Завершился Positive Hack Days 2012 - хакеры взломали планету

ПредыдущаяСледующая
1174
Positive Hack Days 2012

В Москве 30 и 31 мая прошел Positive Hack Days 2012 — международный форум для специалистов по практической информационной безопасности, организованный компанией Positive Technologies. За два дня на форуме побывало полторы тысячи человек: профессионалы мира ИБ, хакеры со всей планеты, представители бизнеса, государства и интернет-сообщества. Раньше многие из этих людей даже не подозревали, что могут оказаться в одном помещении. На PHDays 2012 выступили легендарный криптограф Брюс Шнайер и глава IMPACT Датук Мохд Нур Амин, были представлены десятки докладов и мастер-классов, состоялись масштабные соревнования CTF и огромное количество конкурсов по взлому и анализу защищенности.

Capture the Flag и HackQuest

Киберпанковский сценарий и реальные уязвимости стали отличительными чертами центрального хакерского события форума — соревнования CTF (Capture the Flag). По сюжету команды должны были отправиться в будущее, чтобы спасти земную цивилизацию от катастрофы. В охоте за флагами приняли участие 12 коллективов из России, Германии, Индии, Нидерландов, США, Туниса, Франции, Швейцарии и Японии. Двое суток подряд хакеры искали уязвимости в системах противников, чтобы получить доступ к секретной информации, а также защищали свои сети, устраняя в них уязвимости. Победу в PHDays CTF 2012 одержала российская команда Leet More из Санкт-Петербурга, получившая приз — 150 000 руб. Второе место — у команды 0daysober из Швейцарии (100 000 руб.), третье — у испанцев Int3pids (50 000 руб.). Прошлогодние победители PHDays CTF — американские хакеры из PPP — заняли четвертое место. К обнаружению уязвимостей и поиску флагов могли присоединиться также интернет-участники в соревновании Online HackQuest. Первое и второе место заняли россияне BECHED ahack.ru и ufologists, а бронза досталась немецкому специалисту stratum0.

Перехват дрона

Беспилотная авиация встречается не только в романах Пелевина, но и широко используется вооруженными силами различных стран, эффективно уничтожая противников. Организаторы форума в игровой форме решили смоделировать ситуацию, в которой управление беспилотником будет захвачено врагом. Согласно легенде второго дня PHDays CTF, командам нужно было добыть транспорт — летательный аппарат. Специально для этого задания организаторы подготовили пару AR.Drone — устройств, которые управляются с телефона через небезопасные беспроводные соединения. Участники команд CTF должны были за полчаса перехватить управление аппаратом. Быстрее всех завладел пилотированием квадрокоптера российский эксперт по информационной безопасности Сергей Азовсков из Екатеринбурга.

Взлом Apple iPhone и Windows XP

В современном информационном пространстве обнаружить совершенно новую уязвимость в популярном и отлаженном продукте равнозначно серьезному изобретению. Поэтому конкурсы по взлому различных операционных систем и приложений занимали особенное место в программе форума. Как и в CTF, наибольший урожай призов собрали российские специалисты: Никита Тараканов продемонстрировал опасную уязвимость нулевого дня в операционной системе Windows XP, получив за победу денежный приз в размере 50 000 руб. Павел Шувалов, известный свой утилитой Vulndisco Mobile 1.7, предназначенной для джейлбрейка устройств на базе iOS, — взломал iPhone 4S, используя уязвимость в популярном приложении Office² Plus. Павел стал обладателем взломанного iPhone 4S и денежного приза в размере 75 000 руб. Кроме того, представитель команды Leet More (победителей CTF 2012) прямо во время напряженной схватки PHDays CTF 2012 обнаружил уязвимость нулевого дня в операционной системе FreeBSD 8.3. Эта уязвимость позволяет любому локальному пользователю обойти ограничения безопасности (FreeBSD Jail).

Делиться опытом — это интересно

Практическую направленность PHDays 2012 по достоинству оценили гости и участники форума. Около пятидесяти докладов, мастер-классы и круглые столы прошли под девизом «минимум маркетинга — максимум опыта». После банковской секции, на которой присутствовали эксперты по информационной безопасности и представители финансовых организаций, состоялся конкурс «Большой Ku$h». Хакеры, используя типичные уязвимости систем дистанционного банковского обслуживания, переводили на свои виртуальные счета различные денежные суммы, а затем снимали их через банкомат, который располагался неподалеку от места проведения конкурса. Победителем стал Алексей Осипов, студент пятого курса Московского энергетического института: ему удалось «увести» из банка 3500 руб. К слову сказать, во время банковской секции Артем Сычев из «Россельхозбанка» сообщил весьма тревожную информацию: каждый день в России фиксируется 15—20 попыток хищения денег с банковских счетов.

Настоящий аншлаг вызвало выступление Брюса Шнайера — легендарного исследователя в области криптографии. Брюс в свойственной ему ироничной манере поддержал людей, которых любопытство заставляет время от времени нарушать закон: нарушая правила, они служат развитию общества.

Увлекательным опытом обнаружения и устранения уязвимостей в сетях телекоммуникационных операторов поделился технический директор компании — организатора форума Сергей Гордейчик. Конвергенция различных типов сетей и оборудования приводит к тому, что они могут быть взломаны при помощи нескольких десятков методов: например, через канал, используемый сотрудниками для онлайн-игр, уязвимый интерфейс веб-камеры слежения, точку доступа Wi-Fi подрядчика, недружественный ресурс на хостинге.

Андрей Костин показал, как и зачем хакеры ломают принтеры, Маркус Нимиц рассказал о недостатках системы безопасности Android OS, а Владимир Воронцов объяснил назначение XXE-атак, попутно обнародовав уязвимость нулевого дня.

Александр Гостев из «Лаборатории Касперского» рассказал новые подробности о недавно обнаруженном шпионском кибероружии нового поколения — Flame. Тему организованного хакерства продолжил Хейзем Эль Мир, ИБ-специалист из Туниса: в своем докладе о противостоянии тунисского Агентства компьютерной безопасности и хакерской группировки Anonymous он развеял миф о профессионализме «Анонимусов» (многие считают, что группа состоит из лучших в мире хакеров). Интересная деталь: когда Джерри Гэмблин представлял свой анализ деятельности группы LulzSec, взломавшей сайт ЦРУ, в зал вошли несколько человек в масках Гая Фокса. Докладчик ничуть не смутился, с удовольствием примерив после выступления одну из масок.

Эксперты исследовательского центра Positive Research рассказали об уязвимостях в распространенном корпоративном ПО: системе управления сетевым оборудованием Cisco Secure ACS, популярном веб-сервере nginx, системе виртуализации Citrix Xen и еще более чем о десятке уязвимостей в различных веб-приложениях.

В рамках спецсекции по безопасности АСУ ТП (SCADA) были анонсированы инициативы Positive Technologies в области защиты систем управления производством: совместные с Siemens работы по поиску и устранению уязвимостей в SCADA Simatic WinCC и разработку стандартов безопасной конфигурации распространенных систем АСУ ТП.

На форуме также был анонсирован образовательный проект Positive Education, в рамках которого специалисты Positive Technologies будут содействовать преподавателям российских технических вузов в подготовке практических учебных программ по информационной безопасности. Состоялось представление докладов молодых ученых, привлеченных со всей России в рамках конкурса Young School.

Второй Positive Hack Days впервые прошел при поддержке десятков хакспейсов, поддержавших форум в рамках инициативы PHDays Everywhere. География онлайн-плацдармов, на которых собралась местная хакерская элита — от Токио до Краснодара, от Индии до Туниса. Для посетителей хакспейсов, помимо интерактивной онлайн-трансляции с прямыми включениями, предназначался конкурс «Взломать за 137 секунд», требующий навыки взлома сетевых устройств на базе оборудования Cisco. Победила команда DCUA из Украины, второе место заняли XBios из Индии.

Планета нуждается в позитивных хакерах

Ключевые докладчики форума — Брюс Шнайер и Датук Мохд Нур Амин (председатель IMPACT) — не сговариваясь, отметили важную роль позитивных хакеров в развитии прогресса и обеспечении безопасности простых граждан. Поэтому не случайно, что Positive Hack Days 2012 завершился веселым и зажигательным конкурсом «Наливайка». Каждые пять минут участнику, на действия которого чаще всего реагировал фильтр безопасности, предлагалось выпить 50 мл текилы и продолжить попытки взломать приложение. Лучшим стал Владимир Воронцов из компании ONSec: на пути к победе ему пришлось опустошить 7 рюмок крепкого напитка!

7 июня 2012 Г.

08:00

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Вопросы в тематическом форуме GOODRAM и конкурс GOODRAM: Участвуя в конкурсе, можно выиграть SSD GOODRAM CX300 объемом 120 ГБ

Разработка Solar-Tectic может сменить технологию LTPS в дисплеях OLED: Новая технология получила название LT1CS

Смартфон Little Pepper S11 пытается копировать iPhone X, но у него это не получается: Смартфон Little Pepper S11 на первый взгляд можно спутать с iPhone X, но только на первый и очень затуманенный15

Разрешение изображений, пересылаемых Facebook Messenger, увеличено до 4096 х 4096 пикселей: Разработчики заверили, что увеличение разрешения не скажется на скорости пересылки4

Блок питания в корпусах FSP CMT110 и CMT120 располагается внизу: Модель FSP CMT110 отличается от CMT120 прозрачной боковой панелью4

Анонс Samsung Galaxy S9 и S9+ теперь ожидается на CES 2018: Consumer Electronics Show 2018 пройдет в Лас-Вегасе с 9 по 12 января 2018 года10

Uber хочет запатентовать средства, предотвращающие укачивание в самоуправляемых автомобилях: Правильное освещение, потоки воздуха и вибрирующие сиденья могут препятствовать укачиванию10

Аналитики Digitimes Research полагают, что в 2018 году поставки смартфонов превысят 1,5 млрд штук: Этот показатель соответствует росту рынка на 4,8%4

I-O Data DVRP-W 8 AI 2 — привод DVD для смартфонов и планшетов: I-O Data DVRP-W 8 AI 2 поддерживает Wi-Fi 802.11ac7

Серия твердотельных накопителей Colorful Plus включает модели объемом до 640 ГБ: В твердотельных накопителях Colorful Plus используются контроллеры SMI SM2258XT и флэш-память 3D TLC NAND

Функциональность камеры смартфона Razer Phone будет существенно улучшена: Камера Razer Phone получит специальный портретный режим с размытием фона, возможность записи видеороликов с частотой 60 к/с и прочие улучшения

Ассортимент блоков питания SilverStone пополнила модель Essential SST-ET450-B: Мощность блока питания SilverStone Essential SST-ET450-B равна 450 Вт

Apple подготовилась к «Черной Пятнице», сократив время ожидания iPhone X до 1-2 недель: Apple смогла существенно нарастить поставки iPhone X77

Опубликованы фотографии «полноэкранного» смартфона Meizu m1712, оснащенного боковым дактилоскопическим датчиком: Смартфон Meizu m1712 работает под управлением Android 7.0 Nougat7

В базе данных TENAA засветился смартфон Huawei в безрамочном исполнении и с четырьмя камерами: Версии новинки обозначаются HWI-AL00 и HWI-TL0

3D-карта EVGA GeForce GTX 1080 Ti K|NGP|N Hydro Copper оснащена водоблоком и разогнана производителем: Цена новинки, доступной только в фирменном онлайновом магазине, примерно равна $12501

Смартфон Samsung Galaxy A5 (2018), который может выйти под названием Galaxy A8 (2018), засветился на качественных изображениях : Компания Olixar слила в Сеть изображения смартфона Samsung Galaxy A5 (2018)8

Представлен смартфон Xiaomi Mi Mix 2 Starck Edition : Цена Xiaomi Mi Mix 2 Starck Edition составляет 710 долларов2

Слухи: смартфон Xiaomi Mi 7 сохранит цену предшественника и переберется на платформу Snapdragon 845: Выпуск Xiaomi Mi 7 ожидается на стыке первого и второго кварталов 2018 года7

Мег Уитмэн покинет пост генерального директора Hewlett Packard Enterprise: В феврале 2018 года функции гендиректора HPE возьмет на себя Антонио Нери1

Смартфон OnePlus 6T может не увидеть свет: Если до конца 2018 у OnePlus не появится причин выпустить OnePlus 6T, то компания не будет делать этого3

Свежий видеоролик демонстрирует текущее состояние штаб-квартиры Apple Park: К концу года большая часть работ должна быть завершена8

Названа дата анонса «полноэкранных» смартфонов Gionee F6 и F205: Смартфоны Gionee F6 и F205 получили экраны с соотношением сторон 18:9 и узкими рамками

По данным Puls, 9 из 10 пользователей не планируют менять свои смартфоны до конца года: Многие могут просто поменять аккумуляторы в своих смартфонах вместо того, чтобы покупать новые устройства8

OnePlus 5T и ранее выпущенные смартфоны компании не получат поддержку Google Project Treble: OnePlus 3 и OnePlus 3T, а также OnePlus 5 и OnePlus 5T будут обновлены до Android 8.1

Seoul Semiconductor SunLike — первый осветительный светодиод, получивший сертификат безопасности RG 1: В светодиоде SunLike мощностью 25 Вт используется технология TRI-R, разработанная Toshiba Materials8

По прогнозу Digitimes Research, поставки планшетов в 2018 году составят 128 миллионов штук: На модели с экранами размером не менее 9 дюймов придется более 60% поставок2

997
1318

iXBT TV

  • Обзор проекционного документ-сканера Doko BS16

  • Обзор материнской платы Z370 Aorus Gaming 7 под процессоры Coffee Lake

  • Обзор аккумуляторной дрели-шуруповерта Bosch GSR 12V-15 FC Professional

  • Заводские экзоскелеты, обновление Firefox, слишком умные наушники

  • Репортаж с конференции Supercomputing 2017 (SC17), день 3: стенд группы компаний РСК

  • Репортаж с конференции Supercomputing 2017 (SC17), день 2: стенд Intel

  • Репортаж с конференции Supercomputing 2017 (SC17), день 1: рейтинг Top500

  • Обзор кинотеатрального DLP-проектора LG PF1000U со встроенным ТВ-тюнером

  • Камера Panasonic G9, унитазный робот, игровой смартфон, кепка для водителей

  • Обзор портативной беспроводной колонки Sven PS-460

  • Обзор напольного пылесоса Tefal Silence Force 4A TW6477 с одноразовыми мешками для сбора мусора

  • Обзор сверхширокоугольного зум-объектива Canon EF 16-35mm f/2.8L III USM

1212

Календарь

июнь
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать