На проходившей в эти дни в Москве конференции InfoSecurity 2012 рассматривалось большое количество актуальных вопросов сферы ИБ. Наша компания приняла в нем участие, став организатором одной из секций, посвященной тем областям информационной безопасности, для которых по большей части еще не выработаны адекватные меры защиты. Прежде всего это защищенность АСУ ТП, практические подходы к аудиту SCADA, построение процессов Compliance Management для телекоммуникационных сетей и новейшие уязвимости мобильных устройств. Подробности докладов, а также слайды презентаций наших сотрудников под катом.

Жизнь не стоит на месте, все изменяется и развивается. Это относится и к нашим проектам, в частности к онлайн-сервису для проверки безопасности браузера и плагинов SurfPatrol. Не так давно мы анонсировали на Хабре выпуск расширения для Google Chrome, на подходе расширения для Opera, Firefox и Safari. Но это еще не все.

Пару месяцев назад в ходе работы над новым дизайном сайта www.surfpatrol.ru мы обратились к Хабрасообществу с просьбой оценить наши наработки и дать рекомендации по улучшению интерфейса. Топик вызвал определенный интерес, удалось собрать большое количество отзывов и предложений, многие из которых нашли свое отражение в новом дизайне.

Мы старались сделать внешний вид сервиса более удобным и наглядным (никакого дизайна ради дизайна!) и сегодня представляем вам обновленный SurfPatrol.

За последнее десятилетие мобильные технологии прочно вошли в нашу жизнь, и мобильный телефон из предмета роскоши превратился в средство повседневного общения. В любой момент иметь доступ к нужной информации, всегда и везде быть на связи — насущная необходимость сегодняшнего дня. Даже мобильная видеосвязь — уже далеко не фантастика…

Почему мобильные технологии стали настолько доступными? Как они будут развиваться дальше? Продолжит ли расти скорость мобильной передачи данных? Чтобы подробно ответить на множество вопросов, мы разработали цикл вебинаров, посвященный мобильным технологиям.

В любой компании, которая разрабатывает программное обеспечение, всегда есть множество задач, связанных с ведением документации и ее переводом на разные языки (особенно если компания международная). В нашем случае актуальны обе эти проблемы, а поток задач весьма значительный, поэтому на отдел технической документации ложится большая нагрузка.

В Positive Technologies технические писатели прикладывают свою руку ко всем текстам, рождающимся в недрах компании, — от сугубо технических (сопроводительная документация к продуктам, корпоративные, отраслевые стандарты) до высокохудожественных опусов с аллюзиями на Стругацких (см. легенды соревнований CTF на PHDays 2012). Если вы хотите узнать о том, как мы контролируем сроки и качество выполнения столь разноплановых задач, — добро пожаловать под кат.

Каждый разработчик хочет сделать так, чтобы инспекции кода отнимали минимум времени, процесс инспектирования был простым и удобным, — и добиться этого вполне реально. Сегодня мы, как и обещали в предыдущем топике, расскажем об автоматизации процесса инспектирования кода с применением CodeCollaborator от компании SmartBear.

Внимание! В этой статье мы не упоминаем о преимуществах или недостатках работы с другими инструментами автоматизации инспектирования (Crucible, Gerrit) — ввиду недостаточно большого опыта работы с ними. Поэтому объективного сравнения не ждите :)

SurfPatrol — это онлайн-служба для проверки безопасности браузера и плагинов. Попадая на сайт www.surfpatrol.ru, пользователь получает информацию о текущем состоянии защищенности компьютера. Сервис информирует об обнаруженных критических уязвимостях (включая те, для которых не выпущены патчи) и о том, какие меры нужно предпринять, чтобы повысить уровень безопасности веб-серфинга. В числе прочего выводятся предупреждения о необходимости установить те или иные обновления.

Сервис существует уже не первый год. За это время было проведено большое количество проверок, собрана обширная статистика типичных проблем (по данным которой был написан топик на Хабре). Но мы не останавливаемся на достигнутом, и сервис продолжает развиваться, становиться удобнее.

Очередным шагом в этом направлении стала разработка расширений SurfPatrol для браузеров. Сегодня мы представляем вашему вниманию первый результат этой работы. Итак — встречайте: SurfPatrol Chrome Extension.

«Война… Война никогда не меняется». Думаю, многим знакома эта фраза. Каждый пользователь ПК хоть раз запускал компьютерную игру. Много компьютерного железа пострадало в баталиях от горячей руки геймера, потерявшего последнюю «жизнь». Иногда появляется мысль: а не поискать ли «читы» и не накрутить ли себе жизней или ресурсов?.. Так начинается путь читера.

В этой статье я на двух примерах покажу, как с помощью подручных средств можно нечестно играть в игры на HTML5.

Недавно вышла замечательнейшая работа про атаки на генератор случайных чисел в PHP, однако в ней никаких практических примеров представлено не было. Мы провели собственное исследование данной темы, которое вылилось в создание набора инструментов для реализации подобного рода атак.

На форуме Positive Hack Days не только обсуждались актуальные темы индустрии информационной безопасности и проходили битвы хакеров, но было также очень весело и позитивно. Сегодня, завершая серию публикаций о конкурсной программе форума, мы расскажем о двух забавных конкурсах, которые понравились абсолютно всем, — «Лучшая хакерская футболка» и «Наливайка NG».

За последние пару лет число сотрудников нашей компании увеличилось практически в три раза и сейчас приближается к трем сотням. Это влечет за собой некоторое количество организационных проблем. В частности, из-за того что компания занимает множество различных помещений в бизнес-центре, остро встает вопрос ориентирования сотрудников (особенно это касается новичков) в офисном пространстве.

Ежедневно мы сталкиваемся с проблемой «Как найти в офисе Васю?» или, наоборот, мучаемся вопросом «Как зовут парня, который сидит в том углу?». В итоге пара энтузиастов решила положить этому конец. Так началась история разработки интерактивной карты нашего офиса. Об этом мы сегодня и расскажем.

Поскольку наш предыдущий топик с описанием процесса внедрения инспекций кода в нашей компании вызвал определенный интерес у хабрасообщества, мы решили написать внеочередное продолжение. Сегодня мы рассмотрим пример внедрения данной практики на конкретном проекте.

Уже совсем скоро — 11 августа с 12:00 до 15:00 — в московском хакспейсе Neúron состоится мастер-класс, посвященный итогам конкурса «Большой ку$h» (PHDays 2012).

Вы сможете узнать, как хакеры взламывали систему дистанционного банковского обслуживания PHDays I-Bank, созданную специально для соревнований в рамках PHDays («Большой Ку$h» и битва CTF vs HackQuest), а также повторить подвиги участников конкурса и продемонстрировать собственные навыки взлома подобных систем.

Внимание! Данная статья рассчитана на людей, имеющих представление о том, что такое инспекции кода, и желающих внедрить эту методику в своей компании.


Когда мы начинали заниматься процессом внедрения инспекций кода (code review) в своих проектах, то были неприятно удивлены отсутствием толковых материалов по организации этого процесса с нуля. Еще один крайне скудно освещенный аспект — это масштабирование процесса инспекций.

Восполняя этот пробел, мы хотим поделиться опытом внедрения этой замечательной практики в нашей команде. Конструктивная критика в комментариях приветствуется.

Итак, начнем.

Поскольку Positive Hack Days — это форум, посвященный практическим вопросам информационной безопасности, в конкурсной программе присутствовали в высшей степени практические соревнования (например, конкурс по взлому хэшей и по поиску скрытой в Интернете информации).

Одним из соревнований, где можно было поработать не только головой, но и руками, был конкурс «2600», в ходе которого участники должны были продемонстрировать свои навыки фрикинга и взломать таксофон. Принять участие мог любой посетитель форума Positive Hack Days. Конкурсанты должны были осуществить звонок с таксофона на заранее определенный номер и при этом возвратить жетон организаторам.

Конкурсная программа форума Positive Hack Days 2012 была богата не только сражениями хакеров, которые пытались взломать все и вся через Интернет, но и «прикладными» соревнованиями. Одним из таких состязаний стала «Игра в ящик», в ходе которой проверялись знания и навыки конкурсантов в области систем радиочастотной идентификации.

Желающих принять участие в конкурсе оказалось не очень много, однако те, кто все-таки рискнул, — точно не пожалели об этом.

Мы продолжаем свой рассказ о соревнованиях, прошедших в рамках форума по информационной безопасности Positive Hack Days 2012. Сегодня речь пойдет об одном из самых популярных онлайн-конкурсов форума — о «Конкурентной разведке», в ходе которой проверялись навыки поиска скрытой информации в сети Интернет.

Для участия в соревновании зарегистрировались 150 участников, 60 из них смогли успешно справиться как минимум с одним заданием. Пользователь mchumichev захватил лидерство в первый день и смог удержать его до конца конкурса, а вот за второе и третье место шла напряженная борьба. В итоге многие участники набрали одинаковое количество баллов, но победителями были признаны только самые быстрые.

В этом году на PHDays 2012 была продолжена традиция организации интеллектуальных конкурсов. Гостей форума ожидала насыщенная конкурсная программа — PHDays CTF, Online HackQuest, HashRunner, Большой Ку$h и масса других соревнований, в которых хакеры демонстрировали свои навыки взлома и защиты различных систем.

Однако вне всяких сомнений одним из самых интересных, оригинальных и веселых состязаний стал конкурс Big Shot, в ходе которого участники должны были продемонстрировать свои навыки социальных инженеров.

На PHDays 2012 было много сугубо технических, интересных, зрелищных конкурсов, но один из них прошел практически незаметно для посетителей форума: это был Hash Runner, участники которого занимались взломом хэшей.

На подобных соревнованиях сохраняется, как правило, господство ряда отдельных команд: Hashcat, Inside Pro, john-users… И не удивительно, поскольку это сообщества разработчиков, тестировщиков и пользователей, использующих наиболее популярные инструменты для взлома хэшей. Секрет успеха — не только в огромном опыте, хорошо подготовленных командах и доступе к внушительным вычислительным ресурсам, но и в возможности «на лету» модифицировать инструментарий — в зависимости от текущих потребностей.

Вышеперечисленные команды приняли активное участие в конкурсе Hash Runner на PHDays 2012. Два дня участники сражались за главный приз — видеокарту AMD Radeon HD 7970 (конкурс стартовал в 10:00 30 мая и закончился в 18:00 31 мая).

Посетители форума Positive Hack Days 2012, который состоялся недавно в техноцентре Digital October, не только могли послушать доклады профессионалов мира ИБ и наблюдать за эпичной битвой хакеров CTF, но и приняли участие в обсуждении важных проблем индустрии безопасности в рамках специализированных секций.

Одной из таких дискуссионных площадок стала секция «Как защищают деньги?», модератором которой выступил Артем Сычев (начальник управления информационной безопасности Россельхозбанка). Помимо теории — обсуждения насущных вопросов, стоящих перед индустрией банковской безопасности, — на секции была и практическая часть — конкурс «Большой Ку$h». Участники должны были продемонстрировать свои навыки в области эксплуатации типовых уязвимостей в службах систем ДБО — главным образом логических, а не веб-уязвимостей.

Здравствуйте! В этой статье я хотел бы поделиться своим опытом с начинающими разработчиками, которые учатся писать мобильные приложения, но еще не очень далеко продвинулись на этом поприще. Если быть точным — я бы хотел рассказать, как писать переносимый код и проектировать приложения, которые будут работать как на «родных» .NET-платформах (Windows Phone 7 и настольные приложения Windows), так и на портированных версиях .NET для мобильных платформ, таких как Monotouch и Monodroid.