Hack & IT conf PHDays 7

[ddd]

Седьмой PHDays пройдёт 23 - 24 мая 2017 года.

В прошлом году на площадке PHDays развернулась жаркая битва между хакерами и безопасниками PHDays VI СityF: Противостояние. В распоряжении команд был целый полигон с моделью города: хакеры атаковали город всеми доступными способами, а противостояли им команды защитников и экспертные центры безопасности (SOC). Новый формат хакерских соревнований никого не оставил равнодушным, поэтому мы решили продолжить движение в намеченном направлении. В этот раз главный конкурс PHDays VII получил название «Противостояние», а все происходящее на площадке PHDays объединено темой «Противостояние: враг внутри». Организаторы обещают, что появится больше векторов атак, объектов для захвата или защиты, и никаких флагов.

К барьеру мы приглашаем «хакеров», «защитников» и security operations centers (SOC), но к основным участникам может примкнуть кое-кто еще. События развернутся в уже знакомом городе, который на этот раз значительно увеличится в размерах. Хакерам и защитникам будет где развернуться: кроме телеком-оператора, ТЭЦ и офисного центра появится множество IoT-устройств. Помимо команд в игру будут вовлечены и посетители PHDays.

Во время игры команды смогут делать абсолютно все, что не запрещено правилами. Кстати, о правилах, изменения коснулись и их. Так, защитники будут ограничены бюджетом: у команд будет одинаковое количество публей (местная валюта), на которые они смогут купить требуемые им средства защиты информации у местного дистрибьютора или получить услуги центров мониторинга. Организаторы опубликовали подробные правила Противостояния.

Если вы хотите стать участником Противостояния — пишите по адресу phd@ptsecurity.com. Заявки принимаются до 3 апреля 2017 года. Напоминаем, что принять участие в Противостоянии могут гости PHDays, интернет-пользователи в рамках PHDays Everywhere и те, кто решил попробовать себя в определенных заданиях (например, во взломе офиса).


P.S. я пока не знаю, буду ли в этом году на данном мероприятии, т.к. они как всегда ставят мероприятие в будние дни, причём в середине недели, в следствии чего вылетает 3-и рабочих дня.

 

[ddd]

Подготовка к PHDays VII идет полным ходом. В начале года мы получили 50 заявок на доклады и воркшопы из России, Европы, Азии, Африки, Северной и Южной Америки, а 1 февраля стартовал второй этап Call for Papers. Как и обещали, анонсируем первую группу участников, вошедших в основную техническую программу. В этом году слушатели PHDays узнают, как взломать IPv6-сети, как крадут деньги с помощью POS-терминалов и каким будет WAF следующего поколения.

Небезопасность платежных систем: уязвимости POS-терминалов

Сегодня практически все магазины и сервисы оборудованы специальными POS-терминалами (point of sale) для обработки транзакций при финансовых расчетах по пластиковым картам с магнитной полосой и смарт-картам. Терминалы широко используются в разных странах, и конечно, где деньги — там и злоумышленники. Так, осенью 2013 года были задержаны два хакера, которые взломали сотни POS-терминалов и украли платежные реквизиты более чем 100 тыс. американцев. Хакеры сканировали интернет в поиске уязвимых устройств, поддерживающих протокол RDP, получали к ним доступ и устанавливали на терминалы кейлоггер.

На PHDays VII Габриэль Бергель, директор по стратегическому планированию швейцарской компании Dreamlab Technologies и главный специалист по вопросам безопасности компании 11Paths, расскажет об уязвимостях в протоколах POS-терминалов и возможных способах обмана: от использования считывателей карт, перехвата и изменения данных, установки стороннего ПО до аппаратного взлома терминала.

Альтернативные методы обнаружения уязвимостей

В ноябре прошлого года руководитель департамента исследований PortSwigger Web Security Джеймс Кеттл выпустил сканер с открытым исходным кодом, в котором применен альтернативный подход к поиску уязвимостей. Существующие на данный момент сканеры защищенности осуществляют поиск серверных уязвимостей по сигнатурам, используя определенный набор специфичных для каждой системы правил, что напоминает принцип работы антивирусных программ. Джеймс поделится своим опытом разработки сканера, способного находить и подтверждать наличие как широко известных, так и редких классов уязвимостей.

Безопасность промышленных систем: и снова дыры

На PHDays выступит Брайан Горенк, руководитель департамента исследования уязвимостей компании Trend Micro и по совместительству руководитель Zero Day Initiative (ZDI), самой масштабной независимой программы поиска ошибок в программном обеспечении. Брайан представит результаты подробного анализа, проведенного на основе исследования более 200 уязвимостей SCADA/HMI. Слушатели узнают о популярных типах уязвимостей в решениях Schneider Electric, Siemens, General Electric и Advantech и политиках производителей по выпуску исправлений, а также получат рекомендации, как обнаружить критически опасные уязвимости в базовом коде.

Мечтают ли WAF-ы о статических анализаторах?

Для большинства современных WAF защищаемое приложение — черный ящик: HTTP-запросы на входе, HTTP-ответы на выходе — вот и все, что доступно фаерволу для принятия решений и построения статистической модели. Даже если у WAF будет возможность перехватывать все обращения приложения во внешний мир (к файловой системе, сокетам, БД и т. п.), это лишь улучшит качество эвристических методов, но не поможет в переходе к формальным методам доказательства атаки. А что, если научить WAF работать с моделью приложения, получаемой в результате статического анализа его кода и дополняемой прямо во время обработки каждого HTTP-запроса?

Владимир Кочетков, ведущий эксперт Positive Technologies и один из организаторов сообщества разработчиков, интересующихся вопросами безопасности приложений, — Positive Development User Group, — опишет аспекты реализации новой концепции веб-фаервола, рассматривающего защищаемое приложение в качестве белого ящика и опирающегося на формальные методы детектирования атак вместо эвристических.

Будущее за машинным обучением

Доклад инженера по безопасности компании Intel Анто Джозефа посвящен вопросам машинного обучения: вы узнаете о классификации, основанной на булевых принципах, а также о классификаторах, используемых во многих распространенных системах машинного обучения. Анто Джозеф покажет пример развертывания систем обеспечения безопасности трубопровода, базирующихся на принципах машинного обучения и разработанных с использованием фреймворка Apache Spark.

IPv6 на мушке

Весь мир переходит на новую версию интернет-протокола IP — IPv6. Она должна решить проблемы интернет-адресов, с которыми столкнулась IPv4, за счет использования длины адреса в 128 бит. Это значит, что каждое устройство, имеющее доступ в интернет, получит уникальный IP-адрес. Однако с переходом на IPv6 изменились и правила игры «cетевая разведка»: использовать метод перебора адресов, как в случае с IPv4, становится сложнее из-за увеличения адресного пространства.

Эксперт и консультант по вопросам безопасности в компании SI6 Networks Фернандо Гонт сделал анализ безопасности протокола IPv6. В рамках PHDays VII он проведет мастер-класс по отработке методов исследования и взлома сетей IPv6, а также поведает о новейших технологиях в области исследования сетей IPv6, описанных в нормативном документе RFC 7707.

***

Итак, это только часть принятых докладов первой волны. В ближайшее время мы расскажем еще о нескольких интересных темах и докладчиках — следите за новостями. Если вы хотите стать докладчиком PHDays VII, у вас еще есть время подать заявку до 15 марта 2017 г. Напоминаем, что оглашение результатов состоится 30 марта 2017 г. Полный список выступлений будет опубликован в апреле на официальном сайте PHDays VII. Подробнее о темах и правилах участия — на странице Call for Papers.

Конференция состоится 23 и 24 мая 2017 года в Москве, в Центре международной торговли. Зарегистрироваться и купить билеты можно здесь. Цена билета на два дня форума — 9600 рублей, 7337 рублей — на один день.

Конкурсы на PHDays VII: хакеры устроят апокалипсис в городе

Визитная карточка PHDays — это конкурсная программа. И конечно, все происходящее на площадке форума не взлома ради, а пользы для. В этом году хакеры смогут вдоволь развлечься: например, заглянуть под капот «умного» автомобиля и поломать систему автоматизации целого города.

Большинство соревнований PHDays VII пройдет в рамках Противостояния, одним из таких будет и конкурс по анализу защищенности автоматических систем управления Critical Infrastructure Attack: City. В прошлом году только ленивый не написал о десятикласснике, которому на конкурсе Critical Infrastructure Attack: Blackout удалось спровоцировать короткое замыкание на магистральной подстанции высокого напряжения (500 кВ). В распоряжении хакеров приближенная к реальности модель системы автоматики города, которая состоит:

— из жилой части с автоматизированными зданиями (BMS), умными домами, транспортной системой и IoT-решениями;

— железной дороги;

— ТЭЦ и подстанции (генерация, распределение и управление электроснабжением);

— нефтеперерабатывающего завода, хранилища и системы транспортировки нефтепродуктов;

— системы видеонаблюдения.

Если кому-то покажется это сложным, то мы совместно с компанией ASP Labs подготовили своеобразный конкурс для разминки — Free SCADA. Стенд будет состоять из SCADA и ПЛК, на основе одноплатных компьютеров Raspberry PI. Участники смогут не только разогреться перед Critical Infrastructure Attack: City, но и получить подсказки об инфраструктуре и настройках систем города. Принять участие в конкурсах можно только в составе команд Противостояния. Все необходимое программное и аппаратное обеспечение участники приносят с собой.

Также в течение двух дней в распоряжении участников конференции будут стенды с реальными «электронными внутренностями» автомобиля. Современные автомобили уже давно не просто средство передвижения, а настоящие компьютеры, и конечно, уже стали лакомым кусочком для хакеров. В рамках мастер-класса Automotive Village начинающие и опытные взломщики смогут посмотреть, как устроена электронная начинка авто, самостоятельно «покопаться» в автомобильной сети, написать свои собственные эксплойты. Любители теории смогут обсудить вопросы безопасности self-driving car и connected car, а также поговорить о трудностях reverse engineering ECU и безопасности QNX.

Проверить свои знания в области безопасности автомобилей можно будет на конкурсе Automotive Village: CarPWN. Задания будут включать поиск нужных проводов, поиск ECU, подключение к бортовой сети без разрыва, организацию MitM-атаки с использованием фреймворка CANToolz, проверку на прочность безопасности QNX. Принять участие в конкурсе может любой посетитель форума. Рекомендуем захватить специальное оборудование для работы с CAN.

Внимание! Для участия во всех соревнованиях необходимо принести с собой ноутбук. Подробное описание конкурсов и мастер-классов будет опубликовано в ближайшее время на сайте форума. Следите за новостями.

 

[ddd]

Впервые на PHDays выступит бывший сотрудник АНБ, а ныне директор по исследованиям компании Synack Патрик Уордл (Patrick Wardle). Он изучает вредоносные программы для macOS и разрабатывает бесплатные инструменты для защиты этой платформы, в частности программу OverSight для защиты веб-камеры Mac от шпионажа. Долгое время Уордл утверждал, что вредоносное ПО для OS X сравнимо с вирусами для Windows 10–15-летней давности. Изменилось ли что-то? Докладчик познакомит участников форума с особенностями вредоносного ПО для macOS, появившегося в 2016 году (свойства, векторы заражения и механизмы устойчивости), расскажет об универсальных методах обнаружения атак (generic detections), обеспечивающих безопасность macOS.

Аналитик по вопросам безопасности нидерландской компании Riscure Сергей Волокитин исследует уязвимости платформы Java Card, используемой в современных смарт-картах. Большинство карт разных производителей не обеспечивают целостность и конфиденциальность данных в защищенных контейнерах. На PHDays Сергей расскажет об атаках на контейнеры смарт-карт на базе Java, которые позволяют злоумышленнику украсть криптографические ключи и PIN-коды других установленных на карте апплетов.

Все больше компаний прибегают к security centers для сканирования и управления уязвимостями. Как правило, для охвата большего количества систем и сохранения наименьших привилегий security center помещают в демилитаризованной зону (DMZ). Доклад сотрудника группы нефункционального тестирования в сфере финансовых услуг в компании EVRY Александра Казимирова посвящен пассивному и активному сбору информации на сервере администрирования с установленным security center. Александр продемонстрирует способ перехода из DMZ в рабочую среду при помощи сканера Nessus, позволяющий белым хакерами проникать во внутреннюю сеть, где хранится конфиденциальная информация.

На PHDays VII выступит с докладом создатель NoSQL Exploitation Framework Фрэнсис Александер (Francis Alexander) . Необходимость в распределенных приложениях все растет, и поэтому появляются инструменты координации и управления конфигурацией для приложений этого класса. Эксперт поделится результатами пентестов различных систем управления конфигурацией, а также представит инструменты распределенного управления конфигурациями, например Apache ZooKeeper, HashiCorp Consul и Serf, CoreOS Etcd. Слушатели узнают о способах создания отпечатков этих систем, а также о том, как использовать в своих целях типичные ошибки в конфигурации для увеличения площади атак.

В 2016 году мир узнал об Android-трояне HummingBad, который создала китайская группа хакеров Yingmob. HummingBad скачивается вместе с приложениями из непроверенных источников. Попав в мобильное устройство, троян позволяет злоумышленникам получать полный контроль над девайсом и использовать его для рекламного мошенничества, например для кликов на рекламу. Десятки миллионов мобильных устройств были инфицированы HummingBad. Спустя год появилась новая версия трояна, получившая название HummingWhale. Специалисты компании Check Point провели расследование одного из самых распространенных мобильных ботнетов. Как бороться с HummingBad — расскажет руководитель группы обратной разработки Check Point Андрей Полковниченко.

 

[SrDEN]

Онлайн-конкурсы PHDays: да будет CTF!

Отличная возможность настроиться на нужную волну перед PHDays и продемонстрировать практические навыки в области безопасности — участвовать в онлайн-конкурсах. В начале мая в рамках подготовки к форуму пройдут CTF, HackQuest от Wallarm и «Конкурентная разведка». На кону памятные призы и бесплатные приглашения на PHDays.

С 1 по 13 мая пройдет классический конкурс HackQuest. В этом году его подготовила компания Wallarm. Задача участникам — за короткое время решить как можно больше хакерских заданий, в основе которых реальные уязвимости, обнаруженные за последний год. Кстати, впервые потягаться в сообразительности придется… с нейронными сетями. Победители получат бесплатные билеты на PHDays и сувениры.

«Кто ищет — тот всегда найдет» — девиз конкурса «Конкурентная разведка». Каждый сможет проверить, насколько быстро и качественно он умеет искать информацию в интернете. Правда, в отличие от прошлых лет «пробивать» придется не людей, а IoT-устройства. Конкурс будет проходить три дня — 14, 15 и 16 мая.

Некоторые участники форума очень горевали от отсутствия старого доброго CTF. В этом году никто не останется в обиде: 12 и 13 мая под эгидой PHDays пройдет online CTF в формате attack/defense, организованный для форума командой Hackerdom. Основная тема конкурса — интернет вещей. Регистрируйтесь по форме.

Победители получат ценные призы и инвайты на форум. Пакуйте вещи!

В ближайшее время будет опубликована конкурсная программа PHDays. Следите за новостями!

Конференция состоится 23 и 24 мая 2017 года в Москве, в Центре международной торговли. Зарегистрироваться и купить билеты можно здесь. Цена билета на два дня форума — 9600 рублей, 7337 рублей — на один день.

Партнеры форума Positive Hack Days ─ компании «ИнфоТеКс» и R-Vision, бизнеса-партнер форума – MONT, в числе технологических партнеров − Cisco, ICL, CompTek, ARinteg, Qrator и Wallarm, партнеры Противостояния – компании «Информзащита», «Перспективный мониторинг», «Инфосистемы Джет», «Крок», PaloAlto и Beyond Security, генеральный информационный партнер Positive Hack Days – государственное информационное агентство ТАСС.

Кто-нибудь с форума хочет с 1 по 13 мая поучаствовать в HackQuest?

 

[SrDEN]

18 Апреля 2017

Пожалуй, самая ожидаемая часть форума — это конкурсы. В этом году мы подготовили обширную программу: участников ждут конкурсы, ставшие классикой PHDays, и кое-что совершенно новое. Основное правило остается неизменным — только реальные цели, только хардкор. Большинство соревнований PHDays VII пройдет в рамках Противостояния, центральным объектом будет умный город. Посетители форума смогут попробовать себя во взломе систем умного дома, камер видеонаблюдения, IoT-устройств, а также заглянуть под капот умного автомобиля и поломать систему автоматизации целого города.

Традиционный конкурс WAF Bypass снова на PHDays. Как и раньше, участникам нужно обойти PT Application Firewall — межсетевой экран прикладного уровня компании Positive Technologies. На этот раз задания будут направлены на обход нового компонента PT Application Firewall для защиты баз данных. Победа будет засчитываться при сдаче специальных флагов. Попытать свои силы смогут не только участники форума, но и интернет-пользователи.

Почувствовать себя шпионом можно будет на конкурсе MITM Mobile. На площадке PHDays будет работать наш собственный оператор мобильной связи. Участники попробуют перехватить SMS, USSD, прослушать телефонные разговоры, клонировать мобильные телефоны.

Деньги, деньги, рублики… Любители зеленых бумажек смогут побороться в «Большом куше» (конкурс проводится при поддержке компаний ARinteg и QIWI). Участникам будет где разгуляться, так как в этом году «Большой куш» — практически отдельная организация, включающая банки (и не только ДБО), банкоматы, киоски самообслуживания, интернет-магазины и карты. Цель — добраться до денег. Кстати, «белым шляпам» тоже кое-что перепадет, если они сумеют найти уязвимости нулевого дня и быстро и качественно написать advisory.

Один из новых конкурсов — HackBattle. В первый день форума на стенде HackBattle пройдет отборочный этап: участникам нужно будет выполнить несколько заданий. Во второй день лучшие хакерские умы соберутся на главной сцене, для того чтобы посоревноваться в скорости, ловкости и умении справляться с неожиданными задачами в режиме реального времени. Все происходящее будет комментировать команда профессиональных стримеров. Что из этого выйдет — узнаем на PHDays.

Подробная информация о старте конкурсов будет опубликована в ближайшее время. Следите за новостями и готовьтесь — будет весело!