вторник, 20 ноября 2012 г.

Как на Zeronights взломали phdays.ru

Уже пару кругов пробежало видео с Zeronights где взламывают сайт phdays.ru (http://youtu.be/EeGpPD8KtAU). Это ужасно и все в шоке.

Осторожно, ниже разоблачение!

"Взломщиков" трое. Все отъявленные иследователи безопасности Web-приложений отдела анализа защищенности Positive Technologies. Вот они, голубчики. http://2012.zeronights.ru/speakers#reutov-yunusov-nagibin.

Почему phdays.ru? Ну наш сайт, хотим строим, хотим ломаем. Логично.

PS. ZN - весьма, организаторы молодцы, чтоб два раза не вставать.

понедельник, 19 ноября 2012 г.

Power of Community в Сеуле


В начале ноября 2012 года ударная бригада PositiveTechnologies имела неосторожность принять приглашение организаторов и выступить на конференции Power of Community (POC) в Сеуле (Южная Корея).

Пока впечатления не развеялись, хочу поделиться тем, как делается безопасность в Стране утренней свежести.

Конференция POC является крупнейшим региональным ИБ-событием, собравшим более 300 специалистов из Кореи, Китая, Японии и других близлежащих стран. В этом году мероприятие проводится в седьмой раз.

Сайт конференции: http://www.powerofcommunity.net
Хэштег в Твиттере: #POC2012

Дальше...

вторник, 6 ноября 2012 г.

Безопасность SCADA в цифрах

Опубликовали исследования о текущей ситуации с безопасностью АСУ ТП.
Наслаждайтесь.

Обзор:
Полный текст:
Английский вариант:

Вопросы/комментарии привествуются. 

пятница, 2 ноября 2012 г.

Positive @ Zeronights

Ура! Скоро ZN, и это круто!
Просто великолепно, что конференция состоится второй раз!
Жаль, что проводится она будет не в Питере, и многие из главных вопросов останутся без ответов...

Как и в прошлом году, Positive Technologies активно поддерживает конференцию. Наш портал SecurityLab выступает информационным спосором и активно распостраняет информацию о хакерской осени в Москве по всем закоулкам Интернетов.
Кроме того, эксперты PT активно представлены в программе:

1. Дмитрий Скляров представит доклад по результатам исследования, которое было подготовлено еще на предыдущем месте работы.

2. Raz0r & Co представят Workshop по "Неслучайности случайных чисел" применительно к различным языкам программирования и Web Framework. Небольшой обзор тематики можно найти тут, но будет конечно же гораздо больше.

3. Михаил Фирстов со всей пролетарской ненавестью долбанет по MongoDB и покажет несколько 0-day и 1-day в этой попуряной NoSQL СУБД. См. тут, PT-2012-39 - PT-2012-41.

На самом деле мыслей было больше, хотелось рассказать и о взломах АСУ ТП и багах в Siemens WinCC, и провести workshop по forensic мобильных устройств и поиску 0-day в Android и про методы обхода SMEP в Windows 8 и про....
Но организаторов можно понять, это же не Positive Hack Nights, не забивать же программу конфы одним Позитивом :) Плюс у меня практически наложилась командировка в Корею, где кроме всего я выступлю с докладом на конференции Power Of Community.
Очень приятно, что вместе со мной там будет Александр Поляков. Придется нам с ним отдуваться за весь русский народ на Drinking Hell и как-то решать, что же будут тот "Only one crazy guy can survive!"

До встречи!




четверг, 1 ноября 2012 г.

PHDays III - делаем эпохальный форум вместе!


Коллеги,
С удовольствием ознакомился с обсуждениями последних мероприятий в области ИБ 1 и 2. Хочу привлечь ваше мнение и экспертизу к формированию программы форума.
Мы уже открыли CFP (http://www.phdays.ru/program/call_for_papers/) и объявили даты, PHDays III состоится 22-23 мая.
Коллеги, прошу вас писать в эту тему (или мне лично) информацию о тех людях и темах, присутствие/доклады которых укрепят за PHDays славу события из категории must visit (ох ты, как завернул). Как и в предыдущие годы мы будем стараться соблюдать баланс между отечественными и зарубежными докладчиками, между «звездами» и новыми людьми, поскольку PHDays – площадка нацеленная, прежде всего на развитие и на развитие отечественной индустрии ИБ.
В первую очередь нас интересует бизнес-аудитория, поскольку с техническими людьми проще и понятней и контента/докладчиков (на удивление) больше.
Также хотелось напомнить, что направленность PHDays – практическая. Практическая не значит «черная консоль и 0-day в ring-0». Вполне пойдет и Risk Management/SOC implementation/Compliance/Managed Security Services/Security VAS, но не в стиле «в облаках данные в облаке, поэтому риск»…
Также не очень бы хотелось видеть  «бизнес-тренингов по управлению временем» и проч… Хотя, если в рамках последнего будет анонсирован PoC машины времени – вполне подходит.
Ждем ваших пожеланий!

PS. Программа прошлого года тут http://www.phdays.ru/program/reports/ и тут http://www.phdays.ru/upload/program/program_rus.pdf

Писать предложения лучше тут:
http://sgordey.blogspot.ru/2012/11/phdays-iii.html