Миллионы IP-адресов, десятки тысяч узлов, сотни веб-серверов и всего лишь месяц времени…

Какие вызовы ожидают аудитора при тестировании сети телекома? На что стоит обратить внимание? Как наиболее эффективно использовать отведенное на работу время? Почему абонент опасней хакера? Почему подрядчик опасней абонента? Как связать уязвимость и финансовые потери?

Ответы на все эти вопросы – в вебинаре технического директора Positive Technologies Сергея Гордейчика «Как взломать телеком и остаться в живых».

А еще – самые громкие, смешные и просто интересные случаи тестирования на проникновения телекоммуникационных сетей.

Welcome! У вас осталось совсем немного времени, начало вебинара в 14.00.

Участие бесплатное, наше единственное условие – предварительная регистрация. Зарегистрироваться.

ЗЫ: Для тех, кто не успеет или не сможет принять участие в вебинаре – запись и презентация будет выложена на нашем сайте здесь

Опубликованы материалы вебинаров, проведенных Positive Technologies в рамках образовательной программы «Практическая безопасность».
Программа направлена на повышение осведомленности специалистов о существующих угрозах, методах и подходах к анализу защищенности, а также об управлении соответствием стандартам и контроле эффективности средств защиты. В качестве докладчиков выступают известные эксперты по информационной безопасности — представители компании Positive Technologies и исследовательского центра Positive Research.
За 2011 год было проведено более 10 вебинаров, собравших более 1500 слушателей из различных стран мира. Были представлены доклады по вопросам безопасности Web, облачных вычислений, сетевой инфраструктуры, VOIP-сетей, обзоры по тематике контроля соответствия стандартам, оценки эффективности средств защиты информации и практическому использованию системы контроля защищенности и соответствия стандартам MaxPatrol.

Архив записей выступлений и презентаций докладов доступны по следующему адресу:
http://www.ptsecurity.ru/webinars.asp?t=1

С удовольствием выслушаем пожелания хабролюдей по темам выступлений в 2012 году!

Ante Scriptum

До 20 января 2012 года любой желающий может проверить свои силы в оценке защищенности, поиске и эксплуатации уязвимостей, реверсинге и просто хакерстве. Регистрация и информация по подключению доступна по адресу: http://phday.ru/smt.asp?gnum=1 (рус) и http://phday.com/smt.asp?gnum=1 (eng).

Вступайте и компилируйте!

Scriptum

26 декабря закончились соревнования по информационной безопасности PHDays CTF Quals и PHDays CTF Afterpaty. Командные состязания CTF Quals проходили по правилам task-based CTF и позволили нам выявить финалистов, которые примут участие в очном туре 30-31 мая 2012 года на форуме Positive Hack Days. Сольная битва дала нам возможность найти наиболее мощных хакеров, которые получат возможность принять участие в PHDays, а также станут обладателями ценных призов от организатора соревнований – компании Positive Technologies, включая легендарный сканер безопасности XSpider 7.8. В пылу битвы участники не только нашли все заложенные нами уязвимости но и обнаружили как минимум одну уязвимость нулевого дня (0-day): mPDF <= 5.3 File Disclosure.

Каждый из нас хотя бы раз в жизни сталкивался с ситуацией, когда пароль от почты забыт, а посмотреть письма нужно. Тут нам на помощь приходит процедура восстановления пароля, которую заботливые сервисы разработали специально для подобных случаев. Именно эта процедура вызывает больше всего вопросов с точки зрения безопасности. Как выяснилось, не зря.

Наш исследовательский центр Positive Research посмотрел, насколько легко можно получить несанкционированный доступ к аккаунтам пользователей «ВКонтакте», Facebook*, Google, Mail.Ru и Яндекс. Причем не путем технических атак, а только с помощью социальной инженерии.

Википедия описывает социальную инженерию как метод управления людьми без использования технических средств. В нашем случае это способ получения несанкционированного доступа к личной информации человека, опять же, без использования каких-либо специальных знаний или инструментов.

Безусловно, всегда можно отправить фишинговое письмо и заставить пользователя перейти на сайт, где он засветит свои логин и пароль, или подкинуть трояна и ждать. Способов существует много. Но нам было интересно другое. Мы хотели проверить, насколько реально получить доступ к аккаунту пользователя, используя только общедоступную информацию, которую можно найти в интернете. Без взаимодействия с пользователем. Без технических изысков. Без уязвимостей «нулевого дня».