Новости
«Positive Hack Days 10: Начало»: как это будет
«Positive Hack Days 10: Начало»: как это будет Культовый форум Positive Hack Days откроет свои двери 20–21 мая 2021 года в Центре международной торговли в Москве. В этом году мы не просто будем говорить о защите и нападении, мы возьмем на себя дерзкую роль писателей истории, истории о преображении и начале нового времени. Мероприятие пройдет в гибридном формате: часть участников сможет посетить площадку лично, остальные — посмотреть прямой онлайн-эфир. В последнее время на нас обрушился шквал новых заявок, поэтому мы решили перенести офлайн-площадку в ЦМТ, чтобы вместить еще больше желающих, расширить возможности живого участия и обсудить все насущные проблемы и задачи отрасли. При этом мы сохраним масштабный онлайн-формат, качество которого в этом году будет еще выше. Трансляция позволит увидеть основные залы и закулисье форума с разных углов через десятки камер и ощутить эффект полного погружения за счет съемки, не уступающей ТВ-формату. «Концепцию „Начала“ мы придумали в прошлом году, но время подсказало, что тогда это было преждевременным: Начало должно случиться именно сейчас. И это связано не только с постковидной эпохой и драматическим всплеском цифровизации, но и с назревшей переоценкой самой модели безопасности, которая изменит устоявшуюся роль ИБ в бизнесе», — отметил Владимир Заполянский, директор Positive Technologies по маркетингу и корпоративным коммуникациям. «Positive Hack Days отражает экспертность и наукоемкость отраслей ИТ и ИБ в России. С каждым годом значимость информационных технологий для всего мира растет, они развиваются невероятными темпами. Именно поэтому мы считаем, что Начало должно состояться сейчас, в год науки и технологий в России», — отмечает Виктория Алексеева, программный директор Positive Hack Days. Конференция, бизнес-программа, конкурсы На PHDays выступят российские и зарубежные разработчики, представители государственной власти, CIO и CISO крупнейших отечественных и международных компаний, ведущие специалисты банков, телекоммуникационных, нефте- и газодобывающих, промышленных и IT-компаний. В программе запланированы десятки докладов, мастер-классов, лабораторных практикумов, круглых столов. Выступления на PHDays в этом году охватывают четыре направления — к традиционным трекам, посвященным вопросам защиты (defensive), взлома (offensive) и влияния ИБ на бизнес, добавился новый трек, посвященный безопасной разработке. «Обнаружить и остановить киберпреступников силами одного человека!» — под таким девизом в рамках бизнес-программы форума 20 мая пройдет презентация новых продуктов Positive Technologies — продуктов метауровня. В тот же день представители Департамента информационных технологий г. Москвы, бизнеса и регуляторов обсудят за круглым столом вопросы социальной ответственности при создании и эксплуатации новых цифровых сервисов. Участники пленарной сессии PHDays 21 мая обсудят состояние российской кибербезопасности, уровень защищенности компаний, новейшие нормативные требования, а также санкции и импортозамещение. К участию в сессии приглашены министр цифрового развития, связи и массовых коммуникаций Максут Шадаев, собственники компаний-вендоров, руководители профильных подразделений государственных корпораций. На форуме будет традиционно богатая конкурсная программа, которую разрабатывают ведущие эксперты в области кибербезопасности, опираясь на весь свой опыт. Конкурсы — важная часть мероприятия: они наглядно визуализируют окружающие нас угрозы. В Payment Village можно будет попрактиковаться в атаках на платежные системы, на Blockchain Track расскажут о взломах криптобирж и разберут тонкости уязвимостей в смарт-контрактах, в секции AI Track будут доклады об искусственном интеллекте в безопасности, а в Network Village можно будет испытать системы защиты на прочность. Одна из новинок — Bug Hunting Village: охотники за ошибками представят результаты своей работы по разным направлениям. The Standoff В 2020 году самая крупная в мире открытая кибербитва The Standoff отделилась от PHDays и стала самостоятельным направлением. В этом году The Standoff впервые станет партнером форума. Киберполигон The Standoff — это цифровой двойник современного мегаполиса, эмулирующий реальную инфраструктуру города с его промышленными и энергетическими комплексами, финансовой системой, транспортной инфраструктурой, развлекательными заведениями и деловым центром. Виртуальный город станет полем битвы для хакеров и защитников и наглядно продемонстрирует, насколько важно бизнесу сегодня иметь риск-ориентированную стратегию ИБ. Битва пройдет с 18 по 21 мая. «Технологии визуализировать непросто, ведь не всегда покажешь их „внутренности“ в виде серверов, кабелей и лампочек, и мы решаем эту задачу, — рассказал Владимир Заполянский. — The Standoff позволяет наглядно донести до любой аудитории, кáк технологии вплетены в современный город, в нашу жизнь и насколько опасными могут быть последствия кибератак. Это место проверки любых гипотез, где каждый сможет предвосхитить катастрофические последствия, чтобы не допустить их в реальной жизни». Кроме того, 19 мая на PHDays пройдет настоящий детский трек — The Standoff Kids. Уже во второй раз мы будем знакомить наших юных гостей с азами компьютерной грамотности и информационной безопасности, рассказывать о перспективах профессионального развития для защитников киберпространства. Школьников ждут игровые блоки, увлекательные лекции, а также интерактивный квест, в рамках которого они помогут жителям виртуального города защититься от хитроумных киберхищников. В этом году соорганизатором PHDays выступает группа IT-компаний широкого профиля Innostage. Бизнес-партнером форума стал «Ростелеком-Солар», национальный провайдер сервисов и технологий информационной безопасности. Технологические партнеры PHDays — российская частная сеть продовольственных супермаркетов «Азбука вкуса», электронный платежный сервис RBC.money, разработчик ПО в области ДБО iSimpleLab. На выставке PHDays будут представлены Axoft, Crosstech Technologies, ICL, OCS Distribution, R-Vision, Security Vision, «Инфосистемы Джет». Партнером конкурсной программы выступит ARinteg. До встречи 20 и 21 мая на PHDays!
Технические доклады на PHDays: от приемов OSINT до ИБ в видеоиграх
Технические доклады на PHDays: от приемов OSINT до ИБ в видеоиграх Всего неделя остается до «Positive Hack Days 10: Начало», и мы продолжаем знакомить вас с нашими спикерами и самыми ожидаемыми техническими докладами из различных треков конференции. Практические приемы OSINT в цифровом мире Генеральный директор Avalanche Андрей Масалович на реальных примерах покажет приемы OSINT, позволяющие эффективно добывать приватную и даже секретную информацию, не прибегая к взлому. В докладе исследуются методы поиска открытых разделов в облачных хранилищах, сканирование незащищенных баз на основе PostgreSQL, MongoDB и Elasticsearch, восстановление секретных данных по глобальным логистическим базам, сбор данных по закрытым профилям в социальных сетях, деанонимизация пользователей мессенджеров. Социнженерия-2021 Специалист по ИБ Дмитрий Андреев расскажет о фундаментальных принципах социальной инженерии, о различных сценариях ее применения, а также поделится опытом противодействия социотехникам в корпоративной среде. Приоритизация CVE-уязвимостей с помощью Vulristics Vulristics (от слов vulnerability и heuristics) — это расширяемый фреймворк с открытым исходным кодом для анализа общедоступной информации о публичных CVE-уязвимостях. Независимый эксперт Александр Леонов расскажет об использовании Vulristics для приоритизации уязвимостей, а также о том, почему важно уметь приоритизировать известные уязвимости и какие дополнительные источники данных можно для этого использовать. Microsoft Active Directory: техники повышения привилегий Эксперт по безопасности приложений Егор Богомолов (Singleton Security) формализовал все техники повышения привилегий, которые предоставляет Microsoft Active Directory вместе с первоначальной настройкой в локальной сети. Он расскажет об уязвимостях в сетях под управлением AD «из коробки» и о том, как администраторам локальной сети под управлением AD защищаться от них. Разработка и валидация ML-пайплайнов Инженер, исследователь компьютерного зрения Артем Кравцов (SberDevices) расскажет об опыте разработки и тестирования ML-системы и мобильного SDK для определения подлинности биометрического образца по фотографии, об архитектуре разработанного решения и продемонстрирует прохождение биометрической проверки реальным пользователем. Докладчик подробно остановится на ML-составляющей системы, а также на процессе внутренней и внешней валидации системы. Атаки BadUSB Руководитель направления анализа защищенности компании Innostage Александр Борисов рассмотрит несколько ситуаций, когда атаки BadUSB — интересный и довольно эффективный класс атак — могут быть применены, а также основные способы предотвращения таких атак. Безопасная разработка На форуме PHDays в этому году к традиционным трекам, посвященным вопросам защиты (defensive), взлома (offensive) и влияния ИБ на бизнес, добавится новый, четвертый трек, касающийся безопасной разработки. Информационная безопасность в видеоиграх Руководитель направления безопасности приложений Сбербанка Артем Бачевский на реальных примерах рассмотрит типовые векторы атак в видеоиграх и способы защиты от них. Небезопасная десериализация Михаил Щербаков, соискатель PhD (Королевский технологический институт в Стокгольме), рассмотрит реальные примеры уязвимостей и недостатков, лежащих в корне проблемы небезопасной десериализации, разберет вопрос построения модели угроз, инструменты и подходы для поиска и эксплуатации новых уязвимостей, сфокусируется на техниках статического анализа кода и их ограничениях. Формальная верификация ядер ОС Разработчик Денис Ефремов из ИСП РАН поделится опытом участия в проектах по формальной верификации и анализу модулей контроля доступа ядер операционных систем Astra Linux SE и «Эльбрус», верификации кода Contiki (ОС для IoT) в рамках европейской программы VESSEDIA, а также раскроет подробности разработки формальных моделей контроля доступа (Rodin/Event-B) и спецификаций на код (Frama-C/ACSL), использования статических и динамических анализаторов, включения формального анализа в цикл непрерывной интеграции. С техническими докладами на конференции также выступят: Сергей Волокитин — старший аналитик информационной безопасности компании Riscure; Сергей Голованов — главный эксперт «Лаборатории Касперского»; Максим Горячий — независимый исследователь безопасности; Владимир Кочетков — руководитель отдела исследований по анализу защищенности приложений Positive Technologies. Соорганизатор форума, компания Innostage, развернет и будет поддерживать инфраструктуру The Standoff, мониторить и контролировать действия команд.. Бизнес-партнером форума стал «Ростелеком-Солар», национальный провайдер сервисов и технологий информационной безопасности. Технологические партнеры PHDays – российская частная сеть продовольственных супермаркетов «Азбука вкуса», электронный платежный сервис RBC.money, разработчик ПО в области ДБО iSimpleLab. На выставке PHDays будут представлены Axoft, Crosstech Technologies, ICL, OCS Distribution, R-Vision, Security Vision, «Инфосистемы Джет». Партнером конкурсной программы выступит ARinteg.
The Standoff Kids на PHDays 10: дети решают
The Standoff Kids на PHDays 10: дети решают Большой детский трек The Standoff Kids пройдет на форуме по практической безопасности Positive Hack Days 10 в Центре международной торговли 19 мая 2021 года при поддержке Правительства Москвы. Мероприятие рассчитано на детей от 10 до 16 лет. Уже второй раз на PHDays мы будем знакомить юных гостей с азами киберграмотности и информационной безопасности, рассказывать о том, какие перспективы для учебы и профессионального развития есть у будущих защитников киберсреды. «Развитие информационных технологий и растущий спрос на онлайн-сервисы диктуют принципиально новые требования к уровню защиты городских информационных систем. Обеспечение кибербезопасности столицы и подготовка специалистов в этой сфере — одна из приоритетных задач ДИТ Москвы, и мы считаем, что обучать основам этой профессии надо с самого детства. Например, мы регулярно проводим для детей и их родителей обучающие вебинары о цифровой грамотности и азах кибербезопасности. Но любая информация лучше воспринимается в увлекательной и игровой форме, и детский трек на Positive Hack Days поможет ребятам получить еще больше полезных знаний», — рассказал министр Правительства Москвы, руководитель Департамента информационных технологий Эдуард Лысенко. Начинающие безопасники будут участвовать в интерактивном квесте, помогать жителям футуристического города отражать нападения хитроумных и многочисленных киберхищников. Чтобы всем было интересно, игроков разделят на команды по возрасту и опыту. Умный город будущего — это модель мегаполиса, представленная игровыми станциями и образовательными инсталляциями. Участников ждут задания, связанные с IT, поиском информации и ее защитой. На площадке построены макеты аэропорта, парка развлечений, морского порта и других городских объектов. Каждая команда получит проводника и планшет-навигатор с уникальным сценарием для решения задач, связанных с конкретным объектом. Помимо игровых блоков будут короткие, но емкие и интересные лекции об информационной безопасности: ребята научатся опознавать современные киберугрозы и атаки, познакомятся со стеганографией и шифрованием, узнают о правилах поведения в интернете. «Цифровая грамотность играет важную роль в воспитании и образовании детей. Быстрое освоение новых технологий при отсутствии жизненного опыта часто становится причиной проблем, — комментирует заместитель генерального директора Positive Technologies по развитию бизнеса Борис Симис. — Выполняя задания в нашем виртуальном городе, дети учатся защищать данные и противостоять атакам. Мы специально делаем упор на геймификацию, это помогает увлечь ребенка. А полученные знания можно сразу применять на практике». Организаторы форума и детского трека уверены, что знакомство с кибербезопасностью в игровой манере не только развлечет детей и даст им знания, но и пробудит у юных участников интерес к информационной безопасности как профессии.
PHDays: ждем вас онлайн
PHDays: ждем вас онлайн Уважаемые друзья! В последнее время на нас обрушился шквал новых заявок, почта организаторов заполнена письмами с предложениями, а их телефоны продолжают разрываться от звонков. Мы уже совершили почти невозможное — экстренно перенесли форум в Центр международной торговли и расширили возможности живого участия в мероприятиях PHDays в несколько раз. До форума осталось еще три недели, но доступные для продажи билеты уже разошлись, регистрация закрыта, а возможности офлайн-площадки исчерпаны. Всех, кто хочет принять участие, но не успел приобрести билет, мы приглашаем присоединиться к нам онлайн. В этом году мы серьезно поработали над онлайн-форматом, расширили его масштабы, довели до совершенства качество. Трансляция через десятки камер с разных ракурсов позволит ощутить эффект полного погружения за счет съемки, не уступающей ТВ-формату. Присоединяйтесь! Вас ждут доклады, мастер-классы, конкурсы и много других интересных мероприятий.
Доклады на PHDays: закладки в ядре Linux, «контрабанда» вредоносных HTTP-запросов и обнаружение зловредов
Доклады на PHDays: закладки в ядре Linux, «контрабанда» вредоносных HTTP-запросов и обнаружение зловредов До международного форума Positive Hack Days 10, который пройдет 20 — 21 мая, остается все меньше времени. Мы завершаем подготовку инфраструктуры киберполигона The Standoff, формируем red и blue teams и, конечно же, готовим программу конференции. На PHDays состоятся три больших трека, которые будут посвящены вопросам защиты (defensive), взлома (offensive) и влияния ИБ на бизнес. Сегодня мы представляем первые доклады. Закладки в ядре Linux Эксперт по ИБ Илья Матвейчиков расскажет о техниках создания закладок в ядре Linux. В ходе 45-минутной презентации Илья объяснит, как на самом деле возможно осуществить многоцелевую атаку kernel implanting. Эксперт также продемонстрирует реальные варианты закладок в разных вариантах x86-ядер. Контрабанда HTTP-запросов Эмиль Лернер расскажет о технике HTTP Request Smuggling, которая широко используется для атак на обратные прокси. В последние годы исследователи ИБ совершили ряд открытий, в частности обнаружили новые методы детектирования уязвимости и разработали новые методы эксплуатации состояния HTTP Desync. В докладе Эмиль продемонстрирует возможности «контрабанды запросов», которые появились с приземлением HTTP/2 на фронтенд-серверах и перехода HTTP/2->HTTP/1.1. Слушатели узнают о том, как обнаружить уязвимые к атаке обратные прокси, какие методы автоматизации детектирования существуют. Также эксперт расскажет о возможных методах эксплуатации уязвимости и последствиях успешной атаки. Фаззинг ядра Linux Независимый исследователь безопасности Андрей Коновалов расскажет о фаззинге ядра Linux. Фаззинг — это способ автоматически находить баги, передавая в программу случайно сгенерированные данные. Андрей расскажет, как использовать фаззинг для нахождения ошибок в ядре Linux и какие интерфейсы ядра можно фаззить. Он кратко опишет готовые фаззеры, такие как Trinity и syzkaller, но в основном сконцентрируется на написании кода фаззера, генерировании вводных данных и сборке покрытия кода. Эксплуатация уязвимости CVE-2021-26708 в ядре Linux В январе 2021 года разработчик ядра Linux и исследователь безопасности Positive Technologies Александр Попов обнаружил и устранил пять уязвимостей в реализации виртуальных сокетов ядра Linux. Этим уязвимостям был присвоен идентификатор CVE-2021-26708. В своем докладе «Сила четырех байтов» Александр детально расскажет об эксплуатации одной них для локального повышения привилегий на Fedora 33 Server для платформы x86_64. Исследователь продемонстрирует, как с помощью небольшой ошибки доступа к памяти получить контроль над всей операционной системой и при этом обойти средства обеспечения безопасности платформы. Формальная верификация ядер операционных систем Разработчик «ИСП РАН» Денис Ефремов поделится опытом участия в проектах по формальной верификации и анализу модулей контроля доступа ядер операционных систем Astra Linux SE и «Эльбрус», а также верификации кода Contiki (ОС для IoT) в рамках европейской программы VESSEDIA. Будут раскрыты подробности разработки формальных моделей контроля доступа (Rodin/Event-B) и спецификаций на код (Frama-C/ACSL), использования статических и динамических анализаторов, включения формального анализа в цикл непрерывной интеграции (continuous verification). Будут рассмотрены и другие виды работ, позволяющие удовлетворить сертификационным требованиям. В этом году соорганизатором PHDays выступает группа ИТ-компаниий широкого профиля Innostage. Бизнес-партнером форума стал «Ростелеком-Солар», национальный провайдер сервисов и технологий информационной безопасности. Технологические партнеры PHDays – российская частная сеть продовольственных супермаркетов «Азбука вкуса», электронный платежный сервис RBC.money, разработчик ПО в области ДБО iSimpleLab. На выставке PHDays будут представлены Axoft, Crosstech Technologies, ICL, OCS Distribution, R-Vision, Security Vision, «Инфосистемы Джет». Партнером конкурсной программы выступит ARinteg. На сегодня все, следите за новостями на нашем сайте!
«Positive Hack Days 10: Начало» переносится в московский Центр международной торговли, чтобы вместить еще больше желающих
«Positive Hack Days 10: Начало» переносится в московский Центр международной торговли, чтобы вместить еще больше желающих Мы обязательно хотим увидеть офлайн наших коллег из сообщества ИБ, партнеров, заказчиков и друзей компании. Первоначальный камерный формат не позволил бы это сделать. Поэтому мы решили дать всем желающим возможность вживую задать нам вопросы, вместе обсудить проблемы и задачи отрасли. При этом мы сохраняем широкую онлайн-трансляцию всего, что будет происходить на The Standoff с 18 по 21 мая и PHDays с 20 по 21 мая, с синхронным переводом на английский язык. Трансляция позволит увидеть основные залы и закулисье форума с разных углов через десятки камер и ощутить эффект полного погружения за счет съемки, не уступающей формату ТВ. «Изначально, в условиях пандемии и санитарных ограничений, мы выбрали не очень большую офлайн-площадку и одновременно радикально расширили онлайн-формат — и по масштабу, и по качеству. Сейчас мы понимаем, что в этом году нам нельзя ограничивать себя рамками такого скромного офлайна, поэтому мы расширяем площадку, оставив без изменений масштабный онлайн», — отметил Владимир Заполянский, директор по маркетингу и корпоративным коммуникациям Positive Technologies. На PHDays выступят российские и зарубежные разработчики, представители государственной власти, CIO и CISO крупнейших отечественных и международных компаний, ведущие специалисты банков, телекоммуникационных, нефте- и газодобывающих, промышленных и IT-компаний. В программе запланированы десятки докладов, мастер-классов и лабораторных практикумов, круглых столов, лекций и конкурсов. Самый большой в мире открытый киберполигон The Standoff позволит вам стать свидетелем настоящей кибербитвы белых хакеров и защитников за ресурсы цифрового города. Вы сможете наглядно увидеть возможные последствия кибератак на инфраструктуру современного мегаполиса с его заводами, банками, транспортной системой, развлекательными заведениями и деловым центром. Это позволит понять, насколько глубоко технологии влияют на нашу жизнь, научиться предотвращать наиболее опасные инциденты в реальности и сделать нашу жизнь более комфортной и безопасной. Приходите, вас ждет «Начало»! Отдельно отметим, что мы заботимся о здоровье и безопасности наших гостей: форум будет проходить с соблюдением санитарно-эпидемиологических норм. Зарегистрироваться на оба дня форума можно на сайте мероприятия. Офлайн-посетители форума смогут послушать доклады, лично пообщаться со спикерами, которые приедут в Москву, попробовать свои силы в традиционной конкурсной программе. Билет на конференцию также дает возможность посетить киберполигон The Standoff. Подробнее о программе мероприятия — в наших новостях.
Открытое письмо исследовательскому сообществу
Открытое письмо исследовательскому сообществу Всем привет! Произошедшие события обернулись для нас в первую очередь огромным количеством слов поддержки. Мы видим поддержку в комментариях к сообщениям в соцсетях, в личных сообщениях, звонках. Вы не представляете, насколько мы вам за это благодарны. За годы работы мы обнаружили и помогли исправить огромное количество уязвимостей в приложениях и аппаратных системах, разработанных практически всеми известными вендорами, включая Cisco, Citrix, Intel, Microsoft, Siemens, VMware. Мы бы не смогли этого сделать без привлечения лучших исследователей в области информационной безопасности, а также без активной позиции вендоров и готовности работать с исследовательскими центрами наподобие нашего для исправления всех этих уязвимостей. Нам в этом очень помогало разделение принципов ответственного разглашения (responsible disclosure), согласно которым все данные об обнаруженных уязвимостях уходят во внешний мир только по согласованию с вендором и после того, как вендор эту уязвимость исправит и доставит исправления своим клиентам. В результате наших с вами действий мир становится чуточку лучше и безопаснее. Для того чтобы сплотить наше с вами комьюнити, мы организовали крупнейший в России международный форум по информационной безопасности — Positive Hack Days, и смогли привлечь к диалогу на этой площадке как специалистов по ИБ из разных компаний и руководителей бизнеса, небезразличных к кибербезу, так и «парней в футболках» — белых (white hat) хакеров и исследователей, реально понимающих, как тестировать системы на проникновение, и готовых делиться своим опытом. Чтобы получать практические знания о том, как в реальных условиях будут действовать злоумышленники, мы уже десять лет проводим соревнования white-hat-хакеров и специалистов защиты компаний на специально подготовленном полигоне The Standoff, инфраструктура которого построена на системах, реально использующихся в окружающем нас мире, потому что только так мы можем понять, как эти компоненты могут быть атакованы и как от этих атак защищаться. Через The Standoff и PHDays прошли CTF-команды из многих стран, включая Россию, США, Казахстан, Индию, Японию, ОАЭ. Знания на этом полигоне получали в том числе и лучше в мире СTF-команды, такие как команда PPP из Университета Карнеги — Меллона. Согласно нашим принципам открытости знаний для сообщества, каждый мог принять участие — послушать доклады, отточить свои навыки в поиске уязвимостей или отражении хакерских атак, просто последить за трафиком во время мероприятия и унести эти знания с собой, для того чтобы лучше защищать свои компании, разрабатывать продукты, которые смогут более качественно отражать кибератаки, создавать более безопасные решения и компоненты. Принципы открытости информации и знаний, ответственного разглашения при исследовании систем на наличие уязвимостей и практический подход к кибербезопасности — это наши ключевые ценности. А значит, ждите от нас новых исследований в области практической ИБ, нашей поддержки сообщества и новых конференций! Спасибо вам огромное за поддержку, и ждем вас на PHDays 10! Вот сборник наших лучших исследований в области практической кибербезопасности за последние три года — читайте и делитесь со своими коллегами в сообществе! Денис Баранов, Управляющий директор Positive Technologies
Конкурсы PHDays 10: взломы банкоматов, систем защиты и смарт-контрактов, возможности машинного обучения и его уязвимости
Конкурсы PHDays 10: взломы банкоматов, систем защиты и смарт-контрактов, возможности машинного обучения и его уязвимости Пандемия отступает, а форум PHDays возвращается в мае почти в традиционном формате — с выступлениями, кибербитвой The Standoff и, конечно же, традиционными конкурсами. В открытых соревнованиях смогут принять участие все желающие, от вас потребуется лишь ноутбук, любознательность и азарт. В целях безопасности предлагаем принять участие во всех состязаниях онлайн. Попрактиковаться в атаках на банковские системы можно будет в Payment Village, где наши эксперты расскажут о работе различных платежных устройств и об их уязвимостях. В специальной демозоне гостям продемонстрируют сценарии атак на банкоматы и POS-терминалы. Payment Village поддержат компании IsimpleLab, «Азбука вкуса» и ARinteg. Blockchain Track соберет энтузиастов безопасности блокчейн-технологий и децентрализованных финансов (DeFi). Здесь расскажут о том, как происходят взломы криптобирж, разберут тонкости уязвимостей в смарт-контрактах и поделятся своим мнением о методах защиты. Будут обсуждаться вопросы масштабирования блокчейн-сетей и перспективы развития L2-решений. В роли взломщика смарт-контрактов сможете испытать себя и вы — в онлайн-конкурсе DeFi Hack. Для участия потребуется локальный клиент Ethereum либо расширение для браузера (MetaMask). Стремительное развитие технологий искусственного интеллекта и их внедрение в информационную безопасность несут в себе как новые возможности, так и новые угрозы. В секции AI Track можно будет послушать доклады, посвященные ИИ в безопасности. Мы пригласили экспертов, которые поделятся опытом применения машинного обучения для защиты, и исследователей, которые смогут рассказать о рисках решений, основанных на ИИ. А соревнование AI СTF познакомит специалистов по ИБ с различными техниками машинного обучения в игровых CTF-сервисах и продемонстрирует уязвимости таких сервисов. Задания разного уровня сложности будут интересны не только опытным CTF-игрокам, но и новичкам, которые хотят разобраться в теме. Network Village соберет экспертов с докладами на тему сетевой безопасности. На стенде любители испытать на прочность системы защиты смогут принять участие в конкурсе IDS Bypass. Участники попробуют взломать пять уязвимых узлов и добыть все флаги. Задачу усложнит система обнаружения вторжений, которая пропускает трафик через себя и блокирует попытки сетевых атак. Уязвимые сервисы подобраны таким образом, чтобы соревнующиеся сконцентрировали усилия именно на обходе IDS. Количество участников в конкурсах ограничено. Для участия заполните форму. Еще больше подробностей о конкурсах мы расскажем в ближайшее время. Следите за новостями и разомните мозги перед соревнованиями! В этом году соорганизатором PHDays выступает группа ИТ-компаниий широкого профиля Innostage. Бизнес-партнерами форума стали «Ростелеком-Солар», национальный провайдер сервисов и технологий информационной безопасности, и MONT, дистрибьютор ПО для любого бизнеса. Технологические партнеры PHDays — российская частная сеть продовольственных супермаркетов «Азбука вкуса», электронный платежный сервис RBC.money, разработчик ПО в области ДБО iSimpleLab. На выставке PHDays будут представлены Axoft, Crosstech Technologies, ICL, OCS Distribution, R-Vision, Security Vision, «Инфосистемы Джет». Партнером конкурсной программы выступит ARinteg.
Bug Hunting Village на Positive Hack Days: успейте заявить о себе
Одной из новинок программы Positive Hack Days в этом году станет Bug Hunting Village. Ведущие исследователи и охотники за ошибками представят результаты своей работы по разным направлениям поиска уязвимостей. А владельцы bug bounty программ смогут анонсировать обновления в своих программах и привлечь к ним внимание исследователей. Bug Hunting Village на Positive Hack Days поддержат Mail.ru Group и «Азбука вкуса». Для участников Bug Hunting Village, репортящих уязвимости в режиме онлайн во время мероприятия, предусмотрены призы (подробности участия будут доступны на площадке в дни мероприятия). «В прошлом году Азбука вкуса стала первой компанией в фуд-ритейле, запустившей программу bug bounty. За первый год мы выплатили более 1 млн рублей в качестве вознаграждений за найденные уязвимости и не планируем останавливаться, — делится Дмитрий Кузеванов, руководитель отдела информационной безопасности “Азбуки вкуса”. — Мы очень рады поддержать Bug Hunting Village и приготовили для его участников особые условия: к вознаграждениям за отчёты об уязвимостях, присланные участниками village, мы будем применять коэффициент выплат 1.5». Bug Hunting Village рассчитан как на опытных этичных хакеров, так и на начинающих энтузиастов. Форматы участия: доклад (30-40 минут с вопросами от аудитории); fast track (15 минут); hands-on lab (до 2 часов). Ключевыми темами станут: поиск и эксплуатация уязвимостей в приложениях (мы не ограничиваемся веб-приложениями и приветствуем темы, связанные с бинарной эксплуатацией); фаззинг и автоматизация поиска уязвимостей; сбор информации о целевых ресурсах в рамках bug bounty (recon); анонс обновлений программ bug bounty. Для того чтобы поделиться своими идеями с аудиторией Bug Hunting Village, нужно заполнить заявку на Call for Papers, а еще вы можете посетить Bug Hunting Village в качестве слушателя и\или bug hunter`a.
Открыт набор атакующих и защитников для участия в кибербитве The Standoff на Positive Hack Days
18 мая начинаются киберучения на полигоне The Standoff, который в этом году станет полноправным партнером форума Positive Hack Days 10 (пройдет 20 и 21 мая). Все меньше времени остается до обоих событий, и мы рады сообщить, что открыли набор команд атакующих и защитников, которые будут бороться друг с другом в мегаполисе. Что такое The Standoff The Standoff — это киберполигон. Инструмент, с помощью которого мы моделируем технологические процессы и бизнес-системы реальных компаний в промышленности, на транспорте, в энергетике, финансовом и других секторах. Задача полигона — создание среды, в которой можно: провести настоящие хакерские атаки на инфраструктуру предприятия; обнаружить слабые места в системе информационной безопасности; проверить и отработать навыки специалистов по обнаружению и предотвращению атак. Специалисты по ИБ на полигоне изучают методы атакующих и тренируются в расследовании и отражении атак. Полигон позволяет защитникам за несколько дней получить опыт, который в обычных условиях сложно приобрести даже за годы работы. На протяжении нескольких лет полигон The Standoff разворачивался в рамках PHDays. В прошлом году киберучения выделились в самостоятельное событие, которое может существовать в партнерстве с другими мероприятиями (как, к примеру, это было в случае с HITB). Ожидается, что в мае сойдутся в кибербитве несколько десятков команд, и мы приглашаем вас принять участие. Технические подробности Как и в прошлом году, The Standoff на PHDays пройдет в режиме онлайн. Большая часть инфраструктуры киберполигона будет уже знакома многим участникам: нефтяная, газовая, энергетическая и другие компании. Однако мы добавим и новые объекты инфраструктуры со своими бизнес-процессами и рисками. Какие — пока секрет :) Полигон станет больше, используемые в нем технологии мощнее, а соревнование — еще более практичным и приближенным к реальности. Кого мы ждем Мы рады не только тем, кто участвует много лет, но и тем, кто хочет попробовать свои силы впервые. Однако наша аудитория — это в основном опытные специалисты, которые уже давно занимаются тестированием на проникновение и анализом защищенности и не понаслышке знают, что такое JNDI, XXE OOB и xp_cmdshell. «Для команды нападения участие в The Standoff — это отличная возможность показать всему миру, насколько команда готова решать сложные задачи практической безопасности, актуальные для бизнеса, возможность наглядно продемонстрировать, насколько хороши навыки команды в пентесте», — рассказывает Ярослав Бабин, руководитель отдела анализа защищенности веб-приложений, Positive Technologies, один из организаторов The Standoff и PHDays. В принципе количество участников The Standoff ограничено только шириной сетевого канала, но организаторы отмечают: чтобы киберучения прошли максимально комфортно, в одной атакующей команде не должно быть больше 10 человек¹ . «Условия киберучений на полигоне The Standoff призваны сделать его максимально похожим на реальность и повысить практическую применимость его результатов, — поясняет Дмитрий Ушаков, руководитель отдела архитектуры киберполигонов Positive Technologies, один из организаторов The Standoff. — В частности, мы сфокусировали и атакующих, и защитников на рисках цифровых двойников реальных объектов, а не просто на неких „флагах“, как это бывает в обычных, всем знакомых CTF. Наша цифровая копия мегаполиса ждет тех, кто сможет противостоять атакующим в их стремлении устроить какую-нибудь аварию. Одно из ключевых требований к защитникам — иметь полноценную слаженную команду». При этом для команд защиты наличие опыта именно в тех отраслях, объекты из которых присутствуют на полигоне, необязательно. Самое главное — иметь навыки выявления и расследования инцидентов, тогда участие в The Standoff позволит «прокачать» их еще сильнее и затем эффективно применять в ежедневной работе². Для того чтобы принять участие в The Standoff, командам нужно отправить заявки: команды атаки могут заполнить заявку онлайн до 30 апреля; команды защиты могут присылать свои заявки организаторам по адресу dmushakov@ptsecurity.com до 17 апреля. Следите за новостями в телеграме @TheStandoff. До встречи на PHDays и The Standoff! На это количество рассчитаны сувениры для команд, принимающих участие в The Standoff. Для команд защиты участие в The Standoff организуется на коммерческой основе, условия оговариваются отдельно при подаче заявки.