На больших конференциях, где доклады идут в несколько потоков, часто работает особый вариант закона Мерфи, согласно которому наиболее интересные (лично для тебя) секции поставлены одновременно. Выберешь одну — не попадешь на другие. Что же делать?

В случае международного форума по безопасности Positive Hack Days решить эту проблему можно, просмотрев интересующих вас выступления в записи. Особенно актуально это будет для тех, кто вообще не попал на конферецию. Все видеофайлы лежат на сайте: phdays.ru/broadcast/.

Однако смотреть записи всех залов подряд, за оба дня, это вариант для о-о-очень терпеливых людей. Логичнее смотреть по темам или по авторам: сначала прочитать описания докладов в программе, а потом выбирать конкретный доклад в списке видео.

Тут, впрочем, надо понимать: описания были написаны до конференции, когда было еще неизвестно, насколько хорошим будет тот или иной доклад. Может, у него только название крутое, а внутри — скукота?.. Поэтому предлагаем вам третий способ: по популярности. Мы проанализировали отзывы участников PHDays и собрали десяток самых удачных докладов. Вот они:

Хотите безнаказанно украсть деньги с банковских счетов? Примите участие в конкурсе «Большой ку$h» на Positive Hack Days IV!

Состязание призвано проверить знания и навыки в области эксплуатации типовых уязвимостей в веб-сервисах систем дистанционного банковского обслуживания (ДБО). Конкурсное задание представлено реальными уязвимостями приложений интернет-банкинга, которые были выявлены специалистами компании Positive Technologies при анализе защищенности подобных систем.

Совсем скоро в Москве, на международном форуме Positive Hack Days, соберутся специалисты по практической безопасности, ученые, политики и бизнесмены со всего мира. И уже третий год подряд присоединиться к ним смогут посетители площадок, организованных в других городах благодаря инициативе PHDays Everywhere (о том, как все проходило в прошлом году, можно почитать в блоге форума).

21 и 22 мая распахнут свои двери хакерские площадки разных стран. К PHDays Everywhere уже присоединились Абу-Даби (ОАЭ), Бир-Зейт (Палестина), Киев и Львов, а также Владивосток, Вологда, Краснодар, Москва, Мурманск, Новосибирск, Омск, Самара, Саратов и Уфа.

В программе PHDays доклады и мастер-классы ведущих мировых экспертов, конкурсы и онлайн-соревнования, битва хакеров PHDays CTF, конкурс молодых ученых Young School и многое другое. Посетители площадок PHDays Everywhere смогут наблюдать за всеми событиями форума в прямой трансляции в формате HD на английском и русском языках.

Конкурентная разведка

Со времени проведения последнего конкурса «Конкурентная разведка» многое поменялось в информационном пространстве. Сноуден разоблачил АНБ, и оказалось, что следят за гражданами в интернете не только любопытные домохозяйки, но и профессионалы в дорогих костюмах не без помощи математиков из Массачусетса. Безопасность различных криптографических протоколов, как проприетарных, так и свободных, оказалась совсем не такой высокой, как хотелось бы. Математические алгоритмы для работы с большими данными в облачных решениях позволяют отследить взаимосвязи транзакций казалось бы надежных и анонимных Bitcoin-переводов…

Три победителя — те, кто справится с заданиями лучше и быстрее всех, — получат приглашения на PHDays IV, где мы вручим им ценные призы. Приз за первое место — iPad. Сам конкурс будет проходить за неделю до форума и продлится два дня — 15 и 16 мая.

Positive Hack Days CTF — международные соревнования по защите информации, которые проводятся по игровому принципу Capture the Flag. Несколько команд в течение заранее отведенного времени защищают свои сети и атакуют чужие. Основная задача участников — выявлять уязвимости в системах противников и получать доступ к секретной информации (флагам), при этом обнаруживая и устраняя подобные уязвимости в своей системе.

В сегодняшнем топике мы представим разбор некоторых интересных заданий, с которыми сталкивались участники прошедших соревнований.

История и география

В этом году PHDays CTF состоится уже в четвертый раз. Впервые соревнования прошли во время форума Positive Hack Days в 2011 году, тогда победителями стали участники американской команды PPP, в следующем году победила российская команда Leet More, а на PHDays III чемпионами стали Eindbazen из Голландии. Каждый год в PHDays CTF принимают участие команды со всего мира — от США до Японии.

Для участия в отборочных соревнованиях в этом году зарегистрировалось больше 600 команд.

Задания и атмосфера

По сложившейся традиции игровые задания и инфраструктура подготавливаются в соответствии с легендой соревнований — специальной сюжетной линией, которая превращает простой набор задач PHDays CTF в увлекательное состязание, у которого есть цель. Например, в прошлом году участники спасали от гибели вымышленный мир D’Errorim. Предстоящие соревнования продолжат этот сюжет.

Почему интернет вещей — угроза национальной безопасности? Что такое импрессия? Как найти уязвимость нулевого дня в приложениях с тиражами в сотни миллионов экземпляров? Существует ли панацея от DDoS-атак? Представляем вашему вниманию новую порцию выступлений, которые прозвучат на международном форуме Positive Hack Days IV (см. также 1-й и 2-й анонсы).

Примерно 2000 экспертов по практической безопасности соберутся в Москве 21 и 22 мая 2014 года, чтобы поговорить о киберпотенциале Ирана, Китая и КНДР, криптографии после Сноудена и Heartbleed, повышении осведомленности сотрудников «Яндекса» в вопросах ИБ, важных находках группы SCADA Strangelove, киберугрозах для современной электрической подстанции, основных направлениях атак на SAP-системы. Гости форума узнают об индикаторах компрометации следующего поколения, визуальной аналитике в ИБ, автоматизации обратной разработки и о многом другом.

Всего в программе PHDays IV запланировано более 40 докладов, секций и круглых столов (о последних мы расскажем отдельно), мастер-классов и коротких увлекательных стендапов FastTrack.

Компания Positive Technologies стала партнером второй Всероссийской студенческой олимпиады по информационной безопасности. Олимпиада организована на базе факультета кибернетики и информационной безопасности Национального исследовательского ядерного университета «МИФИ» и пройдет 26—28 апреля 2014 года.



К участию в олимпиаде МИФИ приглашаются студенты высших учебных заведений в возрасте от 18 до 25 лет на момент проведения мероприятия, обучающиеся по программам бакалавриата и специалитета направлений подготовки 10.0x.0x (090xxx) и 09.0x.0x(230xxx), серьезно интересующиеся вопросами защиты информации и прошедшие конкурсный отбор по месту учебы (до четырех человек от вуза). Студенты магистратуры могут участвовать вне конкурса.

До старта форума PHDays IV остается совсем немного. Уже определены финалисты соревнований CTF, полным ходом идет формирование программы (части 1 и 2) и подготовительные работы в рамках инициативы PHDaуs Everywhere. Но конечно, этим дело не ограничится и, помимо интереснейших докладов и мастер-классов, гостей форума ждет увлекательная конкурсная программа.

Громкие разоблачения и скандалы, связанные со взломом электронной почты влиятельных пользователей, всегда сопровождаются спорами о подлинности попавшей в сеть переписки. До сих пор считалось, что корректная подпись DKIM однозначно указывает на автора корреспонденции. Но стоит ли на сто процентов доверять этому механизму аутентификации? Об уязвимостях в сервисах Google, Яндекс и Mail.Ru, о небезопасности телевизоров и недостатках устройств на базе ARM расскажут 21 и 22 мая в Москве, на международном форуме по практической безопасности Positive Hack Days IV.

Backhaul network — это сеть для подключения базовых станций (в терминологии 3G — NodeB) к контроллерам радиосети (RNC).



Затраты на подключение базовых станций — одна из значительных составляющих расходов оператора, поэтому издержки, связанные с построением и эксплуатацией этих сетей, стараются снижать, в частности используя новые технологии. Эволюция прошла путь от ATM-подключений до SDH/SONET, DSL, IP/MPLS и metro Ethernet. Сегодня весь трафик ходит в IP-пакетах.

Как создать вирус и ботнет для Android? Что можно узнать, купив жесткий диск на аукционе EBay? Чем угрожает SIM-карта своему владельцу? Как скопировать токен одноразовых паролей? 17 февраля стартовал заключительный этап Call For Papers (процедура подачи заявок от докладчиков), который продлится до 31 марта, а сейчас мы анонсируем выступления первой группы участников, попавших в основную техническую программу международного форума по практической безопасности Positive Hack Days IV.

Интернет — прекрасная среда для общения. Общения при помощи писем, чата, голоса или видео. Если видеосвязь это достаточно ново, то телефоном люди пользуются уже сто лет. С прокладкой новых интернет-магистралей и развитием программ вроде интернета с воздушных шаров доступ в сеть будет в скором времени даже у пингвинов в Антарктиде. А раз есть такое покрытие, зачем использовать телефонные линии? Почему бы не пускать голос по интернет-каналам?

Одним из решений этой задачи является протокол SIP (Session Initiation Protocol). Это протокол с интересной историей, но сейчас мы коснемся только некоторых его особенностей. SIP — это протокол установления сеанса для последующей передачи данных; передает информацию в открытом виде. Среди данных могут присутствовать учетные данные абонента — логин, домен, пароль (в открытом или хешированном виде), а также многие другие интересные поля. Отметим, что в некоторых случаях аутентификация может отсутствовать вовсе (соединение настраивается на обоих сторонах как пара IP:port). Рассмотрим несколько угроз, возникающих при использовании протокола SIP, и способы эти угрозы реализовать.

Disclaimer: Все описанные в статье исследовательские действия производились в рамках Vulnerability Reward Program.

История 1. О маленьком Content Type, который смог

Уязвимость была в сервисе под названием Feedburner. Сначала я создал фид и попробовал в него внедрить код. Но на странице не появлялись внедренные данные — только безобидные ссылки. После нескольких безуспешных попыток я обнаружил множество сообщений на странице PodMedic. PodMedic просматривает каждую ссылку в фиде. Если была обнаружена проблема при создании вложения, PodMedic сообщает причину. В сообщениях говорилось, что ссылки некорректны: сервер отдает неправильный Content Type.



Хм. Хорошо. Бьюсь об заклад, что Content Type на этой странице не фильтруется. Простой скрипт для сервера:

<?php header('Content-Type: text/; charset=UTF-8'); ?>

И мы получили то, что хотели:

Интерактивные соревнования по защите информации PHDays CTF Quals проходили на протяжении 48 часов с 12:00 25 января до 12:00 27 января. Победителями сенсационно стали участники польской команды Dragon Sector, второе и третье место заняли PPP (США) и More Smoked Leet Chicken (Россия).



Главным отличием нынешних отборочных соревнований от всех предыдущих CTF Quals стал специальный квест, который участники должны были выполнить, чтобы заработать баллы. Эти баллы можно было использовать, чтобы открывать сами задания CTF, за выполнение которых начислялись уже итоговые очки. Сюжет квеста стал продолжением легенды финальных соревнований PHDays III CTF. На этот раз участникам предстояло в составе оперативной группы Golem расследовать инцидент, связанный с распространением червя Detcelfer.

PHDays IV все ближе: началась продажа билетов, в самом разгаре Call For Papers и прием работ на конкурс молодых ученых Young School. Но это еще не все! Уже совсем скоро стартует CTF Quals — отборочный этап международных соревнований по защите информации PHDays CTF, финал которых состоится 21 и 22 мая 2014 года в московском техноцентре Digital October во время форума Positive Hack Days.

Правила

Отборочные соревнования PHDays CTF Quals будут проходить на протяжении двух дней 25 и 26 января. По их итогам лучшие команды выйдут в финальную часть турнира. В ходе CTF Quals участники столкнутся с множеством интересных заданий: для их решения одновременно понадобятся глубокие теоритические знания современных технологий и развитые практические навыки.

Chaos Communication Congress является одним из крупнейших в Европе мероприятий, которое посещают тысячи хакеров каждый год. В этот раз в Гамбурге собралось более 9000 человек. В их числе были и эксперты Positive Technologies, которые представили свои исследования в области безопасности АСУ ТП, провели мастер-класс, посвященный тестам на проникновение SCADA-систем, и рассказали о подготовке «Лабиринта» — одного из самых зрелищных соревнований форума PHDays III.

Хотя проблемы информационной безопасности довольно широко обсуждаются в последние годы и все больше людей узнает об их важности, корпоративные системы многих компаний до сих пор недостаточно защищены. Более того, как показало статистическое исследование, проведенное специалистами Positive Technologies, эти системы зачастую может взломать даже не особенно квалифицированный киберпреступник.

Данные для исследования

При проведении исследования были использованы данные работ по тестированию на проникновение, проведенных в 2011 и 2012 годах (по 10 систем для каждого года). Объектами исследования стали крупнейшие государственные организации и коммерческие компании из телекоммуникационного, банковского, финансового, промышленного, строительного и торгового секторов экономики (в том числе входящие в топ-400 по версии агентства «Эксперт»).



Попавшие в отчет корпоративные системы насчитывают тысячи узлов, зачастую распределены территориально и имеют десятки филиалов.

В ходе тестирования некоторых продуктов компании Positive Technologies возникла необходимость проведения быстрых стресс-тестов одного веб-сервиса. Эти тесты должны были быть простыми и быстрыми в разработке, нетребовательными к аппаратным ресурсам и одновременно с этим давать значительную нагрузку однотипными HTTP-запросами, а также предоставлять статистические данные для анализа системы под нагрузкой.

Для их реализации мы исследовали и опробовали некоторое количество инструментов, среди которых были Apache JMeter и написанный нами на Python скрипт LogSniper, который выполнял реплей заранее подготовленных серверных логов с HTTP-запросами на цель.

Международный форум по практической безопасности Positive Hack Days IV состоится 21 и 22 мая 2014 года в техноцентре Digital October. Полномасштабная подготовка мероприятия, побеждавшего в рейтингах, получавшего премии и заслужившего немало добрых слов от профессионалов ИБ-сообщества идет полным ходом.



В следующем году PHDays пройдет уже в четвертый раз и будет посвящен новым проблемам, с которыми пришлось столкнуться бизнесу, государству и частным лицам вследствие бурного развития науки и технологий.

Уже второй год подряд эксперты Positive Technologies принимают участие в крупнейшей восточноазиатской конференции по информационной безопасности Power of Community. В этом году на мероприятии, состоявшемся в Сеуле, были продемонстрированы уязвимости современных систем АСУ ТП (SCADA), управляющих транспортными, промышленными, топливно-энергетическими и многими другими критически важными объектами.