Еще буквально пару лет назад мало кто предполагал, что вирусы шагнут из киберпространства в реальный мир и смогут не только воровать данные и мешать работе ПО, но и атаковать целые производственные системы, выводить из строя машины и промышленные установки. Казалось бы, сети на производстве как правило изолированы от сетей общего пользования и внутренних сетей предприятия, оборудование и ПО в них значительно отличаются от обычных сетей, — уж не говоря о том, что все процессы четко регламентированы и строго контролируются…

Однако, когда речь идет не о хакере-одиночке, а о группе профессионалов, состоящей из специалистов по АСУ ТП, хакеров и инженеров, которые действуют (вполне вероятно), опираясь на поддержку целого государства, — все становится возможным.

Битва хакеров по принципу Capture The Flag стала гвоздем программы форума PHDays 2012: на протяжении двух дней и одной ночи в режиме нон-стоп 12 команд из 10 стран взламывали сети противников и защищали свои.

Условия PHDays CTF, в отличие от многих других подобных соревнований, были максимально приближены к боевым: все уязвимости не выдуманы, а действительно встречаются в современных информационных системах. Кроме того, участники могли решать игровые задачи вслепую — атаковать системы не обладая доступом к ним, но самое главное: в этом году соревнования были построены по принципу «Царь горы» (очки начислялись не только за захват систем, но и за их удержание).

Мы уже писали о SurfPatrol — сервисе для проверок безопасности ПК. За эти несколько месяцев мы серьезно поработали над его интерфейсом, и вскоре сервис получит обновленный внешний вид. SurfPatrol изначально задумывался максимально простым и понятным для обычного пользователя. Мы просим хабрапользователей оценить новый интерфейс именно с этой точки зрения. Будем рады и бочке меда, и ложке дегтя :)

Ахтунг! Много картинок.

30 и 31 мая в техноцентре Digital October прошел международный форум Positive Hack Days 2012, посвященный вопросам практической безопасности. Полторы тысячи человек, десятки докладов и мастер-классов, масштабные соревнования СTF, насыщенная конкурсная программа — все это PHDays. Сейчас уже можно с полной ответственностью заявить, что нам удалось смешать особый коктейль из представителей интернет-сообщества, профессионалов в области ИБ и хакеров из разных стран мира и что коктейль получился вкусным.

Сегодня мы, как и обещали, публикуем записи докладов и мастер-классов с PHDays 2012. Среди гигабайтов видео, посвященного информационной безопасности, есть вещь, как говорится, посильнее «Фауста» Гёте — доклад Брюса Шнайера, легенды мировой криптографии. Приятного просмотра!

В ходе тестирования на проникновение, аудита безопасности и других работ, выполненных экспертами Positive Technologies в 2010 и 2011 годах, собралась статистика по защищенности более сотни корпоративных веб-приложений. Именно приложений, а не сайтов-визиток. Сайты электронного правительства, системы интернет-банкинга, порталы самообслуживания сотовых операторов — вот далеко не полный список объектов исследования.

Анализ результатов работ помог нам найти ответы на извечные вопросы ИБ:

• сколько сайтов заражено «зловредами»?
• какая CMS безопасней — коммерческая, OpenSource, или проще разработать самому?
• что безопасней — Java, PHP или ASP.NET?
• выполнить требования стандарта PCI DSS– миф или реальность?

Ответы на некоторые из этих вопросов нас, признаться, удивили. Подробности — под катом.

На форуме по информационной безопасности Positive Hack Days, проходящем в эти дни в техноцентре Digital October, представлена отдельная секция под названием «Как защищают деньги?», в рамках которой ведущие российские и зарубежные эксперты рассматривают проблемы, стоящие перед индустрией банковской безопасности.

Для одного из конкурсов («Большой ку$h») мы с нуля разработали свою собственную систему ДБО, содержащую типичные уязвимости, выявленные экспертами компании Positive Technologies во время работ по анализу защищенности подобных систем.

В любом серьезном проекте в определенный момент встает вопрос организации процесса CI и, следовательно, вопрос о выборе средства для его автоматизации из широкого ряда представленных сейчас на рынке. Часто бывает, что при всем богатстве выбора найти подходящий вариант непросто, а иногда готовое решение является попросту слишком сложным, и выделять ресурсы на его поддержку нет ни желания, ни возможности. Кроме того, не хочется класть все яйца в одну корзину и иметь единственный сервер для сборки, тестирования, хранения дистрибутивов…

В нашей компании родилась идея — поддержать мировую тенденцию децентрализации и разделить CI-сервер на несколько машин, связав их между собой универсальным протоколом, доступным и машине, и человеку. Похоже на изобретение велосипеда? Вовсе нет.

Завершились конкурсы, в которых разыгрывались инвайты на форум Positive Hack Days 2012. Победители получили свои приглашения, и уже совсем скоро мы встретимся с ними на площадке московского техноцентра Digital October. Если вы не успели принять участие в этих соревнованиях или не смогли добиться победы — у вас есть шанс выиграть кучу призов в ходе онлайн-сражений, которые начнутся одновременно со стартом форума (регистрация доступна в личном кабинете пользователя на сайте PHDays). Под катом описание конкурсов и условия участия.

Уже совсем скоро в московском техноцентре Digital October состоится международный форум Positive Hack Days 2012. Мы готовили это мероприятие целый год, собрали все самое актуальное и интересное в сфере ИБ и постарались учесть предпочтения представителей сообщества, чтобы форум был интересен всем — от программистов до CIO.

Сегодня мы представляем вашему вниманию итоговую программу PHDays 2012. Она состоит из двух больших блоков, соединяющих теорию и практику, — конференции и конкурсной программы.

Существует ли возможность взломать компьютер через мышь, клавиатуру или принтер? насколько защищен Android? что должен знать этичный хакер? сложно ли поймать киберпреступника? безопасен ли HTML5? Можно обо всем об этом гадать — а можно участвовать в Hands-on Lab на форуме Positive Hack Days 2012 и получить ответы на все эти вопросы.

Все меньше времени остается до Positive Hack Days 2012, в разгаре онлайн-конкурсы, в которых разыгрываются инвайты. Однако на самой площадке форума в техноцентре Digital October тоже будет происходить много всего интересного. Одним из гвоздей конкурсной программы станет легендарный конкурс Hack2Own.

В 2011 году, продемонстрировав уязвимость нулевого дня (CVE-2011-0222) в последней на тот момент версии интернет-браузера Safari для Windows, призерами соревнования Hack2Own стали Никита Тараканов и Александр Бажанюк — представители компании CISSRT, которые и получили главный приз — ноутбук и 50 тыс. руб. В этом году бюджет конкурса значительно увеличен и составит более 20 000 $. Победителям будет чем заполнить новенькие кейсы :)


Конкурс делится на три категории: эксплуатация уязвимостей браузера, эксплуатация уязвимостей мобильных устройств и эксплуатация уязвимостей уровня ядра. Под катом подробные правила участия в соревновании.

Интересуетесь информационной безопасностью?.. Хотите знать больше о киберпреступности, защите от DDoS, о безопасности критически важных приложений, о SCADA и ERP-системах?.. В вашем городе в ближайшее время не будет интересных конференций, а приехать на Positive Hack Days 2012 по какой-то причине не получается?..

Не отчаивайтесь! Прежде всего, в вашем городе наверняка есть место, где собираются хакеры. Вполне вероятно, что именно там будет организована видеоконференция, чтобы все желающие смогли на расстоянии принять участие в форуме, пообщаться с себе подобными и лишний раз напрячь извилины, сражаясь с другими хакерами. Список подобных локаций в разных городах представлен на официальном сайте PHDays 2012.

К нам уже присоединились Владивосток, Екатеринбург, Калининград, Киев, Самара, Таганрог, Хабаровск, а также столица Туниса город Тунис и индийский город Коллам. Для тех, кто во время PHDays будет находиться в Москве, круглосуточно будут открыты двери площадки Neuron Hackspace.

Если вы не нашли своего города в списке — добро пожаловать под кат!

Сколько задач нужно решить, чтобы получить приглашение на форум, где со всего мира соберется элита информационной безопасности? Равняется ли число успешных атак на веб-приложения — количеству выпитых рюмок текилы? Как сразиться с хакерами по всей планете, не вставая с дивана?

Под катом рассказ о конкурсной программе форума по информационной безопасности Positive Hack Days 2012.

Одним из самых зрелищных соревнований прошлогоднего форума Positive Hack Days 2011 был конкурс «Медвежатник», в ходе которого любой желающий мог пройти обучение и попробовать свои силы во взломе различных замков. Победители, как водится, получили памятные подарки и всеобщее признание, ну а весь необходимый инструментарий мы доставали из собственных домашних коллекций.

В прошлом году все прошло на ура, а призерами конкурса стали Глеб Шепелев, Виталий Глинский и Кирилл Тюрин. При составлении конкурсной программы Positive Hack Days 2012 не было и тени сомнений, какое соревнование станет одним из хитов. Но не тут-то было: законодательство Российской Федерации внесло свои коррективы… Подробности под катом.

В 1996 году Александр Песляк (Solar Designer) создал программу John the Ripper. Эта кроссплатформенная утилита для анализа стойкости паролей вошла в топ-10 самого популярного софта в сфере ИБ, а сайт программы посетили 15 млн человек.

Кроме того, Александр является основателем проекта Openwall и ведущим разработчиком Openwall GNU/Linux (Owl) — операционной системы с большой степенью защищенности.

Александр Песляк считается величайшим специалистом по взлому паролей со времен Али-Бабы и Абу Юсуфа аль-Кинди. В 2007 году такие проекты, как phpBB 3, WordPress и Drupal приняли разработанные им усовершенствования безопасности пароля.

По данным аналитических агентств производителем наиболее популярного оборудования коммутации и маршрутизации для средних и крупных предприятий является Cisco Systems (около 64% мирового рынка). На втором месте HP Networking (приблизительно 9%). Далее следуют Alcatel-Lucent (3%), Juniper Networks и Brocade (по 2,3%), Huawei (1,8%) и прочие производители, которые менее заметны на фоне гигантов, но сообща занимают, тем не менее, около 17,6% рынка.

В России ситуация особая. Кроме продукции названных выше производителей у нас достаточно распространены коммутаторы Nortel и Allied Telesis. Кроме того, часто встречаются устройства производителей D-Link и NetGear, предлагающих оборудование для малых и средних предприятий. Brocade на отечественных просторах пока что редкая птица.

Почему ведущие компании в России теряют каждый десятый рубль из-за ошибок и хищений в среде АСУ ТП? Сколько стадионов можно построить на деньги, украденные из российских систем ДБО? Каковы истинные причины начала жесткой борьбы банков с хакерами? Мы продолжаем рассказ о докладах экспертов-практиков, анонсировавших свои выступления на PHDays 2012.

Сегодня многие популярные браузеры поддерживают автообновление, однако значительную часть плагинов к ним нужно обновлять самостоятельно. Внушительное количество пользователей делает это крайне редко, не задумываясь или не зная, что в большинстве случаев атакуются не только браузеры, но и плагины!

Под катом — любопытная статистика проверок безопасности браузеров и плагинов на наличие потенциальных уязвимостей по результатам работы онлайн службы SurfPatrol в 2011 году. Данные предоставляются по Рунету.

На прошлой неделе прошла конференция «РусКрипто». Насколько я знаю, это старейшая из ныне здравствующих конференций по информационной безопасности.

Несмотря на почетный возраст, конференция живет и развивается, за что огромное спасибо организаторам: Ассоциации «РусКрипто» и АИС. В свое время именно на этой площадке я обкатывал свои идеи, которые позже привели к появлению Positive Hack Days. Именно тут прошел первый масштабный CTF под руководством Дмитрия Евтеева. В общем, отношение к «РусКрипто» у меня крайне теплое и в некоторой степени даже ностальгическое.

В этом году конференция проходила на площадке загородного отеля «Солнечный». Кстати, на веб-сайте отеля уютно расположилась mobile malware – расценил это как тест на профпригодность =)