image

Підготовка до PHDays VII йде повним ходом. На початку року ми отримали 50 заявок на доповіді та воркшопи з Росії, Європи, Азії, Африки, Північної і Південної Америки, а 1 лютого стартував другий етап Call for Papers. Як і обіцяли, анонсуємо першу групу учасників, що увійшли в основну технічну програму. В цьому році слухачі PHDays дізнаються, як зламати IPv6-мережі, як крадуть гроші з допомогою POS-терміналів і яким буде WAF наступного покоління.
Читати далі →

Зламай майбутнє! PHDays знову запрошує авторів на конкурс кіберпанку

Якщо ви вже брали участь в міжнародній конференції PHDays або дивилися її трансляції, то напевно помітили, що перший день заходу традиційно закінчується виступом проекту «Модель для складання»: це читання кіберпанківських оповідань, які посіли перші місця в конкурсі «Взломанное майбутнє».

Прочитати історію конкурсу та дізнатися імена переможців минулих років можна в наших минулих новинах (2015, 2016). Якщо коротко: ми вирішили потіснити книжкові образи жінок-детективів більш сучасними історіями, які стосуються життя в інформаційному просторі, з усіма його загрозами та героями. За минулі два роки на конкурс надійшло понад 300 оповідань. Наших фіналістів встиг високо оцінити «батько кіберпанку» Брюс Стерлінг, а прямо зараз готується до друку збірник, у який входять оповідання-переможці «Зламаного майбутнього» 2015 і 2016 року.


Ну а для учасників чергового, третього конкурсу у нас є сюрприз: головним суддею в 2017 році буде відомий російський фантаст Вадим Панов, лауреат багатьох літературних премій, автор циклів книг «Таємний місто», «Анклави» і «Герметикон», які за духом дуже близькі до кіберпанку.

Отже, ми знову запрошуємо всіх вміють писати на наш конкурс!
Читати далі →

Ворог всередині: запрошуємо хакерів і доповідачів на PHDays VII



23 і 24 травня 2017 року в московському Центрі міжнародної торгівлі відбудеться міжнародний форум з практичної безпеки Positive Hack Days.

Тема сьомої конференції — Протистояння: Ворог всередині. Поки футурологи лякали нас Великим Братом і бойовими Термінаторами, нашими супротивниками несподівано стало безліч цифрових пристроїв: автомобілі і дитячі іграшки, платіжні термінали та сенсори «розумного» будинку, і навіть камери спостереження, які обіцяли поліпшити нашу безпеку. Тепер це зброя хакерів. Як боротися з ворогом, коли лінія фронту розмита і атакувати нас може навіть кавоварка?
Читати далі →

Аналіз виявлення обфусцированных вірусів мобільними антивірусними програмами на платформі Android

image
Команда УЦСБ провела незалежне дослідження для того, щоб протестувати роботу популярних антивірусних додатків для Android. З результатами цього дослідження я ділилася на конференції phdays VI, але хотілося б більш детально зупинитися на застосуванні обфускаторов для обходу механізмів виявлення вірусів.

Читати далі →

«Протистояння» очима захисника: Розповідь про PHDays CTF від учасника змагань



В цьому році головний хакерський конкурс PHDays змінив формат: ми відійшли від звичного CTF. Замість цього на форумі розгорнулася справжня битва хакерів і сб. Цього разу змагалися три команди: «хакери», «захисники» та SOC (security operations centers). Події на полігоні змагання були максимально наближені до реальності. У розпорядженні команд перебувала емуляція міста, в якому є банк, телеком-оператор, офіс великого холдингу, електроенергетична компанія та інші об'єкти.

Андрій Дугін, який брав участь у CityF на стороні захисту, у своєму блозі докладно описав хід змагань і свої враження. З дозволу автора ми зібрали всі його публікації в один хабратопик.
Читати далі →

PHD VI: як у нас викрали дрона



У цьому році на PHDays був представлений новий конкурс, де кожен охочий міг перехопити управління квадрокоптером Syma X5C. Виробники часто вважають, що якщо вони не використовують IP-технології, а який-небудь інший бездротової стандарт, то можна не думати про захищеності. Як ніби хакери махнуть рукою, вирішивши, що розбиратися з чимось, крім IP — це надто довго, складно і дорого.

Але насправді, як ми вже багато разів згадували, SDR (software-defined radio) — відмінний інструмент для доступу в світ IoT, де рівень входження визначається рівнем сумлінності виробника IoT-рішень. Проте навіть не маючи SDR можна творити чудеса, хай і в обмеженому просторі частот і протоколів.

Мета — перехопити управління дроном.

Вхідні дані:

  • діапазон управління дроном: 2,4 ГГц ISM,
  • управління здійснюється модулем nRF24L01+ (насправді — його клоном BK2423).
Кошти (видавалися бажаючим): Arduino Nano, nRF24L01+.

Результат — викрадач отримав Syma X8C в подарунок.

Так як серед охочих вкрасти наш дрон виявилися вже підготовлені люди, які мають в арсеналі HackRF, BladeRF та інші серйозні іграшки, ми опишемо два методу — SDR і безпосередньо nRF24L01+.
Читати далі →

«Атака на паливний склад» або ламаємо SCADA систему на PHDays VI

Організатори PHDays традиційно показали свою майстерність організації, як завжди щось нове, цікаве і звичайно велика кількість стендів під управлінням SCADA систем. Рідкісна можливість спробувати свої сили у зломі системи життєзабезпечення великого міста, розгорнути протиракетну установку і зробити постріл, влаштувати залізничну катастрофу, затопити місто, захопити управління дамбою і багато іншого.
Всіх учасників, і ми не виняток, приваблює можливість отримання досвіду роботи зі SCADA, керуючої моделями промислових об'єктів. Нам видався цікавим стенд компанії Інфотекс — «Атака на паливний склад», який нам в підсумку вдалося підкорити. Нижче наведена послідовність злому, кому це цікаво.

Умови конкурсу «Атака на паливний склад»
Вихідні дані: атака складається з двох етапів.
1. Етап: Необхідно в «Цифровому барі» знайти підказку для початку першого етапу атаки. В результаті 1 етапу атаки потрібно оволодіти якимось «секретом» для переходу до етапу №2. Перший етап вважається успішно пройденою у випадку, якщо дії порушника не були помічені міжмережевим екраном.
2. Етап: Отримавши «секрет», атакуючий переходить до другої стадії атаки. Завдання – подача не авторизованої команди на розлив пуншу.
Мета: Здійснити несанкціонований злив палива об'ємом 50 або 100 літрів.
Дозволяється: Використання власного ноутбука, з будь-яким необхідним програмним забезпеченням.
Забороняється: Будь-який фізичний вплив на макет паливного складу. Порушник буде відразу відсторонюється від участі в конкурсі.

Читати далі →

Конкурс WAF Bypass на Positive Hack Days VI

В рамках міжнародного форуму з практичної безпеки Positive Hack Days в черговий раз відбувся конкурс WAF Bypass. Як і раніше, завданням учасників було рішення завдань шляхом обходу перевірок PT Application Firewall, захищав вразливі веб-додатки. Кожне із завдань передбачало закладені нами варіанти обходу, які були можливі через спеціально допущених помилок в конфігурації. Мета кожного завдання — отримати прапор, який міг зберігатися в базі даних, у файловій системі або в Cookie, які видаються спеціальним боту. Опис завдань і способи їх вирішення під катом.


Читати далі →

Людина — це головна вразливість. Трохи про соціальної інженерії на PHDays V



На YouTube з'явилися записи виступів з Positive Hack Days V — кілька десятків доповідей з практичної безпеки на російською і англійській мовах. У 2015 році на форумі говорили не тільки про хардкорних методах злому, але і про «нетехнічних» атаках. Багатьом запам'ятався доповідь Кріса Хаднаги (Chris Hadnagy), який для отримання інформації використовує особливості людської психіки і не вірить в технічний прогрес: «Поки ви шукайте уразливість нульового дня, ми просто беремо трубку телефону і дізнаємося ваші секрети». У цьому матеріалі ми розповімо кілька історій і спостережень з практики 42-річного американця.
Читати далі →

Розбір завдань конкурсу «Конкурентна розвідка» на PHDays V

В цьому році в «Конкурентну розвідку» грали не тільки традиційні любителі конкурсу, але і команди CTF, тому за рівнем складності завдання були підібрані для тих і для інших. Крім того, дозволена була командна гра. (Але не міг грати і в індивідуальному заліку, і за команду CTF, тому нам довелося за взаємною згодою дискваліфікувати учасника, що посів за очками 1-е місце — azrael).

Під загальній легендою держави United States of Soviet Unions були об'єднані всі конкурси, і в рамках «Конкурентної розвідки» учасникам довелося шукати інформацію про службовців різних компаній, «прописаних» у USSU. Паралельно можна було відповідати на п'ять різних питань про п'ять різних організаціях; усередині одного блоку питання відкривалися одна за одною по мірі отримання відповідей. (Одна команда знайшла відповідь методом перебору, але на наступне запитання вони так і не змогли відповісти — у них не було на руках необхідних ресурсів.)
Читати далі →