Рубрика «positive hack days» - 3

С 23 по 24 мая в Москве прошел форум Positive Hack Days по практической безопасности.

Казахстанская команда «Царка» победила на международном форуме по практической безопасности Positive Hack Days 2017 - 1

Кратко о форуме:

Международный форум по практической безопасности Positive Hack Days проходит каждую весну в Москве. Конференция, организованная компанией Positive Technologies, на два дня собирает вместе ведущих безопасников и хакеров со всего мира, представителей госструктур и крупных бизнесменов, молодых ученых и журналистов.

Главные принципы PHDays — минимум рекламы и максимум полезных знаний в докладах и на семинарах, неформальное общение «пиджаков» и «футболок» на круглых столах, множество захватывающих конкурсов и энергичная атмосфера исследовательского полигона. В 2016 году PHDays VI посетило рекордное число участников — 4200 человек из разных стран.

Информация с официального сайта

Победителем по итогам стала Казахстанская команда «ЦАРКА», с отрывом по набранным очкам практически в два раза.
Читать полностью »

Скоро состоится очередной Positive Hack Days, в рамках которого традиционно пройдет «Противостояние» – многочасовая кибербитва между Защитниками и Атакующими и, пожалуй, самая напряженная часть всего мероприятия.

PHDays VII: как новые правила «Противостояния» повлияют на расстановку сил - 1

Мы участвовали в «Противостоянии» в прошлом году. Было тяжело, но, без сомнения, очень круто. В этом году мы продолжим традицию, но правила «Противостояния» серьезно поменялись, и в этой заметке хотелось бы рассказать, в чем состоят эти изменения, насколько новые условия игры похожи/не похожи на реальную жизнь и как они повлияют на ход борьбы.
Читать полностью »

PDUG-секция на PHDays VII: как разрабатывать приложения, которые не взломают хакеры - 1

PHDays VII стремительно приближается, и мы спешим сообщить, что на площадке форума снова соберется Positive Development User Group — открытое сообщество безопасной разработки. В прошлом году под эгидой PDUG прошел отдельный семинар (подробности в отчете VladimirKochetkov), а в этом мы запланировали целую секцию с мастер-классом по AppSec, тематическими докладами о разных аспектах безопасной разработки и даже бета-тестированием нового бесплатного сервиса для поиска уязвимостей веб-сайтов. Читать полностью »

image

Отличная возможность настроиться на нужную волну перед Positive Hack Days и продемонстрировать практические навыки в области безопасности — участвовать в онлайн-конкурсах. В начале мая в рамках подготовки к форуму пройдут CTF, HackQuest от Wallarm и «Конкурентная разведка». На кону памятные призы и бесплатные приглашения на PHDays.Читать полностью »

image

Positive Hack Days неумолимо приближается: более 4000 экспертов по практической безопасности соберутся в Москве 23 и 24 мая 2017 года, чтобы обсудить самые острые вопросы информационной безопасности. Совсем недавно мы анонсировали первую группу докладчиков, попавших в основную техническую программу. Если вы хотите выступить на одной трибуне вместе с именитыми экспертами по безопасности, у вас остался последний шанс — мы продлеваем Call For Papers до 30 марта. А пока вы готовите заявки на участие, мы представляем новую порцию выступлений.Читать полностью »

«Противостояние» глазами защитника: Рассказ о PHDays CTF от участника соревнований - 1

В этом году главный хакерский конкурс PHDays сменил формат: мы отошли от привычного CTF. Вместо этого на форуме развернулась настоящая битва хакеров и безопасников. В этот раз сражались три команды: «хакеры», «защитники» и SOC (security operations centers). События на полигоне соревнования были максимально приближены к реальности. В распоряжении команд находилась эмуляция города, в котором есть банк, телеком-оператор, офис крупного холдинга, электроэнергетическая компания и другие объекты.

Андрей Дугин, участвовавший в CityF на стороне защиты, в своем блоге подробно описал ход соревнований и свои впечатления. С разрешения автора мы собрали все его публикации в один хабратопик. Читать полностью »

Противостояние: новый формат и новая реальность - 1

Отгремел Positive Hack Days VI. Теперь, когда его события уже стали страницей прошлого, самое время подвести итоги и наметить курс на следующий год. Лейтмотивом шестого PHDays стало противостояние: идея, которая с первых дней создания PHDays бродила в головах организаторов, наконец-то нашла свое воплощение в виде «PHDays VI СityF: Противостояние». Ключевой конкурс форума из узкоспециализированной хакерской игры превратился в двухдневную мегабитву.

Первая попытка сменить паруса и приблизить практические соревнования к реальной жизни была предпринята еще в прошлом году, на пятом PHDays. По сюжету каждая команда CTF представляла собой группировку, действующую в вымышленном государстве. Все события были завязаны на подпольной бирже труда, на которой участники получали заказы на взлом тех или иных объектов. В этом году создатели форума пошли дальше и разбавили хакерский междусобойчик командами защитников и экспертных центров безопасности (SOC). С легкой руки организаторов в игру были вовлечены реальные представители мира информационной безопасности — те, кто в жизни строят системы защиты, противодействует атакам, расследует инциденты.Читать полностью »

Конкурс WAF Bypass на Positive Hack Days VI - 1 В рамках международного форума по практической безопасности Positive Hack Days в очередной раз состоялся конкурс WAF Bypass. Как и прежде, задачей участников было решение заданий путем обхода проверок PT Application Firewall, защищавшего уязвимые веб-приложения. Каждое из заданий подразумевало заложенные нами варианты обхода, которые были возможны из-за специально допущенных ошибок в конфигурации. Цель каждого задания — получить флаг, который мог храниться в базе данных, в файловой системе или в Cookie, выдаваемых специальному боту. Описание заданий и способы их решения под катом.

Читать полностью »

PHDays VI: хакеры не смогли взять город целиком - 1

4200 человек из разных стран мира стали свидетелями живого и несколько безумного праздника под названием Positive Hack Days VI. За два дня на площадке произошли сотни событий. На первый взгляд, хакеры чувствовали себя полными хозяевами положения. На деле — в условиях максимальной защиты никто не продвинулся дальше периметра DMZ.

Возможно, через несколько недель или месяцев город все равно бы пал. Такую защиту не взламывают кавалерийским наскоком. Но зрители не могли наблюдать за растянутой во времени целенаправленной атакой. Они хотели видеть, как топят поселок и жгут провода ЛЭП. Для повышения зрелищности решено было немного снизить уровень безопасности, отключив часть систем. И вот тут все увидели, что такое недостаточное внимание к ИБ. Хакеры использовали любую оплошность: успешно атаковали GSM/SS7, отключали системы умного дома, удаляли резервные копии важных систем, выводили деньги из ДБО.

Форум наглядно показал, что бывает с незащищенной критической инфраструктурой. Специалисты по информационной безопасности в силах обеспечить очень высокий уровень защиты без нарушения технологического процесса — но развернуться так, как на PHDays, им дают очень редко. После отключения средств защиты нападающие проникли в технологическую сеть АСУ через корпоративную, атаковали физическое оборудование системы, взломали ГЭС, провели сброс воды, отключили линии электропередачи.

Так или иначе, захватить город CityF целиком — и выиграть соревнования — ни одной команде хакеров не удалось. Подробные райтапы и итоги конкурсов ожидаются совсем скоро, а сейчас мы расскажем о нескольких выступлениях второго дня (рассказ о лучших моментах первого дня читайте здесь). Читать полностью »

В начале апреля о Мокси Марлинспайке написали все крупнейшие издания мира. Миллиард пользователей WhatsApp получили обязательное сквозное шифрование трафика на основе алгоритмов его мессенджера Signal. Через месяц, 17 и 18 мая, с Мокси можно будет познакомиться на форуме PHDays VI. На мероприятии выступит не только он, но и Рахул Саси, Пол Викси, Андрей Масалович, Джон Бамбенек.

Обама и Кэмерон против Марлинспайка

Истории участников PHDays VI: как Мокси Марлинспайк победил ФБР, а Джон Бамбенек вычислил хакера № 1 - 1

При рождении в 1980 году Мокси получил имя Мэтью Розенфельд. В конце 90-х он переехал в Сан-Франциско. Море и хакинг — две основные страсти человека, который выбрал себе псевдоним Мокси Марлинспайк. Marlinspike означает такелажную свайку для пробивки прядей троса, а Moxie — смелость.Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js