PHDays 2012: хакеры взломают Москву

Результаты первого дня PHDays

​

Международный форум по информационной безопасности Positive Hack Days, организованный компанией Positive Technologies, в первый же день собрал около 1000 участников. На площадке техноцентра Digital October 30 мая сошлись хакеры, представители государства и бизнеса, эксперты ИБ, студены, учёные — чтобы общаться и слушать доклады, чтобы учить и учиться.

Как отметил в своём выступлении автор сценария и режиссер форума Сергей Гордейчик, российская отрасль ИБ сегодня разобщена. Несмотря на ультрасовременные государственные проекты в сфере информатизации, существует ряд проблем: дефицит кадров, утечка мозгов, высокий уровень коррупции, а главное — отсутствие единой стратегии развития. Именно поэтому был организован форум PHDays, основная цель которого — свести вместе «пиджаки» и «футболки» и сделать, чтобы они вместе смогли сделать работу с информацией безопасной.

Объять необъятное
В первый день PHDays посетители слушали доклады на шести потоках конференции, соревновались в конкурсах по взлому различных информационных систем, активно участвовали в мастер-классах. Взлом таксофона, препарирование банкомата, поиск кодов в мусорном баке, охота за перемещающейся точкой доступа Wi-Fi — вот лишь некоторые из событий форума.

Плохие парни нарушают закон и хорошие парни нарушают закон
Отдельного внимания заслуживает выступление ключевого спикера PHDays — Брюса Шнайера, мировой легенды криптографии. Г-н Шнайер рассказал о том, почему общество нуждается в индивидах, которые нарушают закон, и почему для общества важно время от времени действовать не по правилам. Знаменитый криптограф оправдал хакеров, которые служат прогрессу, катализируя социальные изменения.

Революционеры из Anonymous
Хейзем Эль Мир, ИБ-специалист из Туниса, рассказал о противостоянии тунисского Агентства компьютерной безопасности и хакерской группировки Anonymous. Она состоит главным образом из обычных пользователей, которые применяют простые в обращении утилиты, разработанные хакерами. Это свидетельствует о том, что взлом информационных систем сегодня стал доступен каждому, а не только профессионалам.

Тем не менее, современные киберугрозы — это не только спам или мошенничество, но и более серьёзные опасности, способные поставить под удар жизни многих людей. Об этом на пресс-конференции говорил г-н Мохд Нур Амин, председатель Международного многостороннего партнёрства против киберугроз (IMPACT). Основная задача IMPACT — направить усилия всех стран на совместное противодействие распространению кибероружия. Не последнюю роль в борьбе играют «белые» хакеры.

CTF
Хакерские команды из 12 стран мира весь день и целую ночь выполняли различные задания по взлому и защите информации. По итогам первых суток в соревновании лидирует команда Leet More из Санкт-Петербурга, второе место занимают швейцарцы 0daysober, третье — у команды int3pids из Испании.

PHDays Everywhere
Максимально расширив географию форума, к мероприятию присоединились десятки хакспейсов — от Токио до Краснодара, от Индии до Туниса, — в которых собралась местная хакерская элита. Именно для посетителей хакспейсов предназначался конкурс «Взломать за 137 секунд», посвящённый сетевым устройствам на базе оборудования Cisco. Победила команда DCUA из Украины, второе место заняли XBios из Индии.

Второй день
31 мая, помимо большого количества мастер-классов и докладов, гостей форума ожидают выступление ключевого докладчика форума — г-на Нур Амина, демонстрация уязвимостей нулевого дня, а также финалы всех конкурсов и награждение победителей (призовой фонд Hack2own — около 700 тыс. руб., CTF — 300 тыс. руб.).

Дата: 31.05.2012
http://www.xakep.ru/post/58780/​

 

Ребята, есть ли запись из конфернции?
может кто то знает откуда можно стащить ?

 

можно стащить с официального сайта, где проходило мероприятие http://digitaloctober.ru/event/positive_hack_days видео из всех пяти залов

 

Да они там все наркоманы какие то

 

Зато представительница лаб каспера даже очень ничего)), и про ботнеты было интересео послушать..

 

Мне всегда нравились американсы, так как они обьясняют, и открыто без всяких рассказывают что да как - не спорю тут тоже не плохо но - все таки какие то они медленные - много думают и не верно выражаються, т.е нет такого ощущение заинтересованность как будно они выучили по книжки и рассказывают, особенно та с каспера..

 

Adio

 

Меня можно не корректировать, я и так на русс общаються только на этом форуме - (мало вообщем)

 

Отгремел Positive Hack Days 2012

В Москве 30 и 31 мая прошел Positive Hack Days 2012 — международный форум для специалистов по практической информационной безопасности, организованный компанией Positive Technologies. За два дня на форуме побывало полторы тысячи человек: профессионалы мира ИБ, хакеры со всей планеты, представители бизнеса, государства и интернет-сообщества. Раньше многие из этих людей даже не подозревали, что могут оказаться в одном помещении. На PHDays 2012 выступили легендарный криптограф Брюс Шнайер и глава IMPACT Датук Мохд Нур Амин, были представлены десятки докладов и мастер-классов, состоялись масштабные соревнования CTF и огромное количество конкурсов по взлому и анализу защищённости.

Capture the Flag и HackQuest

Киберпанковский сценарий и реальные уязвимости стали отличительными чертами центрального хакерского события форума — соревнования CTF (Capture the Flag). По сюжету команды должны были отправиться в будущее, чтобы спасти земную цивилизацию от катастрофы. В охоте за флагами приняли участие 12 коллективов из России, Германии, Индии, Нидерландов, США, Туниса, Франции, Швейцарии и Японии. Двое суток подряд хакеры искали уязвимости в системах противников, чтобы получить доступ к секретной информации, а также защищали свои сети, устраняя в них уязвимости. Победу в PHDays CTF 2012 одержала российская команда Leet More из Санкт-Петербурга, получившая приз — 150 000 руб. Второе место — у команды 0daysober из Швейцарии (100 000 руб.), третье — у испанцев Int3pids (50 000 руб.). Прошлогодние победители PHDays CTF — американские хакеры из PPP — заняли четвёртое место.

К обнаружению уязвимостей и поиску флагов могли присоединиться также интернет-участники в соревновании Online HackQuest. Первое и второе место заняли россияне BECHED ahack.ru и ufologists, а бронза досталась немецкому специалисту stratum0.

Перехват дрона

Беспилотная авиация встречается не только в романах Пелевина, но и широко используется вооруженными силами различных стран, эффективно уничтожая противников. Организаторы форума в игровой форме решили смоделировать ситуацию, в которой управление беспилотником будет захвачено врагом. Согласно легенде второго дня PHDays CTF, командам нужно было добыть транспорт — летательный аппарат. Специально для этого задания организаторы подготовили пару AR.Drone — устройств, которые управляются с телефона через небезопасные беспроводные соединения. Участники команд CTF должны были за полчаса перехватить управление аппаратом. Быстрее всех завладел пилотированием квадрокоптера российский эксперт по информационной безопасности Сергей Азовсков из Екатеринбурга.

«PHDays ещё в прошлом году задал очень высокую планку в смысле организации мероприятия по информационной безопасности. В этом году форум превзошел прошлогодний успех, показав, что мероприятие в нашей области может быть не скучным, а интересным, динамичным и позитивным. Видно, что PHDays был сделан с любовью и от души, а это залог успеха! Мы давно сотрудничаем с Positive Technologies и уже во второй раз поддерживаем PHDays. Я уверен, эта традиция будет продолжена», — отметил Алексей Лукацкий (Cisco Systems).

Взлом Apple iPhone и Windows XP

В современном информационном пространстве обнаружить совершенно новую уязвимость в популярном и отлаженном продукте равнозначно серьёзному изобретению. Поэтому конкурсы по взлому различных операционных систем и приложений занимали особенное место в программе форума. Как и в CTF, наибольший урожай призов собрали российские специалисты: Никита Тараканов продемонстрировал опасную уязвимость нулевого дня в операционной системе Windows XP, получив за победу денежный приз в размере 50 000 руб. Павел Шувалов, известный свой утилитой Vulndisco Mobile 1.7, предназначенной для джейлбрейка устройств на базе iOS, — взломал iPhone 4S, используя уязвимость в популярном приложении Office2 Plus. Павел стал обладателем взломанного iPhone 4S и денежного приза в размере 75 000 руб. Кроме того, представитель команды Leet More (победителей CTF 2012) прямо во время напряженной схватки PHDays CTF 2012 обнаружил уязвимость нулевого дня в операционной системе FreeBSD 8.3. Эта уязвимость позволяет любому локальному пользователю обойти ограничения безопасности (FreeBSD Jail).

Александр Гостев («Лаборатория Касперского») поделился впечатлениями от мероприятия: «Я был приятно удивлен. В России не хватает подобных мероприятий. Отмечу уникальную дружескую атмосферу, которую удалось создать организаторам. Форум оправдывает своё название: по контенту, по составу участников, по качеству докладов он гораздо сильнее, чем в прошлом году. PHDays вышел на новый уровень, сумев сохранить важные особенности — неповторимый эмоциональный уровень и возможность неформального общения с множеством интересных людей».

Делиться опытом — это интересно

Практическую направленность PHDays 2012 по достоинству оценили гости и участники форума. Около пятидесяти докладов, мастер-классы и круглые столы прошли под девизом «минимум маркетинга — максимум опыта». После банковской секции, на которой присутствовали эксперты по информационной безопасности и представители финансовых организаций, состоялся конкурс «Большой Ku$h». Хакеры, используя типичные уязвимости систем дистанционного банковского обслуживания, переводили на свои виртуальные счета различные денежные суммы, а затем снимали их через банкомат, который располагался неподалёку от места проведения конкурса. Победителем стал Алексей Осипов, студент пятого курса Московского энергетического института: ему удалось «увести» из банка 3500 руб. К слову сказать, во время банковской секции Артем Сычев из «Россельхозбанка» сообщил весьма тревожную информацию: каждый день в России фиксируется 15-20 попыток хищения денег с банковских счетов.

Настоящий аншлаг вызвало выступление Брюса Шнайера — легендарного исследователя в области криптографии. Брюс в свойственной ему ироничной манере поддержал людей, которых любопытство заставляет время от времени нарушать закон: нарушая правила, они служат развитию общества.

Увлекательным опытом обнаружения и устранения уязвимостей в сетях телекоммуникационных операторов поделился технический директор компании-организатора форума Сергей Гордейчик. Конвергенция различных типов сетей и оборудования приводит к тому, что они могут быть взломаны при помощи нескольких десятков методов: например, через канал, используемый сотрудниками для онлайн-игр, уязвимый интерфейс веб-камеры слежения, точку доступа Wi-Fi подрядчика, недружественный ресурс на хостинге.

Андрей Костин показал, как и зачем хакеры ломают принтеры, Маркус Нимиц рассказал о недостатках системы безопасности Android OS, а Владимир Воронцов объяснил назначение XXE-атак, попутно обнародовав уязвимость нулевого дня.

Александр Гостев из «Лаборатории Касперского» рассказал новые подробности о недавно обнаруженном шпионском кибероружии нового поколения — Flame. Тему организованного хакерства продолжил Хейзем Эль Мир, ИБ-специалист из Туниса: в своем докладе о противостоянии тунисского Агентства компьютерной безопасности и хакерской группировки Anonymous он развеял миф о профессионализме «Анонимусов» (многие считают, что группа состоит из лучших в мире хакеров). Интересная деталь: когда Джерри Гэмблин представлял свой анализ деятельности группы LulzSec, взломавшей сайт ЦРУ, в зал вошли несколько человек в масках Гая Фокса. Докладчик ничуть не смутился, с удовольствием примерив после выступления одну из масок.

Эксперты исследовательского центра Positive Research рассказали об уязвимостях в распространенном корпоративном ПО: системе управления сетевым оборудованием Cisco Secure ACS, популярном веб-сервере nginx, системе виртуализации Citrix Xen и ещё более чем о десятке уязвимостей в различных веб-приложениях.

В рамках спецсекции по безопасности АСУ ТП (SCADA) были анонсированы инициативы Positive Technologies в области защиты систем управления производством: совместные с Siemens работы по поиску и устранению уязвимостей в SCADA Simatic WinCC и разработку стандартов безопасной конфигурации распространенных систем АСУ ТП.

На форуме также был анонсирован образовательный проект Positive Education, в рамках которого специалисты Positive Technologies будут содействовать преподавателям российских технических вузов в подготовке практических учебных программ по информационной безопасности. Состоялось представление докладов молодых учёных, привлечённых со всей России в рамках конкурса Young School.

Второй Positive Hack Days впервые прошел при поддержке десятков хакспейсов, поддержавших форум в рамках инициативы PHDays Everywhere. География онлайн-плацдармов, на которых собралась местная хакерская элита — от Токио до Краснодара, от Индии до Туниса. Для посетителей хакспейсов, помимо интерактивной онлайн-трансляции с прямыми включениями, предназначался конкурс «Взломать за 137 секунд», требующий навыки взлома сетевых устройств на базе оборудования Cisco. Победила команда DCUA из Украины, второе место заняли XBios из Индии.

«На мой взгляд, мероприятие дает замечательную возможность для встречи с друзьями и партнерами, для знакомства с новыми интересными людьми, для самого разнообразного общения, ну и конечно для получения заряда позитива на весь год. И я уверен, что этот год точно пройдет — пролетит! — в ожидании PHDays версии 3.0. PHDays и Positive Technologies ждет великое будущее. Очень приятно быть причастным к началу большого пути этой компании», — говорит Айдар Гузаиров («ICL-КПО ВС»).

Планета нуждается в позитивных хакерах

Ключевые докладчики форума — Брюс Шнайер и Датук Мохд Нур Амин (председатель IMPACT) — не сговариваясь, отметили важную роль позитивных хакеров в развитии прогресса и обеспечении безопасности простых граждан. Поэтому не случайно, что Positive Hack Days 2012 завершился веселым и зажигательным конкурсом «Наливайка». Каждые пять минут участнику, на действия которого чаще всего реагировал фильтр безопасности, предлагалось выпить 50 мл текилы и продолжить попытки взломать приложение. Лучшим стал Владимир Воронцов из компании ONSec: на пути к победе ему пришлось опустошить 7 рюмок крепкого напитка!

«Судя по отзывам, Positive Hack Days стал тем, чем мы старались его сделать, — местом, где обмениваются знаниями совершенно разные люди: от писателя-фантаста до министерского чиновника. Местом, где люди с диаметрально противоположными взглядами могут услышать друг друга, а также получить самую свежую информацию о безопасности информационных систем. Местом, где создаётся будущее», — заявил Сергей Гордейчик (Positive Technologies).

Дата: 07.06.2012
http://www.xakep.ru/post/58810/​