Новости

17.07.2012

Мастер-класс по взлому тестовой системы ДБО в хакспейсе Neúron

Мастер-класс по взлому тестовой системы ДБО в хакспейсе Neúron Число преступлений, связанных с системами дистанционного банковского обслуживания, за последние несколько лет выросло в несколько раз. Из российских банков ежегодно исчезают сотни миллионов долларов. Чтобы специалист по ИБ мог эффективно противодействовать злоумышленникам, ему необходимо знать основные уязвимости систем ДБО. Менее чем через месяц мы предоставим всем желающим возможность повысить свой профессиональный уровень. 11 августа с 12:00 до 15:00 в московском хакспейсе Neúron состоится мастер-класс, посвященный итогам конкурса «Большой ку$h» (PHDays 2012). Участники мастер-класса не только узнают, как хакеры взламывали систему дистанционного банковского обслуживания PHDays I-Bank, но и смогут повторить подвиги участников конкурса, продемонстрировав свои навыки взлома подобных систем. Напомним, что система PHDays I-Bank была создана специально для соревнований по защите информации, проходивших в рамках форума PHDays 2012 (конкурс «Большой ку$h» и битва CTF vs HackQuest). Интернет-банк содержал в себе реальные типовые уязвимости систем ДБО, найденные специалистами компании Positive Technologies в ходе проведения тестов на проникновение в различных финансовых организациях. Следует отметить, что уязвимости систем ДБО выходят за рамки классических веб-уязвимостей (таких как XSS или SQL Injection): уязвимости в PHDays I-Bank по большей части логические. Для участия в мастер-классе необходимо зарегистрироваться. Ждем вас! P. S. Система PHDays I-Bank была разработана специально для конкурсов в рамках форума PHDays 2012, и НЕ ЯВЛЯЕТСЯ системой, которая действительно работает в каком-либо из существующих банков.

09.07.2012

Забыли пароль? Как проходил взлом хэшей на PHDays 2012

02.07.2012

PHDays 2012 во Владивостоке: как это было

PHDays 2012 во Владивостоке: как это было 30 и 31 мая город студентов, как иногда называют Владивосток, стал одной из крупнейших региональных площадок международного форума по информационной безопасности Positive Hack Days 2012. «Съезд хакеров» Дальнего Востока прошел на базе Дальневосточного федерального университета (ДВФУ) в рамках инициативы PHDays Everywhere, собравшей под свое крыло десятки учебные заведений и хакспейсов из разных стран. Помощь в организации и работе IT-форума в «советском Сан-Франциско» оказали студенты и аспиранты Школы естественных наук ДВФУ. Абсолютными победителями Positive Hack Days во Владивостоке стали хакеры команды Luckers. На втором месте оказались будущие IT-специалисты из команды GrayCap. Третье место завоевала команда АСОИУ. Поздравить лучшие команды и вручить призы 7 июня приехал технический директор Positive Technologies Сергей Гордейчик. Приятным бонусом от технического директора Positive Technologies, как пишет официальный сайт ДВФУ, оказалась небольшая лекция «Белые пятна информационной безопасности», послушать которую пришли не только студенты ДВФУ, но и будущие IT-специалисты из других вузов города. Еще одной хорошей новостью из уст Сергея Гордейчика стало то, что ДВФУ присоединился к образовательной программе Positive Education компании Positive Technologies. «Мы запустили эту программу, чтобы помочь вузам и предложить им новые способы обучения в деле подготовки действительно хороших IT-профессионалов, которых так не хватает на современном рынке. Для студентов ДВФУ так же, как и для других 14 вузов, входящих в нашу образовательную программу, обучение совершенно бесплатно», — отметил Сергей Гордейчик. Аспирант Школы естественных наук и один из самых активных организаторов дальневосточного «съезда хакеров» Сергей Култышев открыл небольшой секрет: «Совместно с нашими новыми партнерами — компанией Positive Technologies — в 2013 году мы планируем провести на базе ДВФУ международную неделю информационных технологий и собрать айтишников и хакеров со всего Азиатско-Тихоокеанского региона — тем самым вывести это мероприятие на новый уровень».

27.06.2012

Совершенно честное ограбление банка: конкурс «Большой Ку$h» на PHDays 2012

Банковская секция «Как защищают деньги?» на PHDays 2012 завершилась, как хороший триллер: участники, только что обсуждавшие насущные проблемы информационной безопасности в отрасли, стали свидетелями ограбления банка. Оружием для «преступников» служили ноутбуки, а роль банка исполняла тестовая система ДБО, разработанная специалистами компании Positive Technologies. Участники конкурса «Большой Ку$h» должны были продемонстрировать свои навыки в области эксплуатации типовых уязвимостей в службах систем ДБО — главным образом логических, а не типичных веб-уязвимостей, таких как Cross-Site Scripting или SQL Injection. Специально для этого соревнования мы с нуля разработали собственную систему ДБО и заложили в нее типичные уязвимости, выявленные экспертами Positive Technologies в ходе анализа защищенности подобных систем. Разработка получила название PHDays I-Bank и представляла собой типичный интернет-банк с веб-интерфейсом, PIN-кодами для доступа к счету и процессингом.

22.06.2012

Смотрите презентации докладов с Positive Hack Days 2012

20.06.2012

Программа Positive Education поможет преподавателям вузов в подготовке специалистов

Программа Positive Education поможет преподавателям вузов в подготовке специалистов Кадровый голод — основная проблема российского рынка информационной безопасности. Ежегодно в профессию приходят около 250 специалистов по ИБ — на порядок меньше того, что требуется. В одной только компании Positive Technologies каждый год возникает более 100 профильных вакансий. Эксперты компании разработали программу Positive Education, в рамках которой будет оказываться содействие российским вузам в подготовке кадров в области информационной безопасности. Об этом сообщил на международном форуме Positive Hack Days 2012 в Москве технический директор компании Сергей Гордейчик. «Сегодня компании вынуждены перекупать, выращивать с нуля, либо "доращивать" специалистов. Цель программы Positive Education — воспитание квалифицированных кадров еще в университетах, — пояснил Гордейчик. — Современные выпускники технических вузов, как правило, неплохо разбираются в математике, но у них слабые практические навыки, поэтому им приходится доучиваться уже в процессе работы». От будущих сотрудников, по словам Сергей Гордейчика, в настоящий момент требуются твердые знания и навыки в области ИТ, включающие близкое знакомство с сетевыми технологиями, операционными системами, СУБД, приложениями и веб-приложениями; понимание защитных механизмов и их реализации на примере конкретных систем; навыки анализа защищенности; опыт в одной из специализаций — в разработке, сопровождении, проектировании, анализе; умение разрабатывать документацию (ЕСКД, ГОСТ). Сергей Гордейчик подчеркнул также, что имеет место некоторый «перекос»: вузы готовят специалистов по стандартам ИБ, тогда как рынок в настоящее время остро нуждается в системных инженерах в области ИБ, специалистах по веб-приложениям, по антивирусной и системной безопасности, по анализу защищенности, системных аналитиках и разработчиках в области ИБ. Российским вузам для самостоятельного создания практических курсов зачастую не хватает ресурсов — как технических, так и кадровых. Аппаратная инфраструктура и программное обеспечение требуют значительных материальных вложений. Компания Positive Technologies готова предоставлять необходимые компоненты для создания практических учебных программ, а также обеспечить российские вузы поддержкой со стороны специалистов компании, имеющих богатый практический опыт в области информационной безопасности. Программа Positive Education — это стенды виртуальных инфраструктур, программные продукты для проведения работ, теоретический материал к практикумам, пошаговое описание лабораторных работ, поддержка и мастер-классы для преподавателей. Специалистами Positive Technologies уже разработаны лабораторные практикумы по темам «Инструментальный анализ защищенности», «Тестирование на проникновение» и «Анализ безопасности веб-приложений». «Мы предлагаем заинтересованным вузам активно подключаться к программе», — заявил Сергей Гордейчик. В настоящий момент к инициативе присоединились 15 российских вузов: · Воронежский институт МВД (ВИ МВД РФ), · Дальневосточный государственный университет путей сообщения (ДВГУПС), · Дальневосточный федеральный университет (ДВФУ), · Институт безопасности бизнеса Национального исследовательского университета «Московский энергетический институт» (ИББ НИУ МЭИ), · Кубанский государственный технологический университет (КубГТУ), · Московский государственный технический университет им. Н. Э. Баумана (МГТУ), · Московский государственный университет им. М. В. Ломоносова (МГУ), · Новосибирский государственный университет экономики и управления (НГУЭУ), · Национальный исследовательский университет «МИЭТ» (НИУ МИЭТ), · Национальный исследовательский ядерный университет «МИФИ» (НИЯУ МИФИ), · Омский государственный технический университет, кафедра «Автоматизированные системы обработки информации и управления» (ОмГТУ, кафедра АСОИУ), · Санкт-Петербургский государственный инженерно-экономический университет (ИНЖЭКОН), · Томский государственный университет систем управления и радиоэлектроники (ТУСУР), · Удмуртский государственный университет (УдГУ), · Томский государственный университет, кафедра управления инновациями (ТГУ, кафедра УИ). Программа Positive Education — далеко не единственная инициатива Positive Technologies в сфере образования. Ранее специалисты компании проводили спецкурсы и семинары для студентов российских технических вузов, запускали серию бесплатных вебинаров по актуальным вопросам информационной безопасности. Кроме того, на форуме PHDays 2012 был организован конкурс молодых ученых Young School. В подтверждение высокого уровня конкурса работы всех финалистов были одобрены для публикации в журнале «Безопасность информационных технологий», входящего в перечень ведущих рецензируемых научных журналов и изданий ВАК.

20.06.2012

Россияне заняли весь пьедестал в PHDays HackQuest 2012

Россияне заняли весь пьедестал в PHDays HackQuest 2012 Завершился увлекательный хакерский марафон PHDays HackQuest 2012, ставший продолжением международного форума по практической информационной безопасности PHDays 2012. Участники соревнования столкнулись с множеством реальных уязвимостей и попробовали свои силы в решении небольших заданий по информационной безопасности. В тяжелой борьбе, длившейся две недели, победу одержал россиянин Дмитрий «DarkByte» Москин, набравший 27 баллов. Помимо отличных спортивных результатов в области взлома и анализа защищенности информационных систем, Дмитрий известен как разработчик веб-приложений, в частности популярного плагина MusicSig vkontakte к браузеру Google Chrome, предназначенного для расширения функциональных возможностей социальной сети «ВКонтакте» (например, для загрузки аудио- и видео-файлов). Победитель высоко оценил уровень организации соревнований: «Этот CTF был, наверное, самым интересным из всех, в которых я участвовал». Второе место, с отставанием на один балл, завоевал AVictor; на третьей позиции — letm. Все три призера, таким образом, представляют Россию. Они были награждены подарками от спонсоров мероприятия и организаторов форума, компании Positive Technologies. На четвертом месте оказался исследователь информационной безопасности из Пакистана, зарегистрировавшийся под ником tex. Полная таблица с результатами HackQuest Online 2012 опубликована на сайте форума PHDays 2012.

09.06.2012

Видеоролики выступлений участников PHDays 2012

Видеоролики выступлений участников PHDays 2012 Опубликованы видеозаписи докладов и мастер-классов, состоявшихся на Positive Hack Days 2012. Ролики сгруппированы по основным направлениям информационной безопасности: телеком, государственный сектор, защита сетей, SAP, SCADA и ERP, веб-приложения, мобильные устройства, ботнеты, парольная защита, хакеры и деньги, практическая безопасность, Anonymous и LulzSec. Приятного просмотра! Ключевые доклады Видео с докладом Брюса Шнайера доступно по этой ссылке (начиная с 13:00). Гуру криптографии рассказал о своей философии безопасности, которая многих удивила. Нарушители закона (хакеры), по его мнению, — не только вредны, но и полезны. Датук Мохд Нур Амин является председателем Международного многостороннего партнерства против киберугроз (IMPACT), первого общественно-государственного объединения при ООН, которое направлено на борьбу с киберугрозами и сотрудничает с Международным союзом электросвязи (МСЭ), специализированным учреждением ООН. IMPACT признается крупнейшим в мире объединением, обеспечивающим безопасность в киберпространстве. В его состав входят 137 стран [видео]. Телеком Доклад: Сергей Гордейчик, «Как взломать телеком и остаться в живых — 2. Достучатся до биллинга» [видео]. Где хранятся ключи от технологической сети? Как завладеть биллингом, не создав проблем для основного бизнеса компании? Об этом, а также о новых показательных и забавных случаях тестирования на проникновения телекоммуникационных сетей Сергей рассказал в своем докладе. Секция: Евгений Климов, «RISSPA. Телеком против фрода: кто победит?». Видео доступно по этой ссылке (начиная с 12:15). Государственный сектор Доклад: Михаил Емельянников, «Когда и почему невозможно не нарушить российский закон о персональных данных» [видео]. Доклад: Андрей Валерьевич Федичев, ФСТЭК России, «Почему государственные секреты появляются в Интернете?» [видео]. Доклад: Алексей Лукацкий, «Как выборы Президента России влияют на рынок информационной безопасности, или Куда движется регулирование?» Видео доступно по этой ссылке (начиная с 16:00). Защита сетей Доклад: Владимир Стыран, «Правда про ложь: социальная инженерия для безопасников» [видео] Мастер-класс: Андрей Масалович, «Конкурентная разведка в Интернете». Видео доступно по этой ссылке (начиная с 16:08). Участники мастер-класса на примерах реальных задачах конкурентной разведки познакомились с аналитическими технологиями, в частности с приемами быстрого обнаружения утечек конфиденциальной информации, а также открытых разделов на серверах, приемами проникновения на FTP-серверы без взлома защиты и обнаружения утечек паролей, приемами получения доступа к конфиденциальным документам в обход DLP и проникновения в разделы без наличия соответствующих прав (ошибка 403). Демонстрация проводилась на примерах порталов заведомо хорошо защищенных компаний (лидеров рынков ИТ и ИБ, крупных госструктур, спецслужб). Мастер-класс: Дмитрий Рыжавский, «Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого избежать» [видео]. В ходе выступления рассматривались наиболее актуальные методики получения несанкционированного доступа к сети Wi-Fi, были продемонстрировано действие механизмов, предлагаемых комплексным решением Cisco Unified Wireless Network для защиты от описанных атак. Мастер-класс: Сергей Ложкин, «Расследование компьютерных инцидентов». Видео доступно по этой ссылке (начиная с 14:00). Мастер-класс был посвящен расследованию инцидентов, связанных с несанкционированным доступом к интернет-ресурсам. Ведущий познакомил слушателей с психологическим портретом современного хакера и рассказал о типах злоумышленников. Был рассмотрен процесс работы над инцидентом: от обнаружения следов вредоносных действий и реагирования на сигналы о взломе до поиска злоумышленника в сотрудничестве с правоохранительными органами. Кроме того, гости форума услышали увлекательный рассказ о реальных инцидентах безопасности. Мастер-класс: Никхил Миттал, «Творим хаос c помощью устройств ввода-вывода» [видео]. На данном мастер-классе обсуждался очень важный, но повсеместно игнорируемый аспект компьютерной безопасности — уязвимость устройств, предназначенных для взаимодействия с человеком (Human Interface Devices, HID). Доклад: Сильвен Мюно, «Использование злоумышленниками телефонов Calypso» [видео]. Доклад: Андрей Костин, «PostScript: опасность! Взлом МФУ, ПК и не только» [видео]. Доклад: Сергей Клевогин, «CEH. Этичный хакинг и тестирование на проникновение» [видео]. Участники мастер-класса познакомились с типичными уязвимостями сетевых протоколов, операционных систем и приложений. В ходе своего выступления ведущий описал последовательности различных видов атак на компьютерные системы и сети, а также дал рекомендации по укреплению их защищенности. Слушатели погрузились в практическую среду и увидели, как по-настоящему взломать систему, — чтобы впоследствии предугадывать действия хакера и успешно им противостоять. Доклад: Трэвис Гудспид, «Эксплуатация радиопомех при помощи технологии Packets-in-Packets» Видео доступно по этой ссылке (начиная с 15:10). Докладчик рассказал об особенностях эксплойтов PIP и привел примеры для сетей стандарта IEEE 802.15.4 и маломощных радиомодулей Nordic RF. SAP, SCADA, ERP Доклад: Юдин Алексей, «ERP глазами злоумышленника». Видео доступно по этой ссылке (начиная с 15:00). Доклад: Андрей Петрович Духвалов, «Защита индустриальных информационных систем — фактор выживания человечества» [видео]. Доклад: Евгения Шумахер, «Как узнать зарплату коллеги, не вставая с рабочего места, или Безопасность SAP HR» [видео]. Доклад: Александр Михайлович Поляков, «Небезопасность SAP: новое и лучшее» [видео]. Доклад был посвящен десятку наиболее интересных уязвимостей и векторов атак на SAP-системы: от проблем с шифрованием до обходов аутентификации, от забавных ошибок до сложных векторов атак. С немалой частью представленных в докладе уязвимостей широкая публика познакомилась впервые. Мастер-класс: Алексей Юдин, «Безопасность SAP своими руками» [видео]. Участники этого мастер-класса научились проводить базовый анализ безопасности систем SAP R/3 и NetWeaver (включая серверы приложений и инфраструктуру) с использованием доступных инструментов. Веб-безопасность Мастер-класс: Владимир Лепихин, Атаки на веб-приложения. Основы. Видео доступно по этой ссылке (начиная с 09:00). В докладе были систематизированно представлены механизмы реализации атак на веб-приложения, приемы и инструменты нарушителей (специализированные сканеры безопасности, утилиты, использование результатов их работы в ходе ручного анализа). На практических примерах были наглядно продемонстрированы основные слабости веб-приложений, делающие возможным проведение атак, а также проиллюстрированы недостатки используемых средств защиты и методы их обхода. Доклад: Мирослав Штампар, «Утечки данных через DNS: использование sqlmap» [видео]. Докладчик представил технику DNS-эксфильтрации с помощью SQL-инъекций, рассказал о ее плюсах и минусах, а также провел наглядные демонстрации. Доклад: Владимир Воронцов, «Атаки на веб-клиентов сетей Microsoft» [видео]. В докладе были описаны методы, позволяющие проводить атаки пользователей браузера Internet Explorer в рамках сетей Microsfot, и рассмотрены атаки, нацеленные на получение конфиденциальных данных пользователей, расположенных как на удаленных серверах (обход ограничений политики доступа), так и на локальных ПК. Мастер-класс: Андрес Рьянчо, «Безопасность Web 2.0. Продвинутые техники» [видео]. На мастер-классе были рассмотрены техники защиты от атак, использующих XML, HPP/HPC, а также атак типа Click Jacking и Session Puzzling. Доклад: Сергей Щербель, «Не все PHP одинаково полезны». Видео доступно по этой ссылке (начиная с 16:00). В докладе были рассмотрены выявленные проблемы безопасности и особенности эксплуатации веб-приложений при использовании сторонних реализаций PHP, а также приведены примеры уязвимостей нулевого дня. Доклад: Тибо Кёхлен, «Naxsi — брандмауэр веб-приложений с открытым кодом, основанный на позитивной модели безопасности» [видео]. Доклад: Алексей Москвин, «О безопасном использовании PHP wrappers» [видео]. Доклад: Владимир Кочетков, «Взломать сайт на ASP.NET? Сложно, но можно!» [видео]. В докладе были рассмотрены примеры новых уязвимостей нулевого дня и возможные техники их эксплуатации, включая принципиально новый вид атак класса «Внедрение кода». Безопасность мобильных устройств Мастер-класс: Маниш Часта, «Безопасность приложений для Android» [видео]. В докладе были кратко освещены техники обнаружения и устранения уязвимостей в приложениях Android Mobile. Кроме того, в презентации затрагивались вопросы получения прав администратора для устройств, работающих на платформе Android (Android rooting), анализа баз данных SQLite, применения пакета Android Debug Bridge (ADB) и угроз, связанных с мобильным сервером. Вниманию слушателей также был представлен список десяти самых опасных угроз для мобильных приложений, опубликованный сообществом Open Web Application Security Project (OWASP). Доклад: Маркус Нимиц, «Перехват пользовательского интерфейса в Android» [видео]. Мастер-класс: Сергей Невструев, «Практические аспекты мобильной безопасности» [видео]. Борьба с ботнетами Доклад: Мария Гарнаева, «Методы вставки палок в колеса ботмастерам: ботнет Kelihos». Видео доступно по этой ссылке (начиная с 09:10). Доклад: Александр Гостев. Изначально доклад назывался «Тайна DuQu», однако затем докладчик решил сосредоточиться на новой угрозе под названием Flame. Видео доступно по этой ссылке (начиная с 14:00). Доклад: Александр Лямин, «DDоS: практическое руководство к выживанию. Часть 2». Видео доступно по этой ссылке (начиная с 17:03). Доклад: Федор Ярочкин, Владимир Кропотов, «Жизненный цикл ботнетов и их обнаружение путем анализа сетевого трафика» [видео]. Мастер-класс: Пьер-Марк Бюро. «Win32/Georbot. Особенности вредоносных программ и их автоматизированный анализ» [видео]. Первый в мире мастер-класс по данному ботнету. Проблемы парольной защиты Доклад: Алексей Евгеньевич Жуков, «Легковесная криптография: нетребовательная к ресурсам и стойкая к атакам». Видео доступно по этой ссылке (начиная с 12:00). Доклад: Дмитрий Скляров, Андрей Беленко, «Secure Password Managers и Military-Grade Encryption для смартфонов: "Чё, серьезно?.."». Видео доступно по этой ссылке (начиная с 10:15). Доклад: Александр (Solar Designer) Песляк, «Парольная защита: прошлое, настоящее, будущее» [видео]. В рамках выступления были рассмотрены вопросы парольной защиты, история развития и ближайшие перспективы технологии аутентификации. Доклад: Бенжамен Делпи, «Mimikatz. Восстанавливаем пароли Windows 8» [видео]. Хакеры и деньги Секция: Артем Сычев, «Как защищают деньги?» [видео] Доклад: Дмитрий Горелов, «Смарт-карты в России: от таксофонов до УЭК». Видео доступно по этой ссылке (начиная с 10:00 ) Доклад: Александр Матросов, Евгений Родионов, «Уязвимости смарт-карт с точки зрения современных банковских вредоносных программ». Видео доступно по этой ссылке (начиная с 11:07). При подготовке доклада «Уязвимости смарт-карт с точки зрения современных банковских вредоносных программ» докладчики провели исследование наиболее распространенных таких программ, а также выявили интересные уязвимости при использовании двухфакторной аутентификации и смарт-карт. Кроме того, в докладе рассматриваются приемы и ухищрения злоумышленников, препятствующие проведению криминалистической экспертизы. Доклад: Миха Боррманн, «Расплачиваетесь кредитной картой в Интернете? Будьте готовы к головной боли» [видео]. Практическая безопасность Мастер-класс: Борис Рютин, «Безопасность без антивирусов» [видео]. Четырехчасовой мастер-класс, участники которого получили базовые навыки выявления троянских программ в операционной системе, изучили самые современные технологии разработки троянов для Windows (SpyEye, Carberp, Duqu), рассмотрели трояны для Android, а также познакомятся с анализом актуальных эксплойтов (PDF, Java). Доклад: Юрий Губанов, «Как найти слона в стоге сена» [видео]. Доклад: Дмитрий Евдокимов, «Средства анализа кода: светлая и темная сторона» [видео]. Дмитрий рассмотрел способы инструментации исходного кода, байт-кода и бинарного кода. Доклад: Никита Тараканов, Александр Бажанюк, «Средство автоматического поиска уязвимостей». Видео доступно по этой ссылке (начиная с 17:00). Доклад: Игорь Котенко, «Кибервойны программных агентов: применение теории командной работы интеллектуальных агентов для построения киберармий» [видео]. Доклад: Ульрих Флек, Мартин Айзнер, «Атаки от 0-day до APT на примере популярного фреймворка» [видео]. Секция: Демо-секция «Лучше один раз увидеть». Видео доступно по этой ссылке (начиная с 17:10). Anonymous и LulzSec Доклад: Джерри Гэмблин, «Какой урок можно (и нужно) вынести из истории с LulzSec» [видео]. Во время доклада Джерри стал объектом «троллинга» со стороны группы людей, но отреагировал с потрясающим чувством юмора [видео]. Доклад: Хейзем Эль Мир, «Как Тунис противостоял Anonymous». Видео доступно по этой ссылке (начиная с 14:10). Другие темы Доклад: Алексей Андреев (Мерси Шелли), «Прошлое и будущее киберпанка» [видео]. Алексей поделился своими взглядами на развитие российского киберпанка. Награждение: победители получают призы [видео]. Концерт: группа «Ундервуд» на закрытии форума [видео].

06.06.2012

Отгремел Positive Hack Days 2012: хакеры взломали планету

Отгремел Positive Hack Days 2012: хакеры взломали планету В Москве 30 и 31 мая прошел Positive Hack Days 2012 — международный форум для специалистов по практической информационной безопасности, организованный компанией Positive Technologies. За два дня на форуме побывало полторы тысячи человек: профессионалы мира ИБ, хакеры со всей планеты, представители бизнеса, государства и интернет-сообщества. Раньше многие из этих людей даже не подозревали, что могут оказаться в одном помещении. На PHDays 2012 выступили легендарный криптограф Брюс Шнайер и глава IMPACT Датук Мохд Нур Амин, были представлены десятки докладов и мастер-классов, состоялись масштабные соревнования CTF и огромное количество конкурсов по взлому и анализу защищенности. Capture the Flag и HackQuest Киберпанковский сценарий и реальные уязвимости стали отличительными чертами центрального хакерского события форума — соревнования CTF (Capture the Flag). По сюжету команды должны были отправиться в будущее, чтобы спасти земную цивилизацию от катастрофы. В охоте за флагами приняли участие 12 коллективов из России, Германии, Индии, Нидерландов, США, Туниса, Франции, Швейцарии и Японии. Двое суток подряд хакеры искали уязвимости в системах противников, чтобы получить доступ к секретной информации, а также защищали свои сети, устраняя в них уязвимости. Победу в PHDays CTF 2012 одержала российская команда Leet More из Санкт-Петербурга, получившая приз — 150 000 руб. Второе место — у команды 0daysober из Швейцарии (100 000 руб.), третье — у испанцев Int3pids (50 000 руб.). Прошлогодние победители PHDays CTF — американские хакеры из PPP — заняли четвертое место. К обнаружению уязвимостей и поиску флагов могли присоединиться также интернет-участники в соревновании Online HackQuest. Первое и второе место заняли россияне BECHED ahack.ru и ufologists, а бронза досталась немецкому специалисту stratum0. Перехват дрона Беспилотная авиация встречается не только в романах Пелевина, но и широко используется вооруженными силами различных стран, эффективно уничтожая противников. Организаторы форума в игровой форме решили смоделировать ситуацию, в которой управление беспилотником будет захвачено врагом. Согласно легенде второго дня PHDays CTF, командам нужно было добыть транспорт — летательный аппарат. Специально для этого задания организаторы подготовили пару AR.Drone — устройств, которые управляются с телефона через небезопасные беспроводные соединения. Участники команд CTF должны были за полчаса перехватить управление аппаратом. Быстрее всех завладел пилотированием квадрокоптера российский эксперт по информационной безопасности Сергей Азовсков из Екатеринбурга. «PHDays еще в прошлом году задал очень высокую планку в смысле организации мероприятия по информационной безопасности. В этом году форум превзошел прошлогодний успех, показав, что мероприятие в нашей области может быть не скучным, а интересным, динамичным и позитивным. Видно, что PHDays был сделан с любовью и от души, а это залог успеха! Мы давно сотрудничаем с Positive Technologies и уже во второй раз поддерживаем PHDays. Я уверен, эта традиция будет продолжена», — отметил Алексей Лукацкий (Cisco Systems). Взлом Apple iPhone и Windows XP В современном информационном пространстве обнаружить совершенно новую уязвимость в популярном и отлаженном продукте равнозначно серьезному изобретению. Поэтому конкурсы по взлому различных операционных систем и приложений занимали особенное место в программе форума. Как и в CTF, наибольший урожай призов собрали российские специалисты: Никита Тараканов продемонстрировал опасную уязвимость нулевого дня в операционной системе Windows XP, получив за победу денежный приз в размере 50 000 руб. Павел Шувалов, известный свой утилитой Vulndisco Mobile 1.7, предназначенной для джейлбрейка устройств на базе iOS, — взломал iPhone 4S, используя уязвимость в популярном приложении Office² Plus. Павел стал обладателем взломанного iPhone 4S и денежного приза в размере 75 000 руб. Кроме того, представитель команды Leet More (победителей CTF 2012) прямо во время напряженной схватки PHDays CTF 2012 обнаружил уязвимость нулевого дня в операционной системе FreeBSD 8.3. Эта уязвимость позволяет любому локальному пользователю обойти ограничения безопасности (FreeBSD Jail). Александр Гостев («Лаборатория Касперского») поделился впечатлениями от мероприятия: «Я был приятно удивлен. В России не хватает подобных мероприятий. Отмечу уникальную дружескую атмосферу, которую удалось создать организаторам. Форум оправдывает свое название: по контенту, по составу участников, по качеству докладов он гораздо сильнее, чем в прошлом году. PHDays вышел на новый уровень, сумев сохранить важные особенности: — неповторимый эмоциональный уровень и возможность неформального общения с множеством интересных людей». Делиться опытом — это интересно Практическую направленность PHDays 2012 по достоинству оценили гости и участники форума. Около пятидесяти докладов, мастер-классы и круглые столы прошли под девизом «минимум маркетинга — максимум опыта». После банковской секции, на которой присутствовали эксперты по информационной безопасности и представители финансовых организаций, состоялся конкурс «Большой Ku$h». Хакеры, используя типичные уязвимости систем дистанционного банковского обслуживания, переводили на свои виртуальные счета различные денежные суммы, а затем снимали их через банкомат, который располагался неподалеку от места проведения конкурса. Победителем стал Алексей Осипов, студент пятого курса Московского энергетического института: ему удалось «увести» из банка 3500 руб. К слову сказать, во время банковской секции Артем Сычев из «Россельхозбанка» сообщил весьма тревожную информацию: каждый день в России фиксируется 15—20 попыток хищения денег с банковских счетов. Настоящий аншлаг вызвало выступление Брюса Шнайера — легендарного исследователя в области криптографии. Брюс в свойственной ему ироничной манере поддержал людей, которых любопытство заставляет время от времени нарушать закон: нарушая правила, они служат развитию общества. Увлекательным опытом обнаружения и устранения уязвимостей в сетях телекоммуникационных операторов поделился технический директор компании — организатора форума Сергей Гордейчик. Конвергенция различных типов сетей и оборудования приводит к тому, что они могут быть взломаны при помощи нескольких десятков методов: например, через канал, используемый сотрудниками для онлайн-игр, уязвимый интерфейс веб-камеры слежения, точку доступа Wi-Fi подрядчика, недружественный ресурс на хостинге. Андрей Костин показал, как и зачем хакеры ломают принтеры, Маркус Нимиц рассказал о недостатках системы безопасности Android OS, а Владимир Воронцов объяснил назначение XXE-атак, попутно обнародовав уязвимость нулевого дня. Александр Гостев из «Лаборатории Касперского» рассказал новые подробности о недавно обнаруженном шпионском кибероружии нового поколения — Flame. Тему организованного хакерства продолжил Хейзем Эль Мир, ИБ-специалист из Туниса: в своем докладе о противостоянии тунисского Агентства компьютерной безопасности и хакерской группировки Anonymous он развеял миф о профессионализме «Анонимусов» (многие считают, что группа состоит из лучших в мире хакеров). Интересная деталь: когда Джерри Гэмблин представлял свой анализ деятельности группы LulzSec, взломавшей сайт ЦРУ, в зал вошли несколько человек в масках Гая Фокса. Докладчик ничуть не смутился, с удовольствием примерив после выступления одну из масок. Эксперты исследовательского центра Positive Research рассказали об уязвимостях в распространенном корпоративном ПО: системе управления сетевым оборудованием Cisco Secure ACS, популярном веб-сервере nginx, системе виртуализации Citrix Xen и еще более чем о десятке уязвимостей в различных веб-приложениях. В рамках спецсекции по безопасности АСУ ТП (SCADA) были анонсированы инициативы Positive Technologies в области защиты систем управления производством: совместные с Siemens работы по поиску и устранению уязвимостей в SCADA Simatic WinCC и разработку стандартов безопасной конфигурации распространенных систем АСУ ТП. На форуме также был анонсирован образовательный проект Positive Education, в рамках которого специалисты Positive Technologies будут содействовать преподавателям российских технических вузов в подготовке практических учебных программ по информационной безопасности. Состоялось представление докладов молодых ученых, привлеченных со всей России в рамках конкурса Young School. Второй Positive Hack Days впервые прошел при поддержке десятков хакспейсов, поддержавших форум в рамках инициативы PHDays Everywhere. География онлайн-плацдармов, на которых собралась местная хакерская элита — от Токио до Краснодара, от Индии до Туниса. Для посетителей хакспейсов, помимо интерактивной онлайн-трансляции с прямыми включениями, предназначался конкурс «Взломать за 137 секунд», требующий навыки взлома сетевых устройств на базе оборудования Cisco. Победила команда DCUA из Украины, второе место заняли XBios из Индии. «На мой взгляд, мероприятие дает замечательную возможность для встречи с друзьями и партнерами, для знакомства с новыми интересными людьми, для самого разнообразного общения, ну и конечно для получения заряда позитива на весь год. И я уверен, что этот год точно пройдет — пролетит! — в ожидании PHDays версии 3.0. PHDays и Positive Technologies ждет великое будущее. Очень приятно быть причастным к началу большого пути этой компании», — говорит Айдар Гузаиров («ICL-КПО ВС»). Планета нуждается в позитивных хакерах Ключевые докладчики форума — Брюс Шнайер и Датук Мохд Нур Амин (председатель IMPACT) — не сговариваясь, отметили важную роль позитивных хакеров в развитии прогресса и обеспечении безопасности простых граждан. Поэтому не случайно, что Positive Hack Days 2012 завершился веселым и зажигательным конкурсом «Наливайка». Каждые пять минут участнику, на действия которого чаще всего реагировал фильтр безопасности, предлагалось выпить 50 мл текилы и продолжить попытки взломать приложение. Лучшим стал Владимир Воронцов из компании ONSec: на пути к победе ему пришлось опустошить 7 рюмок крепкого напитка! «Судя по отзывам, Positive Hack Days стал тем, чем мы старались его сделать, — местом, где обмениваются знаниями совершенно разные люди: от писателя-фантаста до министерского чиновника. Местом, где люди с диаметрально противоположными взглядами могут услышать друг друга, а также получить самую свежую информацию о безопасности информационных систем. Местом, где создается будущее», — заявил Сергей Гордейчик (Positive Technologies).

04.06.2012

На PHDays 2012 взломали Apple iPhone, Windows XP и FreeBSD

На PHDays 2012 взломали Apple iPhone, Windows XP и FreeBSD На международном форуме по практической информационной безопасности Positive Hack Days 2012 участники конкурса Hack2own продемонстрировали взлом Apple iPhone 4S и популярной операционной системы Windows XP. Кроме того, в ходе соревнований CTF была обнаружена новая уязвимость в операционной системе FreeBSD, а на конкурсе «Большой ку$h» хакеры сумели продемонстрировать, каким образом можно украсть деньги, используя типичные уязвимости в системе дистанционного банковского обслуживания. Отдельного внимания заслуживает выступление отечественных хакеров. Взлом iPhone Российский ИБ-специалист Павел Шувалов в рамках конкурса PHDays Hack2own продемонстрировал взлом Apple iPhone. Уязвимость содержалась в приложении Office² Plus, распространяемом через официальный магазин Apple App Store. За победу хакер получил взломанный iPhone 4S, а также денежный приз в размере 75 000 руб. Павел Шувалов известен свой утилитой Vulndisco Mobile 1.7, предназначенной для джейлбрейка устройств на базе iOS. Сама по себе система iOS оказалась крепких орешком: главный приз в 137 000 руб. за взлом оболочки iOS без использования уязвимостей сторонних приложений — так и остался у организаторов форума. Уязвимость нулевого дня в Windows XP Популярную операционную систему Windows XP удалось взломать независимому эксперту по информационной безопасности Никите Тараканову. Для получения максимальных привилегий в системе он использовал новую уязвимость в ядре операционной системы. Благодаря этому успеху Никита стал победителем конкурса Hack2own в категории операционных систем и получил денежный приз — 50 000 руб. Интересно, что в прошлом году на форуме Positive Hack Days 2011 Никита Тараканов сумел взломать браузер Safari для Windows. Взлом ДБО Финальным аккордом банковской секции, на которой присутствовали эксперты по информационной безопасности и представители финансовых организаций, стал конкурс «Большой ку$h». На их глазах хакеры, используя типичные уязвимости систем ДБО, сумели перевести на свои виртуальные счета различные денежные суммы, а затем снять их через банкомат, который располагался рядом с местом проведения конкурса. Победителем стал Алексей Осипов, студент пятого курса Московского энергетического института: ему удалось «увести» из банка 3500 руб. AR.Drone и FreeBSD 8.3 В рамках соревнований PHDays CTF 2012 российский специалист в области национальной безопасности Сергей Азовсков из Екатеринбурга стал победителем конкурса по взлому радиоуправляемого дрона. Такие устройства, являясь «двоюродными братьями» беспилотных самолетов, подходят не только для игр: будучи оснащены видеокамерами, они могут использоваться для шпионажа. Другой участник CTF из команды Leet More прямо во время напряженной схватки PHDays CTF 2012 обнаружил уязвимость нулевого дня в операционной системе FreeBSD 8.3. Уязвимость позволяет любому локальному пользователю обойти ограничения безопасности. Множество конкурсов На PHDays 2012 прошли десятки разнообразных состязаний по взлому и анализу защищенности. Участники преодолевали шифрование WPA-PSK для Wi-Fi, клонировали RFID-метки с большого расстояния, искали способы обойти межсетевые экраны, взламывали оборудование Cisco и подбирали алгоритмы шифрования паролей. В ближайшие дни мы подробно расскажем обо всех конкурсах, состоявшихся на PHDays 2012, и назовем всех победителей.

1...26 27 28 29 30 31