Новости
«Модель для сборки» выступит на PHDays
«Модель для сборки» выступит на PHDays В связи с тем, что вопросы, затрагиваемые в рамках четвертого Positive Hack Days, выходят далеко за границы «технической зоны», участников форума ждет еще один сюрприз. Создатели уникального проекта «Модель для сборки» представят на форуме живой аудиоспектакль, который состоится 21 мая с 19:30 до 22:30 в техноцентре Digital October. История «МДС» началась в 1995 году, когда эта передача впервые появилась в радиоэфире на «Станции 106,8 FM». Многие слушатели познакомились с «МДС» на волнах «Серебряного дождя», где она выходила с 2002 по 2004 годы. В 2012 году на «Неделе российского интернета» программа стала лауреатом премии «Золотой подкаст» как лучший аудиопроект в российском сегменте интернета. Аудиошоу, которое создается под руководством автора идеи и бессменного «голоса» проекта Владислава Коппа, представляет собой литературно-музыкальный симбиоз, состоящий из классических произведений зарубежной и российской литературы, а также современных текстов преимущественно фантастического жанра, которые читают под электронную музыку. Надеемся, что выступление «МДС» вам понравится и даст новую пищу для размышлений о негативных последствиях техноэволюции, ожидающих постиндустриальное человечество в самые ближайшие годы.
Хакерские соревнования на PHDays Everywhere
Хакерские соревнования на PHDays Everywhere В этом году форум Positive Hack Days состоится уже в четвертый раз и, как всегда, присоединиться к нему смогут не только те из вас, кто окажется 21 и 22 мая в московском центре Digital October, но и посетители (и организаторы!) площадок программы PHDays Everywhere, расположенных в разных концах планеты. PHDays Everywhere также легко влилась в жизнь форума за несколько лет его проведения, как соревнование CTF и конкурс «Наливайка». В этом году в разных городах и странах снова соберутся специалисты по информационной безопасности, чтобы посмотреть трансляцию PHDays из Москвы в формате HD, пообщаться и поучаствовать в различных соревнованиях. В предыдущие годы в дополнение к онлайн-конкурсам, в которых может принять участие любой пользователь интернета, для гостей площадок PHDays Everywhere были организованы собственные увлекательные соревнования. Мы не изменим этой традиции и на этот раз. HackQuest В дни проведения форума PHDays IV пройдет организованное лабораторией PentestIT соревнование Online HackQuest, поучаствовать в котором смогут и посетители площадок PHDays Everywhere. Участники конкурса попробуют свои силы в решении различных заданий по информационной безопасности. Правила К участию в HackQuest допускается любой пользователь сети Интернет, но для площадок PHDays Everywhere будет организован отдельный командный зачет. Для участия в конкурсе каждая площадка PHDays Everywhere должна сформировать команду из посетителей мероприятия, которая затем будет соревноваться с командами из других хакспейсов. Далее участникам будет предоставлен доступ к сайту со списком заданий, которые будут разделены по типу и уровню сложности. В случае успешного решения задания команда получает доступ к ключу (флагу), который необходимо отправить жюри с помощью специальной формы. Если флаг правильный — за него будут начислены соответствующие баллы. Победителем командного зачета HackQuest станет команда, которая раньше остальных наберет максимально возможное количество баллов. Регистрация команд будет осуществляться на официальном сайте форума. Конкурс продлится на протяжении всего Positive Hack Days. Победителей ждут памятные призы от организаторов форума и лаборатории PentestIT. PHDays Quiz Каждый из нас не раз смотрел телевикторины. Еще бы! Кому не хочется помериться умом с участниками игры! Это и вправду отличное развлечение, поэтому в рамках конкурсной программы PHDays Everywhere мы устроим собственную интеллектуальную викторину PHDays Quiz, участники которой смогут проверить свои знания в различных аспектах информационных технологий и безопасности. Правила Все просто. Есть несколько категорий вопросов (история ИБ, известные взломы и атаки, хакерский юмор и др.). Есть баллы за правильные ответы (чем сложнее вопрос, тем больше очков начисляется). Нужно ответить на как можно большее количество вопросов. Тот, кто наберет больше всего баллов, станет победителем и получит отличные призы от организаторов. Лучший рассказ в блоге Онлайн- и офлайн-битвы посетителей хакспейсов это замечательно, но уникальные мероприятия в рамках PHDays Everywhere не состоялись бы без людей, которые взяли на себя все заботы по организации хакспейса в своем городе. Это большой труд, и мы считаем, что мир должен знать имена своих героев. Именно поэтому в рамках PHDays IV состоится конкурс блоггеров среди организаторов площадок PHDays Everywhere. Правила Для участия в соревновании необходимо написать развернутую заметку о том, как проходил PHDays в вашем хакспейсе. Публике будет интересно абсолютно все: как проходила организация, какие трудности вам пришлось преодолеть, кто пришел 21 и 22 мая на вашу площадку, какие были запланированы активности — в общем, полный отчет о мероприятии. Естественно, приветствуются фото- и видеоматериалы с места событий. Конкурс будет проходить на протяжении двух недель после старта форума — с 21 мая по 5 июня. Для участия нужно опубликовать свою работу в любом блоге (обязательна подпись автора!), а затем поделиться ссылкой в Твиттере, добавив специальный хештег #PHDContest, — так мы сможем отслеживать все конкурсные посты. Каждая заметка, удовлетворяющая правилам, будет ретвитнута официальными аккаунтами #PHDays (@phdays для англоязычных постов и @phdays_ru для русскоязычных). Затем мы подсчитаем количество ретвитов другими пользователями сервиса, а для финального определения победителя опубликуем специальный пост с ссылками на все конкурсные статьи в блоге PHDays и попросим читателей проголосовать. Тот, кто соберет наибольшее число голосов и ретвитов своего поста, будет назван победителем и получит памятные подарки от организаторов конкурса. Конечно же, этими соревнованиями конкурсная программа PHDays Everywhere не ограничится — каждая площадка организует и свои собственные состязания. Следите за анонсами и до встречи на Positive Hack Days!
Новое на PHDays IV: как взломать Gmail, шпионить через телевизор, подслушать любой телефонный разговор и уронить WordPress
Новое на PHDays IV: как взломать Gmail, шпионить через телевизор, подслушать любой телефонный разговор и уронить WordPress Громкие разоблачения и скандалы, связанные со взломом электронной почты влиятельных пользователей, всегда сопровождаются спорами о подлинности попавшей в сеть переписки. До сих пор считалось, что корректная подпись DKIM однозначно указывает на автора корреспонденции. Но стоит ли на сто процентов доверять этому механизму аутентификации? Об уязвимостях в сервисах Google, Яндекс и Mail.Ru, о небезопасности телевизоров и недостатках устройств на базе ARM расскажут 21 и 22 мая в Москве, на международном форуме по практической безопасности Positive Hack Days IV. Безопасные протоколы небезопасно используются Суммарная аудитория сервисов Google, Яндекса и Mail.Ru приближается к миллиарду пользователей, к анализу их защищенности привлекаются сотни экспертов со всего мира, однако от уязвимостей никто не застрахован. Один из ярчайших представитель российской «старой школы», основатель securityvulns.ru и разработчик прокси-сервера 3proxy Владимир Дубровин (известный под ником 3APA3A) расскажет об ошибках использования протоколов, обеспечивающих приватность, целостность и шифрование данных, — как о хорошо известных (в случае SSL/TLS и Onion Routing), так и о совсем свежих. На десерт Владимир представит новые векторы атак, направленных на получение и подмену информации в различных сервисах, в том числе в электронной почте. Smart TV — умный шпион в вашем доме Телевизор был создан, чтобы сделать нашу жизнь полнее, но никто не подозревал, что наследники приемников «КВН-49», в линзу которых наливалась дистиллированная вода, обернутся компьютерами с собственной операционной системой, камерой, микрофоном, браузером и приложениями. Надо ли говорить, что еще одну дверь в нашу приватную жизнь тут же принялись ломать киберпреступники?.. Донато Ферранте (Donato Ferrante) и Луиджи Аурьемма (Luigi Auriemma), основатели компании ReVuln и известные охотники за уязвимостями в SCADA-системах и многопользовательских играх, расскажут о слабых местах технологии Smart TV, вызывающих интерес злоумышленников, и продемонстрируют уязвимости, обнаруженные в телевизорах со Smart TV разных производителей. Эксплуатация уязвимостей ARM на примере Android Вооружившись ноутбуками, участники мастер-класса Асема Джакхара (Aseem Jakhar) с головой окунутся в проблемы защищенности ARM. Исследователь компании Payatu Technologies и один из основателей конференции Nullcon проведет слушателей по всем кругам ада низкоуровнего программирования: начиная от ассемблирования в архитектуре ARM, через написание шелл-кода, мимо переполнения буфера и обратной разработки — до внедрения кода. Акцент на практических моментах позволит всем желающим освоиться с ассемблированием в ARM и узнать, какие процессы задействованы в эксплуатации уязвимостей Linux-систем на базе ARM. Выбор платформы Android в качестве полигона для экспериментов даст возможность получить представление о принципах разработки и защитных механизмах в самой популярной мобильной ОС. Как подслушать человека на другом конце земного шара В последнее время в интернете и даже в эфире телеканалов появляются записи телефонных переговоров, явно полученные без ведома абонентов. Многие из нас получали также очень странные SMS — а потом огромные счета за услуги мобильной связи. Сергей Пузанков — эксперт Positive Technologies, специализирующийся на информационной безопасности мобильных сетей, рассмотрит возможности злоумышленника, получившего доступ к святая святых телеком-операторов — к системе сигнализации SS7. Он расскажет об алгоритмах проведения атак, направленных на раскрытие конфиденциальных данных абонента и его географического местоположения, на изменение набора подключенных услуг, перенаправление вызовов, несанкционированное «вклинивание» третьей стороны в канал голосовой связи. Все атаки реализуются с помощью документированных сигнальных сообщений. В докладе будут также описаны способы проактивной защиты от подобных атак и методы расследования инцидентов, связанных с уязвимостями сигнальной сети. Молох в роли следователя Тысячи лет назад в честь древнего бога Молоха совершались человеческие жертвоприношения. В случае с открытой высокомасштабируемой системой захвата пакетов Moloch все не так кровожадно (хотя злоумышленники могут с этим и не согласиться). Система служит в качестве инструмента расследования случаев компрометации, поскольку способна захватывать трафик в режиме реального времени. Moloch также используется для поиска и взаимодействия с крупными PCAP-репозиториями в целях проведения исследований (трафик вредоносных программ, трафик эксплойта или сканирования). API системы Moloch облегчает интеграцию с системой SEIM и другими инструментами, что позволяет ускорить анализ. Энди Уик (Andy Wick) и Оуэн Миллер (Eoin Miller) — участники группы CERT корпорации AOL. Участники их hands-on lab смогут установить экземпляры Moloch на собственных виртуальных машинах и узнают, как AOL использует Moloch совместно с другими системами обнаружения вторжений (Suricata, Snort), встраивая функцию оповещения в консоли и SEIM (Sguil, ArcSight), чтобы защитить своих сотрудников, пользователей и интернет в целом. Исследователи также продемонстрируют, как Moloch захватывает трафик сети соревнования PHDays CTF, и подробно разберут все инциденты. Защита промышленных и инфраструктурных объектов в Европе События последних лет, начиная с терактов 11 сентября и заканчивая WikiLeaks и Stuxnet, заставили правительства разных стран начать разработку национальных стратегий кибербезопасности для защиты жизненно важных инфраструктур. Игнасио Паредес — руководитель научно-исследовательского отдела испанского Центра промышленной кибербезопасности — уверен, что сотни тысяч производственных инфраструктур в Европе находятся под угрозой. Он представит доклад о стремительной конвергенции промышленных и корпоративных систем, о связанных с этим процессом рисках и срочных контрмерах, которые необходимо предпринять в целях безопасности европейских государств. И снова о безопасности WordPress Пятая часть (19%) всех сайтов в мире работает на WordPress, поэтому неудивительно, что безопасность этой системы управления контентом имеет огромное значение. Однако несмотря на открытый исходный код и регулярную помощь исследователей в области защиты информации, в данной CMS по-прежнему находят серьезные баги и уязвимости. Бельгиец Том Ван Гутем (Tom Van Goethem), аспирант Лёвенского католического университета, на PHDays IV расскажет о том, как неожиданное поведение MySQL вызывает уязвимость PHP Object Injection в ядре WordPress, и продемонстрирует сценарии использования этой ошибки безопасности. Напоминаем, что анонс выступлений первой группы участников опубликован на официальном сайте. Исследователям, желающим представить свою работу на международном форуме по практической безопасности, необходимо поторопиться: прием заявок заканчивается 31 марта. Впрочем, есть и другие способы попасть в число участников PHDays IV.
Скидка на участие в PHDays IV действует до 16 марта
Скидка на участие в PHDays IV действует до 16 марта У нас хорошие новости: до 16 марта 2014 года можно приобрести билет на PHDays IV со скидкой Early Birds! Стоимость билета со скидкой составляет 9770 руб. за два дня и 7470 руб. за один день. С 17 марта цена вырастет — до 13 870 руб. за два дня и 9770 руб. за один. Напоминаем о совершенно бесплатных способах оказаться на форуме. Один из вариантов — представить интересное исследование в сфере ИБ до 31 марта 2014 года и выступить докладчиком на форуме. Кроме того, любой желающий может побороться за инвайт в различных конкурсах (следите за новостями на официальном сайте) или организовать собственный интерактивный PHDays у себя в городе. Все о способах участия в PHDays IV можно узнать на специальной странице мероприятия.
О чем расскажут на PHDays IV: трояны на SIM-карте и куда бежать при киберналете
О чем расскажут на PHDays IV: трояны на SIM-карте и куда бежать при киберналете Как создать вирус и ботнет для Android? Что можно узнать, купив жесткий диск на аукционе EBay? Чем угрожает SIM-карта своему владельцу? Как скопировать токен одноразовых паролей? 17 февраля стартовал заключительный этап Call For Papers (процедура подачи заявок от докладчиков), который продлится до 31 марта, а сейчас мы анонсируем выступления первой группы участников, попавших в основную техническую программу международного форума по практической безопасности Positive Hack Days IV. Кибероружие против мобильных сетей В идеале мобильные сети должны защищать пользователей сразу по нескольким фронтам: звонки нужно шифровать, данные пользователя защищать, а SIM-карты спасать от вредоносного ПО. Однако многие компании очень неохотно внедряют средства защиты. И даже те, кто предпринимает шаги в этом направлении, зачастую не могут полностью отразить атаки: их меры нацелены на устранение симптомов, а не на решение проблем. В этом докладе будут под микроскопом рассмотрены наиболее изощренные атаки на мобильные сети и SIM-карты, позволяющие обойти традиционные меры защиты. Карстен Нол (Karsten Nohl) — специалист в области шифрования и безопасности данных. Он проводит тестирование систем собственной разработки на наличие проблем безопасности — и обычно умудряется их взламывать. Изготовление зловредов под знаком зеленого робота Google теперь не только лидер в области мобильных платформ, но и создатель самой уязвимой ОС. Несмотря на все усилия Корпорации добра, троянские программы атакуют миллионы пользователей Android — отсылают SMS на короткие номера, крадут деньги с банковских карт, похищают личные данные, ведут скрытую съемку. Понаблюдать за кухней, на которой готовятся вредоносные программы для Android, можно будет в ходе четырехчасового hands-on-lab «Эксплуатация Android». Занятие проведет Адитья Гупта (Aditya Gupta) — основатель компании Attify и член индийского сообщества Null. Он рассмотрит такие темы, как обратная разработка и исследование вредоносных программ для Android, тестирование приложений вручную и при помощи автоматизированных средств, использование Dex и Smali, написание эксплойтов для Webkit и ARM. Киберкопание в киберпомойках Каждый день мы слышим о хакерских «подвигах»: они взламывают сайты крупных компаний, базы данных правительства, миллионы аккаунтов частных лиц. Но настоящая опасность кроется не в нападающих, а в защитниках: для получения приватной информации, как правило, не надо быть компьютерным гением. В ходе своего доклада, названного «Отдайте мне свои данные!», Дейв Кронистер (Dave Chronister) намерен доказать, что критические данные часто хранятся настолько безалаберно, что достаточно просто протянуть за ними руку. В процессе эксперимента автор не будет ничего взламывать, а получит все необходимые сведения легальным путем. Он продемонстрирует самые разные методы получения информации — от покупки гаджетов через Facebook и жестких дисков на аукционах EBay до отслеживания публичных файлообменников. Результаты его экспериментов впечатляют! Дейв является основателем и одним из управляющих партнеров компании Parameter Security. Он вырос в 80-е, когда интернет только начинал развиваться, и с самого начала наблюдал за хакерами и изучал их методы. Занимается аудитом, расследованиями инцидентов и обучением клиентов по всему миру. Его успехи отмечали многие крупные СМИ — CNBC, CNN Headline News, ABC World News Tonight, Bloomberg TV, CBS, FOX Business News, Computer World, Popular Science, Information Security Magazine. Многоразовые токены одноразовых паролей Анализ сторонних каналов (Side Channel Attack) — весьма мощный инструмент для получения скрытых и зашифрованных данных при помощи изучения физических свойств целевого устройства (например, уровня потребляемой электроэнергии). Дэвид Освальд (David Oswald) расскажет о технологии SCA и связанных с ней методах. Слушателей доклада ожидает демонстрация использования SCA на двух примерах: во-первых, исследователь покажет, как можно использовать SCA для обхода IP-защиты в FPGA (bitstream-шифрование), а во-вторых — как получить AES-ключи для токенов одноразовых паролей. Дэвид Освальд (David Oswald) получил степень PhD в области информационных технологий в 2013 году и сейчас работает в Рурском университете города Бохума, на кафедре Embedded Security. Является также одним из основателей компании Kasper & Oswald. Ваши принтеры нравятся «человеку посередине» Решения для печати, которые могут обеспечить надежное шифрование, учет данных и контроль доступа к ним, необходимы крупным корпорациям и финансовым учреждениям. Для целей исследования на многофункциональные устройства (МФУ) со встраиваемым ПО от популярных вендоров была проведена атака типа «человек посередине» (англ. Man in the middle; MitM-attack). Результаты оказались шокирующими: во многих программах были найдены уязвимости, которые позволяют обойти шифрование, собрать с сервера любые отправленные на печать данные, а также делают возможной несанкционированную печать. Якуб Калужны (Jakub Kałużny), который представит доклад на форуме, работает специалистом по информационной безопасности в SecuRing, где проводит тесты на проникновение, анализ уязвимостей, моделирование угроз безопасности веб-приложений и сетевой среды. В 2013 году вошел в «Зал славы» Google. Обнаружение и эксплуатация уязвимостей бизнес-логики Логические уязвимости — наименее изученный класс, зачастую игнорируемый исследователями и пентестерами. Причин много: отсутствие средств автоматизации их обнаружения и эксплуатации, устоявшихся методик тестирования, внятной теоретической базы, которая облегчила бы классификацию. При этом задачи анализа защищенности бизнес-приложений делают логические уязвимости приоритетной целью пентестеров, поскольку атаки на логику зачастую влекут риски, сравнимые с рисками удаленного выполнения произвольного кода. В ходе доклада будут описаны теоретические особенности бизнес-приложений, лежащие в основе логических уязвимостей, а также методика частичного моделирования предметной области, позволяющая быстро определить потенциально проблемные места бизнес-логики и выявить возможные пути развития атак. Практическое применение данной методики будет рассмотрено на примере ряда логических уязвимостей в реальных приложениях. Владимир Кочетков (Vladimir Kochetkov) — эксперт исследовательского центра компании Positive Technologies. Он специализируется на анализе защищенности исходного кода веб-приложений и исследованиях в области теоретических основ безопасности информационных систем. Участник проекта SCADA Strangelove и команды разработчиков анализатора PT Application Inspector. Уделяет много внимания поддержке проектов с открытом кодом, в том числе rsdn.ru. Как вести себя во время атаки Реагирование на ИБ-инциденты часто бывает хаотичным, и в панике люди уничтожают важные доказательства. Четырехчасовой мастер-класс «Реагирование на инциденты и расследование кибератак» нацелен на практическое изучение принципов расследования инцидентов и освоение навыков быстрого и спокойного реагирования, включая сбор улик, анализ системных журналов, памяти и дисков, поиск следов киберпреступлений. Участники получат специальные учебные материалы, виртуальные машины для анализа и на примере симуляций различных инцидентов познакомятся с эффективными сценариями реагирования. Ведущий мастер-класса — болгарский специалист Александр Свердлов (Alexander Sverdlov), работающий в должности IT Security Officer в ProCredit Bank Bulgaria. Александр на PHDays не первый раз: в прошлом году он выступал с мастер-классом по cyber forensics. Intercepter-NG: сниффер нового поколения Доклад посвящен нетривиальному инструменту Intercepter-NG. На сегодняшний день это самый прогрессивный сниффер для пентестера, обладающий большим набором функций. Как ни парадоксально, он более известен за рубежом, чем в России. Помимо обзора основных особенностей утилиты, авторы подробно рассмотрят несколько практических примеров атаки с ее применением. Примеры: недавно засветившаяся на Сhaos Сonstructions MySQL LOAD DATA LOCAL injection и малоизвестная, но достаточно эффективная атака DNS over ICMP. Работу представит Александр Дмитренко (Alexander Dmitrenko) из Чернигова, руководитель отдела обучения компании PentestIT, постоянный автор статей в техноблоге «Хабрахабр» и в журнале «Хакер». Компанию ему составит Арес — эксперт компании PentestIT, который и является создателем Intercepter-NG. Анализ сторонних каналов: практика и немного теории Данная тема нечасто обсуждается на конференциях по компьютерной безопасности, поэтому мы решили рассмотреть две точки зрения. Помимо Дэвида Освальда с исследованием Side Channel Attack выступит Илья Кижватов. Он предоставит общие сведения о сторонних каналах, расскажет об актуальных проблемах и приведет примеры из практики. Слушатели узнают, как определить, существует ли для данного устройства риск атаки по сторонним каналам, как противостоять такому типу атак, научатся самостоятельно проводить анализ сторонних каналов. Илья Кижватов (Ilya Kizhvatov) — старший аналитик голландской компании Riscure. Имея шесть лет опыта работы со встраиваемыми системами безопасности (три года в аспирантуре и три в разработке), специализируется на атаках по сторонним каналам, основанных на уязвимостях в реализации криптосистемы. Случайностей не бывает? Современные приложения широко используют последовательности случайных чисел для решения задач, связанных с безопасностью (ключи шифрования, идентификаторы сессии, капчи, пароли). Взломоустойчивость таких программ сильно зависит от качества генераторов случайных последовательностей. Исследователи расскажут об уязвимостях, обнаруженных в Java-приложениях, которые используют генераторы псевдослучайных чисел. Помимо сценариев успешных атак на такие приложения, авторы продемонстрируют инструмент, позволяющий получить внутренний статус генератора (так называемый seed), а также предыдущее и последующее значения. Кроме того, мы покажем, как использовать этот инструмент для атаки на реально существующие Java-приложения. Михаил Егоров (Mikhail Egorov) является независимым исследователем и квалифицированным программистом (Java, Python), специализируется на фаззинге, обратной разработке, безопасности веб-приложений и сетевой безопасности. Сергей Солдатов более 10 лет занимается практической сетевой безопасностью и участвует в различных проектах, связанных с ISP. Как правильно реверсить драйверы OS X Принято считать, что MacBook и Mac гораздо лучше защищены, нежели компьютеры, работающие под Windows. Однако недавние громкие истории, включая случаи беспрепятственного подключения к встроенным камерам iSight, заставляют в этом усомниться. В своем выступлении «Обратная разработка драйверов OS X» на PHDays IV Егор Федосеев (Egor Fedoseev) расскажет о методах анализа драйверов OS X, сопутствующих сложностях и способах минимизировать трудозатраты. Слушатели познакомятся с особенностями драйверов под Mac, инструментарием для их анализа, существующими проблемами реверсинга в дизассемблере IDA и возможными путями их решения. Доклад представляет интерес для вирусных аналитиков и исследователей безопасности OS X. Егор Федосеев живет в Екатеринбурге и работает в Уральском федеральном университете имени первого Президента России Б. Н. Ельцина. Является руководителем студенческой группы «Хакердом», которая была сформирована осенью 2005 года на математико-механическом факультете УрФУ. Реверсингом занимается с 2004 года. Напоминаем, что у вас еще есть время — до 31 марта — представить свое исследование и выступить на PHDays IV перед несколькими тысячами ведущих мировых экспертов в области информационной безопасности. Кроме того, есть и другие способы попасть в число участников. Полный список выступлений, которые пройдут 21 и 22 мая 2014 года на Positive Hack Days, будет опубликован в апреле на официальном сайте форума.
Две недели до конца приема заявок на PHDays Young School
По многочисленным просьбам мы продлили срок для подачи работ на конкурс молодых ученых в области информационной безопасности. Заявку на участие в PHDays IV Young School можно подать до 1 марта 2014 года (23:59 UTC). В этом году Young School проходит уже в третий раз, а конкурс стал международным: теперь к участию приглашаются и зарубежные исследователи. Напоминанием, что соревнование предназначено для студентов, аспирантов и независимых молодых ученых, ведущих оригинальные исследования по различным направлениям ИБ. Примеры тем, которые нам интересны: Новые цели хакерских атак: от радионяни и кардиостимулятора до атомной станции. Приватность и защита коммерческой тайны во времена PRISM, Сноудена и Ассанжа. Компьютерная криминалистика против целевых APT-атак и кибершпионажа. Новые подходы к обнаружению и предотвращению вторжений. Методы борьбы с DDoS-атаками. Безопасность ERP-систем и бизнес-приложений. Стратегия защиты коммерческой информации (BYOD, MDM, DLP). Противодействие атакам на веб-приложения. Защита виртуальных корпоративных и частных облачных сред. Прикладная криптография. Безопасность государственных информационных систем и электронного правительства. Методы и средства обеспечения физической безопасности. Защита АСУ ТП (SCADA): безопасность промышленных систем и современного города. Финалисты будут приглашены на форум Positive Hack Days IV, чтобы лично представить свои работы. Прошедшим отбор организаторы оплатят перелет и помогут разместиться в Москве. Не упустите шанс рассказать о своих исследованиях всему миру! Заявки с правильно оформленными тезисами принимаются по адресу youngschool@phdays.com до 1 марта 2014 года.
Правила PHDays CTF Quals
Отборочные соревнования PHDays IV CTF вот-вот начнутся, настало время обнародовать правила и рассказать об игровой механике. Прежде всего, новая механика полностью направлена на то, чтобы участвовать в CTF было еще интереснее. Баланс игры рассчитан таким образом, что наибольшее количество баллов (более 90%) начисляется именно за прохождение заданий. То есть в борьбе за победу хакерские навыки по-прежнему важнее всего. Помимо этого, для полноты игрового опыта мы добавили квест. При прохождении квеста участникам нужно будет найти некую информацию в Интернете и предоставить ее жюрейской системе, ответив на ряд вопросов. Легенда квеста продолжает сюжетную линию финальных соревнований PHDays III CTF. Участникам предстоит расследовать инцидент, связанный с распространением червя Detcelfer, в составе оперативной группы "Голем". Прохождение квеста напрямую не влияет на положение в рейтинге CTF. Однако участникам в любом случае придется пройти хотя бы несколько заданий квеста, и вот почему. Квест состоит из серии вопросов, на которые необходимо найти ответы. За каждый найденный ответ участник получает определенное количество баллов-ключей, которые позволяют открывать новые задания для своей команды. Задания подобны обычным CTF-задачам, которые, конечно же, не понаслышке знакомы участникам. Количество баллов-ключей, необходимое для открытия задания, зависит от сложности конкретного задания. Начисляемое за каждый отвеченный вопрос количество баллов-ключей позволит открыть примерно пару заданий. Решение задания вознаграждается начислением фактических баллов: их количество зависит от сложности задания и напрямую влияет на положение команды в рейтинге. Общее количество баллов-ключей, доступное в квесте, намного превышает количество, необходимое для открытия всех заданий. Можно перевести оставшиеся баллы-ключи в фактические баллы (по установленному курсу). Таким образом, ответив на большее количество вопросов, можно повысить свое положение в рейтинге. Кроме того, за полное прохождение квеста начисляется бонус (дополнительные баллы). Хотя, конечно, баланс рассчитан так, что открыть и решить задание выгоднее, чем просто обменять баллы-ключи на рейтинговые баллы. Следует также иметь в виду, что можно не открывать те задания, которые, возможно, не удастся решить. А теперь немного цифр, чтобы вы могли получить представление об игровом балансе: Решение задания: 1000–4000 баллов Обмен максимально возможного количества баллов-ключей (без открытия каких-либо заданий): 6000 баллов Стоимость открытия всех заданий: 50% от всех баллов-ключей Бонус за полное прохождение квеста: 2000 баллов Квест в этот раз добавлен в качестве эксперимента, поэтому мы старались не слишком его усложнять. Надеемся, что квестовая составляющая поможет полнее погрузиться в легенду и сделает CTF более интересным. Будем ждать ваших впечатлений от игры – нам они очень важны! Общие положения Команды, набравшие наибольшее число баллов по результатам отборочного этапа, получат право участвовать в финальном этапе соревнований. Во время отборочных соревнований, каждая команда может состоять из любого количества участников. Во время игры командам запрещается: генерировать неоправданно большой объем трафика, представляющий опасность для игровой инфраструктуры (жюри и других команд); осуществлять атаки за пределы игровой сети; проводить атаки на компьютеры жюри; проводить деструктивные атаки на серверы с заданиями (например, rm –rf /); осуществлять указанные выше действия от имени команд-соперниц; использовать уязвимости жюрейской системы с целью получения незаслуженных баллов. За нарушение правил команда может быть оштрафована или дисквалифицирована. Примечание_** Жюри оставляет за собой право уточнять правила в любой момент до начала игры. Отборочные соревнования PHDays CTF Quals будут проходить на протяжении двух дней 25 и 26 января. По их итогам лучшие команды выйдут в финальную часть турнира, где их уже ждет женская команда SecurityFirst из университета Сун Чон Хян, которая одержала победу в CTF на конференции Power of Community в Сеуле. Чтобы с головой окунуться в мир хакерских сражений вам нужно лишь сформировать команду, зарегистрироваться и принять участие в CTF Quals — так что вперед!
Как попасть на PHDays IV CTF? Участвовать в CTF Quals!
Как попасть на PHDays IV CTF? Участвовать в CTF Quals! PHDays IV все ближе: началась продажа билетов, в самом разгаре Call For Papers и прием работ на конкурс молодых ученых Young School. Но это еще не все! Уже совсем скоро стартует CTF Quals — отборочный этап международных соревнований по защите информации PHDays CTF, финал которых состоится 21 и 22 мая 2014 года в московском техноцентре Digital October во время форума Positive Hack Days. Правила Отборочные соревнования PHDays CTF Quals будут проходить на протяжении двух дней 25 и 26 января. По их итогам лучшие команды выйдут в финальную часть турнира, где их уже ждет женская команда SecurityFirst из университета Сун Чон Хян, которая одержала победу в CTF на конференции Power of Community в Сеуле. В ходе CTF Quals участники столкнутся с множеством интересных заданий: для их решения одновременно понадобятся глубокие теоритические знания современных технологий и развитые практические навыки. Сюжет Изюминкой PHDays CTF снова станет легенда, в соответствии с которой развивается сюжет соревнований. На Positive Hack Days III члены команд-участниц выступали в роли героев, спасающих сказочный D’Errorim от страшных монстров, а в конце игры обнаружили, что приключения только начинаются и теперь им придется спасать уже свой родной мир. Новые отборочные для попадания на PHDays IV CTF продолжат эту сюжетную линию. Битва В прошлом году в отборочных соревнованиях схлестнулись 493 команды из более чем 30 стран мира (хотя бы одно задание выполнили 154 из них), и в этом году сражение обещает быть не менее жарким. Финалистов ждет соперничество с лучшими хакерами со всего света, уникальная инфраструктура, увлекательная легенда, крайне сложные и необычные задания, а также море драйва и незабываемых впечатлений. Чтобы с головой окунуться в мир хакерских сражений вам нужно лишь сформировать команду, зарегистрироваться и принять участие в CTF Quals — так что вперед! P. S. О подготовке и проведении форума PHDays III и хакерских соревнований мы сняли документальный фильм, в который, среди прочего, вошли интервью c победителями CTF — Eindbazen из Голландии (I место) и американской командой PPP (II место), одним из членов которой был знаменитый хакер Джордж Хоц (geohot).
Стартовала продажа билетов на Positive Hack Days IV
Стартовала продажа билетов на Positive Hack Days IV В четверг, 12 декабря в виртуальной кассе международного форума по практической безопасности PHDays IV началась продажа билетов. Зарегистрироваться и купить билет можно уже сейчас — на странице «Принять участие». До 28 февраля действует скидка Early Birds: стоимость билетов составляет 9 770 руб. за два дня и 7 470 руб. за один день. С 1 марта цена вырастет — до 13 870 руб. за два дня и 9 770 руб. за один. По традиции напоминаем о совершенно бесплатных способах оказаться на форуме. Один из вариантов — до 31 марта 2014 года представить интересное исследование в сфере ИБ, которое превратит вас в докладчика. Кроме того, любой желающий может побороться за инвайт в различных конкурсах (следите за новостями на официальном сайте) или организовать собственный интерактивный PHDays у себя в городе. Все о способах участия в PHDays IV можно узнать на специальной странице мероприятия.
Стартует конкурс молодых ученых PHDays IV Young School
В 2014 году на Positive Hack Days IV уже в третий раз пройдет финал конкурса среди молодых исследователей в области информационной безопасности PHDays Young School. На форуме финалисты получат уникальную возможность лично представить результаты своих исследований перед ведущими российскими и мировыми экспертами в области ИБ. Молодых ученых ждет участие в конкурсах по взлому и защите информации, места в первом ряду зрителей на конкурсе CTF и, конечно, традиционно теплая, дружеская атмосфера PHDays. Лучшее исследование будет отмечено специальным призом. Соревнование предназначено для студентов, аспирантов и независимых молодых ученых, ведущих оригинальные исследования по различным направлениям ИБ: Новые цели хакерских атак: от радионяни и кардиостимулятора до атомной станции. Приватность и защита коммерческой тайны во времена PRISM, Сноудена и Ассанжа. Компьютерная криминалистика против целевых APT-атак и кибершпионажа. Новые подходы к обнаружению и предотвращению вторжений. Методы борьбы с DDoS-атаками. Безопасность ERP-систем и бизнес-приложений. Стратегия защиты коммерческой информации (BYOD, MDM, DLP). Противодействие атакам на веб-приложения. Защита виртуальных корпоративных и частных облачных сред. Прикладная криптография. Безопасность государственных информационных систем и электронного правительства. Методы и средства обеспечения физической безопасности. Защита АСУ ТП / SCADA: безопасность промышленных систем и современного города. В этом году к участию в PHDays Young School впервые приглашаются зарубежные исследователи. Финалисты, прошедшие отбор, получат приглашение на Positive Hack Days IV, им оплатят перелет и помогут разместиться в Москве. Впервые PHDays Young School прошел в 2012 году, тогда финалистами стали представители учебных заведений Красноярска, Москвы, Новосибирска, Санкт-Петербурга и Таганрога. Во второй раз Young School состоялся во время проведения форума PHDays III, а победителями стали исследователи из Томска и, уже традиционно, представители Санкт-Петербурга и Таганрога. В прошлом году на конкурс было подано двадцать работ, авторы четырех из них прошли в финал и представили свои исследования на международном форуме Positive Hack Days III — Андрей Исхаков (ТУСУР, Томск), Андрей Чечулин (СПИИРАН, Санкт-Петербург), Николай Ткаченко (ТГУ, Томск) и Ксения Цыганок (ЮФУ, Таганрог). Примите участие в конкурсе! Ознакомьтесь с правилами оформления тезисов и подайте заявку по адресу youngschool@phdays.com до 15 февраля 2014 года!