Рубрика «Блог компании Positive Technologies» - 3

На PHDays 9 мы решили рассмотреть с практической стороны модную сегодня тему безопасности машинного обучения. Для этого мы создали онлайн-конкурс AI CTF (capture the flag) формата task-based, с заданиями, посвященными безопасности применения техник искусственного интеллекта.

image

Напомним, что тасковые CTF-соревнования схожи с форматом «Своей игры»: есть набор заданий, разбитых по категориям с разной стоимостью. Традиционные для CTF темы: веб-уязвимости, обратная разработка, криптография, стеганография и бинарная эксплуатация. Победителем становится команда (с любым количеством участников, от одного), которая наберет наибольшее количество баллов.

AI CTF начался в первый день PHDays и длился чуть больше суток. Подразумевалось, что каждый участник будет играть за себя. Несмотря на то, что это был онлайн-конкурс, часть участников находилась на площадке форума, и все могли познакомиться друг с другом. В целом задания можно было решить за пару часов, они не требовали больших вычислительных ресурсов. Тем не менее трудные задания тоже были — не всем же выигрывать :D

Конкурс включал шесть заданий (седьмое было фановым). В этой статье мы подробно разберем, как их можно было выполнить.Читать полностью »

Разбор конкурса «Конкурентная разведка» на PHDays 9 - 1

Восьмой год традиционный конкурс «Конкурентная разведка» предлагает участникам попробовать свои силы в поиске информации и между делом изучить новые техники OSINT. В этом году все задания были сосредоточены вокруг вымышленной ИБ-компании, позиционирующей себя как компанию — эксперта одной уязвимости. Участники конкурса должны были найти информацию о людях, связанных с этой организацией, не прибегая ко взлому, а полагаясь исключительно на помощь различных источников с просторов сети и на собственную смекалку.

Конкурс включал 19 заданий, за каждое из которых начислялось определенное количество баллов по степени сложности. В этой статье мы разберем, как можно было решить каждое задание.Читать полностью »

Построение процессов с нуля: от хаоса к порядку - 1

В этой статье я расскажу про построение рабочих процессов в небольшом отделе, занимающемся веб-разработкой. Отдел был сформирован с нуля и сразу начал автономную работу, поэтому нам пришлось самостоятельно выстраивать производственные процессы, наступать на всевозможные грабли и делать из этого необходимые выводы. В надежде на то, что это поможет кому-нибудь сэкономить время, деньги и нервы, я опишу проблемы, с которыми мы столкнулись, и наши варианты их решения.

Важно отметить, что это не какая-то универсальная методология, которую можно внедрить в любой команде разработки, и все сразу станет замечательно. Это просто микс известных методик и практического опыта, который мы смогли эффективно подстроить под наши особенности разработки. В данном вопросе не существует единого простого решения. Всегда нужно отталкиваться от размера и опыта самой команды, особенностей бизнеса, специфики проектов и т. п.

Исходные данные нашего отдела: небольшая (5–10 человек), частично распределенная (некоторые сотрудники работают удаленно, некоторые в офисе) продуктовая команда с заказчиками внутри самой компании. Веб-проекты. Нет специалистов по системному администрированию внутри отдела, но есть занимающиеся этим отделы в компании.Читать полностью »

Тема безопасности машинного обучения довольно хайповая последнее время и хотелось затронуть именно практическую ее сторону. А тут повод крутой — PHDays, где собираются самые разные специалисты из мира ИБ и есть возможность привлечь внимание к этой теме.

В общем-то мы сделали task-based CTF, с заданиями затрагивающих часть рисков безопасности применения техник машинного обучения.

PHDays 9: разбор заданий AI CTF - 1
Читать полностью »

По следам индустриального ниндзя: приглашаем участвовать в онлайн-конкурсе по промышленной безопасности - 1

На прошедшем PHDays 9 мы проводили конкурс по взлому завода по перекачке газа Industrial Ninja. На площадке было три стенда, эмулирующих индустриальный процесс: под большим давлением в воздушный шар закачивался воздух. У каждого стенда был свой уровень сложности (по степени защиты): новичок, бывалый и ниндзя. При этом оборудование и технологический процесс не различались.

Перед конкурсантами стояла задача разобраться в технологическом процессе, перехватить управление заводом и спровоцировать аварию: в реальности — сдуть или лопнуть шарик. Однако самое сложное задание так и осталось нерешенным.Читать полностью »

Thrangrycat: критическая уязвимость в прошивке устройств Cisco позволяет хакерам устанавливать на них бэкдоры - 1

Исследователи информационной безопасности обнаружили опасную уязвимость в прошивке, которая используется на устройствах Cisco разных типов. Ошибка CVE-2019-1649 или Thrangrycat позволяет злоумышленникам устанавливать на маршрутизаторы, коммутаторы и межсетевые экраны бэкдоры. Читать полностью »

Операция TaskMasters: как мы разоблачили кибергруппировку, атакующую организации России и СНГ - 1

Изображение: Unsplash

Осенью 2018 года эксперты PT Expert Security Center выявили активность преступной группировки, деятельность которой была направлена на хищение конфиденциальных документов и шпионаж. Сегодня мы расскажем о ходе расследования, а также опишем основные методы и инструменты, которые применяла группировка.

Примечание: По ссылке представлен полный отчет о расследовании. В нем также приведены индикаторы компрометации, которые могут быть использованы для выявления следов атаки.Читать полностью »

Эксперимент на Positive Hack Days 9: Как критическое мышление помогает в жизни и работе - 1

Менее чем через месяц стартует PHDays 9. В этом году форум насыщен новшествами, в том числе и смысловыми: концепция взлома констант найдет свое отражение в необычном эксперименте, который пройдет в рамках секции Tech & Society 21 мая.

Секция будет посвящена критическому мышлению, как способности человека ставить под сомнение любую информацию и собственные убеждения, объективно анализировать факты и обоснованно принимать решения. Ее цель ─ наглядная демонстрация важности критического мышления в познании собственных возможностей и достижении целей. Читать полностью »

image

Впервые на Positive Hack Days в рамках кибербитвы The Standoff пройдет хакатон для разработчиков. Действие развернется в мегаполисе, в котором массово внедрены самые современные цифровые технологии. Условия максимально приближены к реальности. У атакующих полная свобода действий, главное не нарушать логику работы игрового полигона, а защитники должны обеспечить безопасность города. Задача команд разработчиков развернуть и обновлять заранее написанные приложения, которые атакующие не преминут проверить на прочность. Соревнование состоится 21 и 22 мая, во время проведения The Standoff.

Хакатон — отличный шанс для разработчиков провести профессиональный пентест своего приложения, посмотреть вживую, как действуют хакеры, и прямо на ходу доработать свой код с точки зрения информационной безопасности. Для хакатона принимаются только некоммерческие проекты, представленные авторами. Всего к соревнованию будут допущены 10 проектов, которые организаторы выберут по итогам голосования на сайте хакатона.
Читать полностью »

Как менялась информационная безопасность за последние 20 лет - 1

Изображение: Unsplash

Руководитель отдела анализа приложений Positive Technologies Дмитрий Скляров делится своим взглядом на историю развития отрасли информационной безопасности на протяжении последних 20 лет.

Если взглянуть на программу любой современной конференции по информационной безопасности, можно увидеть, какие важные темы занимают исследователей. Если проанализировать список этих важных тем, технологий и направлений, то окажется, что еще двадцать лет назад подавляющего большинства из них просто не существовало.Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js