среда, 27 июня 2012 г.

Кибервойна, Flame и прочие ужасы

РЕН ТВ - Военная тайна  (2:20 и далее) о кибер-войне, Flame, атаках на SCADA.
Ваш покорный слуга в конце первого дня PHDays, что дает о себе знать :)


воскресенье, 24 июня 2012 г.

PHDays CTF 2012 Legend

Positive Hack Days 2012 CTF  Circuli vitae



Full  text:

English: http://phdays.blogspot.com/2012/06/for-those-who-missed-phdays-ctf-2012.html#more

Russian: http://devteev.blogspot.com/2012/06/phdays-2012.html

PS. "There is no force no money and no power. To stop us now." (c) Laibach -  http://www.youtube.com/watch?v=UgqjnzkYPnA


PPS. Here we are

среда, 20 июня 2012 г.

Брюс Шнайер: Вот почему новый рынок уязвимостей так опасен...

http://www.schneier.com/crypto-gram-1206.html#1

Целиком и полностью поддерживаю, о чем писал ранее: http://sgordey.blogspot.com/2012/03/blog-post_24.html

Именно поэтому на PHDays hack2own мы фактически платим за Responsible Disclosure (http://digit.ru/it/20120601/392236598.html). Понятно, что Positive Technologies не NSA, бюджеты не те... Но так хочется сделать мир немного безопасней. 


Не удержался, перевел.





Неполная сборка/разборка банкомата

10:30 и далее

вторник, 19 июня 2012 г.

Презентации с PHDays

Долгожданные презентации с Positive Hack Days 2012 + видео демонстрации.

Презентации: http://www.slideshare.net/phdays/

Видео: http://www.youtube.com/user/PositiveTechnologies

Мой доклад (и видеозапись).


Рунет в осаде: взломан каждый десятый крупный сайт

Облегченный вариант статистики уязвимостей Web-приложений.

Ссылка: http://www.cnews.ru/reviews/index.shtml?2012/06/19/493446 и мультики по теме.

А devteev.blogspot.com не показывает свое лицо и взламывает корпорацию Potato. Вот так-то.



От ERP к SCADA. Туда и обратно. Две истории одного пентеста


В промышленных компаниях наиболее ценными ИТ-ресурсами являются системы АСУ ТП/SCADA и ERP-системы. Первые управляют процессом производства, вторые контролируют продажи и позволяют управлять бизнес-активностью. В последнее время наметилась тенденция с синергии данных систем, поскольку интеграция АСУ ТП и ERP позволяет повысить оперативность управления и прозрачность управления бизнесом. Однако с точки зрения безопасности наиболее ценные активы всегда были и объектами, с которым связаны максимально риски. В ходе доклада, на реальных примерах будут сценарии использования уязвимостей в системах АСУ ТП и ERP, а также возможные катастрофические последствия объединения этих двух подсистем, если в рамках подобных проектов не учитываются требования безопасности.



И мультики позаимствованные из презентации Евгении Шумахер:

PS. Все от начало до конца - выдумки. Совпадение с реальными системами - случайно.

PPS. Да, я люблю web-камеры. Ну что делать, если они везде?

PPPS. Ах, да. http://www.securitylab.ru/news/425974.php

пятница, 8 июня 2012 г.

PHP более "дырявый" чем ASP.NET?

Именно такое впечатление может сложиться при прочтении различных интерпретаций нашей статистики по уязвимостям web-приложений. На хабре даже разгорелась по этому поводу небольшая священная война.
На самом деле все не так. На самом деле вероятность найти уязвимость в приложении на PHP гораздо проще найти уязвимость при соблюдении следующих условияй:

— вы анализируете приложение российских компаний из топ 100
— в вашем поле зрения наиболее бизнес-критичные системы, доступные из Интернет (именно с ними связаны основные риски, именно их и заказывают)
— вы честно признаетесь, что не можете найти ВСЕ уязвимости. Поскольку ограничения методики, которая не дает гарантии, да и все мы люди-человеки.

К сожалению других чисел у нас нет. То, что делает WASC и Whitehat Security чуть менее адекватно, поскольку содержит либо смесь черного и белого ящика (WASC), либо только черный с ручной верификацией (Whitehat).

Из highlighs - на 10% всех сайтов мы встречали вредоносное ПО либо закладку под его установку. Т.е. кто-то там уже был.




Вот такие вот пироги. Подробнее:
Русский
English

четверг, 7 июня 2012 г.

Счастливый обладатель раритета с края Земли


Волею судеб стал счастливым обладателем флаера на dvCTF  и трансляцию Positive Hack Days 2012 в рамках инициативы PHDays Everywhere. Конечно и то и другое успело закончится, но мне выпала почетная возможность вручить победителям призы от Positive Technologies, пообщаться с организаторами и участниками и прочитать лекцию.
Во Владивостоке меня встретили 12 градусов тумана, Сергей Култышев и Андрей Сахаров, благодаря энергии которых все и случилось. Исключая туман. Я был приятно удивлен, узнав, что в dvCTF приняло участие 12 команд (http://ctf.dvfu.ru/teams)! И победили в нем команда из МГУ. Не путать с МГУ!

Вручив позитивно-хакерские кепки и кофеуловители (основной груз подарков еще висел где-то в 7ми часовой временной яме между Москвой и Владивостоком) я с удовольствием пообщался с собравшимися в бизнес-инкубаторе ДВФУ студентами, аспирантами и преподавателями ВУЗов Владивостока.  
Формально моя лекция называлась "Черные пятна анализа защищенности", но я позволил расширить тему и мы приятно пообщались о различных аспектах безопасности. От регулирования и практического использования методик анализа рисков до поиска 0day и оценки эффективности средств защиты. Надеюсь, что мой 4х часовой спич не сильно утомил присутствующих и  они собрались в том же составе после перерыва по доброй воле :)


Бизнес-инкубатор ДВФУ. Уютно как Нейроне, но гораздо просторней
В ходе доклада позволил себе немного отступить от корпоративной PR-политики и продемонстрировать тогдаещенеопубликованную статистику уязвимостей Web-приложений Positive Technologies (http://habrahabr.ru/company/pt/blog/145329/) и несколько роликов с практическим использованием найденных нами 0-day в Siemens SIMATIC WinCC (http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_security_advisory_ssa-223158.pdfдля захвата контроля над атомной станцией

Жду фотографий и райтапов!

После лекции и обсуждения образовательной программы Positive Education я отправился погулять по городу. Владивосток сейчас масштабно строится и готовится принять саммит стран АТР. Об этом написано много, повторятся не буду. Но мосты на Русский и Чуркин - это что-то грандиозное.
Не смог удержаться, залез в знакомую с детства С-56 и под руководством командира ракетно-танковых пулеметов произвел залп из носовых торпедных аппаратов. 

Командир ракетно-танковых пулеметов загружает торпеду в ТА

Отдельное спасибо Игорю Владимировичу Соппа, заместителю проректора ДВФУ по учебно-воспитательной работе и Корнюшину Павлу Николаевичу, заведующему кафедрой информационной безопасности ДВФУ за помощь в организации PHDays Everywhere, dvCTF и моего визита.

Полезные ссылки:

PS. Почему "с края Земли"? На верстовом столбе 9288 км - далеко-далеко, далёко...





вторник, 5 июня 2012 г.

Мерси Шелли про наливные яблочки и киберпанк

...Все эти говорящие зеркала, яблочки на блюдечках и путеводные клубочки - это же веками отточенные интерфейсы для устройств будущего. И если бы разработчики интерфейсов внимательно читали сказки, им не надо было бы ничего переизобретать.

http://lexa.livejournal.com/47491.html

И немного в сторону - философское эссе Брюса Шнайера на CNews TV.


Вся правда о корпорации Potato

История чудесных путешествий во времени и противостояния корпорации Potato, команды боевых хакеров Potato Haters Devision и мутагенной флоры и фауны.
http://devteev.blogspot.com/2012/06/phdays-2012.html

понедельник, 4 июня 2012 г.

Сюрпризы PHDays

Внезапно форум Positive Hack Days стал шкатулкой, полной сюрпризов. Причем не только для посетителей, докладчиков и участников PHDays, но и для нас - организаторов этого действа.

И так, сюрпризы PHDays.

суббота, 2 июня 2012 г.

Video from PHDays & CTF Winners


Please find PHDays video at
http://digitaloctober.ru/event/positive_hack_days (ru)
http://digitaloctober.com/event/positive_hack_days (eng)


Congratulations to PHDays CTF winners!
1  - LeetMore - 150 000 rub
2 -  0daysober – 100 000 rub
3 - int3pids – 50 000 rub

Final scoreboard: http://ctftime.org/event/11/