Новости
Две недели до конца приема заявок на PHDays Young School
По многочисленным просьбам мы продлили срок для подачи работ на конкурс молодых ученых в области информационной безопасности. Заявку на участие в PHDays IV Young School можно подать до 1 марта 2014 года (23:59 UTC). В этом году Young School проходит уже в третий раз, а конкурс стал международным: теперь к участию приглашаются и зарубежные исследователи. Напоминанием, что соревнование предназначено для студентов, аспирантов и независимых молодых ученых, ведущих оригинальные исследования по различным направлениям ИБ. Примеры тем, которые нам интересны: Новые цели хакерских атак: от радионяни и кардиостимулятора до атомной станции. Приватность и защита коммерческой тайны во времена PRISM, Сноудена и Ассанжа. Компьютерная криминалистика против целевых APT-атак и кибершпионажа. Новые подходы к обнаружению и предотвращению вторжений. Методы борьбы с DDoS-атаками. Безопасность ERP-систем и бизнес-приложений. Стратегия защиты коммерческой информации (BYOD, MDM, DLP). Противодействие атакам на веб-приложения. Защита виртуальных корпоративных и частных облачных сред. Прикладная криптография. Безопасность государственных информационных систем и электронного правительства. Методы и средства обеспечения физической безопасности. Защита АСУ ТП (SCADA): безопасность промышленных систем и современного города. Финалисты будут приглашены на форум Positive Hack Days IV, чтобы лично представить свои работы. Прошедшим отбор организаторы оплатят перелет и помогут разместиться в Москве. Не упустите шанс рассказать о своих исследованиях всему миру! Заявки с правильно оформленными тезисами принимаются по адресу youngschool@phdays.com до 1 марта 2014 года.
Правила PHDays CTF Quals
Отборочные соревнования PHDays IV CTF вот-вот начнутся, настало время обнародовать правила и рассказать об игровой механике. Прежде всего, новая механика полностью направлена на то, чтобы участвовать в CTF было еще интереснее. Баланс игры рассчитан таким образом, что наибольшее количество баллов (более 90%) начисляется именно за прохождение заданий. То есть в борьбе за победу хакерские навыки по-прежнему важнее всего. Помимо этого, для полноты игрового опыта мы добавили квест. При прохождении квеста участникам нужно будет найти некую информацию в Интернете и предоставить ее жюрейской системе, ответив на ряд вопросов. Легенда квеста продолжает сюжетную линию финальных соревнований PHDays III CTF. Участникам предстоит расследовать инцидент, связанный с распространением червя Detcelfer, в составе оперативной группы "Голем". Прохождение квеста напрямую не влияет на положение в рейтинге CTF. Однако участникам в любом случае придется пройти хотя бы несколько заданий квеста, и вот почему. Квест состоит из серии вопросов, на которые необходимо найти ответы. За каждый найденный ответ участник получает определенное количество баллов-ключей, которые позволяют открывать новые задания для своей команды. Задания подобны обычным CTF-задачам, которые, конечно же, не понаслышке знакомы участникам. Количество баллов-ключей, необходимое для открытия задания, зависит от сложности конкретного задания. Начисляемое за каждый отвеченный вопрос количество баллов-ключей позволит открыть примерно пару заданий. Решение задания вознаграждается начислением фактических баллов: их количество зависит от сложности задания и напрямую влияет на положение команды в рейтинге. Общее количество баллов-ключей, доступное в квесте, намного превышает количество, необходимое для открытия всех заданий. Можно перевести оставшиеся баллы-ключи в фактические баллы (по установленному курсу). Таким образом, ответив на большее количество вопросов, можно повысить свое положение в рейтинге. Кроме того, за полное прохождение квеста начисляется бонус (дополнительные баллы). Хотя, конечно, баланс рассчитан так, что открыть и решить задание выгоднее, чем просто обменять баллы-ключи на рейтинговые баллы. Следует также иметь в виду, что можно не открывать те задания, которые, возможно, не удастся решить. А теперь немного цифр, чтобы вы могли получить представление об игровом балансе: Решение задания: 1000–4000 баллов Обмен максимально возможного количества баллов-ключей (без открытия каких-либо заданий): 6000 баллов Стоимость открытия всех заданий: 50% от всех баллов-ключей Бонус за полное прохождение квеста: 2000 баллов Квест в этот раз добавлен в качестве эксперимента, поэтому мы старались не слишком его усложнять. Надеемся, что квестовая составляющая поможет полнее погрузиться в легенду и сделает CTF более интересным. Будем ждать ваших впечатлений от игры – нам они очень важны! Общие положения Команды, набравшие наибольшее число баллов по результатам отборочного этапа, получат право участвовать в финальном этапе соревнований. Во время отборочных соревнований, каждая команда может состоять из любого количества участников. Во время игры командам запрещается: генерировать неоправданно большой объем трафика, представляющий опасность для игровой инфраструктуры (жюри и других команд); осуществлять атаки за пределы игровой сети; проводить атаки на компьютеры жюри; проводить деструктивные атаки на серверы с заданиями (например, rm –rf /); осуществлять указанные выше действия от имени команд-соперниц; использовать уязвимости жюрейской системы с целью получения незаслуженных баллов. За нарушение правил команда может быть оштрафована или дисквалифицирована. Примечание_** Жюри оставляет за собой право уточнять правила в любой момент до начала игры. Отборочные соревнования PHDays CTF Quals будут проходить на протяжении двух дней 25 и 26 января. По их итогам лучшие команды выйдут в финальную часть турнира, где их уже ждет женская команда SecurityFirst из университета Сун Чон Хян, которая одержала победу в CTF на конференции Power of Community в Сеуле. Чтобы с головой окунуться в мир хакерских сражений вам нужно лишь сформировать команду, зарегистрироваться и принять участие в CTF Quals — так что вперед!
Как попасть на PHDays IV CTF? Участвовать в CTF Quals!
Как попасть на PHDays IV CTF? Участвовать в CTF Quals! PHDays IV все ближе: началась продажа билетов, в самом разгаре Call For Papers и прием работ на конкурс молодых ученых Young School. Но это еще не все! Уже совсем скоро стартует CTF Quals — отборочный этап международных соревнований по защите информации PHDays CTF, финал которых состоится 21 и 22 мая 2014 года в московском техноцентре Digital October во время форума Positive Hack Days. Правила Отборочные соревнования PHDays CTF Quals будут проходить на протяжении двух дней 25 и 26 января. По их итогам лучшие команды выйдут в финальную часть турнира, где их уже ждет женская команда SecurityFirst из университета Сун Чон Хян, которая одержала победу в CTF на конференции Power of Community в Сеуле. В ходе CTF Quals участники столкнутся с множеством интересных заданий: для их решения одновременно понадобятся глубокие теоритические знания современных технологий и развитые практические навыки. Сюжет Изюминкой PHDays CTF снова станет легенда, в соответствии с которой развивается сюжет соревнований. На Positive Hack Days III члены команд-участниц выступали в роли героев, спасающих сказочный D’Errorim от страшных монстров, а в конце игры обнаружили, что приключения только начинаются и теперь им придется спасать уже свой родной мир. Новые отборочные для попадания на PHDays IV CTF продолжат эту сюжетную линию. Битва В прошлом году в отборочных соревнованиях схлестнулись 493 команды из более чем 30 стран мира (хотя бы одно задание выполнили 154 из них), и в этом году сражение обещает быть не менее жарким. Финалистов ждет соперничество с лучшими хакерами со всего света, уникальная инфраструктура, увлекательная легенда, крайне сложные и необычные задания, а также море драйва и незабываемых впечатлений. Чтобы с головой окунуться в мир хакерских сражений вам нужно лишь сформировать команду, зарегистрироваться и принять участие в CTF Quals — так что вперед! P. S. О подготовке и проведении форума PHDays III и хакерских соревнований мы сняли документальный фильм, в который, среди прочего, вошли интервью c победителями CTF — Eindbazen из Голландии (I место) и американской командой PPP (II место), одним из членов которой был знаменитый хакер Джордж Хоц (geohot).
Стартовала продажа билетов на Positive Hack Days IV
Стартовала продажа билетов на Positive Hack Days IV В четверг, 12 декабря в виртуальной кассе международного форума по практической безопасности PHDays IV началась продажа билетов. Зарегистрироваться и купить билет можно уже сейчас — на странице «Принять участие». До 28 февраля действует скидка Early Birds: стоимость билетов составляет 9 770 руб. за два дня и 7 470 руб. за один день. С 1 марта цена вырастет — до 13 870 руб. за два дня и 9 770 руб. за один. По традиции напоминаем о совершенно бесплатных способах оказаться на форуме. Один из вариантов — до 31 марта 2014 года представить интересное исследование в сфере ИБ, которое превратит вас в докладчика. Кроме того, любой желающий может побороться за инвайт в различных конкурсах (следите за новостями на официальном сайте) или организовать собственный интерактивный PHDays у себя в городе. Все о способах участия в PHDays IV можно узнать на специальной странице мероприятия.
Стартует конкурс молодых ученых PHDays IV Young School
В 2014 году на Positive Hack Days IV уже в третий раз пройдет финал конкурса среди молодых исследователей в области информационной безопасности PHDays Young School. На форуме финалисты получат уникальную возможность лично представить результаты своих исследований перед ведущими российскими и мировыми экспертами в области ИБ. Молодых ученых ждет участие в конкурсах по взлому и защите информации, места в первом ряду зрителей на конкурсе CTF и, конечно, традиционно теплая, дружеская атмосфера PHDays. Лучшее исследование будет отмечено специальным призом. Соревнование предназначено для студентов, аспирантов и независимых молодых ученых, ведущих оригинальные исследования по различным направлениям ИБ: Новые цели хакерских атак: от радионяни и кардиостимулятора до атомной станции. Приватность и защита коммерческой тайны во времена PRISM, Сноудена и Ассанжа. Компьютерная криминалистика против целевых APT-атак и кибершпионажа. Новые подходы к обнаружению и предотвращению вторжений. Методы борьбы с DDoS-атаками. Безопасность ERP-систем и бизнес-приложений. Стратегия защиты коммерческой информации (BYOD, MDM, DLP). Противодействие атакам на веб-приложения. Защита виртуальных корпоративных и частных облачных сред. Прикладная криптография. Безопасность государственных информационных систем и электронного правительства. Методы и средства обеспечения физической безопасности. Защита АСУ ТП / SCADA: безопасность промышленных систем и современного города. В этом году к участию в PHDays Young School впервые приглашаются зарубежные исследователи. Финалисты, прошедшие отбор, получат приглашение на Positive Hack Days IV, им оплатят перелет и помогут разместиться в Москве. Впервые PHDays Young School прошел в 2012 году, тогда финалистами стали представители учебных заведений Красноярска, Москвы, Новосибирска, Санкт-Петербурга и Таганрога. Во второй раз Young School состоялся во время проведения форума PHDays III, а победителями стали исследователи из Томска и, уже традиционно, представители Санкт-Петербурга и Таганрога. В прошлом году на конкурс было подано двадцать работ, авторы четырех из них прошли в финал и представили свои исследования на международном форуме Positive Hack Days III — Андрей Исхаков (ТУСУР, Томск), Андрей Чечулин (СПИИРАН, Санкт-Петербург), Николай Ткаченко (ТГУ, Томск) и Ксения Цыганок (ЮФУ, Таганрог). Примите участие в конкурсе! Ознакомьтесь с правилами оформления тезисов и подайте заявку по адресу youngschool@phdays.com до 15 февраля 2014 года!
Форум PHDays IV будет посвящен поиску новых рецептов выживания в киберпространстве
Форум PHDays IV будет посвящен поиску новых рецептов выживания в киберпространстве Международный форум по практической безопасности Positive Hack Days IV состоится 21—22 мая следующего года в техноцентре Digital October. Полномасштабная подготовка мероприятия, побеждавшего в рейтингах, получавшего премии и заслужившего немало добрых слов от профессионалов ИБ-сообщества, уже стартовала. По традиции гостей и участников PHDays ждет огромное количество увлекательных докладов и мастер-классов ведущих ИБ-экспертов со всего мира, профессиональная дискуссия, а также весьма и весьма реалистичные соревнования, конкурсы и демонстрации. Правила форума не меняются: максимум практики — минимум формальностей, рекламных материалов и коммерческой пропаганды. Четвертый PHDays будет посвящен новым проблемам, с которыми пришлось столкнуться бизнесу, государству и частным лицам вследствие бурного развития науки и технологий. «Люди тысячелетиями нарабатывали механизмы защиты от различных угроз: строили заборы, придумывали дверные замки, создавали полицию. Однако в современных условиях большая часть человечества напоминает младенцев, которых выкинули в джунгли. Образно говоря, кругом ходят львы, тигры и даже динозавры, а мы разгуливаем в памперсах, не имея никакого адекватного оружия для самозащиты», — говорит Борис Симис, заместитель генерального директора Positive Technologies. Возможные пути развития цивилизации Основные вопросы, которые организаторы планируют обсудить на Positive Hack Days IV, — выходят за рамки сугубо технических. Какие технологии могут использоваться для слежения и обеспечения анонимности? Где границы между свободой гражданина и правом государства на самооборону? Что нам готовит ближайшее будущее с точки зрения обнаружения новых уязвимостей? Каковы новые тенденции в области безопасности ICS, мобильных устройств и интернета? «Сегодня мы живем в мире победившего киберпанка, — говорит Сергей Гордейчик. — Государства, корпорации и преступные группировки ведут необъявленную кибернетическую войну. Компьютерные вирусы легко пересекают границы компьютерного мира и наносят реальный, в том числе физический, ущерб. Миллиарды людей не могут представить себе жизнь без подключения к сети, а объем информации в мире удваивается каждые несколько лет. Начиная подготовку к четвертому форуму Positive Hack Days, мы хотим, чтобы представители государства, бизнеса, индустрии и хакерского сообщества, собравшись на одной площадке, попытались найти новые рецепты выживания в киберпространстве». Как стать докладчиком? 25 ноября открылся PHDays IV Call For Papers — процесс подачи заявок от специалистов в области ИБ, желающих поделиться результатами своих исследований или продемонстрировать навыки в области практической информационной безопасности. Рассматриваются заявки как от признанных экспертов в области ИБ, так и от начинающих исследователей. Все подробности о формате и правилах участия, перечень наиболее интересных нам тем для докладов, а также инструкции для подачи заявки вы можете найти на сайте PHDays. Как это было Напомним, что в разные годы докладчиками и участниками PHDays были легендарный криптограф Брюс Шнайер, Датук Мохд Нур Амин из ООН, лидер фракции ЛДПР в Госдуме и член Госсовета РФ Владимир Жириновский, американский инженер и радиолюбитель Трэвис Гудспид, Руслан Гаттаров из Совета Федерации, основатель China Eagle Union Тао Вань, Георгий Грицай из Минкомсвязи, вице-президент IPONWEB Ник Гэлбрет, Муштак Ахмед из Emirates Airline, Виталий Лютиков из ФСТЭК, разработчик THC-Hydra Марк Хойзе (известный как van Hauser) и многие другие. В прошлом году PHDays III посетили ведущие ИБ-эксперты, хакеры, исследователи, блогеры, журналисты, студенты — из Германии, Индии, Испании, Италии, Кореи, Нидерландов, ОАЭ, США, Японии и других стран. Участниками форума стали представители МВД, ФСБ, Следственного комитета, «Вымпелкома», «Мегафона», «РусГидро», RSA. Программа PHDays включала в себя более 50 докладов, мастер-классов, семинаров и круглых столов. Десятки тысяч человек наблюдали за событиями PHDays III и участвовали в соревнованиях с помощью интерактивной интернет-трансляции PHDays Everywhere. Две тысячи гостей со всего мира, собравшихся на Краснопресненской набережной в Москве, наблюдали, как хакеры вскрывают банкоматы, похищают деньги из систем ДБО и перехватывают управление детской железной дорогой через «взрослую» систему АСУ ТП. Соревнования PHDays III CTF были похожи на компьютерную игру с нелинейным сюжетом и совершенно реальными уязвимостями, а поиск недостатков в системах защиты «Лабиринта» позволял почувствовать себя героем шпионского кино, который вынужден перепрыгивать через лазерные датчики и обходить другие хитрые ловушки. На форуме впервые продемонстрировали опаснейшие уязвимости в современных компонентах АСУ ТП, ошибки безопасности автомобильных видеорегистраторов, способы перехвата управления любой из сотен тысяч камер наблюдения по всему миру, проблемы защищенности в банкоматах и системах доступа в интернет на борту самолетов. Positive Hack Days III привлек к себе пристальное внимание специалистов и вызвал широкий резонанс в IТ-сообществе. Обо всем этом мы сняли фильм, который предлагаем вашему вниманию: http://phdays.ru/about/
Исследователь из Томска победил в конкурсе PHDays III Young School
Исследователь из Томска победил в конкурсе PHDays III Young School Стали известны результаты всероссийского конкурса молодых ученых в области информационной безопасности PHDays III Young School. Авторы четырех работ, выбранных экспертным жюри среди множества других заявок, выступили на форуме PHDays III в Москве перед ведущими мировыми специалистами в области ИБ. Идеи участников PHDays Young School быстро находят практическое применение в реальной жизни. По итогам финального этапа конкурса, наиболее интересной и перспективной была признана работа «Система двухфакторной аутентификации на основе QR-кодов» Андрея Исхакова из Томского университета систем управления и радиоэлектроники. Уже сейчас стало известно, что здания особой экономической зоны Томска (ОЭЗ) в 2014 году будут оснащены системой безопасности, созданной Андреем Исхаковым: электронные пропуска заменит специальная программа идентификации для мобильных телефонов сотрудников. Мобильное приложения победителя PHDays III Young School позволяет устранить недостатки электронных пропусков и проездных билетов, где применяют статичные идентификаторы. Программа Андрея Исхакова автоматически генерирует одноразовые пароли, действующие в течение нескольких секунд, что значительно уменьшает вероятность их копирования и использования злоумышленниками. Второе место в конкурсе занял Андрей Чечулин из Санкт-Петербурга с работой «Построение графов атак для анализа событий безопасности». Третьим стал Николай Ткаченко (Томск), представивший доклад на тему «Разработка и реализация механизма мандатного управления доступом в СУБД MySQL», а Ксения Цыганок из Таганрога, подготовившая исследование на тему «Статистический анализ для классификации вредоносного программного обеспечения», заняла четвертое место. Конкурс Young School, предназначенный для студентов, аспирантов и независимых молодых ученых, проводится организаторами форума PHDays второй год подряд. Главные задачи соревнования — определение готовности выпускников отечественных вузов к самостоятельным исследованиям и поиск в университетском сообществе перспективных специалистов в области информационной безопасности. В 2012 году работы всех восьми финалистов конкурса были опубликованы в рецензируемых журналах из перечня ВАК, что является подтверждением высокого уровня представленных работ. Конкурс молодых ученых проходит в рамках образовательной программы Positive Education компании Positive Technologies. Эта инициатива призвана расширить границы тех знаний, которые молодые специалисты получают в стенах вузов, и добавить в образовательный процесс опыт практической безопасности, накопленный экспертами Positive Technologies. В этом году победителей Young School определяли ведущие эксперты ИБ-индустрии из Positive Technologies, Microsoft, Advanced Monitoring, Digital Security, ERPScan, «Яндекса», журнала «Хакер», ВМК МГУ, МИФИ, СПИИРАН, Дармштадтского технического и Тюбингенского университетов, Russian Defcon Group. Конкурс проводился при поддержке компании «Астерос», интеллектуального партнера форума. «Я рискую показаться Капитаном Очевидность, но мне кажется, такие конкурсы играют немалую роль в создании современного ИБ-комьюнити и мотивируют молодых специалистов заниматься реальными исследовательскими проектами. Так скоро, глядишь, и количество скачиваемых готовых курсовых работ снизится до единичных случаев», — говорит Андрей Петухов из ВМК МГУ, идейный вдохновитель и один из организаторов PHDays III Young School. «В последнее время сложился устойчивый стереотип: выпускник вуза — это человек, которого еще несколько лет нужно учить профессии. Задумывая секцию Young School, мы стремились показать, что это не так: студенты и аспиранты российских вузов вполне способны самостоятельно проводить серьезные исследования и предлагать оригинальные и востребованные технические решения. Было приятно убедиться в том, что мы не ошиблись. Очень хочется, чтобы в процессе обучения у ребят была возможность заниматься не только “бумажной безопасностью”, но и решением практических задач, возникающих в повседневной работе специалистов. Надеюсь, что регулярное проведение конкурсов, подобных Young School, подстегнет здоровое соперничество российских учебных заведений, что пойдет на пользу всем нам», — отметил Дмитрий Кузнецов, заместитель технического директора Positive Technologies.
PHDays III CTF: Levart D’Errorim
PHDays III CTF: Levart D’Errorim В рамках международного форума Positive Hack Days, прошедшего в Москве 23 и 24 мая, по традиции состоялось хакерское соревнование по принципу Capture The Flag. На протяжении двух дней 10 команд из 6 стран мира отбивали атаки соперников и самостоятельно взламывали их сети. Сюжет Чтобы придать соревнованиям изюминку, организаторы PHDays CTF, как и в предыдущие годы, разработали специальную легенду, в соответствии с которой была выстроена сюжетная линия и подготовлена конкурсная инфраструктура. Согласно легенде PHDays III CTF, команды должны были выступить в качестве героев, которые спасут жителей сказочного мира D’Errorim от страшных монстров, уничтожающих все живое. Визуализация Одним из минусов соревнований Capture the Flag сторонние наблюдатели часто называют их незрелищность. Чтобы сделать PHDays CTF самым эффектным хакерским соревнованием, организаторы много сил потратили на разработку визуализации. Благодаря их труду были созданы специальные приложения для iPhone и Android. Установив такое приложение, любой желающий мог следить за ходом битвы прямо на экране своего смартфона. Дополнительно на сайте PHDays был размещен веб-визуализатор. Испытания Условия PHDays CTF, несмотря на оттенок сказочности, сильно приближены к боевым. При разработке заданий учитывался богатый практический опыт экспертов Positive Technologies по выявлению проблем безопасности, поэтому многие уязвимости, заложенные в инфраструктуру соревнований, можно встретить и в обычной жизни. Впрочем, для победы в соревновании участникам было необходимо проявить не только свои хакерские способности. Одним из заданий PHDays CTF стало прохождение лабиринта: командам было необходимо преодолеть лазерное поле, датчики движения, открыть секретные двери, очистить комнату от жучков, сразиться с искусственным разумом и обезвредить бомбу. Еще одним испытанием для команд стало решение одного из заданий конкурса «Конкурентная разведка». Победители Соревнования проходили в ожесточенной борьбе. На протяжении двух дней форума PHDays смена лидера проходила неоднократно: на вершине успели побывать команды ufologists, PPP, RAON_ASRT, Eindbazen и More Smoked Leet Chicken. Победу удалось одержать голландцам из Eindbazen. Вторыми стали победители PHDays CTF 2011 — американская команда PPP, а чемпионы прошлого года, российская команда More Smoked Leet Chicken, заняли третье место. В качестве приза победителей ждали настоящие кейсы с деньгами. Наливайка После битвы CTF члены команд-участниц могли, наконец, расслабиться и принять участие в конкурсе «Наливайка». Многократный победитель этого соревнования Владимир Воронцов (ONSec) уступил титул чемпиона знаменитому хакеру geohot, который прибыл в Москву в составе команды PPP. Свой триумф победитель позднее отметил зажигательным рэп-фристайлом в одном из заведений Москвы.
На PHDays III взломали банкомат
На PHDays III взломали банкомат Во время форума Positive Hack Days III, который состоялся 23 и 24 мая в Москве, зарубежные эксперты по физической безопасности обнаружили и продемонстрировали уязвимости банковского оборудования. Одна из них позволяла получить доступ к сервисной зоне банкомата без ключа, а вторая — перевести банкомат в сервисный режим (в котором он наиболее уязвим для атаки), используя обычную канцелярскую скрепку. Впоследствии на площадке форума прошло соревнование, в ходе которого участники должны были за ограниченное время эксплуатировать обнаруженные уязвимости и воспроизвести действия, позволяющие перевести банкомат в сервисный режим. Победителем соревнования стал студент первого курса филиала Северо-Кавказского федерального университета Михаил Елизаров (г. Невинномысск, Ставропольский край), сумевший быстрее других финалистов выполнить конкурсные задания. Традиционно на Positive Hack Days вопросам банковской безопасности уделяется большое внимание. Так, помимо соревнования по анализу физической защищенности банкомата, прошел конкурс «Большой Ку$h», участники которого искали ошибки безопасности в системе ДБО. Также во второй день форума состоялась секция «Банковские приложения и киберпреступность: кто победит?», модератором которой стал начальник управления ИБ Россельхозбанка Артем Михайлович Сычев. Помимо соревнования по анализу физической безопасности банкомата, специалисты по информационной безопасности компании Positive Technologies Ольга Кочетова и Алексей Осипов провели серию мастер-классов, благодаря которым слушатели узнали о методах, которыми мошенники пользуются, чтобы завладеть деньгами доверчивых граждан. Среди способов обмана: установка накладок на клавиатуру, слоты для карты или выдачи купюр, установка подглядывающих мини-видеокамер. «Театр начинается с вешалки, а безопасность — с физической защиты, и об этом не стоит забывать даже в наш век сверхсовременных вирусов и киберужия. Информация об уязвимостях, которые эксплуатировались во время соревнования, была передана разработчикам банкоматов для подготовки контрмер», — сказала Ольга Кочетова. Победитель соревнования Михаил Елизаров также стал победителем конкурса по анализу защищенности систем АСУ ТП под названием Choo Choo Pwn, который проводился в рамках форума. Победитель и финалисты соревнования Leave ATM Alone получили памятные призы от организатора форума PHDays, компании Positive Technologies, — и от спонсоров мероприятия.
На PHDays студенты нашли уязвимости в АСУ ТП
На PHDays студенты нашли уязвимости в АСУ ТП Студент первого курса Северо-Кавказского федерального университета Михаил Елизаров (г. Невинномысск, Ставропольский край) и студент из Минска Арсений Левшин стали победителями конкурса по анализу защищенности АСУ ТП, который проходил во время международного форума Positive Hack Days III. АСУ ТП используются для управления критически важными объектами в сферах энергетики, транспорта и многих других. К примеру, такие системы устанавливаются на атомных электростанциях и скоростных электропоездах. Нарушение работоспособности АСУ ТП может привести к настоящей катастрофе и большому ущербу, однако разработчики таких систем все еще уделяют недостаточно внимания защищенности своих продуктов, что и было доказано результатами конкурса. В ходе соревнования под названием Choo Choo Pwn участники должны были найти и воспользоваться уязвимостями промышленного оборудования, отвечающего за управление и автоматизацию технологических процессов. Цель соревнования — получить доступ к системе управления моделью железной дороги и погрузки контейнеров, а также, в качестве дополнительного задания, нарушить работоспособность системы видеонаблюдения. Разработкой модели железной дороги и АСУ ТП, представленных на соревновании, занимались эксперты по информационной безопасности Positive Technologies Александр Тиморин, Илья Карпов, Глеб Грицай и Дмитрий Ефанов. Михаил Елизаров рассказал о ходе выполнения задания: «Сначала мы пытались получить контроль над системой погрузки контейнеров, которая работала на протоколе Modbus. Нам удалось найти в сети программу, которая эмулировала работу этого протокола, что помогло подобрать управляющие биты и передать его системе, получив управление над краном для погрузки. Мы успели обнаружить уязвимости не во всех представленных на конкурсе протоколах: нам просто не хватило времени». По словам Елизарова, в SCADA-системах содержится большое количество уязвимостей, поскольку разработчики рассчитывают на то, что эти системы не будут иметь непосредственного соединения с Интернетом, и поэтому не уделяют должного внимания безопасности. «Честно сказать, это был мой первый опыт работы с промышленными протоколами. На конкурсе была представлена вполне серьезная эмуляция SCADA, так что поучаствовать в соревновании по анализу защищенности системы было очень интересно», — сказал Арсений Левшин. «После появления Stuxnet и целенаправленных атак на АСУ ТП защита промышленных систем стала горячей темой для публикаций, конференций и исследований. С другой стороны, во многом это направление является terra incognita и требует серьезных инвестиций. Подобные конкурсы помогают наглядно продемонстрировать насколько низок текущий уровень безопасности критически важных объектов информационной инфраструктуры», — прокомментировал результаты соревнования заместитель генерального директора Positive Technologies Сергей Гордейчик. Отметим, что Михаил Елизаров также победил в конкурсе по взлому банкомата, который проходил во время форума. Победители получили призы от организаторов PHDays, компании Positive Technologies, — и от спонсоров мероприятия.