Новости
Форум PHDays IV будет посвящен поиску новых рецептов выживания в киберпространстве
Форум PHDays IV будет посвящен поиску новых рецептов выживания в киберпространстве Международный форум по практической безопасности Positive Hack Days IV состоится 21—22 мая следующего года в техноцентре Digital October. Полномасштабная подготовка мероприятия, побеждавшего в рейтингах, получавшего премии и заслужившего немало добрых слов от профессионалов ИБ-сообщества, уже стартовала. По традиции гостей и участников PHDays ждет огромное количество увлекательных докладов и мастер-классов ведущих ИБ-экспертов со всего мира, профессиональная дискуссия, а также весьма и весьма реалистичные соревнования, конкурсы и демонстрации. Правила форума не меняются: максимум практики — минимум формальностей, рекламных материалов и коммерческой пропаганды. Четвертый PHDays будет посвящен новым проблемам, с которыми пришлось столкнуться бизнесу, государству и частным лицам вследствие бурного развития науки и технологий. «Люди тысячелетиями нарабатывали механизмы защиты от различных угроз: строили заборы, придумывали дверные замки, создавали полицию. Однако в современных условиях большая часть человечества напоминает младенцев, которых выкинули в джунгли. Образно говоря, кругом ходят львы, тигры и даже динозавры, а мы разгуливаем в памперсах, не имея никакого адекватного оружия для самозащиты», — говорит Борис Симис, заместитель генерального директора Positive Technologies. Возможные пути развития цивилизации Основные вопросы, которые организаторы планируют обсудить на Positive Hack Days IV, — выходят за рамки сугубо технических. Какие технологии могут использоваться для слежения и обеспечения анонимности? Где границы между свободой гражданина и правом государства на самооборону? Что нам готовит ближайшее будущее с точки зрения обнаружения новых уязвимостей? Каковы новые тенденции в области безопасности ICS, мобильных устройств и интернета? «Сегодня мы живем в мире победившего киберпанка, — говорит Сергей Гордейчик. — Государства, корпорации и преступные группировки ведут необъявленную кибернетическую войну. Компьютерные вирусы легко пересекают границы компьютерного мира и наносят реальный, в том числе физический, ущерб. Миллиарды людей не могут представить себе жизнь без подключения к сети, а объем информации в мире удваивается каждые несколько лет. Начиная подготовку к четвертому форуму Positive Hack Days, мы хотим, чтобы представители государства, бизнеса, индустрии и хакерского сообщества, собравшись на одной площадке, попытались найти новые рецепты выживания в киберпространстве». Как стать докладчиком? 25 ноября открылся PHDays IV Call For Papers — процесс подачи заявок от специалистов в области ИБ, желающих поделиться результатами своих исследований или продемонстрировать навыки в области практической информационной безопасности. Рассматриваются заявки как от признанных экспертов в области ИБ, так и от начинающих исследователей. Все подробности о формате и правилах участия, перечень наиболее интересных нам тем для докладов, а также инструкции для подачи заявки вы можете найти на сайте PHDays. Как это было Напомним, что в разные годы докладчиками и участниками PHDays были легендарный криптограф Брюс Шнайер, Датук Мохд Нур Амин из ООН, лидер фракции ЛДПР в Госдуме и член Госсовета РФ Владимир Жириновский, американский инженер и радиолюбитель Трэвис Гудспид, Руслан Гаттаров из Совета Федерации, основатель China Eagle Union Тао Вань, Георгий Грицай из Минкомсвязи, вице-президент IPONWEB Ник Гэлбрет, Муштак Ахмед из Emirates Airline, Виталий Лютиков из ФСТЭК, разработчик THC-Hydra Марк Хойзе (известный как van Hauser) и многие другие. В прошлом году PHDays III посетили ведущие ИБ-эксперты, хакеры, исследователи, блогеры, журналисты, студенты — из Германии, Индии, Испании, Италии, Кореи, Нидерландов, ОАЭ, США, Японии и других стран. Участниками форума стали представители МВД, ФСБ, Следственного комитета, «Вымпелкома», «Мегафона», «РусГидро», RSA. Программа PHDays включала в себя более 50 докладов, мастер-классов, семинаров и круглых столов. Десятки тысяч человек наблюдали за событиями PHDays III и участвовали в соревнованиях с помощью интерактивной интернет-трансляции PHDays Everywhere. Две тысячи гостей со всего мира, собравшихся на Краснопресненской набережной в Москве, наблюдали, как хакеры вскрывают банкоматы, похищают деньги из систем ДБО и перехватывают управление детской железной дорогой через «взрослую» систему АСУ ТП. Соревнования PHDays III CTF были похожи на компьютерную игру с нелинейным сюжетом и совершенно реальными уязвимостями, а поиск недостатков в системах защиты «Лабиринта» позволял почувствовать себя героем шпионского кино, который вынужден перепрыгивать через лазерные датчики и обходить другие хитрые ловушки. На форуме впервые продемонстрировали опаснейшие уязвимости в современных компонентах АСУ ТП, ошибки безопасности автомобильных видеорегистраторов, способы перехвата управления любой из сотен тысяч камер наблюдения по всему миру, проблемы защищенности в банкоматах и системах доступа в интернет на борту самолетов. Positive Hack Days III привлек к себе пристальное внимание специалистов и вызвал широкий резонанс в IТ-сообществе. Обо всем этом мы сняли фильм, который предлагаем вашему вниманию: http://phdays.ru/about/
Исследователь из Томска победил в конкурсе PHDays III Young School
Исследователь из Томска победил в конкурсе PHDays III Young School Стали известны результаты всероссийского конкурса молодых ученых в области информационной безопасности PHDays III Young School. Авторы четырех работ, выбранных экспертным жюри среди множества других заявок, выступили на форуме PHDays III в Москве перед ведущими мировыми специалистами в области ИБ. Идеи участников PHDays Young School быстро находят практическое применение в реальной жизни. По итогам финального этапа конкурса, наиболее интересной и перспективной была признана работа «Система двухфакторной аутентификации на основе QR-кодов» Андрея Исхакова из Томского университета систем управления и радиоэлектроники. Уже сейчас стало известно, что здания особой экономической зоны Томска (ОЭЗ) в 2014 году будут оснащены системой безопасности, созданной Андреем Исхаковым: электронные пропуска заменит специальная программа идентификации для мобильных телефонов сотрудников. Мобильное приложения победителя PHDays III Young School позволяет устранить недостатки электронных пропусков и проездных билетов, где применяют статичные идентификаторы. Программа Андрея Исхакова автоматически генерирует одноразовые пароли, действующие в течение нескольких секунд, что значительно уменьшает вероятность их копирования и использования злоумышленниками. Второе место в конкурсе занял Андрей Чечулин из Санкт-Петербурга с работой «Построение графов атак для анализа событий безопасности». Третьим стал Николай Ткаченко (Томск), представивший доклад на тему «Разработка и реализация механизма мандатного управления доступом в СУБД MySQL», а Ксения Цыганок из Таганрога, подготовившая исследование на тему «Статистический анализ для классификации вредоносного программного обеспечения», заняла четвертое место. Конкурс Young School, предназначенный для студентов, аспирантов и независимых молодых ученых, проводится организаторами форума PHDays второй год подряд. Главные задачи соревнования — определение готовности выпускников отечественных вузов к самостоятельным исследованиям и поиск в университетском сообществе перспективных специалистов в области информационной безопасности. В 2012 году работы всех восьми финалистов конкурса были опубликованы в рецензируемых журналах из перечня ВАК, что является подтверждением высокого уровня представленных работ. Конкурс молодых ученых проходит в рамках образовательной программы Positive Education компании Positive Technologies. Эта инициатива призвана расширить границы тех знаний, которые молодые специалисты получают в стенах вузов, и добавить в образовательный процесс опыт практической безопасности, накопленный экспертами Positive Technologies. В этом году победителей Young School определяли ведущие эксперты ИБ-индустрии из Positive Technologies, Microsoft, Advanced Monitoring, Digital Security, ERPScan, «Яндекса», журнала «Хакер», ВМК МГУ, МИФИ, СПИИРАН, Дармштадтского технического и Тюбингенского университетов, Russian Defcon Group. Конкурс проводился при поддержке компании «Астерос», интеллектуального партнера форума. «Я рискую показаться Капитаном Очевидность, но мне кажется, такие конкурсы играют немалую роль в создании современного ИБ-комьюнити и мотивируют молодых специалистов заниматься реальными исследовательскими проектами. Так скоро, глядишь, и количество скачиваемых готовых курсовых работ снизится до единичных случаев», — говорит Андрей Петухов из ВМК МГУ, идейный вдохновитель и один из организаторов PHDays III Young School. «В последнее время сложился устойчивый стереотип: выпускник вуза — это человек, которого еще несколько лет нужно учить профессии. Задумывая секцию Young School, мы стремились показать, что это не так: студенты и аспиранты российских вузов вполне способны самостоятельно проводить серьезные исследования и предлагать оригинальные и востребованные технические решения. Было приятно убедиться в том, что мы не ошиблись. Очень хочется, чтобы в процессе обучения у ребят была возможность заниматься не только “бумажной безопасностью”, но и решением практических задач, возникающих в повседневной работе специалистов. Надеюсь, что регулярное проведение конкурсов, подобных Young School, подстегнет здоровое соперничество российских учебных заведений, что пойдет на пользу всем нам», — отметил Дмитрий Кузнецов, заместитель технического директора Positive Technologies.
PHDays III CTF: Levart D’Errorim
PHDays III CTF: Levart D’Errorim В рамках международного форума Positive Hack Days, прошедшего в Москве 23 и 24 мая, по традиции состоялось хакерское соревнование по принципу Capture The Flag. На протяжении двух дней 10 команд из 6 стран мира отбивали атаки соперников и самостоятельно взламывали их сети. Сюжет Чтобы придать соревнованиям изюминку, организаторы PHDays CTF, как и в предыдущие годы, разработали специальную легенду, в соответствии с которой была выстроена сюжетная линия и подготовлена конкурсная инфраструктура. Согласно легенде PHDays III CTF, команды должны были выступить в качестве героев, которые спасут жителей сказочного мира D’Errorim от страшных монстров, уничтожающих все живое. Визуализация Одним из минусов соревнований Capture the Flag сторонние наблюдатели часто называют их незрелищность. Чтобы сделать PHDays CTF самым эффектным хакерским соревнованием, организаторы много сил потратили на разработку визуализации. Благодаря их труду были созданы специальные приложения для iPhone и Android. Установив такое приложение, любой желающий мог следить за ходом битвы прямо на экране своего смартфона. Дополнительно на сайте PHDays был размещен веб-визуализатор. Испытания Условия PHDays CTF, несмотря на оттенок сказочности, сильно приближены к боевым. При разработке заданий учитывался богатый практический опыт экспертов Positive Technologies по выявлению проблем безопасности, поэтому многие уязвимости, заложенные в инфраструктуру соревнований, можно встретить и в обычной жизни. Впрочем, для победы в соревновании участникам было необходимо проявить не только свои хакерские способности. Одним из заданий PHDays CTF стало прохождение лабиринта: командам было необходимо преодолеть лазерное поле, датчики движения, открыть секретные двери, очистить комнату от жучков, сразиться с искусственным разумом и обезвредить бомбу. Еще одним испытанием для команд стало решение одного из заданий конкурса «Конкурентная разведка». Победители Соревнования проходили в ожесточенной борьбе. На протяжении двух дней форума PHDays смена лидера проходила неоднократно: на вершине успели побывать команды ufologists, PPP, RAON_ASRT, Eindbazen и More Smoked Leet Chicken. Победу удалось одержать голландцам из Eindbazen. Вторыми стали победители PHDays CTF 2011 — американская команда PPP, а чемпионы прошлого года, российская команда More Smoked Leet Chicken, заняли третье место. В качестве приза победителей ждали настоящие кейсы с деньгами. Наливайка После битвы CTF члены команд-участниц могли, наконец, расслабиться и принять участие в конкурсе «Наливайка». Многократный победитель этого соревнования Владимир Воронцов (ONSec) уступил титул чемпиона знаменитому хакеру geohot, который прибыл в Москву в составе команды PPP. Свой триумф победитель позднее отметил зажигательным рэп-фристайлом в одном из заведений Москвы.
На PHDays III взломали банкомат
На PHDays III взломали банкомат Во время форума Positive Hack Days III, который состоялся 23 и 24 мая в Москве, зарубежные эксперты по физической безопасности обнаружили и продемонстрировали уязвимости банковского оборудования. Одна из них позволяла получить доступ к сервисной зоне банкомата без ключа, а вторая — перевести банкомат в сервисный режим (в котором он наиболее уязвим для атаки), используя обычную канцелярскую скрепку. Впоследствии на площадке форума прошло соревнование, в ходе которого участники должны были за ограниченное время эксплуатировать обнаруженные уязвимости и воспроизвести действия, позволяющие перевести банкомат в сервисный режим. Победителем соревнования стал студент первого курса филиала Северо-Кавказского федерального университета Михаил Елизаров (г. Невинномысск, Ставропольский край), сумевший быстрее других финалистов выполнить конкурсные задания. Традиционно на Positive Hack Days вопросам банковской безопасности уделяется большое внимание. Так, помимо соревнования по анализу физической защищенности банкомата, прошел конкурс «Большой Ку$h», участники которого искали ошибки безопасности в системе ДБО. Также во второй день форума состоялась секция «Банковские приложения и киберпреступность: кто победит?», модератором которой стал начальник управления ИБ Россельхозбанка Артем Михайлович Сычев. Помимо соревнования по анализу физической безопасности банкомата, специалисты по информационной безопасности компании Positive Technologies Ольга Кочетова и Алексей Осипов провели серию мастер-классов, благодаря которым слушатели узнали о методах, которыми мошенники пользуются, чтобы завладеть деньгами доверчивых граждан. Среди способов обмана: установка накладок на клавиатуру, слоты для карты или выдачи купюр, установка подглядывающих мини-видеокамер. «Театр начинается с вешалки, а безопасность — с физической защиты, и об этом не стоит забывать даже в наш век сверхсовременных вирусов и киберужия. Информация об уязвимостях, которые эксплуатировались во время соревнования, была передана разработчикам банкоматов для подготовки контрмер», — сказала Ольга Кочетова. Победитель соревнования Михаил Елизаров также стал победителем конкурса по анализу защищенности систем АСУ ТП под названием Choo Choo Pwn, который проводился в рамках форума. Победитель и финалисты соревнования Leave ATM Alone получили памятные призы от организатора форума PHDays, компании Positive Technologies, — и от спонсоров мероприятия.
На PHDays студенты нашли уязвимости в АСУ ТП
На PHDays студенты нашли уязвимости в АСУ ТП Студент первого курса Северо-Кавказского федерального университета Михаил Елизаров (г. Невинномысск, Ставропольский край) и студент из Минска Арсений Левшин стали победителями конкурса по анализу защищенности АСУ ТП, который проходил во время международного форума Positive Hack Days III. АСУ ТП используются для управления критически важными объектами в сферах энергетики, транспорта и многих других. К примеру, такие системы устанавливаются на атомных электростанциях и скоростных электропоездах. Нарушение работоспособности АСУ ТП может привести к настоящей катастрофе и большому ущербу, однако разработчики таких систем все еще уделяют недостаточно внимания защищенности своих продуктов, что и было доказано результатами конкурса. В ходе соревнования под названием Choo Choo Pwn участники должны были найти и воспользоваться уязвимостями промышленного оборудования, отвечающего за управление и автоматизацию технологических процессов. Цель соревнования — получить доступ к системе управления моделью железной дороги и погрузки контейнеров, а также, в качестве дополнительного задания, нарушить работоспособность системы видеонаблюдения. Разработкой модели железной дороги и АСУ ТП, представленных на соревновании, занимались эксперты по информационной безопасности Positive Technologies Александр Тиморин, Илья Карпов, Глеб Грицай и Дмитрий Ефанов. Михаил Елизаров рассказал о ходе выполнения задания: «Сначала мы пытались получить контроль над системой погрузки контейнеров, которая работала на протоколе Modbus. Нам удалось найти в сети программу, которая эмулировала работу этого протокола, что помогло подобрать управляющие биты и передать его системе, получив управление над краном для погрузки. Мы успели обнаружить уязвимости не во всех представленных на конкурсе протоколах: нам просто не хватило времени». По словам Елизарова, в SCADA-системах содержится большое количество уязвимостей, поскольку разработчики рассчитывают на то, что эти системы не будут иметь непосредственного соединения с Интернетом, и поэтому не уделяют должного внимания безопасности. «Честно сказать, это был мой первый опыт работы с промышленными протоколами. На конкурсе была представлена вполне серьезная эмуляция SCADA, так что поучаствовать в соревновании по анализу защищенности системы было очень интересно», — сказал Арсений Левшин. «После появления Stuxnet и целенаправленных атак на АСУ ТП защита промышленных систем стала горячей темой для публикаций, конференций и исследований. С другой стороны, во многом это направление является terra incognita и требует серьезных инвестиций. Подобные конкурсы помогают наглядно продемонстрировать насколько низок текущий уровень безопасности критически важных объектов информационной инфраструктуры», — прокомментировал результаты соревнования заместитель генерального директора Positive Technologies Сергей Гордейчик. Отметим, что Михаил Елизаров также победил в конкурсе по взлому банкомата, который проходил во время форума. Победители получили призы от организаторов PHDays, компании Positive Technologies, — и от спонсоров мероприятия.
Специалист из Перми победил в конкурсе по анализу защищенности сетевой инфраструктуры на PHDays
Специалист из Перми победил в конкурсе по анализу защищенности сетевой инфраструктуры на PHDays Безопасность сетевой инфраструктуры — важнейшая задача для бизнеса. Нередки случаи, когда компании терпят колоссальные убытки и даже совсем разоряются из-за того, что злоумышленникам удалось проникнуть во внутреннюю сеть организации и похитить критически важные данные. При этом оборудование, на основе которого построена сеть, зачастую играет ведущую роль в обеспечении высокого уровня защищенности. Российский эксперт по сетевому администрированию и безопасности Станислав Миронов из Перми, ныне работающий в коммерческом банке в Москве, победил в конкурсе по взлому сетевой инфраструктуры NetHack. В ходе соревнования участники должны были в условиях жестких временных ограничений получить доступ к игровой сети и добраться до немаршрутизируемого сегмента, в котором находилась специальная автоматизированная система. В игровую сеть, построенную специально для конкурса, были заложены типичные уязвимости и ошибки сетевой инфраструктуры, встречавшиеся специалистам Positive Technologies в ходе проведения аудитов безопасности и тестирований на проникновение. Для победы необходимо было всего за час получить доступ к пяти сетевым устройствам, добыть флаги и ввести их в форму на специальной веб-странице. Всего в соревновании приняли участие семь человек. Сетевая инфраструктура для конкурса была разработана экспертами отдела сетевой безопасности исследовательского центра Positive Technologies Михаилом Помзовым и Сергеем Павловым. Первый флаг быстрее всех взял Алексей Кашин, который участвовал в соревновании под ником Foxter. На это ему потребовалось чуть менее 10 минут. Следует отметить, что каждое следующее задание было сложнее предыдущего. Для получения следующего флага потребовалось уже 15 минут. Второй флаг быстрее всех взял Юрий Шкодин (marsei). Затем лидер сменился: Станислав Миронов (st.Ass) взял оставшиеся три флага и одержал таким образом победу в соревновании. На конкурс организаторы выделили 50 минут, но поскольку явного победителя на протяжении этого времени выявить не удалось, конкурс был продлен на 15 минут, которые и решили исход состязания. На последних секундах дополнительного времени Станислав Миронов сумел взять пятый флаг. Остальным участником этого сделать не удалось. В итоге второе место занял Юрий Шкодин, а третьим стал Сергей Станкевич, — оба участника взяли по четыре флага. По словам Станислава Миронова, задания были составлены интересно, и в условиях недостатка времени решить их было совсем непросто, однако в реальной жизни специалист хорошего уровня не должен допускать ошибок в настройке оборудования, подобных тем, которые встречались в игровой сети конкурса. «В серьезных организациях существуют стандарты и процедуры сканирования, которые помогают выявлять ошибки и предотвращать проблемы. Хотя, конечно, ошибки случаются и в реальной жизни», — отметил Миронов. «Предложенные в рамках конкурса задания в основном являются ошибками обслуживания и конфигурирования масштабных сетевых инфраструктур. Они возникают вследствие отступления от требований стандартов и передового опыта. Одним из средств минимизации рисков является использование автоматизированных средств контроля уязвимостей и соответствия стандартам», — сказал руководитель отдела анализа безопасности сетевых устройств Positive Technologies Сергей Павлов. Победители конкурса получили специальные призы от технологического спонсора PHDays, компании Cisco, а также подарки от организатора форума — Positive Technologies.
На Positive Hack Days cтудент из Самары взломал систему ДБО
На Positive Hack Days cтудент из Самары взломал систему ДБО Тема информационной безопасности банков традиционно стала одной из ключевых на Positive Hack Days III. В рамках форума прошли дискуссии, соревнования и мастер-классы, посвященные банковской тематике. Студент пятого курса СамГАУ Анатолий Катюшин под ником heartless в ходе конкурса «Большой ку$h», взломал систему дистанционного банковского обслуживания (ДБО) и «похитил» 4995 рублей. Состязание проходило в два этапа: сначала участникам для анализа были предоставлены копии виртуальных машин, содержащие уязвимые веб-сервисы ДБО, аналогичные реальным системам. На втором этапе конкурса хакеры должны были за ограниченное время эксплуатировать обнаруженные уязвимости и украсть как можно больше денег. Специально для конкурса «Большой ку$h» была разработана система ДБО PHDays iBank, содержащая уязвимости, которые встречаются в банковских системах в реальной жизни. За один час 10 участников должны были воспользоваться проблемами безопасности, обнаруженными на первом этапе соревнования, и перевести деньги с чужих счетов на свой. Всего система содержала 20 000 рублей. Победителю удалось «украсть» только 4995. Выигрыш победителя был удвоен интеллектуальным партнером форума PHDays, компанией «Астерос». «Обнаружение проблем безопасности в образе системы заняло где-то четыре часа, затем нужно было лишь написать скрипт для автоматизации эксплуатирования уязвимости», - сказал Анатолий Катюшин после финала конкурса. Второе место в соревновании занял студент факультета математики НИУ ВШЭ Омар Ганиев (beched), который смог «похитить» 3277 руб. «В прошлом году ошибка в скрипте не позволила мне выступить удачно, в этом году мне повезло больше и удалось занять второе место», - сказал Омар Ганиев. Остальным восьми участникам конкурса не удалось вывести из PHDays iBank ни одного рубля. Отметим, что победители конкурса Анатолий Катюшин и Омар Ганиев работают в качестве специалистов отдела анализа защищенности компании «ИНФОРМЗАЩИТА».
Владимир Жириновский на PHDays III: «Работать надо на позитиве!»
Владимир Жириновский на PHDays III: «Работать надо на позитиве!» В рамках форума по практической безопасности Positive Hack Days III обсуждалась одна из острейших проблем отрасли — кадровая. Вузовские методики обучения устаревают, одаренные специалисты не востребованы и уходят в криминал. Об этом и повели речь член Совета Федерации Руслан Гаттаров, лидер фракции ЛДПР в Госдуме и член Госсовета РФ Владимир Жириновский, заместитель начальника департамента регулирования радиочастот и сетей связи Министерства массовых коммуникаций и связи Георгий Грицай, сотрудник ЦИБ ФСБ Оксана Докучаева, Борис Симис и Елена Бастанжиева из Positive Technologies, а также член оргкомитета Volga CTF Юлия Шестакова (компания «Информзащита») и супермодератор хакерского интернет-форума «Античат» Сергей (Rebz). Вел заседание круглого стола Алексей Лукацкий, бизнес-консультант по ИБ компании Cisco. Алексей Лукацкий отметил особую важность выявленной проблемы: «Сегодня мы стоим на пороге значительных изменений в отрасли. До сих пор преобладало мнение, что молодежь не может найти себе место в информационной безопасности, во всяком случае в легальной ее области. Многие молодые люди уверены, что проще и выгоднее продавать уязвимости или работать на криминальные организации, чем работать над обеспечением безопасности. Круглый стол — это хорошая возможность всем вместе разобраться в наболевших вопросах». Руслан Гаттаров, представлявший на встрече Совет Федерации, признал, что власть очень долго не обращала внимания на информационную безопасность: «В России официально отсутствовала современная стратегия кибербезопасности и не было государственной программы разработки правовых актов, регулирующих эту сферу. Зарубежные коллеги уже много лет не стесняются вкладывать в эту область большие деньги: создавать боевые вирусы, увеличивать бюджеты и количество "киберсолдат" — иногда в десятки раз. Наша же государственная машина инертна, хотя главное — запустить этот маховик. Сейчас мы его со скрипом, но запустили. Президент России стал обращать пристальное внимание на отрасль, из его уст зазвучало слово "кибербезопасность"; в январе вышел Указ Президента № 31с — современный политический документ, который сделает информационную безопасность вопросом государственной важности». «Еще не так давно власть обращала внимание на "Античат" только в двух случаях — либо людей сажали, либо силой заставляли сотрудничать, — поделился опытом Сергей (Rebz), супермодератор "Античата", одного из самых популярных хакерских форумов. — Переломным моментом стал взлом сайта Олега Куваева, создателя Масяни. После громкого скандала, когда нас называли кибертеррористами, администрация "Античата" запретила атаки от имени ресурса. Сейчас мы выступаем категорически против DDoS и кардинга. Мы прилагаем значительные усилия, чтобы обелить "Античат", потому что всем уже понятно, что взломы — это тупиковый путь. Или ты идешь в организованную преступность, или работаешь в области информационной безопасности. Мы за второй вариант». Владимир Жириновский, лидер фракции ЛДПР в Госдуме, рассказал, что его коллеги-законодатели прежде сталкивались главным образом с негативными проявлениями информационной безопасности — взломами и атаками. «И хотя это совершенно новая область знаний, государству необходимо ее поддержать, — отметил Владимир Вольфович. — Поэтому мы готовы создать правовую базу, чтобы эксперты по безопасности могли работать и не бояться ответственности. В свое время даже частное предпринимательство было уголовно наказуемым. Вполне понятно любопытство, проявляемое юными хакерами: что-то взломать, разобрать, посмотреть, как устроено. Без этого нельзя создать ничего нового. Но когда этот интерес крепко замешан на деньгах, когда молодой человек уходит в криминал — плохо становится всем. Хакер — это тот же боксер. Может получать награды, заседать в Думе, как Валуев, быть уважаемым человеком. А может применить свои знания по-другому — в подворотне набить кому-нибудь физиономию и сесть на пять лет. И знать его будет не вся страна, а только работники полиции и прокуратуры. Мы должны сообща найти способы сделать так, чтобы молодые люди не становилась преступниками». «По состоянию на 2012 год в России есть колоссальная потребность в специалистах по ИБ, — заявил Георгий Грицай, заместитель начальника департамента регулирования радиочастот и сетей связи Минкомсвязи. — А вузы выпускают 25 тысяч специалистов в год, причем им требуется 5—7 лет для того, чтобы стать профессионалами-практиками. Спрос со стороны бизнеса есть, но он не встречает адекватного предложения: качеством образования работодатели часто недовольны. Вопрос выбора белой или черной стороны — во многом мировоззренческий. Однако в наших силах изменить баланс в сторону "светлой силы". Мы сейчас предпринимаем множество шагов, направленных на поддержку ИБ, начиная от расширения штата специалистов-безопасников в Минкомсвязи и заканчивая проработкой совместно с Министерством обороны вариантов прохождения военной службы по ИБ-специальностям». «Центр информационной безопасности обращает пристальное внимание на развитие движения CTF в России. Мы отмечаем достаточно высокий уровень знаний и навыков участников игр, которые, однако, могут быть использованы не только для защиты или аудита безопасности. При этом мы видим нехватку интереса к подобным играм со стороны органов государственной власти и управления. По нашему мнению, в условиях проблем с трудоустройством в регионах это может привести к вовлечению молодых специалистов в криминальную среду или к утечке мозгов за рубеж, — рассказала об отношении к межвузовским соревнованиям по информационной безопасности Оксана Докучаева, сотрудник ЦИБ ФСБ. — Учитывая важность данной проблемы, мы планируем рекомендовать регионам уделять больше внимания студенческим играм, в том числе для решения кадровых вопросов, а также отслеживать попытки криминальных кругов и зарубежных агентов вовлечь талантливую молодежь в деятельность, которая может нанести ущерб национальной безопасности». «Хакер — это человек с ружьем. Но любое оружие можно использовать как в мирных целях, так и в преступных, — говорит Борис Симис, заместитель генерального директора Positive Technologies. — Вы даже не представляете, сколько мы усилий приложили, чтобы слово Hack в названии форума перестало быть ругательным! Три года назад оно вызывало в обществе недоумение, а сегодня представителей государства на этом форуме — более 40%. Компания Positive Technologies давно занимается просветительской деятельностью: мы создали ведущий в своей области информационный портал SecurityLab.ru, проводим соревнования CTF, реализуем образовательную программу Positive Education. Форум PHDays — это возможность наладить диалог между людьми, которые традиционно находились по разные стороны баррикад». В завершение встречи Алексей Лукацкий отметил, что на законодательном уровне активно разрабатываются меры, направленные на повышение уровня знаний об информационной безопасности у самых широких групп населения, — от создания учебных программ для детских садов и школ до специальных образовательных проектов в СМИ.
Первый день PHDays подошел к концу
Первый день PHDays подошел к концу 23 мая в Центре международной торговли начал свою работу международный форум по практической безопасности Positive Hack Days III, для участия в котором в Москву со всего мира съехались профессионалы ИБ, хакеры, политики и представители интернет-сообщества. В ходе докладов, мастер-классов и разнообразных дискуссий участники мероприятия смогли познакомиться с реальной практической безопасностью, а также обсудить будущее всей отрасли. Молодежь и ИБ В дискуссии приняли участие представители Минкомсвязи, ЦИБ ФСБ, Совета Безопасности, Positive Technologies и RuCTF, а также член Совета Федерации Руслан Гаттаров и лидер фракции ЛДПР и член Государственного совета РФ Владимир Жириновский. В ходе беседы участники отметили, что государство пришло к пониманию роли кибербезопасности и постепенно начинает отвечать на угрозы. В связи с этим профессионалы в области ИБ будут играть все более важную роль. Владимир Жириновский рассказал о том, что его коллеги-законодатели сталкивались главным образом с негативными проявлениями информационной безопасности — взломами и атаками. Кроме того, политик отметил, что несмотря на молодость индустрии безопасности, ее поддержка необходима государству, поэтому Госдума готова создавать правовую базу, которая позволит экспертам по ИБ работать, не боясь ответственности. Безопасность SCADA Одной из важнейших тем, поднятых в первый день PHDays, стала защищенность промышленных систем. Состоялись доклад «Нужны ли модели АСУ ТП при обеспечении информационной безопасности промышленных систем?» Руслана Стефанова, секция «Безопасность АСУ ТП: оксюморон или задача десятилетия», модератором которой стал Гаральд Иванович Бандурин (РусГидро), а также выступление группы исследования безопасности АСУ ТП Positive Technologies «SCADA Strangelove: как создать собственный Stuxnet», в ходе которого был анонсирован выпуск двух новых утилит для проверки защищенности АСУ ТП. Кроме того, каждый участник форума смог ознакомиться с проблемами безопасности промышленных систем благодаря конкурсу Choo Choo Pwn. Его участники должны были получить доступ к модели системы управления (АСУ ТП) железной дороги и погрузки контейнеров, эксплуатируя уязвимости промышленных протоколов и обходя аутентификацию SCADA-систем и веб-интерфейсов промышленного оборудования. В середине дня состоялся соответствующий мастер-класс, посвященный безопасности железнодорожных АСУ ТП, который провели Илья Карпов, Александр Тиморин и Дмитрий Ефанов. Мастер-класс Leave ATM Alone Большой ажиотаж у публики вызвал и мастер-класс по безопасности ПО, установленного на банкоматах, — Leave ATM Alone, который Ольга Кочетова и Алексей Осипов дважды в течение дня провели в зоне соревнований. Слушатели узнали о методах, которые мошенники используют для кражи денег, а также о типичных банкоматных уязвимостях. Лабиринт Никого не оставил равнодушным и конкурс «Лабиринт». Участники преодолевали полосу препятствий, оборудованную лазерным полем и датчиками движения, открывали секретные двери, очищали комнату от «жучков», сражались в интеллектуальном поединке с искусственным разумом и обезвреживали бомбу. PHDays CTF: Levart D'Errorim Третий год подряд проходит эпическое соревнование хакеров PHDays CTF. Десять команд из шести стран мира схлестнулись в битве: им предстоит мощно атаковать системы соперников и твердо защищать свои. Как обычно, соревнования объединены одной легендой: на этот раз участникам уготовано спасти от гибели сказочное государство D’Errorim. Наблюдать за битвой можно не только на площадке форума, но и онлайн — посредством визуализатора на сайте PHDays и специальных мобильных приложений для iOS и Android. Завтра, 24 мая, помимо большого количества мастер-классов и докладов, гостей форума ждет выступление ключевого докладчика PHDays — Марка Хойзе (van Hauser), а также многочисленные соревнования (на площадке и онлайн) и финал PHDays CTF. Следите за новостями!
Онлайн-конкурсы на Positive Hack Days III
Онлайн-конкурсы на Positive Hack Days III Если по какой-либо причине вам не удастся 23 и 24 мая оказаться на площадке форума Positive Hack Days, это не означает, что вы не сможете поучаствовать в мероприятии. Благодаря конкурсной программе форума любой желающий получит возможность сразиться с соперниками со всего мира в ходе увлекательных онлайн-соревнований Positive Hack Days III. Лучший реверсер Цель конкурса — продемонстрировать навыки анализа исполняемых файлов для платформы Microsoft Windows. Конкурсантам будет предложено сгенерировать коды, успешно проходящие валидацию в специально подготовленной программе. Ввод каждого кода возможен только после успешной валидации предыдущего. Разрешается использовать любые методы, не нарушающие законы Российской Федерации. Победителем станет участник, который первым сгенерирует три правильных кода и представит жюри краткое описание процесса их получения. Участники, выполнившие условия конкурса позже победителя, или вычислившие только один или два кода, также займут призовые места по решению жюри. Конкурс будет длиться два дня, на протяжении всего мероприятия. Hash Runner Конкурс Hash Runner подвергнет проверке знания участников в области криптографических алгоритмов хэширования, а также их навыки взлома хэш-функций паролей. К конкурсу допускается любой интернет-пользователь. Конкурс продлится два дня, на протяжении всего форума. Конкурентная разведка Конкурс позволит участникам форума выяснить, насколько быстро и качественно они умеют искать полезную информацию в сети Интернет. На странице конкурса будут опубликованы вопросы, связанные с некой организацией, информацию о которой можно найти в Интернете. Задача участника конкурса — найти как можно больше правильных ответов на поставленные вопросы за минимальное время. Итоги будут подведены в конце второго дня форума. PHDays III Online HackQuest В дни проведения форума PHDays 2013 пройдет соревнование Online HackQuest, доступное из сети Интернет, участники которого смогут попробовать свои силы в решении различных заданий по информационной безопасности. Участникам будет предоставлен доступ к сайту со списком заданий. Задания разделены по типу и уровню сложности. В случае успешного решения задания участник получает доступ к ключу (флагу), который необходимо отправить жюри с помощью специальной формы. Если флаг правильный — за него будут начислены соответствующие баллы. Победителем конкурса станет участник, который раньше остальных наберет максимально возможное количество баллов. К соревнованию допускается любой интернет-пользователь. Регистрация осуществляется на сайте PHDays 2013 III (hackquest.phdays.ru) после начала форума. Конкурс будет длиться на протяжении всего форума. Победители конкурса (три первых места) получат памятные призы и подарки от организаторов форума PHDays, компании Positive Technologies, и спонсоров мероприятия. Регистрация для участия в соревнованиях в полном разгаре! Не упустите возможность продемонстрировать свои навыки и отлично провести время. Подробная информация о конкурсах и призах опубликована на официальном сайте Positive Hack Days.