Теги → positive hack days

Schneider Electric поблагодарила победительницу хакерского конкурса PHDays Алису Шевченко

Французская компания Schneider Electric поблагодарила победительницу конкурса Critical Infrastructure Attack, который проходил на международной конференции по безопасности Positive Hack Days IV, Алису Шевченко (Esage Lab) за найденные уязвимости. Участники конкурса нашли немало ошибок в программном обеспечении Schneider Electric, используемом для построения систем SCADA и HMI на атомных электростанциях, химических заводах и других критически важных объектах.

Уязвимости в InTouch Machine Edition 2014 версии 7.1.3.2 и InduSoft Web Studio 7.1.3.2, а также предыдущих версиях этих продуктов обнаружили исследователи Positive Technologies Илья Карпов и Кирилл Нестеров в ходе работ по оценке уровня защищенности промышленных систем. В свою очередь, участники конкурса Critical Infrastructure Attack заметно дополнили перечень багов. Некоторые из них компания не упомянула в бюллетене и не создала для них CVE-записей. К сожалению, такая практика становится все более распространенной: производители исправляют ошибки безопасности, но не всегда признают их наличие.

В итоге, в начале апреля Schneider Electric выпустила несколько обновлений и патчей, закрывающих уязвимости в программном обеспечении. Среди исправленных ошибок: возможность исполнения произвольного кода, хранение и передача конфиденциальных данных в незашифрованном виде.

Конкурс по анализу защищенности промышленных систем управления (АСУ ТП) впервые прошёл на Positive Hack Days в 2013 году под названием Choo Choo Pwn. Тогда в лаборатории компании Positive Technologies была создана игровая модель железной дороги, все элементы которой контролируются с помощью АСУ ТП.

В 2014 году конкурсную инфраструктуру кардинально изменили, что открыло больше возможностей для обнаружения уязвимостей нулевого дня. Помимо транспортной инфраструктуры, участники конкурса могли взять под контроль систему городского освещения, ТЭЦ и различных роботов.

Следуя принципам ответственного разглашения, участники конкурса Critical Infrastructure Attack должны сначала сообщить о найденных уязвимостях производителям, и только после устранения проблем допускается публикация информации о багах.

Очередной конкурс по анализу защищенности АСУ ТП состоится на пятом форуме Positive Hack Days, который пройдёт 26 и 27 мая в Москве. Подробности на сайте форума.

Известный криптограф Уитфилд Диффи выступит 26 мая на Positive Hack Days V

26–27 мая состоится пятый международный форум по практической безопасности Positive Hack Days, организованный компанией Positive Technologies, на котором ожидается выступление одного из основоположников асимметричного шифрования Уитфилда Диффи. Знаменитый исследователь в области информационной безопасности и советник венчурного фонда Almaz Capital Partners проведет 26 мая телемост и ответит на вопросы участников форума.

Уитфилд Диффи вместе с соавтором, стэндфордским профессором Мартином Хеллманом, представил в 1976 г. в научной работе «New Directions in Cryptography» алгоритм обмена ключами, который и сегодня широко используется в криптографических приложениях. Эта концепция до сих пор считается самым большим шагом вперед за всю историю криптографии.

Её можно проиллюстрировать на примере Алисы и Боба. Представим, что Алисе необходимо послать бумажное письмо Бобу, но она знает, что сотрудница почтового отделения Ева просматривает переписку. Поэтому Алиса кладёт письмо в железный ящик, закрывает его на замок и отправляет Бобу. Конечно же, Боб открыть его не сможет. В соответствии с методом «экспоненциального обмена ключами», предложенным Диффи и Хеллманом, Боб закрывает ящик на ещё один замок и отправляет его обратно. Алиса снимает свой замок и повторно посылает ящик Бобу, у которого теперь есть ключ, для того, чтобы открыть ящик и прочесть послание.

Пример с Бобом и Алисой демонстрирует, как два человека могут передавать секретное сообщение без обмена ключами. На практике все оказалось несколько сложнее, так как существующие алгоритмы до сих пор требуют снятия шифров в той очередности, в которой они были применены. Но идея с ящиком подтолкнула исследователей к поиску решения, которое было найдено с помощью односторонних функций.

С принципом работы алгоритма Диффи — Хеллмана на примере банок с краской можно ознакомиться на рисунке ниже или в видеоролике Art of the Problem. Алисе и Бобу удаётся договориться о секретном цвете, который и является ключом к шифру, таким образом, чтобы Ева (любопытная работница почтового отделения) не смогла его получить.

В последние годы, чтобы избежать MITM-атак, в дополнение к пользующейся популярностью усовершенствованной версии алгоритма Диффи — Хеллмана применяются дополнительные методы односторонней или двусторонней аутентификации.

Диффи считает, что полицейский надзор за Интернетом, как противоположность более надёжной защите компьютеров, его населяющих, может оказаться весьма ненадёжным и предательским средством, поскольку нет никаких гарантий, что инструменты правительственного мониторинга будут намного безопаснее, чем компьютеры, для защиты которых они предназначены.

Вопросы Уитфилду можно прислать по адресу phd@ptsecurity.com. Он постарается ответить на самые интересные во время своего выступления на PHDays V. 

Новые доклады PHDays V: защита суперкомпьютеров, безопасность iOS-приложений и продажа эксплойтов

26-27 мая в Москве пройдет пятый международный форум по практической информационной безопасности Positive Hack Days. Организаторы мероприятия продолжают знакомить аудиторию с докладами, которые вошли в техническую, практическую и бизнес-программу грядущего PHDays. Гостям форума расскажут, как повысить безопасность iOS-приложений, чем суперкомпьютер привлекает хакеров и как его защитить, а также поведают о взаимоотношениях продавцов и покупателей эксплойтов уязвимостей нулевого дня.

Александр Тарасенко расскажет об автоматизации отладки с помощью инструмента WinDbg. Слушатели получат практические навыки написания скриптов с помощью встроенного движка WinDbg, а также использования Python и расширения Pykd. Доклад может быть интересен исследователям кода и разработчикам софта, требующего применения нестандартных отладочных средств.

Член OWASP и специалист по информационной безопасности авиакомпании Emirates Пратик Гианчандани (Prateek Gianchandani) проведет мастер-класс по созданию эксплойтов для iOS-приложений. Во время демонстрации докладчик будет использовать специально разработанное им ПО, содержащее типовые уязвимости. Слушатели узнают о том, как повысить уровень безопасности iOS-приложения еще на этапе его разработки. По завершении вводной части все желающие смогут попробовать свои силы в тестировании приложений.

Сотрудники немецкой компании ERNW Феликс Вильхельм (Felix Wilhelm) и Флориан Грунов (Florian Grunow) расскажут о файловой системе IBM General Parallel File System, которая используется в некоторых известных суперкомпьютерах (например, IBM Watson), ее архитектуре и уязвимостях. Популярность системы делает ее целью киберпреступников, которые интересуются не только хранимыми данными, но и возможностью получения доступа к вычислительным ресурсам мощнейших компьютеров. Докладчики продемонстрируют эксплуатацию двух реальных ошибок безопасности IBM GPFS.

Основатель проекта BeeWise и главный консультант компании secYOUre Альфонсо Де Грегорио (Alfonso De Gregorio) расскажет о нравах, царящих на рынке эксплойтов уязвимостей нулевого дня: будут описаны сложившиеся на популярных площадках отношения между продавцами и покупателями таких инструментов.

Алексей Черепанов, который принимал участие в разработке известной утилиты для взлома паролей John the Ripper и поддерживает GUI-интерфейс для нее, на PHDays V расскажет об увеличении скорости взлома хешей с помощью методов генерации кода.

Помимо стандартных докладов, в программе PHDays V запланирован обширный FastTrack, состоящий из насыщенных и динамичных пятнадцатиминутных выступлений.

Посетители форума узнают о том, как атаки на GSM-сети с подменой базовой станции позволяют прослушать любой GSM-телефон — об этом расскажет сотрудник инжинирингового центра НИЯУ МИФИ Сергей Харьков. Кроме того, криптограф и специалист по безопасности компании Kudelski Security Сильвен Пелисье (Sylvain Pelissier) на примере файловой системы для GNU/Linux eCryptfs покажет, что в некоторых случаях шифрование файлов помогает при взломе паролей. Из рассказа Дениса Горчакова слушатели узнают о том, как противодействовать платежному фроду в сети оператора связи. Речь пойдет о программно-аппаратном комплексе для анализа вирусов под ОС Android, выявлении центров управления (online & SMS) бот-сетями из зараженных устройств, коллекторов данных и счетов-аккумуляторов средств.

С 16 февраля стартовала вторая волна Call For Papers. Прием работ продлится до 31 марта, так что у знатоков IT еще есть шанс стать докладчиком грядущего PHDays. Существуют и другие способы попасть на форум, с подробным описанием которых можно ознакомиться на официальном сайте мероприятия phdays.ru. По приведенной ссылке можно найти исчерпывающую информацию о юбилейном Positive Hack Days V и связаться с организаторами форума для оперативного решения любых возникающих вопросов.

Новые доклады PHDays V: M&A в «Яндексе», химическая атака и проблемы «песочницы»

Пятый международный форум по практической безопасности Positive Hack Days состоится в конце мая. Организаторы форума продолжают знакомить пользователей с докладами, которые вошли в техническую, практическую и бизнес-программу грядущего PHDays. Гостям форума расскажут, как превратить обычную корпоративную IТ-систему в неприступную цифровую крепость и как злоумышленники используют уязвимости физических процессов.

ИБ-аналитик поискового гиганта «Яндекс» Наталья Куканова расскажет о том, как и зачем включили аудит безопасности в процесс приобретения новых компаний (M&A). Слушатели узнают на примере реальных сделок «Яндекса», что именно необходимо проверять в случае M&A-сделок, как организовать аудит и как интерпретировать результаты.

Маркку-Юхани Сааринен расскажет об инициативе NIST под названием CAESAR: это международное соревнование криптографов, целью которого является создание нового AE-стандарта безопасности на замену AES-GCM, в котором были обнаружены различные проблемы безопасности.

Маркку-Юхани Сааринен уже более 15 лет проводит исследования в области информационной безопасности и криптографии, участвует в разработке криптографического ПО.

Александр Ставонин проанализирует принципы работы стандартных средств самозащиты OSX («песочницы», реализованной с применением TrustedBSD) и продемонстрирует на примерах исходного кода потенциальные проблемы и возможности злонамеренного использования TrustedBSD киберпреступниками.

Болгарский эксперт по информационной безопасности и расследованию инцидентов ИБ Александр Свердлов уже выступал на PHDays в 2013 и 2014 годах.  В этот раз он расскажет о том, как создать неприступную цифровую крепость: как повысить безопасность маршрутизаторов с помощью установки альтернативных операционных систем (Qubes OS, BSD Router project, SRG/STIG), предотвращать запуск эксплойтов и анализировать защищенность приложений.

Докторант Технического университета Гамбурга Марина Кротофил познакомит слушателей с этапами планирования и осуществления кибератак, нацеленных на создание разрушительного воздействия на определенный физический процесс. Последствия таких атак могут быть очень опасными: нетрудно представить себе взрыв на химическом заводе, спровоцированный «сошедшим с ума» по воле хакера датчиком контроля температуры в цистерне с опасным веществом.

В этом году в программу форума вошел конкурс киберпанковских рассказов «Взломанное будущее». Как сообщается, в жюри конкурса, помимо известных российских писателей и издателей, вошёл один из отцов киберпанка, визионер и культовый IT-публицист Брюс Стерлинг. «Мне очень интересно будет познакомиться с русским киберпанком», — отметил Брюс в беседе с организаторами PHDays.

В конце прошлого месяца завершился первый этап Call for Papers для желающих представить свои исследования на форуме PHDays V. Но отбор участников ещё не закончился. О следующем этапе Call for Papers будет объявлено в ближайшие дни.

Объявлены первые участники V международного форума по практической безопасности Positive Hack Days

Организаторы пятого международного форума по практической безопасности Positive Hack Days, который пройдёт 26 – 27 мая 2015 г., представили первую группу участников, попавших в основную техническую программу мероприятия. 

В неё вошёл Джон Мэтерли (John Matherley), создатель «самого страшного поисковика». Также группа включает главного кибердетектива компании Bambenek Consulting Джона Бамбенека (John Bambenek), который расскажет об обратной разработке алгоритмов DGA для обнаружения ботнетов и получения информации об их конфигурации в режиме реального времени.

Ещё один участник PHDays V — основатель компании Social-Engineer и администратор сайта social-engineer.org Крис Хаднаги (Chris Hadnagy) — поделится своим опытом подготовки соревнований для «социальных инженеров» DEF CON SECTF. Эти соревнования позволяют познакомить ИБ-специалистов с проблемами социальной инженерии и показать, насколько опасно мошенничество с использованием психологических методов.

Науэль Грисолия (Nahuel Grisolía), аргентинский ИБ-эксперт и предприниматель, специализирующийся на безопасности веб-приложений и взломе аппаратного обеспечения, проведёт мастер-класса по RFID.  Основное внимание на нём будет уделено высокочастотной идентификации, но будут рассмотрены и низкие радиочастоты, а также затронуты темы безопасности мобильных платежных сервисов и технологий Paypass, Paywave и NFC USIM.

Грисолия обнаружил уязвимости в McAfee Ironmail, VMware и Manage Engine Service Desk Plus, а также в ряде проектов, посвященных разработке свободного ПО: Achievo, Cacti, OSSIM, Dolibarr и osTicket. Он проводил мастер-классы на ряде международных конференций, включая Positive Hack Days III.

Как уже сообщалось ранее, первый этап Call for Papers для желающих представить свои исследования на форуме PHDays V продлится до 30 января. До этой даты можно приобрести билет со скидкой на участие в двух днях форума за 7337 руб. Вскоре стоимость участия возрастёт сначала до 9600 руб., а затем до 14 400 руб.

Открыт приём заявок на участие в V международном форуме по практической безопасности Positive Hack Days

Хотя до старта работы пятого международного форума по практической безопасности Positive Hack Days ещё немало времени — он пройдёт 26 – 27 мая — подготовка к нему уже идёт полным ходом.

В 2014 году PHDays Everywhere собрал 2500 специалистов из 18 стран мира на площадке и 15 000 онлайн-участников. Следующий форум, как ожидается, соберёт порядка 3000 участников, включая ведущих международных экспертов в области информационной безопасности, первых лиц, CIO и CISO крупнейших российских и зарубежных компаний, ведущих специалистов крупнейших банков, нефте- и газодобывающих, телекоммуникационных, промышленных и IT-компаний, студентов профильных вузов и молодых ученых. Десятки университетских площадок по всему миру и тысячи интернет-пользователей подключатся к мероприятию в рамках инициативы PHDays Everywhere.  Организатором форума является компания Positive Technologies. 

Всего в рамках форума запланировано около 100 докладов и мастер-классов, круглых столов и профильных секций, участники которых будут обсуждать проблемы, с которыми пришлось столкнуться государству, бизнесу и частным лицам вследствие бурного развития науки и технологий:

  • новые цели хакерских атак — от радионяни и кардиостимулятора до атомной станции;
  • роль современной молодежи в борьбе с киберпреступностью;
  • безопасность государственных инфосистем, электронных правительств;
  • безопасность современного города, промышленных систем, критически важных объектов;
  • информационные войны, сценарии нападения и защиты в киберпространстве;
  • новые тенденции в области безопасности ICS, мобильных устройств и Интернета.

Подготовка к PHDays V идёт полным ходом: эксперты из числа организаторов рисуют десятки чертежей, проводят ночные тестирования за закрытыми дверями, закупают необычную аппаратуру.

Зарегистрироваться и купить билет на форум можно на странице «Принять участие». С 12 января по 27 февраля 2015 года действует скидка Early Birds: стоимость билета на два дня форума составит 9600 руб., а на один день — 7337 руб.

3 декабря стартовал первый этап для желающих поделиться результатами своих исследований на конференции. Для участия в Call for Papers необходимо подать заявку по этому адресу.

В рамках форума пройдёт уже четвертый по счету конкурс среди работ молодых ученых — Young School 2015. Теперь на конкурс можно подать не только классические тезисы, но и результаты практических экспериментов. Впервые на PHDays стартовал и конкурс фантастических рассказов «Взломанное будущее».

Любой желающий может побороться за инвайт, приняв участие в других конкурсах (следите за новостями на официальном сайте), или провести собственный форум по безопасности у себя в городе в рамках PHDays Everywhere. 

В Москве пройдет 21 и 22 мая международный форум по практической безопасности Positive Hack Days IV

Компания Positive Technologies объявила о проведении 21 и 22 мая в Москве в техноцентре Digital October Четвертого международного форума по практической безопасности Positive Hack Days (PHDays IV).

Партнерами мероприятия выступают крупнейшие технологические компании, включая Cisco, EMC, Intel Security, «ICL-КПО ВС», Mail.Ru и «Лаборатория Касперского».

Как ожидается, в форуме примет участие более 2000 человек из 700 организаций 18 стран мира, а всего за два дня здесь состоится почти 100 событий, включая закрытые и открытые круглые столы, мастер-классы и лабораторные практикумы именитых экспертов, конкурсы по защите информации. Перед участниками форума выступят отечественные и зарубежные специалисты по информационной безопасности. 

Здесь можно будет узнать о том, как взламывают Gmail и шпионят через телевизор, подслушивают телефонные разговоры и роняют Wordpress, а также «препарируют» другие уязвимости, которые наносят урон бизнесу и личной безопасности.

На форуме будут обсуждаться новые проблемы, с которыми сталкиваются бизнес, государство и частные лица вследствие бурного развития науки и технологий:

  • новые цели хакерских атак — от радионяни и кардиостимулятора до атомной станции;
  • приватность и защита коммерческой тайны во времена PRISM, Сноудена и Ассанжа;
  • безопасность современного города, промышленных систем, критически важных объектов;
  • безопасность государственных информационных систем, электронных правительств;
  • новые тенденции в области безопасности ICS, мобильных устройств и интернета;
  • информационные войны, сценарии нападения и защиты в киберпространстве. 

В первый день работы PHDays IV состоится дискуссия «Безопасность критической инфраструктуры», участникам которой предлагается обсудить такие вопросы, как зависимость безопасности человечества от устойчивости критической инфраструктуры, и в какой мере обеспечивается защита КВО — критически важных объектов.

Спикерами сессии станут Жан-Люк Молине (Orange Group), Гаральд Бандурин («РусГидро»), Ахмад Хассан (du Telecom), Чэхёун Ли (KISA), Борис Симис (Positive Technologies, Борис Макаров («РЖД»). Также к участию в дискуссии приглашены представители ОАО «Россети», «ICL-КПО ВС», ЦИБ ФСБ, «Хоум Кредит Банка», международной организации ИМПАКТ.

В ходе форума пройдет целый ряд круглых столов, на которых будут обсуждаться различные вопросы, включая «Перспективы инвестиций в области информационной безопасности в России» и «Государство и информационная безопасность».

В деловой программе PHDays IV организованы следующие отраслевые и специализированные секции:

  • «Телекомы: от SS7 до биллинга»;
  • «Управление безопасностью — управление рисками»;
  • «AppSec: от почты до порталов госуслуг»;
  • «Рынок ИБ: новинки, вопросы, ответы».

С подробными анонсами докладов и секций можно ознакомиться в новостях форума. 

PHDays 2012: хакеры взломали Apple iOS, Windows XP и FreeBSD

Компания Positive Technologies сообщила о завершении международного форума Positive Hack Days 2012 и взломе участниками мероприятия операционных систем Apple iOS, Windows XP и FreeBSD.

Согласно представленным организаторами хакерских конкурсов сведениям, обход защиты мобильной платформы iOS был осуществлен посредством бреши в приложении Office² Plus, распространяемом через официальный магазин App Store. Windows XP удалось взломать при помощи уязвимости нулевого дня в ядре системы, аналогичным образом специалистами был вскрыт механизм защиты FreeBSD.

В рамках PHDays 2012 также прошли десятки состязаний по взлому и анализу защищенности различных сетевых протоколов и продуктов. Участники преодолевали шифрование WPA-PSK для Wi-Fi, клонировали RFID-метки с большого расстояния, искали способы обойти межсетевые экраны, взламывали оборудование Cisco и подбирали алгоритмы шифрования паролей.

Positive Hack Days - мероприятие, посвященное практическим вопросам информационной безопасности. В программу форума входят доклады ведущих специалистов российского IT-рынка, мастер-классы, деловые семинары, различные конкурсы по защите и взлому информационных ресурсов.

В прошлом году Positive Hack Days посетило свыше 500 человек, среди которых были специалисты из России, Европы, США и Азии, представители ведущих российских и зарубежных IT-компаний, независимые эксперты. Форум получил широкий отклик в профессиональной среде и был признан "самым интересным событием года" в сфере информационной безопасности.

Материалы по теме:

Источник:

В Москве соберутся хакеры со всего мира

Компания Positive Technologies сообщила о завершении отборочных этапов конкурсов по взлому и защите информации CTF Quals и CTF Afterparty, проходивших в рамках форума Positive Hack Days. В результате сильнейшие мировые хакерские команды встретятся в Москве 30 и 31 мая 2012 года.

В общей сложности, в борьбе за выход в финал приняли участие свыше 200 человек из 27 стран мира. Самую большую активность проявили российские, американские и французские хакеры. Также среди участников присутствовали специалисты из Японии, Нидерландов, Южной Кореи, Туниса, Германии, Швейцарии, Кении, Канады, Перу, Великобритании, Швеции, Ливана, Австралии и Испании.

 

 

Positive Hack Days - мероприятие, посвященное практическим вопросам информационной безопасности. В программу форума входят доклады ведущих специалистов российского IT-рынка, мастер-классы, деловые семинары, различные конкурсы по защите и взлому информационных ресурсов.

В 2011 году Positive Hack Days посетило свыше 500 человек, среди которых были специалисты из России, Европы, США и Азии, представители ведущих российских и зарубежных IT-компаний, независимые эксперты. Форум получил широкий отклик в профессиональной среде и был признан "самым интересным событием года" в сфере информационной безопасности.

Материалы по теме:

Источник:

window-new
Soft
Hard
Тренды 🔥