• Приходите на турнир по информационной безопасности и конференцию

      0100010000110010001000000100110000110010001000000100011000110010001000
      0001010010001100100010000001010101001100100010000001000010001100100010
      0000010001000011001000100000010001100011001000100000010100100011001000
      1000000101010100110010001000000101001000110010001000000101010100110010
      Это глайдер, но вы его не видите

      Этот год был очень богат на уязвимости, красивые взломы и нестандартные методы атаки. В этом же году Минобороны решило создать специальные ИБ-войска для защиты критичных объектов. На очередной конференции C^2 эксперты расскажут про это и поделятся предметным практическим опытом.

      Вот отчёт с прошлой конференции, возможно, интересный вам выступлением Митника.

      После конференции начинается CTF-турнир по ИБ, уже не первый в России из линейки Cyber Challenge.
      Читать дальше →
    • Приглашаю на большой CTF-турнир по информационной безопасности

        image

        Cyber Readiness Challenge (CRC) – это хак-квест, который компания Symantec проводит по всему миру. В этом году в России организацией занимаются CNews и Symantec. Мы, КРОК, — стратегический партнёр.

        В прошлом году в России на онлайн-часть собралось 143 участника, которые в общей сложности потратили 3070 часов на то, чтобы попробовать совершить серию взломов в симуляторе сети крупной корпорации.

        В этом году игры продолжаются. Расчехляйте Kali, подключайтесь по VPN к нашему симулятору и погружайтесь в игру. Первые уровни рассчитаны на обучение специалистов по информационной безопасности (то есть дадут вам опыт, если вы ещё не прошаренный профи). Последние флаги рассчитаны на суровых русских хакеров: дело в том, что в прошлом году наш соотечественник Влад последовательно вырвал онлайн-игру, оффлайн-турнир в Москве (с рекордом по скорости) и, чисто так напоследок, — турнир по региону EMEA в Ницце.
        Читать дальше →
      • Наш хакер победил в финале Cyber Challenge по региону EMEA

          image
          Влад на финале в России

          Помните, у нас тут был российский финал Symantec Cyber Challenge и конференция по информационной безопасности, на которой феерично выступил простой американский парень Кевин Митник? Так вот, тогда победил v0s, который поехал в Ниццу представлять нашу страну в финальном туре.

          Ещё в Москве он очень поразил экспертов скоростью – ушел вперёд с огромным отрывом, успел спокойно посмотреть все сюжетные сценки и сходить немного перекусить по ходу турнира.

          В общем, он выиграл EMEA Cyber Readiness Challenge Final. И делится своими впечатлениями.
          Читать дальше →
        • Рассказы участников о недавнем хак-квесте


            «Этичный хакер», участник хак-квеста

            Вот здесь лежит отчёт с конференции по информационной безопасности, на которую приезжал Митник. Параллельно шла оффлайн-игра – CTF в симуляторе корпоративной сети, Symantec Cyber Readiness Challenge. Онлайн этап состоялся летом, а это был завершающий, его победитель едет на международный турнир в Ниццу защищать честь нашей страны.

            Скорость взятия флагов нашими участниками удивила и порадовала технических экспертов Symantec из Англии.

            Ниже — рассказы участников.
            Читать дальше →
            • +36
            • 24.8k
            • 8
          • Отчёт с хакерского турнира и конференции по безопасности с Митником

              image
              «В соседнем зале сидят люди, которые представляют основную угрозу нашей безопасности»

              Во вторник прошла вторая (оффлайновая) часть хакерского турнира Symantec Cyber Readiness Challenge и конференция по безопасности CROC Cyber Conference с участием Кевина Митника. Всё это вместе называлось C^2: Cyber Challenge.

              Самое интересное:
              • Наши хакеры оказались очень быстрыми.
              • Газ в зал с участниками так и не пустили (хотя многие на конференции считали это разумной мерой).
              • Митник показывал чудо-флешки с обходом антивирусов и захватом машины под контроль, копировал IVR Ситибанка, показывал как здороваться с людьми, одновременно копируя MIFARE-карту, и рассказывал кучу историй из своей бурной молодости. «Когда начнём тестирование? Уже закончили. Не получили письма? Всё правильно, отчёт у вас на рабочем столе».

              Ниже отчёт, немного про подготовку и куча фотографий (трафик).
              Читать дальше →
            • Приглашаю на хак-квест в Москве – last call


                Специалисты по инфобезопасности на турнире Symantec Cyber Readiness Challenge в Торонто, 2012 г.

                Привет!
                Я уже много писала про подготовку нашего большого хакерского квеста.

                Коротко основное:
                • Это CTF в симуляторе сети крупной корпорации.
                • Симулятор изначально делался для обучения специалистов ИБ, но стал развлечением.
                • Такие турниры проводятся по всему миру и собирают сотни участников.
                • Российский турнир будет в Москве 10 сентября параллельно с конференцией по информационной безопасности.

                Теперь главное: приглашаю к участию.
                Несколько десятков мест ещё есть.
                Это бесплатно.
                Пристёгивайте ремни — и поехали!
                Читать дальше →
              • Как готовиться к хакерскому турниру участнику


                  С хакерского турнира Symantec Cyber Challenge. Барселона, 2012.

                  У нас много вопросов по хакерскому турниру CRC, проводимому Symantec и КРОК. Продолжаю про подготовку к прохождению игры. Слово участнику первой части — Андрею Леонову:

                  Нужно видеть, чувствовать зацепки по всем фронтам:

                  — Уязвимости приложений — тут нужны не только знания, но и чутьё. RCE, XSS, SQLinj, XXE, SSFR, CSRF, ошибки в загрузке файлов, alax/backround скриптах (встречаются на порядок чаще, чем в основных скриптах). На моём личном опыте, тут сканер может потратить на порядок больше времени, чем ручная проверка. Тем более, что в последнее время, всё реже встречаются «уязвимости из примеров», почти всегда нужна доработка по месту.
                  Читать дальше →
                • Карьера специалиста по безопасности



                    Мы сейчас готовимся ко второй части хакерского турнира. Предвидя возможные вопросы от журналистов и людей, далёких от ИБ, хочу заранее рассказать, почему на выходе получатся далеко не хакеры, и как вообще выглядит карьера специалиста по безопасности.

                    Безопасник сегодня, грубо говоря, может и перекладывать бумажки, и ходить по периметру с радиоборудованием, и составлять планы Disaster Recovery, и непосредственно заниматься исправлением дыр в софте. Специализаций очень много. Все зависит от конкретной организации: ее размера, типов защищаемой информации, используемых технологий и так далее. Понятно, что интереснее всего работа там, где необходима реальная безопасность, а не фиктивная (бумажная), есть высокий уровень автоматизации.

                    Давайте посмотрим, откуда берутся и как получаются такие специалисты.
                    Читать дальше →
                  • Социальная инженерия: ликбез про метод атаки, который никогда не устаревает

                      Как показывает мировая практика успешно проведённых взломов (успешно для атакующих, разумеется), большая часть проблем связана именно с проблемами с людьми. Если быть более точным — дело в их способности выдать любую информацию и совершать совершенно дурацкие действия.

                      Думаю, IT-примеры вам и так прекрасно знакомы, поэтому напомню пример из книги «Психология влияния»: психологи обзванивали медсестёр в больницах, а затем представлялись врачом и отдавали распоряжение ввести смертельную дозу вещества пациенту. Сестра знала, что делает, но в 95% случаев выполняла команду (её останавливали на входе в палату ассистенты психолога). При этом врач даже не был хоть как-то авторизован. Почему сестра так делала? Просто потому, что она привыкла слушаться авторитета.

                      Давайте ещё раз: в примере благодаря грамотной социальной инженерии 95% больниц оказались критически уязвимы.
                      Читать дальше →
                    • 3070 часов хак-квеста, отчёт и рассказы участников


                        Участники одного из оффлайновых хакерских турниров Cyber Readiness Challenge

                        В пятницу закончилась онлайн-игра хак-квеста Cyber Readiness Challenge, которую проводили Symantec и КРОК.

                        Частенько встречаются хакквесты, которые делают люди, далекие от профессионального инфобеза. Такие квесты можно узнать по заданиям на угадайку: для прохождения требуются не столько скиллы, сколько везение и угадывание что имел в виду автор. А здесь, похоже, получилась очень редкая вещь: соревнование делали люди, шарящие в инфобезе, но при этом далекие от мира CTF. В результате таски получились с одной стороны наивными, но в то же время технически правильными. В одном соревновании сошлись задания вида «Просканируйте сетку. Сколько у нас машин в сети?» и хардкорчик вроде «Расшифруйте заксоренный блок base64, мультибайтовый xor-ключ неизвестен».
                        Влад «vos» Росков

                        Участники подключались к симулятору, моделирующему сеть крупной корпорации EDC. По сценарию в системе безопасности EDC произошло несколько инцидентов. Компания нанимает разобраться в случившемся лучших экспертов в области информационной безопасности, чтобы доказать или опровергнуть возможность взлома.

                        В целом на игру ушло около 3070 часов (общее время, затраченное участниками). Всего в турнире залогинилось 143 игрока из разных регионов России, из которых активно участвовало примерно две трети.
                        Читать дальше →
                        • +21
                        • 19.9k
                        • 7
                      • Отчёты с прошедших хакерских турниров C^2


                          С хакерского турнира в Южной Африке

                          Российский C^2: Cyber Challenge — не первый хакерский турнир в мире. Symantec довольно регулярно проводит Cyber Readiness Challenge в разных странах.

                          Прямо сейчас идёт онлайн-часть хакерского турнира, плюс продолжается регистрация на оффлайновую часть и конференцию по информационной безопасности. В России Symantec и КРОК организуют это мероприятие впервые. Пока «этичные хакеры» ломают сеть в симуляторе, я расскажу о том, как уже прошли несколько таких турниров по всему миру.
                          Читать дальше →
                          • +22
                          • 21.7k
                          • 4
                        • Как готовиться к хакерскому турниру

                            Привет!
                            Меня несколько раз спросили, как лучше готовиться к предстоящему первому турниру по информационной безопасности. Я опросила наших безопасников и админов, в том числе, тестировавших игру, и составила небольшой список ниже. Думаю, это уже будет полезно тем, кто только делает первые шаги в инфобезопасности.

                            Ну и плюс в конце топика есть небольшая задача, которая может наглядно продемонстрировать разные подходы ко взломам.

                            Коротко, сюжет будущего турнира: вы должны доказать, сможет или нет кто-либо проникнуть в корпоративную сеть извне и получить информацию, оставшись незамеченным.
                            Читать дальше →
                          • Приглашаю на хак-квест CRC — турнир по информационной безопасности


                              «Этичный хакер» ломает сеть

                              Сразу скажу, что под понятием «хакерский» имеем в виду «для IT-специалистов». Проще говоря, вы не обязаны обладать навыками атаки на компьютерные системы, но должны понимать, как работает защита и сетевые технологии. И, главное — иметь IT-мышление, позволяющее решать нестандартные задачи.

                              В рамках турнира каждый из участников погружается в имитацию реальной среды (вы будете кем-то вроде одного из сисадминов или IT-консультантов крупной корпорации) и начинает работать над возникающими задачами. Большая часть задач заточена не только под знание серверных ОС и практических ситуаций с ними, но и под умение мыслить и быстро принимать решения. Дело в том, что умение думать, как безопасник, может прийти только с опытом.

                              Именно этот опыт мы и постараемся дать. Если вы занимаетесь ИБ, серверным администрированием или сисадмините в сети с кучей пользователей — заходите, это точно про вас.
                              Читать дальше →
                              • +25
                              • 24.1k
                              • 9
                            • Ликбез по информационной безопасности сегодня



                                Для начала – совсем простая модель. Есть три концептуальных угрозы безопасности конкретных данных: нарушение целостности, доступности и конфиденциальности информации.

                                Когда хакер Вася находит в мусорнике письмо вашей любовницы – это нарушение конфиденциальности, когда хомяк Билл перегрызает кабель сервера с репозиторием — это нарушение доступности, а когда админ Пупкин заливает бекап в обратную сторону — это нарушение целостности.

                                При этом эти три примера связаны с тремя разными факторами: хакер Вася специально охотился за вашим мусором; хомяк Билл показал нам отказ оборудования; а администратор Пупкин просто клинический раздолбай. За последний год только 37% проблем с данными были результатом действий запланированных атак. 29% случаев пришлось на сбои систем. И оставшиеся примерно 34% – на человеческий фактор, то есть халатность персонала.

                                Поэтому не надо представлять героя, в одиночку отбивающего хакерские орды, когда вам говорят «информационная безопасность».
                                Читать дальше →
                              • Поиграем в RAR-квест?



                                  Привет!
                                  Я принесла вам лёгкий RAR-квест. Принцип игры очень простой — нужно спускаться всё глубже в архив, используя в качестве паролей данные из уже открытых файлов.

                                  Итак, представьте себе, что несколько часов назад один ваш друг, занимающийся IT-консалтингом, получил письмо от помощника некой Алекс Локвуд, директора секретной спутниковой программы корпорации EDC.

                                  Вложение.

                                  UPD: На 4 уровне (письмо от посредника) неправильная упаковка. Если вы отгадали код Дмитрия, берите вот этот архив.