на специальной странице мероприятия.