Метка «positive hack days»

В своём подкасте мы не могли не осветить такое событие, как Positive Hack Days, прошедшее в Москве в конце мая. На нём от лица компании Pentestit с докладом выступал Александр Sinister — гость 8-го выпуска.

Pentestit — компания молодая, даже очень молодая, не имеющая практически аналогов ни в России, ни даже за рубежом. Роман Романов — директор Pentestit — был в гостях подкаста полгода назад в 8-м выпуске вместе с Александром и рассказывал о своих лабораториях. В этот раз Максим Майоровский — руководитель отдела разработки лабораторий на проникновение Pentestit — продолжает рассказ о развитии компании и о том, как они готовили лабу для PHD.

Александр расскажет в подкасте о форуме Positive Hack Days в целом, а также о двух докладах, затрагивающих сети связи.
Один из них, с которым собственно он выступал, посвящен Intercepter-NG — мощному инструменту, позволяющему прослушивать трафик и организовывать атаки MITM в автоматическом режиме. С этим приложением связана одна таинственная история, о которой поведал Александр на PHD и нам в подкасте. Видеозапись презентации можно посмотреть по ссылке.
Второй доклад на довольно животрепещущую тему — атаки на сети мобильных операторов посредством протокола SS7. Такого рода угрозы изучались и проверялись на практике специалистами компании Positive Technologies — Сергеем Пузанковым и Дмитрием Курбатовым.
Злоумышленник, попав в технологическую сеть, может совершить жуткие вещи, начиная от перенаправления SMS и заканчивая прослушиванием звонка из любого конца планеты.
Видеозапись презентации можно посмотреть по ссылке.

В качестве новостей мы предлагаем вам:

  1. Запустили новое зеркало корневого сервера DNS l-root (link)
  2. Cisco приобрела стартап за $175M (link)
  3. Новый стандарт Wi-Fi от Huawei(link)
  4. Comcast открыл внешний доступ к 50 000 клиентских Wi-Fi-маршрутизаторов (link
  5. Обновление старых тем:
    Nokia и SK-Telecom объединили полосы, выделенные под FDD и TDD LTE и достигли скорости 3,78 Гбит/с (link)
    Google провёл успешные испытания предоставления доступа в Интернет с помощью аэростатов (link)

Скачать файл подкаста.

Читать полностью »

Окружающие нас предметы становятся все функциональнее и удобнее. Сегодня интернет есть уже не только в автомобилях, но и в некоторых микроволновках и холодильниках, а по прогнозу аналитической компании Gartner, к 2020 году количество бытовых устройств, подключенных к Сети, превысит 26 млрд при объеме рынка в 300 млрд долларов.

image

При этом мало кто из пользователей отдает себе отчет в том, что, как и обычные компьютеры с доступом в интернет, гаджеты, образующие так называемый интернет вещей, могут быть атакованы злоумышленниками. Чтобы продемонстрировать возможные последствия такой атаки, организаторы PHDays создали копию реальной квартиры, оборудованной различными электронными приборами и системой «умного дома». По легенде конкурса, из-за сбоя дом «сошел с ума» и стал настоящей ловушкой для своего хозяина, освободить которого и должны были участники соревнования.Читать полностью »

image

В рамках международного форума Positive Hack Days IV, прошедшего в Москве 21 и 22 мая, по традиции состоялось хакерское соревнование Capture The Flag. На протяжении двух дней 10 команд из 6 стран мира взламывали сети соперников и отбивали их атаки.

Традиционно инфраструктура и задания Positive Hack Days CTF разрабатываются согласно общей легенде, которая является настоящей изюминкой соревнований. Во время прошлогоднего CTF участники перевоплотились в спасителей сказочного мира D’Errorim, которому угрожала гибель. Справившись с заданием, они осознали, что сражались не на той стороне, и теперь опасность грозит их собственному дому. Таким образом сюжетная линия объединяет PHDays III CTF, через отборочные соревнования CTF Quals, с финальной битвой во время PHDays IV.

Полный текст легенды соревнований — на сайте форума.Читать полностью »

image

Как создать вирус и ботнет для Android? Что можно узнать, купив жесткий диск на аукционе EBay? Чем угрожает SIM-карта своему владельцу? Как скопировать токен одноразовых паролей? 17 февраля стартовал заключительный этап Call For Papers (процедура подачи заявок от докладчиков), который продлится до 31 марта, а сейчас мы анонсируем выступления первой группы участников, попавших в основную техническую программу международного форума по практической безопасности Positive Hack Days IV.Читать полностью »

Международный форум по практической безопасности Positive Hack Days IV состоится 21 и 22 мая 2014 года. Полномасштабная подготовка мероприятия, побеждавшего в рейтингах, получавшего премии и заслужившего немало добрых слов от профессионалов ИБ-сообщества идет полным ходом.

image

В следующем году PHDays пройдет уже в четвертый раз и будет посвящен новым проблемам, с которыми пришлось столкнуться бизнесу, государству и частным лицам вследствие бурного развития науки и технологий.Читать полностью »

В этом году при разработке легенды заданий для конкурса «Конкурентная разведка» мы сделали упор на применимость выискиваемой информации в реальных работах по пассивному анализу при подготовке к пентестам и в работах по оценке осведомленности, а также на использование различных поисковых механизмов и дедуктивных методов.

Как можно судить по одному из интересных райтапов об этом конкурсе — у нас это получилось, хотя бы отчасти.

К сожалению, в этом году участников было не так много, как в прошлом, и поскольку некоторые задания были гораздо сложнее, полностью их не выполнил никто. Победители остановились на отметке в 12 правильных ответов и награждать пришлось в зависимости от быстроты прохождения.

Итак, давайте взглянем на примерный алгоритм прохождения всех заданий конкурса и дадим наконец ответы на вопросы о непройденных заданиях, а также еще раз огласим уточненный список победителей.

Компанией, с которой предстояло работать конкурсантам, была Godzilla Nursery Laboratory — интернациональная корпорация, занимающаяся разведением и продажей домашних годзилл. Годзиллы были выбраны не случайно – именно они «охраняли» железную дорогу из конкурса «Choo-choo PWN».

Прохождение конкурса “Конкурентая разведка“ на PHDays III

Google подсказывал участникам сразу, что рабочий сайт этой компании с симпатичным логотипом — www.godzillanurserylab.com, а многие из ее сотрудников представлены в социальной сети LinkedIn. Ну, поехали!Читать полностью »

Будни технического писателя: от CIS до СтругацкихВ любой компании, которая разрабатывает программное обеспечение, всегда есть множество задач, связанных с ведением документации и ее переводом на разные языки (особенно если компания международная). В нашем случае актуальны обе эти проблемы, а поток задач весьма значительный, поэтому на отдел технической документации ложится большая нагрузка.

В Positive Technologies технические писатели прикладывают свою руку ко всем текстам, рождающимся в недрах компании, — от сугубо технических (сопроводительная документация к продуктам, корпоративные, отраслевые стандарты) до высокохудожественных опусов с аллюзиями на Стругацких (см. легенды соревнований CTF на PHDays 2012). Если вы хотите узнать о том, как мы контролируем сроки и качество выполнения столь разноплановых задач, — добро пожаловать под кат.
Читать полностью »

Несколько месяцев назад исследовательский центр Positive Research проводил анализ безопасности системы Citrix XenServer. Помимо прочего, мы изучали безопасность интерфейсов администрирования, и в частности веб-интерфейсов различных компонентов системы. В результате нам удалось обнаружить несколько критических уязвимостей, которые позволяют получить контроль не только над этими компонентами, но и над мастер-сервером, а значит над всей облачной инфраструктурой. О найденных уязвимостях мы незамедлительно сообщили компании Citrix. После того как бреши были закрыты ([1], [2], [3]), результаты были представлены на форуме Positive Hack Days в рамках секции FastTrack.
Читать полностью »

Покажи мне деньги! Конкурс «Большой Ку$h» на PHDays 2012

Посетители форума Positive Hack Days 2012, который состоялся недавно в техноцентре Digital October, не только могли послушать доклады профессионалов мира ИБ и наблюдать за эпичной битвой хакеров CTF, но и приняли участие в обсуждении важных проблем индустрии безопасности в рамках специализированных секций.

Одной из таких дискуссионных площадок стала секция «Как защищают деньги?», модератором которой выступил Артем Сычев (начальник управления информационной безопасности Россельхозбанка). Помимо теории — обсуждения насущных вопросов, стоящих перед индустрией банковской безопасности, — на секции была и практическая часть — конкурс «Большой Ку$h». Участники должны были продемонстрировать свои навыки в области эксплуатации типовых уязвимостей в службах систем ДБО — главным образом логических, а не веб-уязвимостей.Читать полностью »

image
30 и 31 мая в техноцентре Digital October прошел международный форум Positive Hack Days 2012, посвященный вопросам практической безопасности. Полторы тысячи человек, десятки докладов и мастер-классов, масштабные соревнования СTF, насыщенная конкурсная программа — все это PHDays. Сейчас уже можно с полной ответственностью заявить, что нам удалось смешать особый коктейль из представителей интернет-сообщества, профессионалов в области ИБ и хакеров из разных стран мира и что коктейль получился вкусным.

Сегодня мы, как и обещали, публикуем записи докладов и мастер-классов с PHDays 2012. Среди гигабайтов видео, посвященного информационной безопасности, есть вещь, как говорится, посильнее «Фауста» Гёте — доклад Брюса Шнайера, легенды мировой криптографии. Приятного просмотра!Читать полностью »