Завершился Positive Hack Days 2012 - хакеры взломали планету

1174
Positive Hack Days 2012

В Москве 30 и 31 мая прошел Positive Hack Days 2012 — международный форум для специалистов по практической информационной безопасности, организованный компанией Positive Technologies. За два дня на форуме побывало полторы тысячи человек: профессионалы мира ИБ, хакеры со всей планеты, представители бизнеса, государства и интернет-сообщества. Раньше многие из этих людей даже не подозревали, что могут оказаться в одном помещении. На PHDays 2012 выступили легендарный криптограф Брюс Шнайер и глава IMPACT Датук Мохд Нур Амин, были представлены десятки докладов и мастер-классов, состоялись масштабные соревнования CTF и огромное количество конкурсов по взлому и анализу защищенности.

Capture the Flag и HackQuest

Киберпанковский сценарий и реальные уязвимости стали отличительными чертами центрального хакерского события форума — соревнования CTF (Capture the Flag). По сюжету команды должны были отправиться в будущее, чтобы спасти земную цивилизацию от катастрофы. В охоте за флагами приняли участие 12 коллективов из России, Германии, Индии, Нидерландов, США, Туниса, Франции, Швейцарии и Японии. Двое суток подряд хакеры искали уязвимости в системах противников, чтобы получить доступ к секретной информации, а также защищали свои сети, устраняя в них уязвимости. Победу в PHDays CTF 2012 одержала российская команда Leet More из Санкт-Петербурга, получившая приз — 150 000 руб. Второе место — у команды 0daysober из Швейцарии (100 000 руб.), третье — у испанцев Int3pids (50 000 руб.). Прошлогодние победители PHDays CTF — американские хакеры из PPP — заняли четвертое место. К обнаружению уязвимостей и поиску флагов могли присоединиться также интернет-участники в соревновании Online HackQuest. Первое и второе место заняли россияне BECHED ahack.ru и ufologists, а бронза досталась немецкому специалисту stratum0.

Перехват дрона

Беспилотная авиация встречается не только в романах Пелевина, но и широко используется вооруженными силами различных стран, эффективно уничтожая противников. Организаторы форума в игровой форме решили смоделировать ситуацию, в которой управление беспилотником будет захвачено врагом. Согласно легенде второго дня PHDays CTF, командам нужно было добыть транспорт — летательный аппарат. Специально для этого задания организаторы подготовили пару AR.Drone — устройств, которые управляются с телефона через небезопасные беспроводные соединения. Участники команд CTF должны были за полчаса перехватить управление аппаратом. Быстрее всех завладел пилотированием квадрокоптера российский эксперт по информационной безопасности Сергей Азовсков из Екатеринбурга.

Взлом Apple iPhone и Windows XP

В современном информационном пространстве обнаружить совершенно новую уязвимость в популярном и отлаженном продукте равнозначно серьезному изобретению. Поэтому конкурсы по взлому различных операционных систем и приложений занимали особенное место в программе форума. Как и в CTF, наибольший урожай призов собрали российские специалисты: Никита Тараканов продемонстрировал опасную уязвимость нулевого дня в операционной системе Windows XP, получив за победу денежный приз в размере 50 000 руб. Павел Шувалов, известный свой утилитой Vulndisco Mobile 1.7, предназначенной для джейлбрейка устройств на базе iOS, — взломал iPhone 4S, используя уязвимость в популярном приложении Office² Plus. Павел стал обладателем взломанного iPhone 4S и денежного приза в размере 75 000 руб. Кроме того, представитель команды Leet More (победителей CTF 2012) прямо во время напряженной схватки PHDays CTF 2012 обнаружил уязвимость нулевого дня в операционной системе FreeBSD 8.3. Эта уязвимость позволяет любому локальному пользователю обойти ограничения безопасности (FreeBSD Jail).

Делиться опытом — это интересно

Практическую направленность PHDays 2012 по достоинству оценили гости и участники форума. Около пятидесяти докладов, мастер-классы и круглые столы прошли под девизом «минимум маркетинга — максимум опыта». После банковской секции, на которой присутствовали эксперты по информационной безопасности и представители финансовых организаций, состоялся конкурс «Большой Ku$h». Хакеры, используя типичные уязвимости систем дистанционного банковского обслуживания, переводили на свои виртуальные счета различные денежные суммы, а затем снимали их через банкомат, который располагался неподалеку от места проведения конкурса. Победителем стал Алексей Осипов, студент пятого курса Московского энергетического института: ему удалось «увести» из банка 3500 руб. К слову сказать, во время банковской секции Артем Сычев из «Россельхозбанка» сообщил весьма тревожную информацию: каждый день в России фиксируется 15—20 попыток хищения денег с банковских счетов.

Настоящий аншлаг вызвало выступление Брюса Шнайера — легендарного исследователя в области криптографии. Брюс в свойственной ему ироничной манере поддержал людей, которых любопытство заставляет время от времени нарушать закон: нарушая правила, они служат развитию общества.

Увлекательным опытом обнаружения и устранения уязвимостей в сетях телекоммуникационных операторов поделился технический директор компании — организатора форума Сергей Гордейчик. Конвергенция различных типов сетей и оборудования приводит к тому, что они могут быть взломаны при помощи нескольких десятков методов: например, через канал, используемый сотрудниками для онлайн-игр, уязвимый интерфейс веб-камеры слежения, точку доступа Wi-Fi подрядчика, недружественный ресурс на хостинге.

Андрей Костин показал, как и зачем хакеры ломают принтеры, Маркус Нимиц рассказал о недостатках системы безопасности Android OS, а Владимир Воронцов объяснил назначение XXE-атак, попутно обнародовав уязвимость нулевого дня.

Александр Гостев из «Лаборатории Касперского» рассказал новые подробности о недавно обнаруженном шпионском кибероружии нового поколения — Flame. Тему организованного хакерства продолжил Хейзем Эль Мир, ИБ-специалист из Туниса: в своем докладе о противостоянии тунисского Агентства компьютерной безопасности и хакерской группировки Anonymous он развеял миф о профессионализме «Анонимусов» (многие считают, что группа состоит из лучших в мире хакеров). Интересная деталь: когда Джерри Гэмблин представлял свой анализ деятельности группы LulzSec, взломавшей сайт ЦРУ, в зал вошли несколько человек в масках Гая Фокса. Докладчик ничуть не смутился, с удовольствием примерив после выступления одну из масок.

Эксперты исследовательского центра Positive Research рассказали об уязвимостях в распространенном корпоративном ПО: системе управления сетевым оборудованием Cisco Secure ACS, популярном веб-сервере nginx, системе виртуализации Citrix Xen и еще более чем о десятке уязвимостей в различных веб-приложениях.

В рамках спецсекции по безопасности АСУ ТП (SCADA) были анонсированы инициативы Positive Technologies в области защиты систем управления производством: совместные с Siemens работы по поиску и устранению уязвимостей в SCADA Simatic WinCC и разработку стандартов безопасной конфигурации распространенных систем АСУ ТП.

На форуме также был анонсирован образовательный проект Positive Education, в рамках которого специалисты Positive Technologies будут содействовать преподавателям российских технических вузов в подготовке практических учебных программ по информационной безопасности. Состоялось представление докладов молодых ученых, привлеченных со всей России в рамках конкурса Young School.

Второй Positive Hack Days впервые прошел при поддержке десятков хакспейсов, поддержавших форум в рамках инициативы PHDays Everywhere. География онлайн-плацдармов, на которых собралась местная хакерская элита — от Токио до Краснодара, от Индии до Туниса. Для посетителей хакспейсов, помимо интерактивной онлайн-трансляции с прямыми включениями, предназначался конкурс «Взломать за 137 секунд», требующий навыки взлома сетевых устройств на базе оборудования Cisco. Победила команда DCUA из Украины, второе место заняли XBios из Индии.

Планета нуждается в позитивных хакерах

Ключевые докладчики форума — Брюс Шнайер и Датук Мохд Нур Амин (председатель IMPACT) — не сговариваясь, отметили важную роль позитивных хакеров в развитии прогресса и обеспечении безопасности простых граждан. Поэтому не случайно, что Positive Hack Days 2012 завершился веселым и зажигательным конкурсом «Наливайка». Каждые пять минут участнику, на действия которого чаще всего реагировал фильтр безопасности, предлагалось выпить 50 мл текилы и продолжить попытки взломать приложение. Лучшим стал Владимир Воронцов из компании ONSec: на пути к победе ему пришлось опустошить 7 рюмок крепкого напитка!

7 июня 2012

08:00

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Представлен смартфон Samsung Galaxy Note8: Прием предварительных заказов начнется 24 августа57

Microsoft Project Brainwave — искусственный интеллект в реальном времени: Высокое быстродействие обеспечено использованием FPGA 5

Массивная утечка сведений о камере Nikon D850 произошла накануне анонса: В камере используется датчик изображения типа CMOS разрешением 45,7 Мп18

Ассортимент Iogear пополнила стыковочная станция GUD3C03 с портом USB-C: Кроме того, представлено устройство для работы с картами памяти GRF3C15, тоже оснащенное портом USB-C

Представлены жесткие диски Toshiba X300 объемом до 8 ТБ: Серия HDD X300 предназначена для высокопроизводительных ПК 13

Представлен Meizu M6 Note — самый значимый бюджетный смартфон компании за последнее время: Meizu M6 Note получил сдвоенную камеру и SoC Snapdragon 62510

Владельцы БПЛА DJI Spark должны обновить прошивку до 1 сентября или их дроны больше не взлетят: Компания приняла решение об обязательном обновлении прошивки18

Илон Маск впервые показал космический скафандр SpaceX : Разработчикам было крайне сложно совместить высокую степень защиты, функциональность и внешний вид скафандра68

Смартфон HTC U11 научился записывать видео в разрешении 1080p при 60 к/с: Также обновление улучшает работу всей системы в целом и повышает безопасность пользовательских данных5

Опубликовано первое официальное изображение смартфона Samsung Galaxy Note 8 в цвете Orchid Gray: Анонс Samsung Galaxy Note 8 ожидается сегодня в 18:00 по московскому времени10

Умный дверной замок Latch C оценен в $299: Вы можете пересылать посетителям или, например, курьеру, который доставляет посылку, одноразовые виртуальные ключи21

Владельцы некоторых водонепроницаемых смартфонов Sony могут получить 50% их стоимости : Пару лет назад Sony изменила правила использования своих защищенных устройств под водой21

Названы цены смартфонов Sony Xperia XZ1 и XZ1 Compact : Анонс новых смартфонов Sony ожидается 31 августа11

Аналитик компании Rosenblatt утверждает, что в этом полугодии будет выпущено 35-40 млн смартфонов Apple iPhone 8: В текущем квартале будет собрано всего 5 млн аппаратов Apple iPhone с экранами OLED7

Новый фильтр 3M, защищающий изображение на экране от посторонних глаз, на 30% прозрачнее своего предшественника: Кроме того, он уменьшает долю синего цвета8

Смартфон Vivo V7+ получит революционную фронтальную камеру: 7 сентября компания Vivo проведет пресс-конференцию, на которой будет представлен новый смартфон Vivo V7+2

Смартфон Meiigoo S8 можно спутать с Samsung Galaxy S8: В продажу новинка поступит в сентябре3

Новая экшн-камера Xiaomi Mijia Compact Camera с поддержкой RAW и 4К оценена в $105: Камера оснащена однокристальной системой Ambarella A12S75 и датчиком изображения Sony IMX3175

Fujitsu готовит к продаже производство смартфонов; в числе возможных покупателей значится Lenovo: Первый раунд торгов может начаться уже в сентябре1

Покупатели Samsung Galaxy Note 8 получат привлекательные бонусы: Samsung Galaxy Note 8 должны представить уже сегодня в 18:00 мск7

Toshiba и Western Digital могут договориться до конца месяца: Toshiba сделала приоритетными переговоры о продаже полупроводникового производства с Western Digital 1

Подтверждено существование версий Meizu M6 Note с Helio P25 и Snapdragon 625: Анонс Meizu M6 Note состоится уже сегодня

Самоуправляемый погрузчик Seegrid GP8 Series не требует вспомогательной инфраструктуры : Машина построена на улучшенной версии платформы Seegrid Smart Platform2

Фото дня: модуль 3D-камеры смартфона Apple iPhone 8: Анонс смартфона Apple iPhone следующего поколения ожидается осенью12

Объем внешнего накопителя WD My Book Duo достигает 20 ТБ: My Book Duo — самый емкий накопитель Western Digital

Объем рынка флэш-памяти типа NAND во втором квартале 2017 года превысил 13 млрд долларов: За квартал рынок флэш-памяти типа NAND вырос на 8%

Появились первые изображения камеры Olympus OM-D E-M10 Mark III, названа цена : Производитель предложит два варианта внешнего оформления камеры: черный и серебристый12

Красногорский механический завод им. Зверева готовит к выпуску полнокадровую беззеркальную камеру: Фотоаппарат будет носить марку «Зенит» 41

Huawei выпустит новый флагманский смартфон в двух версиях: Mate 10 и Mate 10 Pro: Huawei Mate 10 получит обычный экран, а Mate 10 Pro — более вытянутый 7

1318

iXBT TV

  • Обзор изогнутого монитора Samsung C24FG70FQI с поддержкой AMD FreeSync и частоты 144 Гц

  • Электро-Maybach, топовая Nokia и действительно оригинальный смартфон

  • Обзор видеоускорителя AMD Radeon RX Vega 64

  • Обзор легкой, компактной и дешевой мясорубки Kitfort KT-2101 Carnivora

  • Обзор беззеркальной фотокамеры Fujifilm X-T20

  • Обзор кинотеатрального DLP-проектора BenQ W11000 с эмуляцией разрешения 4К

  • AMD Ryzen Threadripper 1920Х и 1950X — тестирование 12-ядерного и 16-ядерного процессоров

  • Обзор мини-ПК ECS Liva Z на базе процессора Apollo Lake

  • Самый лучший процессор, неудачи Microsoft, гибкие наушники Samsung

  • Обзор цветного МФУ Xerox VersaLink C405 для малых и средних офисов

  • Обзор умного чайника Redmond SkyKettle RK-G200S с подсветкой и нагревом воды до нужной температуры

  • Конфигурируем мини-ПК: изучаем влияние памяти и накопителя на быстродействие системы

1212

Календарь

июнь
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать