PDUG Meetup: розбираємо WAFы на гвинтики, ліземо в бінарники голими руками, збираємо інфраструктуру середовища розробки



20 грудня в Digital October відбудеться PDUG Meetup: j'adore hardcore — фінальна у поточному році зустріч спільноти Positive Development User Group, присвячена безпечної розробки.

Читати далі →

IT Music Fest: гітара замість клави і музика замість коду

П'ятого червня в московському пабі Hophead відбувся перший фестиваль IT Music Fest. Співробітники компанії Positive Technologies, що створили групу Lucy's First Job, покликали на спільний виступ музичні колективи з Mail.Ru (GODCats), Kaspersky Lab (Out Of Office), ABBYY (ABBYY Band). Спеціальним гостем заходу став електронний дует 4beatten, що об'єднує двох співробітників IT-компаній (PT і Luxoft). Про те, що з цього вийшло, читайте в нашому репортажі.



Як і належить рок-концерту, IT Music Fest розпочалася на 50 хвилин пізніше часу, зазначеного в запрошенні. Передбачалося, що музиканти роздадуть їх друзям і колегам, але багато запросили близьких і родичів. Подія важлива: майже всі групи в цей день вперше виступали на цьому відкритому фестивалі, а не на корпоративі своєї компанії.

— А де тут сісти, щоб не голосно було? — запитали у мене на вході пари у віці: батьки когось з музикантів.
— Боюся, сьогодні скрізь буде дуже голосно…
Читати далі →

Lightning Talk: Отримаєте свої п'ять хвилин на PHDays VI

image

Запрошуємо прийняти участь у сесії п'ятихвилинних виступів на форумі PHDays. Розкажіть про нову вразливість, або про проблеми в алгоритмах безпеки. Придумали концепт інструменту аналізу безпеки або запланували масштабне дослідження? Поділіться своїми ідеями з трибуни і знайдіть однодумців.
Читати далі →

Нове на PHDays: майданчик Hardware Village



В цьому році вперше на Positive Hack Days розгорнеться відкритий майданчик Hardware Village. Команда проекту вирішила знятися з якоря і взяти участь в шостому щорічному форумі PHDays. Любителі хакерського заліза зможуть «помацати» обладнання та відвідати майстер-класи, на яких діти поділяться знаннями в області злому і низькорівневого програмування.

Hardware Village розрахований як на досвідчених хардварщиков, так і на початківців ентузіастів. Протягом двох днів на відвідувачів чекають майстер-класи та лекції досвідчених хакерів, які розкажуть про свій досвід. Для всіх бажаючих будуть доступні цілі розвали хакерського заліза, яке можна не тільки подивитися, але й випробувати в справі.
Читати далі →

Нетехническая програма PHDays, або Від хакерів до художників один крок



Хакери і художники — здавалося б, що може бути спільного між ними, адже це абсолютно різні світи? Однак і ті й інші не з чуток знають, що таке натхнення і творчий процес. Ми вирішили повторити минулорічний досвід і збираємо на майданчику міжнародного форуму з практичної безпеки Positive Hack Days VI хакерів, художників і всіх творчих людей. Розповідаємо, що буде за лаштунками технічної програми.
Читати далі →

Як зламують корпоративний Wi-Fi: нові старі можливості

Статей про злом Wi-Fi в Інтернеті досить багато, але більшість з них стосуються режиму роботи WEP/WPA(2)-Personal, в якому необхідно перехопити процедуру «рукостискання» клієнта і Wi-Fi-точки. У багатьох корпоративних Wi-Fi-мережі використовується режим безпеки WPA2-Enterprise, з аутентифікацією по логіну і паролю — як найменш витратний спосіб. При цьому аутентифікація здійснюється з допомогою RADIUS-сервера.

image

ОС клієнта встановлює з'єднання з RADIUS-сервером, використовуючи шифрування за допомогою TLS, а перевірка достовірності в основному відбувається за допомогою протоколу MS-CHAPv2.
Читати далі →

Компанію Lenovo атакували в помсту за шпигунську програму Superfish

image

Опівночі на головній сторінці Lenovo.com з'явилося слайд-шоу з зображенням підлітків, явно не призначене для реклами ноутбуків і смартфонів компанії. При відкритті сторінки починала грати пісня «Breaking Free» з кінофільму «Класний мюзикл» (High School Musical). В 7 ранку (мск) на сайті висіла заглушка, а відновили його роботу лише через кілька годин.
Читати далі →

Нове в програмі PHDays: захист суперкомп'ютерів, безпеку iOS-додатків і продаж експлойтів

image

Не так давно пройшла перша хвиля Call For Papers форуму з інформаційної безпеки PHDays V. Представляємо вашій увазі нову порцію виступів, які прозвучать 26-27 травня в Москві (на Хабрахабре можна почитати перший і другий анонси). Доповідачі розкажуть, як підвищити безпеку iOS-додатку, ніж суперкомп'ютер приваблює хакерів і як його захистити, а також розкажуть про взаємини продавців і покупців експлойтів вразливостей нульового дня.
Читати далі →

PHDays V: взлом Wi-Fi в метро, M&A в «Яндексі», хімічна атака і батько кіберпанку

image

На початку грудня стартував прийом заявок від бажаючих виступити на Positive Hack Days V, пізніше ми анонсували першу групу доповідачів, серед яких творець Shodan Джон Мэтерли, кибердетектив Джон Бамбенек і професійний социнженер Кріс Хаднаги.

Перший етап Call for Papers завершився наприкінці січня, і сьогодні ми представляємо нову порцію доповідей, які увійшли в технічну, практичну та бізнес — програму прийдешнього PHDays. Гості форуму дізнаються, як перетворити звичайну корпоративну ІТ-систему в неприступну цифрову фортецю, як обходять авторизацію в мережі Wi-Fi в московському метро, як зловмисники експлуатують вразливості фізичних процесів.
Читати далі →

Робимо вільне безпечніше: баги і фікси InstantCMS

Цією статтею ми починаємо серію матеріалів, присвячених пошуку вразливостей в популярних системах з відкритим кодом. Помилки у OpenSSL і glibc показали, що тисячі очей, що мають доступ до коду, — не гарантія безпеки open source. Звичайно, і закритий код не стає безпечнішим від самого факту закритості. Просто при наявності правильних інструментів доступність вихідного коду дозволяє виявити набагато більше вразливостей, ніж при тестуванні методом «чорного ящика». Питання лише в тому, хто цим скористається раніше — розробники або зловмисники.

Останні два роки в ході розробки системи аналізу вихідних кодів PT Application Inspector ми перевіряли на стендах і «в полі» сотні безкоштовних і комерційних, відкритих і пропрієтарних програм. В ході цих тестів було знайдено значне число вразливостей нульового дня. Частина цих проблем була закрита і відома з останніх доповідей про безпеки SCADA, частина очікує своєї погибелі в ході відповідального розголошення.
Читати далі →