- PVSM.RU - https://www.pvsm.ru -
Chaos Communication Congress является одним из крупнейших в Европе мероприятий, которое посещают тысячи хакеров каждый год. В этот раз в Гамбурге собралось более 9000 человек. В их числе были и эксперты Positive Technologies, которые представили свои исследования в области безопасности АСУ ТП, провели мастер-класс, посвященный тестам на проникновение SCADA-систем, и рассказали о подготовке «Лабиринта [2]» — одного из самых зрелищных соревнований форума PHDays III [3].
Первым делом Сергей Гордейчик [4] и Глеб Грицай [5] представили исследование безопасности промышленных систем. Выступление состоялось на CCC уже во второй раз: в прошлом году специалисты больше внимания уделили уровню безопасности АСУ ТП в мире. Было раскрыто немало новых уязвимостей в системах, разработанных Siemens. Некоторые наиболее интересные ошибки безопасности в соответствии с политикой ответственного разглашения не могли быть преданы огласке.
В этом году речь шла о промышленных протоколах и их недостатках. В ходе выступления были отмечены самые «сочные» уязвимости, которые остались за кадром в прошлом году. Кроме того, докладчики рассказали о новых ошибках безопасности и атаках, которые могут быть построены на их основе.
Видео выступления:
В продолжение темы Александр Тиморин [6] провел мастер-класс [7], посвященный безопасности SCADA и исследованию протоколов, которые используются в системах АСУ ТП.
Алексей Осипов из группы анализа защищенности веб-приложений Positive Technologies выступил с докладом «Firebird/Interbase database engine hacks» об уязвимостях систем управления базами данных.
Слайды презентации:
На третий день конференции Юрий Гольцев [8] и Александр Зайцев [9] рассказали о создании «Лабиринта» — увлекательного соревнования, настоящего хакерского аттракциона, который по достоинству оценили гости Positive Hack Days III. За один час участники конкурса должны были преодолеть целую полосу препятствий: перебраться через лазерное поле, миновать датчики слежения, победить в поединке с искусственным разумом, открыть секретные двери, очистить комнату от жучков и обезвредить бомбу. Видео доклада доступно на YouTube [10].
Участник PHDays III проходит лазерное поле «Лабиринта»
Кроме того, на конференции состоялся релиз новых средств для оценки безопасности SCADA-систем:
Внимание! Данные утилиты предназначены только для анализа безопасности промышленных систем.
Теперь подробнее о самом мероприятии.
CCC известна тем, что обращается к технологическим, политическим и общественным аспектам информационных технологий.
Юбилейная, тридцатая по счету конференция, получившая по этому случаю название 30C3, не стала исключением: участники могли увидеть, как взламывают [14] тамагочи, узнать о том, как можно отследить [15] спутники, летающие вокруг Земли, а также послушать выступление [16] создателя WikiLeaks Джулиана Ассанжа, которое он провел с помощью системы видеоконференции из посольства Эквадора в Лондоне, где до сих пор вынужден скрываться от властей.
Большое внимание докладчики уделили и проблемам, вызванным публикациями Эдварда Сноудена. Доклад «To Protect and Infect. Part II» одного из руководителей проекта TOR Джейкоба Аппельбаума (Jacob Appelbaum), представлявшего проект WikiLeaks на конференции HOPE в 2010 году, вызвал большую шумиху в прессе и дискуссии в профессиональном сообществе. Неудивительно — ведь даже спустя месяцы после обнародования секретных данных Сноуденом многим интересно, как АНБ подключалось к огромному количеству устройств по всему миру.
Всем, кто интересуется проблемами информационной безопасности, рекомендуем ознакомиться с докладами:
Обзор других интересных выступлений (на английском) можно прочитать на сайте Tech the Future [30].
Фото с конференции можно посмотреть по адресу: http://rolfomat.smugmug.com/Events/30c3 [31].
P. S. Между тем не так много времени остается до Positive Hack Days IV. Полным ходом идет регистрация для участия в отборочных соревнованиях PHDays CTF. Зарегистрировались уже более 140 команд, присоединяйтесь [32] и вы!
Автор: ptsecurity
Источник [33]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/52710
Ссылки в тексте:
[1] Image: http://habrahabr.ru/company/pt/blog/209010/
[2] Лабиринта: http://habrahabr.ru/company/pt/blog/178439/
[3] PHDays III: http://phdays.ru/
[4] Сергей Гордейчик: http://sgordey.blogspot.ru/
[5] Глеб Грицай: https://twitter.com/repdet
[6] Александр Тиморин: https://twitter.com/atimorin
[7] мастер-класс: https://events.ccc.de/congress/2013/wiki/Session:Hacking_SCADA:_ICS_Penetration_testing_workshop
[8] Юрий Гольцев: https://twitter.com/ygoltsev
[9] Александр Зайцев: https://twitter.com/arbitrarycode
[10] YouTube: https://www.youtube.com/watch?v=97bwN2U9SIQ
[11] Internet Connected ICS/SCADA/PLC: http://www.youtube.com/watch?v=sRPGEbhvbIU
[12] ICS/SCADA/PLC Cheat Sheet: http://www.slideshare.net/qqlan/internet-connected-icsscadaplc
[13] Hydra vs Siemens S7-300: https://www.thc.org/thc-hydra/
[14] взламывают: http://media.ccc.de/browse/congress/2013/30C3_-_5279_-_en_-_saal_1_-_201312291715_-_even_more_tamagotchis_were_harmed_in_the_making_of_this_presentation_-_natalie_silvanovich.html
[15] отследить: http://media.ccc.de/browse/congress/2013/30C3_-_5463_-_en_-_saal_1_-_201312281400_-_hillbilly_tracking_of_low_earth_orbit_-_travis_goodspeed.html
[16] выступление: http://media.ccc.de/browse/congress/2013/30C3_-_5397_-_en_-_saal_1_-_201312292245_-_sysadmins_of_the_world_unite_-_julian_assange_-_jacob.html
[17] видео: http://media.ccc.de/browse/congress/2013/30C3_-_5224_-_en_-_saal_6_-_201312271400_-_triggering_deep_vulnerabilities_using_symbolic_execution_-_gannimo.html
[18] видео: http://www.youtube.com/watch?v=0c08EYv4N5A
[19] видео: http://www.youtube.com/watch?v=2ybcByjNlq8
[20] видео: http://www.youtube.com/watch?v=K47MZIEXQEI
[21] видео: http://www.youtube.com/watch?v=ktnQ7nBCuqU
[22] видео: http://www.youtube.com/watch?v=R-2k6TMPMRo
[23] видео: http://www.youtube.com/watch?v=frUvlhO8o8A
[24] видео: http://www.youtube.com/watch?v=QogdeTy7cDc
[25] видео: http://www.youtube.com/watch?v=Gl_dcqcGIFs
[26] видео: http://www.youtube.com/watch?v=Ck8bIjAUJgE
[27] видео: http://www.youtube.com/watch?v=o7hfF8EQ1Cg
[28] видео: http://www.youtube.com/watch?v=7h7LWeET1fI
[29] видео: http://www.youtube.com/watch?v=CPEzLNh5YIo
[30] Tech the Future: http://www.techthefuture.com/technology/hacks-and-highlights-of-the-chaos-communication-congress/
[31] http://rolfomat.smugmug.com/Events/30c3: http://rolfomat.smugmug.com/Events/30c3
[32] присоединяйтесь: http://quals.phdays.com/register/
[33] Источник: http://habrahabr.ru/post/209010/
Нажмите здесь для печати.