Новости
Город остался без электричества и нефтедобычи, а на баржу упал контейнер — PHDays 10 завершен
По отзывам многих участников, юбилейный PHDays 10 получился ярким и свежим, как погода в середине мая. На площадке нашлось место и пиджакам, и футболкам, и даже министру цифрового развития. Это была не просто встреча более 2,5 тысяч специалистов по информационной безопасности, уставших от изоляции во время пандемии. За сражениями на самом большом в мире киберполигоне The Standoff и форумом наблюдали онлайн свыше 20 тысяч человек из разных стран. Мы откровенно говорили о важных вещах, о совершенно новых технологиях и подходах, геополитических проблемах, болях бизнеса, надеждах инвесторов, неприятностях частных пользователей. Мы показали, как хакеры могут разрушить современный город, и предложили почти революционную методологию защиты от такой угрозы.
The Standoff Kids: итоги большого детского трека
Большой детский трек The Standoff Kids прошел 19 мая в Центре международной торговли в преддверии юбилейного форума Positive Hack Days. Задачей мероприятия было в игровой манере научить детей и подростков азам информационной безопасности. Юные безопасники поучаствовали в интерактивном квесте, в ходе которого они выполняли задания, связанные с защитой информации, а также учились распознавать атаки, знакомились с шифрованием и правилами кибергигиены. В рамках The Standoff Kids состоялся пресс-брифинг, посвященный вопросам цифровой грамотности детей и подростков. Невозможно представить современного ребенка без гаджета с доступом в интернет. Плохо это или хорошо? Какими проблемами может обернуться для ребенка и его родителей серфинг в интернете? И как сделать безопасным общение детей с технологиями? По этим и другим вопросам делились своим мнением эксперты, представители образовательных учреждений и бизнеса. Общее число киберпреступлений постоянно растет¹, как и число атак², а значительная доля последних, как показывают наши регулярные исследования, проводятся с помощью социальной инженерии: злоумышленники пользуются низким уровнем осведомленности жертвы о базовых правилах информационной безопасности. Повсеместное проникновение технологий в жизнь детей и подростков, помноженное на незнание элементарных правил кибербезопасности, вызывает резонный вопрос: кто должен учить детей цифровой грамотности, кто несет ответственность за этот процесс? Отвечая на него, директор образовательных программ и проектов Positive Technologies Мария Сигаева отметила важную роль бизнеса в укреплении цифровой грамотности среди подрастающего поколения: «Дети часто оказываются в ситуации, когда они должны, в отсутствие жизненного опыта, самостоятельно делать выбор: как им поступать, например, общаясь в социальных сетях. Как производители ПО, направленного на защиту информации, мы в Positive Technologies понимаем всю ответственность, которая лежит на современных IT-компаниях. И естественно, что мы уделяем внимание повышению осведомленности детей и других пользователей в вопросах цифровой грамотности и кибербезопасности». Руководитель направления сервисов киберзащиты CyberART (Innostage) Владимир Дмитриев отметил необходимость обучения основам кибербезопасности с самого раннего возраста: «В современном мире учить детей правилам информационной безопасности нужно так же, как и правилам обычной гигиены, с ранних лет. Широкое использование детьми интернета, потребление и обработка гигантского потока информации влекут за собой множество рисков и угроз, начиная от мошенничества и заканчивая прямой кражей денег или раскрытием критически важных данных. Общая задача государства, семьи, школы, бизнеса — сформировать такую экосистему цифровой грамотности, чтобы подрастающее поколение избежало подобного негативного опыта». Практически все участники дискуссии подчеркнули общую ответственность семьи, общества и государства за цифровую грамотность детей и подростков. «Ответственность за безопасное поведение детей в интернете нельзя возложить на какую-то одну институцию, — комментирует руководитель направления по работе с молодежью компании «Ростелеком» Юлия Куклина. – Цифровая грамотность должна быть частью культуры. Ребенок должен слышать о правилах кибергигиены из разных источников: от родителей, в школе, по телевизору, на различных секциях, узнавать об этом из интернета. При этом в школе важно работать и в направлении киберграмотности, и в направлении таланта. Только в системной работе по обоим этим векторам можно сформировать безопасное цифровое будущее с достаточным количеством высококвалифицированных специалистов.» Начальник управления по работе с абитуриентами РТУ МИРЭА Вера Рогова отметила существенные положительные сдвиги IT-просвещения в школах: «Являясь одним из лидеров по подготовке кадров в области IT и кибербезопасности, наш университет принимает более 25 тысяч абитуриентов ежегодно. В последние несколько лет мы видим значительный рост компетенций школьников в области IT, чему во многом способствуют внедрение в школьную программу соответствующих дисциплин, запуск профильных классов, создание детских центров и школ программирования. Кроме того, университет сам активно вкладывается в программы глубокой профориентации школьников на базе созданного нами детского технопарка». Вера Рогова также отметила, что владение IT-навыками становится базовой компетенцией для любой профессии, поэтому целесообразно как можно раньше включать в школьную программу блоки, направленные на развитие IT-навыков и в частности ИБ, своевременно давать школьникам доступ к определенным знаниям и показывать как те или иные навыки применяются в жизни: «Мы как университет видим большой потенциал от программ для школьников, созданных совместно с бизнесом. Такой подход используется в рамках детского технопарка РТУ МИРЭА, и мы уже видим первые результаты — мотивированных и осознанных выпускников технопарка». Руководитель проектного офиса «ИТ-класс в московской школе» (МЦКО) Пётр Зобков, делясь своим взглядом на обучение вопросам ИБ, сделал акцент на использовании городских информационных образовательных систем, таких как Московская электронная школа, включении в образовательный процесс сквозных модулей, посвященных ИБ, а также на демонстрации навыков информационной культуры личным примером педагога. По мнению Зобкова, все эти меры вкупе с участием образовательных учреждений в тематических мероприятиях городского и федерального масштаба помогут сформировать необходимые навыки информационной безопасности и культуры у школьников. Беседуя о цифровой грамотности, участники отметили, что важно информировать и родителей. Несмотря на то, что сегодня как на федеральном, так и на региональном уровне прилагаются немалые усилия к созданию специализированных образовательных программ, вопрос их популяризации остается открытым. По мнению выступавших, кибергигиена должна зарождаться в семье, однако важна также и роль школы, которая совместно с родителями должна помогать ребенку не только развивать его таланты, но и вырабатывать навыки безопасного пользования современными технологиями. Повышение цифровой грамотности — это вопрос социальной ответственности, считает Мария Сигаева. Немалая роль в этом процессе отводится IT-бизнесу и, в частности, ИБ-компаниям, которые должны не только делиться экспертными знаниями с клиентами и партнерами, но и распространять их на более широкую аудиторию, рассказывая, как обычный человек может себя защитить. В ходе дискуссии журналисты из разных регионов России задали немало острых вопросов, в том числе о контроле за действиями ребенка в интернете: нужно ли их ограничивать, и если нужно, то каким образом? Участники сошлись на том, что в семье необходимо воспитывать доверительные отношения, а запрещающие меры неэффективны. По мнению Юлии Куклиной, родители, конечно, могут ограничить доступ к нежелательному контенту, но также они должны суметь объяснить, почему, к примеру, нельзя совершать те или иные действия на смартфоне, к каким негативным последствиям это может привести. Говоря о том, что школьник зачастую рассматривает гаджет как средство развлечения и общения, Пётр Зобков подчеркнул, что задача педагога — донести до ученика, что перед ним лежит инструмент для получения информации, которая поможет ему стать успешнее. Развивая эту мысль, Вера Рогова добавила, что для подростков в старших классах важно предлагать образовательный контент, который позволит сформировать образ гаджета как полезного инструмента, а не игрушки. И в этом также состоит общая задача родителей, школы, университетов, бизнеса и государства. Все участники также согласились, что для стирания так называемого цифрового неравенства необходимо продвигать IT-просвещение в регионы Российской Федерации: улучшать кружковую работу, выкладывать в открытый доступ проверенные специализированные программы и давать возможность пользоваться другими образовательными ресурсами, готовить квалифицированные педагогические кадры. Под конец большого детского трека организаторы пообщались с участниками киберсоревнований The Standoff Kids, которые учатся в специализированных IT-классах московских школ. Ребята рассказали, что им понравилось в оформлении мероприятия, оценили задания, поделились своими планами на будущее и рассказали, как помогают своим родителям, бабушкам и дедушкам безопасно пользоваться гаджетами и серфить в интернете. По данным Генпрокуратуры, за последние пять лет число киберпреступлений выросло более чем в 11 раз. По данным Positive Technologies, количество уникальных киберинцидентов в 2020 году выросло на 51% по сравнению с 2019 годом.
Новая реальность российской кибербезопасности на PHDays: участвуйте в диалоге, который определит будущее отрасли
Последний день форума Positive Hack Days, 21 мая, откроется пленарной сессией «Реальность российского кибербеза». Не упустите шанс принять участие: мы будем обсуждать перспективы становления России в качестве лидера на мировом рынке ИБ. Сегодня для первых лиц компаний остро стоит вопрос результативной информационной безопасности, цель которой — невозможность реализации неприемлемых для организации рисков. Использование такого подхода на уровне крупнейших компаний и государства позволит защитить страну от киберугроз и вывести Россию в мировые лидеры отрасли. Отечественная индустрия кибербезопасности имеет для этого все шансы, поскольку технологический стек в области безопасности отличается в нашей стране широтой и инновационностью. Однако чтобы отдельные, даже очень перспективные технологии превратились в эффективные системы защиты предприятий и государства, нужно соблюсти два условия. Во-первых, на каждую технологию нужно взглянуть сквозь призму критически значимых бизнес-рисков и способов их реализации. Во-вторых, реально повысить защищенность организаций и граждан от цифровых угроз можно только тогда, когда все участники индустрии — государство, регуляторы, производители ПО и аппаратных решений — имеют общие цели и, каждый в своей области, движутся к единому результату. Какой должна стать для этого отечественная кибербезопасность? Какова роль каждого члена комьюнити? Спикеры пленарной сессии Positive Hack Days обсудят эти вопросы, а также расскажут о собственном вкладе в формирование нового подхода к информационной безопасности — от создания условий на уровне государства до разработки и внедрения новейших технологий или поддержки и развития технологических энтузиастов. В пленарной сессии примут участие: Максут Шадаев, министр цифрового развития связи и массовых коммуникаций Российской Федерации; Виталий Лютиков, заместитель директора ФСТЭК России; Александр Муранов, заместитель председателя правления Газпромбанка; Айдар Гузаиров, генеральный директор Innostage; Владимир Сакович, глава Skolkovo Ventures; Юрий Максимов, генеральный директор Positive Technologies. Пленарное заседание, как и весь форум, пройдет в гибридном формате: часть участников сможет посетить площадку лично, остальные — посмотреть прямой онлайн-эфир на сайте. Трансляция позволит ощутить эффект полного погружения за счет съемки, не уступающей ТВ-формату. Чтобы посмотреть пленарную сессию онлайн, подключайтесь к платформе The Standoff 21 мая в 10:00 по московскому времени.
«Спец-приз от Innostage для лучшей команды защиты на The Standoff!
«Спец-приз от Innostage для лучшей команды защиты на The Standoff! Соорганизаторы PHDays 10 — Innostage подготовили специальный приз для команд защитников на кибербитве The Standoff. Два сертификата на двоих от автоспортивной команды AG Team на гоночный уикенд Российской серии кольцевых гонок (РСКГ). Насладиться впечатляющим зрелищем, проникнуться борьбой лучших автогонщиков страны на этапах Российской серии кольцевых гонок ежегодно приезжают тысячи зрителей. Но лишь немногие из них смогут побывать рядом со стартовой решеткой, увидеть пит-стопы, заглянуть в боксы команд и получить автографы гонщиков на параде пилотов. По итогам кибербитвы The Standoff Innostage вручит специальный приз лучшей команде защитников — путевки на гоночный уикенд с автоспортивной командой AG Team. Обладатели приза смогут лично поддержать команду на трассе и с замиранием сердца считать секунды финальных кругов! В составе AG Team — лучшие гонщики страны, и в этом году команда намерена приложить все силы, чтобы покорить вершину подиума РСКГ. Два невероятных дня в закулисье автогонок — этот уикенд запомнится надолго! Гоночный уикенд состоится в одном из самых красивых и гостеприимных городов России — Казани, 11-12 сентября. Призом станет полный пакет уикенда — перелет, проживание, посещение соревнований и паддок-клуба, вечерние мероприятия.
PHDays: ждем вас онлайн
PHDays: ждем вас онлайн Уважаемые друзья! В последнее время на нас обрушился шквал новых заявок, почта организаторов заполнена письмами с предложениями, а их телефоны продолжают разрываться от звонков. Мы уже совершили почти невозможное — экстренно перенесли форум в Центр международной торговли и расширили возможности живого участия в мероприятиях PHDays в несколько раз. До форума осталось еще три недели, но доступные для продажи билеты уже разошлись, регистрация закрыта, а возможности офлайн-площадки исчерпаны. Всех, кто хочет принять участие, но не успел приобрести билет, мы приглашаем присоединиться к нам онлайн. В этом году мы серьезно поработали над онлайн-форматом, расширили его масштабы, довели до совершенства качество. Трансляция через десятки камер с разных ракурсов позволит ощутить эффект полного погружения за счет съемки, не уступающей ТВ-формату. Присоединяйтесь! Вас ждут доклады, мастер-классы, конкурсы и много других интересных мероприятий.
Доклады на PHDays: закладки в ядре Linux, «контрабанда» вредоносных HTTP-запросов и обнаружение зловредов
Доклады на PHDays: закладки в ядре Linux, «контрабанда» вредоносных HTTP-запросов и обнаружение зловредов До международного форума Positive Hack Days 10, который пройдет 20 — 21 мая, остается все меньше времени. Мы завершаем подготовку инфраструктуры киберполигона The Standoff, формируем red и blue teams и, конечно же, готовим программу конференции. На PHDays состоятся три больших трека, которые будут посвящены вопросам защиты (defensive), взлома (offensive) и влияния ИБ на бизнес. Сегодня мы представляем первые доклады. Закладки в ядре Linux Эксперт по ИБ Илья Матвейчиков расскажет о техниках создания закладок в ядре Linux. В ходе 45-минутной презентации Илья объяснит, как на самом деле возможно осуществить многоцелевую атаку kernel implanting. Эксперт также продемонстрирует реальные варианты закладок в разных вариантах x86-ядер. Контрабанда HTTP-запросов Эмиль Лернер расскажет о технике HTTP Request Smuggling, которая широко используется для атак на обратные прокси. В последние годы исследователи ИБ совершили ряд открытий, в частности обнаружили новые методы детектирования уязвимости и разработали новые методы эксплуатации состояния HTTP Desync. В докладе Эмиль продемонстрирует возможности «контрабанды запросов», которые появились с приземлением HTTP/2 на фронтенд-серверах и перехода HTTP/2->HTTP/1.1. Слушатели узнают о том, как обнаружить уязвимые к атаке обратные прокси, какие методы автоматизации детектирования существуют. Также эксперт расскажет о возможных методах эксплуатации уязвимости и последствиях успешной атаки. Фаззинг ядра Linux Независимый исследователь безопасности Андрей Коновалов расскажет о фаззинге ядра Linux. Фаззинг — это способ автоматически находить баги, передавая в программу случайно сгенерированные данные. Андрей расскажет, как использовать фаззинг для нахождения ошибок в ядре Linux и какие интерфейсы ядра можно фаззить. Он кратко опишет готовые фаззеры, такие как Trinity и syzkaller, но в основном сконцентрируется на написании кода фаззера, генерировании вводных данных и сборке покрытия кода. Эксплуатация уязвимости CVE-2021-26708 в ядре Linux В январе 2021 года разработчик ядра Linux и исследователь безопасности Positive Technologies Александр Попов обнаружил и устранил пять уязвимостей в реализации виртуальных сокетов ядра Linux. Этим уязвимостям был присвоен идентификатор CVE-2021-26708. В своем докладе «Сила четырех байтов» Александр детально расскажет об эксплуатации одной них для локального повышения привилегий на Fedora 33 Server для платформы x86_64. Исследователь продемонстрирует, как с помощью небольшой ошибки доступа к памяти получить контроль над всей операционной системой и при этом обойти средства обеспечения безопасности платформы. Формальная верификация ядер операционных систем Разработчик «ИСП РАН» Денис Ефремов поделится опытом участия в проектах по формальной верификации и анализу модулей контроля доступа ядер операционных систем Astra Linux SE и «Эльбрус», а также верификации кода Contiki (ОС для IoT) в рамках европейской программы VESSEDIA. Будут раскрыты подробности разработки формальных моделей контроля доступа (Rodin/Event-B) и спецификаций на код (Frama-C/ACSL), использования статических и динамических анализаторов, включения формального анализа в цикл непрерывной интеграции (continuous verification). Будут рассмотрены и другие виды работ, позволяющие удовлетворить сертификационным требованиям. В этом году соорганизатором PHDays выступает группа ИТ-компаниий широкого профиля Innostage. Бизнес-партнером форума стал «Ростелеком-Солар», национальный провайдер сервисов и технологий информационной безопасности. Технологические партнеры PHDays – российская частная сеть продовольственных супермаркетов «Азбука вкуса», электронный платежный сервис RBC.money, разработчик ПО в области ДБО iSimpleLab. На выставке PHDays будут представлены Axoft, Crosstech Technologies, ICL, OCS Distribution, R-Vision, Security Vision, «Инфосистемы Джет». Партнером конкурсной программы выступит ARinteg. На сегодня все, следите за новостями на нашем сайте!
«Positive Hack Days 10: Начало» переносится в московский Центр международной торговли, чтобы вместить еще больше желающих
«Positive Hack Days 10: Начало» переносится в московский Центр международной торговли, чтобы вместить еще больше желающих Мы обязательно хотим увидеть офлайн наших коллег из сообщества ИБ, партнеров, заказчиков и друзей компании. Первоначальный камерный формат не позволил бы это сделать. Поэтому мы решили дать всем желающим возможность вживую задать нам вопросы, вместе обсудить проблемы и задачи отрасли. При этом мы сохраняем широкую онлайн-трансляцию всего, что будет происходить на The Standoff с 18 по 21 мая и PHDays с 20 по 21 мая, с синхронным переводом на английский язык. Трансляция позволит увидеть основные залы и закулисье форума с разных углов через десятки камер и ощутить эффект полного погружения за счет съемки, не уступающей формату ТВ. «Изначально, в условиях пандемии и санитарных ограничений, мы выбрали не очень большую офлайн-площадку и одновременно радикально расширили онлайн-формат — и по масштабу, и по качеству. Сейчас мы понимаем, что в этом году нам нельзя ограничивать себя рамками такого скромного офлайна, поэтому мы расширяем площадку, оставив без изменений масштабный онлайн», — отметил Владимир Заполянский, директор по маркетингу и корпоративным коммуникациям Positive Technologies. На PHDays выступят российские и зарубежные разработчики, представители государственной власти, CIO и CISO крупнейших отечественных и международных компаний, ведущие специалисты банков, телекоммуникационных, нефте- и газодобывающих, промышленных и IT-компаний. В программе запланированы десятки докладов, мастер-классов и лабораторных практикумов, круглых столов, лекций и конкурсов. Самый большой в мире открытый киберполигон The Standoff позволит вам стать свидетелем настоящей кибербитвы белых хакеров и защитников за ресурсы цифрового города. Вы сможете наглядно увидеть возможные последствия кибератак на инфраструктуру современного мегаполиса с его заводами, банками, транспортной системой, развлекательными заведениями и деловым центром. Это позволит понять, насколько глубоко технологии влияют на нашу жизнь, научиться предотвращать наиболее опасные инциденты в реальности и сделать нашу жизнь более комфортной и безопасной. Приходите, вас ждет «Начало»! Отдельно отметим, что мы заботимся о здоровье и безопасности наших гостей: форум будет проходить с соблюдением санитарно-эпидемиологических норм. Зарегистрироваться на оба дня форума можно на сайте мероприятия. Офлайн-посетители форума смогут послушать доклады, лично пообщаться со спикерами, которые приедут в Москву, попробовать свои силы в традиционной конкурсной программе. Билет на конференцию также дает возможность посетить киберполигон The Standoff. Подробнее о программе мероприятия — в наших новостях.
Открытое письмо исследовательскому сообществу
Открытое письмо исследовательскому сообществу Всем привет! Произошедшие события обернулись для нас в первую очередь огромным количеством слов поддержки. Мы видим поддержку в комментариях к сообщениям в соцсетях, в личных сообщениях, звонках. Вы не представляете, насколько мы вам за это благодарны. За годы работы мы обнаружили и помогли исправить огромное количество уязвимостей в приложениях и аппаратных системах, разработанных практически всеми известными вендорами, включая Cisco, Citrix, Intel, Microsoft, Siemens, VMware. Мы бы не смогли этого сделать без привлечения лучших исследователей в области информационной безопасности, а также без активной позиции вендоров и готовности работать с исследовательскими центрами наподобие нашего для исправления всех этих уязвимостей. Нам в этом очень помогало разделение принципов ответственного разглашения (responsible disclosure), согласно которым все данные об обнаруженных уязвимостях уходят во внешний мир только по согласованию с вендором и после того, как вендор эту уязвимость исправит и доставит исправления своим клиентам. В результате наших с вами действий мир становится чуточку лучше и безопаснее. Для того чтобы сплотить наше с вами комьюнити, мы организовали крупнейший в России международный форум по информационной безопасности — Positive Hack Days, и смогли привлечь к диалогу на этой площадке как специалистов по ИБ из разных компаний и руководителей бизнеса, небезразличных к кибербезу, так и «парней в футболках» — белых (white hat) хакеров и исследователей, реально понимающих, как тестировать системы на проникновение, и готовых делиться своим опытом. Чтобы получать практические знания о том, как в реальных условиях будут действовать злоумышленники, мы уже десять лет проводим соревнования white-hat-хакеров и специалистов защиты компаний на специально подготовленном полигоне The Standoff, инфраструктура которого построена на системах, реально использующихся в окружающем нас мире, потому что только так мы можем понять, как эти компоненты могут быть атакованы и как от этих атак защищаться. Через The Standoff и PHDays прошли CTF-команды из многих стран, включая Россию, США, Казахстан, Индию, Японию, ОАЭ. Знания на этом полигоне получали в том числе и лучше в мире СTF-команды, такие как команда PPP из Университета Карнеги — Меллона. Согласно нашим принципам открытости знаний для сообщества, каждый мог принять участие — послушать доклады, отточить свои навыки в поиске уязвимостей или отражении хакерских атак, просто последить за трафиком во время мероприятия и унести эти знания с собой, для того чтобы лучше защищать свои компании, разрабатывать продукты, которые смогут более качественно отражать кибератаки, создавать более безопасные решения и компоненты. Принципы открытости информации и знаний, ответственного разглашения при исследовании систем на наличие уязвимостей и практический подход к кибербезопасности — это наши ключевые ценности. А значит, ждите от нас новых исследований в области практической ИБ, нашей поддержки сообщества и новых конференций! Спасибо вам огромное за поддержку, и ждем вас на PHDays 10! Вот сборник наших лучших исследований в области практической кибербезопасности за последние три года — читайте и делитесь со своими коллегами в сообществе! Денис Баранов, Управляющий директор Positive Technologies
Конкурсы PHDays 10: взломы банкоматов, систем защиты и смарт-контрактов, возможности машинного обучения и его уязвимости
Конкурсы PHDays 10: взломы банкоматов, систем защиты и смарт-контрактов, возможности машинного обучения и его уязвимости Пандемия отступает, а форум PHDays возвращается в мае почти в традиционном формате — с выступлениями, кибербитвой The Standoff и, конечно же, традиционными конкурсами. В открытых соревнованиях смогут принять участие все желающие, от вас потребуется лишь ноутбук, любознательность и азарт. В целях безопасности предлагаем принять участие во всех состязаниях онлайн. Попрактиковаться в атаках на банковские системы можно будет в Payment Village, где наши эксперты расскажут о работе различных платежных устройств и об их уязвимостях. В специальной демозоне гостям продемонстрируют сценарии атак на банкоматы и POS-терминалы. Payment Village поддержат компании IsimpleLab, «Азбука вкуса» и ARinteg. Blockchain Track соберет энтузиастов безопасности блокчейн-технологий и децентрализованных финансов (DeFi). Здесь расскажут о том, как происходят взломы криптобирж, разберут тонкости уязвимостей в смарт-контрактах и поделятся своим мнением о методах защиты. Будут обсуждаться вопросы масштабирования блокчейн-сетей и перспективы развития L2-решений. В роли взломщика смарт-контрактов сможете испытать себя и вы — в онлайн-конкурсе DeFi Hack. Для участия потребуется локальный клиент Ethereum либо расширение для браузера (MetaMask). Стремительное развитие технологий искусственного интеллекта и их внедрение в информационную безопасность несут в себе как новые возможности, так и новые угрозы. В секции AI Track можно будет послушать доклады, посвященные ИИ в безопасности. Мы пригласили экспертов, которые поделятся опытом применения машинного обучения для защиты, и исследователей, которые смогут рассказать о рисках решений, основанных на ИИ. А соревнование AI СTF познакомит специалистов по ИБ с различными техниками машинного обучения в игровых CTF-сервисах и продемонстрирует уязвимости таких сервисов. Задания разного уровня сложности будут интересны не только опытным CTF-игрокам, но и новичкам, которые хотят разобраться в теме. Network Village соберет экспертов с докладами на тему сетевой безопасности. На стенде любители испытать на прочность системы защиты смогут принять участие в конкурсе IDS Bypass. Участники попробуют взломать пять уязвимых узлов и добыть все флаги. Задачу усложнит система обнаружения вторжений, которая пропускает трафик через себя и блокирует попытки сетевых атак. Уязвимые сервисы подобраны таким образом, чтобы соревнующиеся сконцентрировали усилия именно на обходе IDS. Количество участников в конкурсах ограничено. Для участия заполните форму. Еще больше подробностей о конкурсах мы расскажем в ближайшее время. Следите за новостями и разомните мозги перед соревнованиями! В этом году соорганизатором PHDays выступает группа ИТ-компаниий широкого профиля Innostage. Бизнес-партнерами форума стали «Ростелеком-Солар», национальный провайдер сервисов и технологий информационной безопасности, и MONT, дистрибьютор ПО для любого бизнеса. Технологические партнеры PHDays — российская частная сеть продовольственных супермаркетов «Азбука вкуса», электронный платежный сервис RBC.money, разработчик ПО в области ДБО iSimpleLab. На выставке PHDays будут представлены Axoft, Crosstech Technologies, ICL, OCS Distribution, R-Vision, Security Vision, «Инфосистемы Джет». Партнером конкурсной программы выступит ARinteg.
Bug Hunting Village на Positive Hack Days: успейте заявить о себе
Одной из новинок программы Positive Hack Days в этом году станет Bug Hunting Village. Ведущие исследователи и охотники за ошибками представят результаты своей работы по разным направлениям поиска уязвимостей. А владельцы bug bounty программ смогут анонсировать обновления в своих программах и привлечь к ним внимание исследователей. Bug Hunting Village на Positive Hack Days поддержат Mail.ru Group и «Азбука вкуса». Для участников Bug Hunting Village, репортящих уязвимости в режиме онлайн во время мероприятия, предусмотрены призы (подробности участия будут доступны на площадке в дни мероприятия). «В прошлом году Азбука вкуса стала первой компанией в фуд-ритейле, запустившей программу bug bounty. За первый год мы выплатили более 1 млн рублей в качестве вознаграждений за найденные уязвимости и не планируем останавливаться, — делится Дмитрий Кузеванов, руководитель отдела информационной безопасности “Азбуки вкуса”. — Мы очень рады поддержать Bug Hunting Village и приготовили для его участников особые условия: к вознаграждениям за отчёты об уязвимостях, присланные участниками village, мы будем применять коэффициент выплат 1.5». Bug Hunting Village рассчитан как на опытных этичных хакеров, так и на начинающих энтузиастов. Форматы участия: доклад (30-40 минут с вопросами от аудитории); fast track (15 минут); hands-on lab (до 2 часов). Ключевыми темами станут: поиск и эксплуатация уязвимостей в приложениях (мы не ограничиваемся веб-приложениями и приветствуем темы, связанные с бинарной эксплуатацией); фаззинг и автоматизация поиска уязвимостей; сбор информации о целевых ресурсах в рамках bug bounty (recon); анонс обновлений программ bug bounty. Для того чтобы поделиться своими идеями с аудиторией Bug Hunting Village, нужно заполнить заявку на Call for Papers, а еще вы можете посетить Bug Hunting Village в качестве слушателя и\или bug hunter`a.