SurfPatrol — это онлайн-служба для проверки безопасности браузера и плагинов. Попадая на сайт www.surfpatrol.ru, пользователь получает информацию о текущем состоянии защищенности компьютера. Сервис информирует об обнаруженных критических уязвимостях (включая те, для которых не выпущены патчи) и о том, какие меры нужно предпринять, чтобы повысить уровень безопасности веб-серфинга. В числе прочего выводятся предупреждения о необходимости установить те или иные обновления.

Сервис существует уже не первый год. За это время было проведено большое количество проверок, собрана обширная статистика типичных проблем (по данным которой был написан топик на Хабре). Но мы не останавливаемся на достигнутом, и сервис продолжает развиваться, становиться удобнее.

Очередным шагом в этом направлении стала разработка расширений SurfPatrol для браузеров. Сегодня мы представляем вашему вниманию первый результат этой работы. Итак — встречайте: SurfPatrol Chrome Extension.

«Война… Война никогда не меняется». Думаю, многим знакома эта фраза. Каждый пользователь ПК хоть раз запускал компьютерную игру. Много компьютерного железа пострадало в баталиях от горячей руки геймера, потерявшего последнюю «жизнь». Иногда появляется мысль: а не поискать ли «читы» и не накрутить ли себе жизней или ресурсов?.. Так начинается путь читера.

В этой статье я на двух примерах покажу, как с помощью подручных средств можно нечестно играть в игры на HTML5.

Недавно вышла замечательнейшая работа про атаки на генератор случайных чисел в PHP, однако в ней никаких практических примеров представлено не было. Мы провели собственное исследование данной темы, которое вылилось в создание набора инструментов для реализации подобного рода атак.

На форуме Positive Hack Days не только обсуждались актуальные темы индустрии информационной безопасности и проходили битвы хакеров, но было также очень весело и позитивно. Сегодня, завершая серию публикаций о конкурсной программе форума, мы расскажем о двух забавных конкурсах, которые понравились абсолютно всем, — «Лучшая хакерская футболка» и «Наливайка NG».

За последние пару лет число сотрудников нашей компании увеличилось практически в три раза и сейчас приближается к трем сотням. Это влечет за собой некоторое количество организационных проблем. В частности, из-за того что компания занимает множество различных помещений в бизнес-центре, остро встает вопрос ориентирования сотрудников (особенно это касается новичков) в офисном пространстве.

Ежедневно мы сталкиваемся с проблемой «Как найти в офисе Васю?» или, наоборот, мучаемся вопросом «Как зовут парня, который сидит в том углу?». В итоге пара энтузиастов решила положить этому конец. Так началась история разработки интерактивной карты нашего офиса. Об этом мы сегодня и расскажем.

Поскольку наш предыдущий топик с описанием процесса внедрения инспекций кода в нашей компании вызвал определенный интерес у хабрасообщества, мы решили написать внеочередное продолжение. Сегодня мы рассмотрим пример внедрения данной практики на конкретном проекте.

Уже совсем скоро — 11 августа с 12:00 до 15:00 — в московском хакспейсе Neúron состоится мастер-класс, посвященный итогам конкурса «Большой ку$h» (PHDays 2012).

Вы сможете узнать, как хакеры взламывали систему дистанционного банковского обслуживания PHDays I-Bank, созданную специально для соревнований в рамках PHDays («Большой Ку$h» и битва CTF vs HackQuest), а также повторить подвиги участников конкурса и продемонстрировать собственные навыки взлома подобных систем.

Внимание! Данная статья рассчитана на людей, имеющих представление о том, что такое инспекции кода, и желающих внедрить эту методику в своей компании.


Когда мы начинали заниматься процессом внедрения инспекций кода (code review) в своих проектах, то были неприятно удивлены отсутствием толковых материалов по организации этого процесса с нуля. Еще один крайне скудно освещенный аспект — это масштабирование процесса инспекций.

Восполняя этот пробел, мы хотим поделиться опытом внедрения этой замечательной практики в нашей команде. Конструктивная критика в комментариях приветствуется.

Итак, начнем.

Поскольку Positive Hack Days — это форум, посвященный практическим вопросам информационной безопасности, в конкурсной программе присутствовали в высшей степени практические соревнования (например, конкурс по взлому хэшей и по поиску скрытой в Интернете информации).

Одним из соревнований, где можно было поработать не только головой, но и руками, был конкурс «2600», в ходе которого участники должны были продемонстрировать свои навыки фрикинга и взломать таксофон. Принять участие мог любой посетитель форума Positive Hack Days. Конкурсанты должны были осуществить звонок с таксофона на заранее определенный номер и при этом возвратить жетон организаторам.

Конкурсная программа форума Positive Hack Days 2012 была богата не только сражениями хакеров, которые пытались взломать все и вся через Интернет, но и «прикладными» соревнованиями. Одним из таких состязаний стала «Игра в ящик», в ходе которой проверялись знания и навыки конкурсантов в области систем радиочастотной идентификации.

Желающих принять участие в конкурсе оказалось не очень много, однако те, кто все-таки рискнул, — точно не пожалели об этом.

Мы продолжаем свой рассказ о соревнованиях, прошедших в рамках форума по информационной безопасности Positive Hack Days 2012. Сегодня речь пойдет об одном из самых популярных онлайн-конкурсов форума — о «Конкурентной разведке», в ходе которой проверялись навыки поиска скрытой информации в сети Интернет.

Для участия в соревновании зарегистрировались 150 участников, 60 из них смогли успешно справиться как минимум с одним заданием. Пользователь mchumichev захватил лидерство в первый день и смог удержать его до конца конкурса, а вот за второе и третье место шла напряженная борьба. В итоге многие участники набрали одинаковое количество баллов, но победителями были признаны только самые быстрые.

Привет, коллеги!
Сегодня я хотел бы продолжить свое повествование о Citrix XenServer 5.6 и о разных аспектах работы с ним. В этот раз мне пришлось решать довольно простую (казалось бы!) проблему: исполнение команд в dom0 без применения SSH. Изучение возможностей для реализации привело к обнаружению некоторых забавных нюансов HTTP API данной ОС: способов получения /etc/passwd, удаленного выполнения rsync и набросков XenSource thin CLI protocol. Сейчас я расскажу вам, что называется, историю одного ресёрча…

В этом году на PHDays 2012 была продолжена традиция организации интеллектуальных конкурсов. Гостей форума ожидала насыщенная конкурсная программа — PHDays CTF, Online HackQuest, HashRunner, Большой Ку$h и масса других соревнований, в которых хакеры демонстрировали свои навыки взлома и защиты различных систем.

Однако вне всяких сомнений одним из самых интересных, оригинальных и веселых состязаний стал конкурс Big Shot, в ходе которого участники должны были продемонстрировать свои навыки социальных инженеров.

Несколько месяцев назад исследовательский центр Positive Research проводил анализ безопасности системы Citrix XenServer. Помимо прочего, мы изучали безопасность интерфейсов администрирования, и в частности веб-интерфейсов различных компонентов системы. В результате нам удалось обнаружить несколько критических уязвимостей, которые позволяют получить контроль не только над этими компонентами, но и над мастер-сервером, а значит над всей облачной инфраструктурой. О найденных уязвимостях мы незамедлительно сообщили компании Citrix. После того как бреши были закрыты ([1], [2], [3]), результаты были представлены на форуме Positive Hack Days в рамках секции FastTrack.

На PHDays 2012 было много сугубо технических, интересных, зрелищных конкурсов, но один из них прошел практически незаметно для посетителей форума: это был Hash Runner, участники которого занимались взломом хэшей.

На подобных соревнованиях сохраняется, как правило, господство ряда отдельных команд: Hashcat, Inside Pro, john-users… И не удивительно, поскольку это сообщества разработчиков, тестировщиков и пользователей, использующих наиболее популярные инструменты для взлома хэшей. Секрет успеха — не только в огромном опыте, хорошо подготовленных командах и доступе к внушительным вычислительным ресурсам, но и в возможности «на лету» модифицировать инструментарий — в зависимости от текущих потребностей.

Вышеперечисленные команды приняли активное участие в конкурсе Hash Runner на PHDays 2012. Два дня участники сражались за главный приз — видеокарту AMD Radeon HD 7970 (конкурс стартовал в 10:00 30 мая и закончился в 18:00 31 мая).

Посетители форума Positive Hack Days 2012, который состоялся недавно в техноцентре Digital October, не только могли послушать доклады профессионалов мира ИБ и наблюдать за эпичной битвой хакеров CTF, но и приняли участие в обсуждении важных проблем индустрии безопасности в рамках специализированных секций.

Одной из таких дискуссионных площадок стала секция «Как защищают деньги?», модератором которой выступил Артем Сычев (начальник управления информационной безопасности Россельхозбанка). Помимо теории — обсуждения насущных вопросов, стоящих перед индустрией банковской безопасности, — на секции была и практическая часть — конкурс «Большой Ку$h». Участники должны были продемонстрировать свои навыки в области эксплуатации типовых уязвимостей в службах систем ДБО — главным образом логических, а не веб-уязвимостей.

Здравствуйте! В этой статье я хотел бы поделиться своим опытом с начинающими разработчиками, которые учатся писать мобильные приложения, но еще не очень далеко продвинулись на этом поприще. Если быть точным — я бы хотел рассказать, как писать переносимый код и проектировать приложения, которые будут работать как на «родных» .NET-платформах (Windows Phone 7 и настольные приложения Windows), так и на портированных версиях .NET для мобильных платформ, таких как Monotouch и Monodroid.

Форум по вопросам практической информационной безопасности Positive Hack Days 2012 отгремел уже три недели назад, но эхо его слышно до сих пор. Мы имеем в виду, в частности, конкурс Online HackQuest, который не только проходил во время форума (30 и 31 мая), но и продолжался еще две недели после его окончания.

Принять участие в HackQuest мог любой пользователь Интернета. Участникам предоставлялся доступ к VPN-шлюзу, после подключения к которому необходимо было отыскать целевые системы и обнаружить в них уязвимости. После успешной эксплуатации уязвимости конкурсант получал доступ к ключу (флагу) в формате MD5, который нужно было отправить жюри с помощью специальной формы на личной странице участника. За верные флаги начислялись соответствующие баллы. Для победы в конкурсе участник должен был первым набрать 100 баллов.

Еще буквально пару лет назад мало кто предполагал, что вирусы шагнут из киберпространства в реальный мир и смогут не только воровать данные и мешать работе ПО, но и атаковать целые производственные системы, выводить из строя машины и промышленные установки. Казалось бы, сети на производстве как правило изолированы от сетей общего пользования и внутренних сетей предприятия, оборудование и ПО в них значительно отличаются от обычных сетей, — уж не говоря о том, что все процессы четко регламентированы и строго контролируются…

Однако, когда речь идет не о хакере-одиночке, а о группе профессионалов, состоящей из специалистов по АСУ ТП, хакеров и инженеров, которые действуют (вполне вероятно), опираясь на поддержку целого государства, — все становится возможным.

Битва хакеров по принципу Capture The Flag стала гвоздем программы форума PHDays 2012: на протяжении двух дней и одной ночи в режиме нон-стоп 12 команд из 10 стран взламывали сети противников и защищали свои.

Условия PHDays CTF, в отличие от многих других подобных соревнований, были максимально приближены к боевым: все уязвимости не выдуманы, а действительно встречаются в современных информационных системах. Кроме того, участники могли решать игровые задачи вслепую — атаковать системы не обладая доступом к ним, но самое главное: в этом году соревнования были построены по принципу «Царь горы» (очки начислялись не только за захват систем, но и за их удержание).