В третий раз мы проводим ZeroNights – международную конференцию, посвященную практическим аспектам информационной безопасности. И снова ждем в гости хакеров, друзей и единомышленников со всего мира.

Дата: 7-8 ноября 2013 года
Место: Москва, Варшавское шоссе, д. 28 А, центр «Коворкинг 2.0»

На конференции вы узнаете о новых методах атак и угрозах, увидите возможности для нападения и защиты, познакомитесь с нестандартными методами решения задач ИБ. Эксперты, специалисты-практики по ИБ, аналитики и хакеры со всего мира поделятся уникальными знаниями и навыками, помогут избавиться от заблуждений, представят убедительные аргументы, исследования, факты и цифры. Нам интересны такие темы, как: Security of business-critical systems, Mobile security, Hardcore exploitation, Hardware and embedded, Web security.
У нас выступают только лучшие эксперты в области ИБ и хакеры с мировым именем, мы представляем самые новые и смелые технические исследования, знакомим с нестандартными подходами к решению задач. И никакого маркетинга, APT, NSA, PRISM и прочего bla-bla-bla!

Мы продолжаем серию статей про поездки на разные необычные security-мероприятия. Недавно нам удалось побывать на конференции HackInParis, которая проходила 17–21 июня во Франции, в Париже, в Диснейленде! Да-да, именно в центре детских восторгов, в парке развлечений. Если вам интересно, как вместе уживаются современные киберугрозы и детский писк и визг, прошу под кат.

Привет! А расскажу-ка я сейчас про мою поездку на одну из известнейших конференций, посвященных информационной безопасности, а именно CONFidence, которая в этом году традиционно проходила в польском городе Кракове и собрала большое количество спецов со всех уголков мира.

Открываем рубрику Infosectravel, — будем писать заметки о поездках на конференции и выставки по ИБ по всему миру таких как Кувейт, Африка, Австралия и т.д. Хотя и европейские и американские ивенты такие как BlackHat и Confidence и прочие тоже без внимания не оставим.

Приветствуем пожелания и замечания. Формат совсем новый, хотя пара попыток уже была (Кувейт, BlackHat, Confidence) и сами не знаем пока, что получится в итоге.

Случилось так, что на майские праздники я поехал отнюдь не отдыхать в Турцию, а работать в Африку :)
В двух словах, с 7 по 9 мая в Йоханнесбурге — столице ЮАР — проходила международная выставка-конференция по безопасности ITWEB. В этом году мы решили принять в ней активное участие, выступить с докладом да и пообщаться с клиентами, которых не часто увидишь воочию. Поездка казалась тем более заманчивой, что мои коллеги по причине повышенной криминальной обстановки региона ехать отказались.

Первые впечатления

Первое, что я увидел, заселившись в гостиницу, было ЭТО. Простите за качество фотографии — использовал для съемки то, что было под рукой.


Отлично, новый маклерен. А я слышал, в Африке дети голодают… Потом были мазератти и бентли, но это было уже не так эпично.

С момента официального открытия исследовательской лаборатории компании Digital Security (известной как Digital Security Research Group или DSecRG) прошло более пяти лет, и мы решили подвести промежуточные итоги деятельности подразделения в цифрах, а также отметить ряд наиболее значимых для нас достижений.

В 2013 году руководителем лаборатории стал Дмитрий Евдокимов, зарекомендовавший себя как отличный специалист с глубоким подходом к изучению проблем безопасности, автор большого числа известных на рынке исследований.

Digital Security Research Group в цифрах

1-й исследовательский центр в России
2-е место в топ-10 техник web-атак 2012 года
3 года участия в международных конференциях
4 выступления на BlackHat в 4 географических точках
5 лет публичной работы
6 сотрудников выступали на международных конференциях с собственными докладами
7 дней в неделю
8 сотрудников получили благодарности от крупнейших компаний за найденные уязвимости
9 основных участников
10 – попали в топ-10 докладов BlackHat USA в 2012 году

Участвовали в проведении 15 встреч Defсon Russia
Выступили более чем в 20 странах
Более 30 выступлений на международных технических конференциях
Более 40 исследований
Почти 100 опубликованных уязвимостей в SAP
Почти 200 уязвимостей опубликовано в общем
Боле 300 уязвимостей обнаружено

За 2012 год SSRF-атаки превратились из чего-то экзотического во вполне реальную угрозу. Работы Александра Полякова, Владимира Воронцова и других исследователей в этой области составили практически полную картину различных механизмов проведения таких атак и возможных последствий. Тем не менее, поскольку разработка этой тематики началась сравнительно недавно, поле для исследований еще остается.

В этой статье будет рассмотрена небольшая особенность протокола FTP, благодаря которой уязвимость, позволяющую провести SSRF-атаку, можно использовать не только для получения информации или развития вектора атаки, но и для релеинга атак типа DoS как на внешние, так и на внутренние системы (в том числе и на систему с уязвимостью, позволяющей DoS-атаку).

Поздравляем победителей ZeroNights HackQuest! За смекалку и хакерские навыки победившие команды вознаграждаются бесплатными билетами на ZeroNights и футболками от ONsec.

1 место: ReallyNonamesFor
2 место: RDot.Org
3 место: Raz0r

Корпорация Intel, а именно Intel’s Security Center of Excellence, решила поддержать мероприятие и стать нашим серебряным спонсором. Мы приветствуем Intel в рядах компаний, готовых вкладываться в миссию ZeroNights — распространение принципов и техник информационной безопасности как среди состоявшихся специалистов в самых разных областях, так и среди молодого поколения.

Другая хорошая новость: на круглом столе «Security Researchers vs. Developers» намечается поистине эпическая битва разработчиков с хакерами. Против исследователей безопасности выступят специалисты из ViaForensics, Nokia, Yandex и Google.

По многочисленным просьбам выкладываем все наши козыри. На сайте уже доступна первая версия программы.

Мы с гордостью объявляем темы ключевых докладов:

1. The Grugq (Таиланд) выступит с речью, посвященной принципам практической боевой безопасности анонимных хакеров — OPSEC. «Черные шляпы» в зале сохраняют каменные лица!
2. Felix ‘FX’ Lindner (Германия) выступит с презентацией под названием «Стремись быть собой».

ООО «Газинформсервис» объявляет конкурс «Поиск уязвимостей в техническом решении по защищенному удаленном доступу» в целях привлечения внимания IT-сообщества и потребителей к вопросам информационной безопасности, поиску новых профессиональных решений.
Победитель получит приз в размере 100 000 рублей.

Искать уязвимости можно с 31 октября по 12 ноября 2012 (включительно), победитель будет объявлен на конференции ZeroNights.

Update: Друзья, обратите, пожалуйста, внимание на то, что Digital Security не имеют отношения к разработке конкурса.

Осталось всего 3 недели до мегасобытия – конференции ZeroNights 2012. Программа мероприятия сформирована на 90%, за что хочется сказать отдельное спасибо DCG#7812 и программному комитету. Организаторы конференции в лице Digital Security и Software People готовы представить вам финальный список докладчиков и рассказать обо всех событиях, которые вас ждут.

Итак, по порядку.

Основная программа и сердце нашей конференции – это технические доклады. В этом году у нас будет 21 доклад от лучших в своей области специалистов со всего света: США, Канада, Англия, Германия, Франция, Финляндия, Испания, Израиль, Тайвань, Румыния, Молдова и, конечно же, Россия.

В программе конференции намечается множество интересных событий:

• 3 ключевых доклада
• 21 технический доклад в 4 секциях:

• That’s really scary
• Technical hardcore
• The future of web
• Mobile internals

• 7 воркшопов протяженностью от 2 до 5 часов
• Более 7 докладов на fast track (точное количество будет известно на конференции)
• 2 центра компетенции с демонстрациями атак на SAP и мобильные приложения
• Круглый стол
• 0-day шоу

CFP для основной программы конференции ZeroNights закрыт, и программный комитет заканчивает отбор докладов на конференцию. А вот CFP на Fast Track продолжается.

Сегодня я поделюсь с вами небольшим секретом о том, как бесплатно посетить конференцию ZeroNights 2012 в ноябре в столице нашей родины. Для тех, кто забыл или не в курсе – это самое ожидаемое событие для исследователей информационной безопасности, место, где нет маркетинговых докладов, а только реальные исследования от мировых рисёчеров и самые полезные тренинги, где вы, например, научитесь писать эксплойты под уязвимости в браузерах, чтобы сорвать в следующем году приз на PWN2OWN. Уже сейчас подтверждено участие таких экспертов, как: Grugq – знаменитый тусовщик на все конференциях, FX – лидер культовой хак-тимы Phoenolit, Miaubiz – хардкорный исследователь из Финляндии, J00ru – автор кучи исследований в области низкоуровневого потрошения Windows Kernel ,Michele Orru из TrustWave, Rick Flores из Rapid7 (MetaSploit), joernchen из Phenoelit, Alexey Sintsov – основатель DCG#7812, автор этого поста и множество других исследователей.

ZeroNights 2012, как и в прошлом году, проходит при поддержке и участии Яндекса. Мы очень рады вновь сотрудничать с такой знаменитой компанией. На днях компания «Яндекс» открыла программу по вознаграждению исследователей за найденные уязвимости в веб-сервисах и мобильных приложениях под названием «Охота за ошибками». С гордостью отметим, что это первый разработчик ПО на постсоветском пространстве, который столь ответственно отнесся к безопасности своих продуктов. Первые результаты программы будут объявлены на ZeroNights 2012, которая, как и раньше, сосредоточит в себе все самое интересное и актуальное из мира ИБ в России.

Также мы с удовольствием сообщаем, что сеть хостелов Bear Hostels предоставляет посетителям конференции 10-процентную скидку. Мы ждем вас в гости, в каком бы городе вы ни жили!

Еще одна хорошая новость: благодаря тому, что нам удалось несколько оптимизировать бюджет конференции, стоимость билетов для физических лиц теперь составляет 7000 рублей. Участники RISSPA и DEFCON Group имеют право на 10-процентную скидку.

Мы также сняли ограничение на количество регистраций по студенческому тарифу. Напомним, что с 1 октября стоимость участия для студентов и аспирантов составляет 1900 рублей. В студенческий пакет входит посещение конференции, включая все workshops, участие в конкурсах с призами, а также кофе-брейки.

Безопасность виртуальных системы – сейчас модный тренд, поэтому обойти стороной этот вопрос нельзя. Сегодня мы будем ломать самое сердце инфраструктуры VMware – сервер vCenter. При этом использовать будем 0-day уязвимости, чтобы жизнь медом не казалась. Ломать будем олдскульными методами, никак не связанными с виртуальными технологиями: тренд, конечно, модный, а вот баги все такие же банальные.

PS: Как водится у ответственных уайт-хатов, все описанные тут баги должны быть уже закрыты, были они 0-деями на момент взлома, то есть в 2011 году. Данный текст был опубликован в журнале Хакер № 7/12 (162), а также являлся основой для докладов на CONFidence 2012, PHD 2012 и Defcon 20.

ZeroNights — международная конференция, посвященная техническим аспектам информационной безопасности. Главная цель конференции — распространение информации о новых методах атак, угрозах и защите от них, а кроме того — создание площадки для общения специалистов-практиков по ИБ.

Место и время проведения: Россия, Москва, 19–20 ноября 2012 года.

Эта конференция – для технических специалистов, администраторов, руководителей и сотрудников службы ИБ, пентестеров, программистов и всех тех, кто интересуется прикладными аспектами отрасли.

Наше мероприятие — уникальное, неповторимое событие в мире ИБ России. Гости со всего мира, технические хакерские доклады и мастер-классы — без воды и рекламы, только технологии, методики, атаки и исследования!

Напоминаем вам, что Call for Papers продлится до 10.10.2012. Уже сейчас мы можем рассказать о некоторых докладчиках:

За последний месяц в области безопасности SAP произошло несколько значимых событий, о которых я хотел бы рассказать.

Во-первых, прошли две крупных конференции по безопасности, где затрагивалась тема безопасности SAP: BlackHat и Defcon. Мы (специалисты исследовательской лаборатории Digital Security) участвовали в обоих мероприятиях: с докладом о SAP на BlackHat и с докладом о VMware на Defcon. Я упоминаю здесь доклад о VMware, так как это выступление подтверждает, что защита SAP-систем заключается не только в безопасности самих приложений SAP, но и остальной инфраструктуры.

Всем привет! Тут многие просили нас писать больше; собственно, выкроив времечко между перелётами, я вспомнил про парочку старых уязвимостей в… впрочем, вы уже догадались в чём.

Прошло уже немало времени с момента первой публикации информации о данных багах. А точнее, целый год. Ровно год назад я ездил на BlackHat с докладом по теме безопасности J2EE движка SAP. Почему бы и не поведать о той баге, тем более что до сих пор не дошли руки подробно описать в рунете всё, что было представлено на BlackHat, ну не считая небольшого видео с ZeroNights, где вышло довольно сумбурно.

Исследование посвящалось платформе SAP NetWeaver J2EE Engine, о которой по сравнению с ABAP Engine существует крайне мало информации, а по ее безопасности практически не было исследований во всём мире. А ведь Digital Security Research Group хлебом не корми, только дай разломать что-нибудь, куда ещё никто не совался. В общем, сперва будет немножко общих слов о том, что такое SAP и как это важно для бизнеса, так что циники могут пролистать вниз – к кускам кода, ну а все остальные могут читать дальше.

ZeroNights — международная конференция, посвященная техническим аспектам информационной безопасности. Главная цель конференции — распространение информации о новых методах атак, угрозах и защите от них, а кроме того — создание площадки для общения специалистов-практиков по ИБ.
Место и время проведения: Россия, Москва, 19–20 ноября 2012 года.

Если вы желаете поделиться своим опытом, знаниями и умениями, то делается это легко: пришлите нам описание вашей темы и желаемый формат. Наш программный комитет (DCG#7812) рассмотрит его и примет решение. CFP продлится до 10.10.12. При этом публикация и отбор будет проходить в несколько раундов, так что в течение всего периода CFP мы будем публиковать информацию о тех докладах, что были приняты.

Примечания

Согласно партнерскому соглашению с SAP, мы не имеем право публиковать подробную информацию о найденных уязвимостях до выпуска патча. Поэтому в данном отчете подробно описаны только те уязвимости, информацию о которых мы имеем право раскрывать на данный момент. Однако примеры эксплуатации всех упомянутых уязвимостей, доказывающие, что они действительно существуют, можно найти на видеозаписях с конференций, а также на erpscan.ru и dsec.ru.

Также необходимо отметить, что наши исследования в области безопасности SAP вообще и сбора статистики в частности не заканчиваются на данном отчете. Мы планируем публиковать новые статистические данные как минимум ежегодно либо по мере появления новых методов атаки. Последние обновления статистики SAP-систем, присутствующих в Интернете, можно найти на sapscan.com.

1. Введение

Ядро каждой крупной компании – это ERP-система; в ней проходят все критичные для бизнеса процессы, начиная от закупки, оплаты и доставки и заканчивая управлением человеческими ресурсами, продуктами и финансовым планированием. Вся информация, хранящаяся в ERP-cистемах, имеет огромное значение, и любой неправомерный доступ к ней может понести за собой громадные потери вплоть до остановки бизнеса. Согласно отчету Ассоциации специалистов по расследованию хищений/мошенничества (ACFE), в период с 2006 по 2010 годы потери организаций от внутреннего фрода составили порядка 7 процентов от ежегодной выручки (!). Вот почему мы решили провести детальное исследование в области безопасности SAP с использованием ERPScan – разработанной Digital Security системы мониторинга защищенности SAP-систем.

Привет всем! Сегодня нам хотелось бы рассказать о нашей поездке на конференцию по информационной безопасности CONFidence, которая проходила в Польше 23–24 мая, в городе Краков. Данная конференция проводилась в этом году уже в 10-й раз. Данный отчет о поездке на конференцию будет достаточно необычным, потому что мы писали его вчетвером и частично прямо во время конференции. Но обо всем по порядку.

Женщины в паранджах, мужчины в традиционных арабских одеяниях, резные стены и много-много позолоты, и всё это внутри огромного деревянного корабля. Именно так выглядит конференция по информационной безопасности в Кувейте – Kuwait Info Security 2012.



По долгу службы в Digital Security продвигая в массы безопасность SAP, да и вообще ради ярких моментов и новых знакомств, я периодически выступаю на различных международных конференциях по безопасности… хотя точнее всё же было бы называть их конференциями по опасности, так как на них ведущие исследователи рассказывают о новых интересных способах взлома информационных систем. Несмотря на два десятка выступлений на таких ивентах, как BlackHat и HITB, конференция в Кувейте всё-таки запомнилась мне как одна из самых необычных.

В ноябре прошлого года компания «Яндекс» провела конкурс на тему поиска уязвимостей в своем сервисе. Мне посчастливилось найти там пару дырочек и получить за это второе место. Так как за эти полгода я так и не опубликовал деталей (кроме как на встрече Defcon-Russia, но это было в устной форме для узкого круга посетителей), я решил восполнить этот пробел сейчас. Так что тут будет рассказ об одной из дырок, которая была обнаружена в рамках конкурса и оперативно закрыта компанией «Яндекс». Считаю, что конкурс полностью оправдал себя и позволил предотвратить страшные последствия, так что идея явно удачна, одни плюсы. Собственно рассказ будет о банальном отсутствии проверки авторизации в одном из скриптов, что могло привести к частичной компрометации более миллиарда писем лишь на одной ноде…