Как я провел Рождество

В Гамбурге прошел 31 Chaos Communication Congress. Прошел традиционно великолепно!

Наша команда взломала немного (9 ГВт) "Зеленой энергии".

Подробнее о докладах и как оно было вообще.  

http://habrahabr.ru/company/pt/blog/247129/

PS. С наступающим всех! Всего и всегда! Ура!

Немного новостей с фронтов АСУ ТП

Ровно 25 из США и одна из Японии. Работаем.

Zeronighs 2014

К сожалению, не успел на саму конференцию, выступал на PacSec в Токио, но благодаря любезному приглашению Яндекс и Антона Карпова, попал на вечеринку. И только успел со всеми перездороваться.

Деньги и малина

Увлекательные видео как получать деньги из банкоматов не беспокоясь о pin-коде и даже наличии кредитки. В ролях: Metasplot и Raspberry Pi.

http://scadastrangelove.blogspot.ru/2014/10/different-type-of-scada.html

Тут и там?

Часто возникают вопросы - как оно тут и как оно здесь? В чем разница между маркетингом/"толканием локтями" vs исследованием/взаимодействием.

Нашел две ссылки для демонстрации. Очень емко, имхо :).

https://twitter.com/scadasl/status/524846824390426624
http://www.allcio.ru/safety/66211.html

Так и не понял, чем второму автору не угодила картинка :)

Забудьте всё, чему вас учили в институте

Небольшой обзор образовательной программы Positive Education опубликован тут.
Из того, что не вошло в обзор:
- этим летом мы проводили "летнюю школу", в рамках которой 20 ребят прошли обучение и стажировку в Positive Technologies, а некоторые - влились в наш дружный коллектив. Не стоит забывать - мы всегда ищем кибербойцов невидимого фронта!
- с нового года в программе Positive Education  можно будет использовать новые продукты Positive Technologies: PT Application Firewall и PT Application Inspector.

Список ВУЗов-участников программы - под катом.

Добъем(ся от) отечественного разработчика?

Хотел написать много букв про импортозамещение, но отпала актуальность, просто приведу ссылку на г-на Ашманова.

http://roem.ru/2014/10/02/ashmanov_nikiforov108666/

Моя презентация с одноименного круглого стола на Infosecurity Moscow. Большое спасибо органиторам за полезное и емкое мероприятие.

Pt infosec - 2014 - импортозамещение from qqlan

Большой рубильник Рунета: как смотреть в будущее?

Понятно, что не каждый сможет. Но полезно посмотреть в прошлое иногда. Искал недавно для журналиста быстрые ассоциации по слову кибервойна, и наткнулся на заметку себя любимого от 2010 года.

Очень порадовал коментарий от уважаемого Анонимуса:

"Имеют доступ к содержимому «защищенных» систем передачи информации общего доступа (Skype, BlackBerry, сертификаты SSL/TLS и т.д.)"
По моему это из разряда тех же мифов что и "ФСБ имеет закладки во всех криптосредствах"

bash/CVE-2014-6271

Рекомендую испугаться и установить обновления, особенно на серверных системах "коллективного" доступа. Упоминаются Git, Subversion и даже немного Apache и другие CGI при условии шеловского фанатизма.

https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/

http://seclists.org/oss-sec/2014/q3/650

PS. Уже боюсь подключатся к WiFi с MacOS. Что скажете про Android в Московском Метро?

Jetinfo: Статический анализ кода: что могут инструментальные средства?

Попросили прокомментировать статью в Jetinfo. Кратко: по тексту - серьезных возражений не имею. Даже фраза про PT AI "На сегодняшний день набор применяемых правил для поиска уязвимостей достаточно беден" недалека от истины. Но есть нюанс (C)(R)(TM). Под катом.

Наука "поИБ"

Не хочу вдаваться в долгие рассуждения, хотя по катом привожу (да простит меня собеседник) переписку между "индустрией" и "академией", приведшую к появлению этой заметки.

По сути. Уже давно на Positive Hack Days мы (точнее Андрей Петухов, за что ему огромное спасибо) делаем секцию Young School, близкую к "академии". Зачастую эти результаты оказываются совсем не академическими, а совсем на оборот.

Собственно "амбула". На юбилейном, PHDays vV хотим организовать научный поток, который YS органично вольется. Поскольку как верно подчеркивает мой визави, образование-наука-индустрия - все звенья одной цепи.

Что думаете?

Конечно, есть прекрасные площадки, такие как Рускрипто, MMM ACNS и SA&PS4CS. Но, как обычно, хочется всех объединить на одной площадке, и физиков и лириков, и практиков и теоретиков.

iCloud? Взломали? Украли? Подобрали?

Интересным комментарием к бурно обсуждаемой утечке личных фотографий "звезд" из iCloud выглядит p0c для подбора AppleID через уязвимости в  API Find My iPhone, не блокировавшем учетную запись при большом количестве неверных попыток.

Судя по всем - дырку прикрыли.

Ну и много других версий,  и русский след, конечно же.

Представляю сейчас top поисковых запросов и заголовков спам/мэлваре рассылок :)

PHP - дыра на дыре?!!

В продолжение заметки "Кому нужен AppSec", новый обзор уязвимостей Web-приложений для различных отраслей . Есть облегченный вариант в Ведомостях.

Из резюме:

• Все веб-приложения содержат те или иные уязвимости, при этом 62% рассмотренных систем содержат уязвимости высокой степени риска

DEF CON CTF final 22

Обзор Def Con CTF от BalalaikaCr3w  http://habrahabr.ru/post/234191/

О пользе фейсбука и флейма

Пробегаясь по ссылкам, присланных коллегами и с довольным урчанием перечитывая самые забористые, вдруг вспомнил, что давано не писал сюда о любимой теме - АСУ ТП.

IDC о российском рынке ИБ

Выпущен отчет IDC Russia Security Software Market 2014–2018 Forecast and 2013 Vendor Shares

http://idcrussia.com/ru/research/published-reports/55260-russia-security-software-market-2014-2018-forecast-and-2013-vendor-shares

Сам отчет платный, но пресс-релизы дают достаточно представление о содержимом.

Пожалуй соглашусь с коллегами из Инфосистемы-Джет, что "бумажные" требования рынок во многом закрывает "бумажными" защитными механизмами, развивая технические и организационные аспекты СУИБ практически независимо.

http://top.rbc.ru/retail/19/08/2014/943746.shtml

http://www.vedomosti.ru/tech/news/32329631/bezopasnost-v-mode

http://safe.cnews.ru/news/top/index.shtml?2014/08/19/583221

http://www.nnit.ru/news/n170138/

http://www.vedomosti.ru/newspaper/opinions/2014/08/20/738331

Видео/PHDays IV

Собственно вот 

Ну и если вдруг кто еще не, все видео и презентации опубликованы

http://www.phdays.ru/program/tech/
http://www.phdays.ru/program/business/
http://www.phdays.ru/program/hands-on-labs/
http://www.phdays.ru/program/fast-track/

СССС: Сено/Сколково/Стартапы/Смузи

Пару дней назад приобрел интересный опыт, участвовал в жюри Skolkovo Startup Village 2014. На секции «Цифровая безопасность, защита персональных данных, биометрические системы» участвовали как начинающие, так и опытные разработчики - от Российского Квантового Центра до флэшки с иммобилайзером (sic!).

Были и проекты типа "мы сейчас сделаем DLP с Big Data и это огого сразу"!

В целом мероприятие по оформлению больше напоминало рок-фестиваль, хотя вместо уместного пива, шанка и панка были замечены Смузи и Визионеры, что несколько выбивало.

Техническое: для посетителей PHDays

Коллеги, в связи с тем, что на PHDays будут не просто все, а ВООБЩЕ ВСЕ, опасаемся переполнения буфера. Включаем компенсационные контроли.
Была добавлена линяя регистрации на входе (синяя стрелка) и два шатра на улице, где можно будет перекусить и посмотреть трансляцию из залов.

Если вдруг на двери зала написано, что он переполнен, скорее всего он переполнен! Но есть видеотрансляция (скоро на http://www.phdays.ru) !

Спасибо и до встречи!

PS. Не забываем про конкурсы и другие интересные события. Анонсы тут и тут.

PPS. Монтаж идет полным ходом! Будет неимоверно интересно!

Пришел, нашел 0-day, унес с собой

В этом году мы кардинально изменили конкурс Critcal Infrastructure Attack (ex choo choo pwn).
На стенде будут развернуты "живые" системы, обновленные по последнему слову техники. Участники будут искать самые настоящие 0-day в АСУ ТП. Права на обнаруженную уязвимость остаются за конкурсанатами.

Приз победителю: Phantom 2 Vision+

Подробнее:

http://www.phdays.ru/press/news/38010/

Hack Around The Clock

Один из обещанных сюрпризов. В этом году PHDays будет круглосуточным.
После основной программы 21го числа нас ждет выступление "Модели для сборки", после чего, с 22:30 и до утра — кинофестиваль киберпанковского и фантастическо кино.
Программа  пока секрет, но х/ф "Хакеры" -точно нет.

Да, еще одна немаловажная деталь: всю ночь в кинозале работает бар, который поможет создать профессиональную атмосферу и подогреть ваше восприятие искусства.

PHDays в твоем городе!

Совершенно необязательно ехать в Москву, чтобы попасть на PHDays. В этом году к PHDays Everywhere присоединилось 15 площадок: от Владивостока до Абу-Даби.
http://www.phdays.ru/registration/everywhere/#2

Жаль, что нет никого в Казахстане и Белорусии...

Новости PHDays IV

Полным ходом идут приготовления к Positive Hack Days новой версии! В этом году центральной темой форума станет цифровая натура, которая понемногу начинает себя вести и мешаться под ногами и вообще - пристально всматриваться в спину.

Конференция

Уже было несколько анонсов программы (раз, два, три), но у организаторов есть несколько козырей в рукаве, следите за новостями!

Традиционно конференция будет состоять из хардкорных технических докладов, вперемешку с бизнес-секциями и практическими hands-on labs.

Не хочу повторять программу (http://www.phdays.ru/program/), подсвечу только некоторые технические доклады.

• Небезопасное Smart TV - Донато Ферранте (Donato Ferrante), Луиджи Аурьемма (Luigi Auriemma)
• Эволюция атак на мобильные сети - Карстен Ноль (Karsten Nohl)
• Импрессия: не ломай — сделай свой ключ (Toool)
• Ошибки использования «безопасных» протоколов и их эксплуатация Владимир (3APA3A) Дубровин
• Криптография через год после разоблачений Сноудена (прошлое, настоящее и будущее) Ведущий: Эрик Фильоль
• Ловим шеллкоды под ARM, Светлана Гайворонская и Иван Петров
• О поиске бинарных уязвимостей нулевого дня в 2014 году, Алиса Шевченко (Esage)
• Обратная разработка драйверов OS X, Егор Федосеев
• Moloch — открытая система network forensic, Энди Уик (Andy Wick), Оуэн Миллер (Eoin Miller)
• Эксплуатация уязвимостей ARM, Асем Джакхар (Aseem Jakhar)

Огромное спасибо программному комитету за насыщенную и интересную программу!

Нас ждет очень насыщенный Fast Track и конкурс молодых ученых Young School под бессменным предводительством Андрея Петухова. Кстати, про молодых ученых...

Как попасть?!

К традиционным способам попасть на PHDays - от заявки на доклад до покупки билетов добавился еще один. Студенты ВУЗов, участвующих в Positive Education имеют квоту на бесплатное посещение Positive Hack Days. Что такое Positive Education и какие вузы туда входят? Вот ответ: http://habrahabr.ru/company/pt/blog/198810/. Да, победители и лауреаты второй Всероссийской студенческой олимпиады по информационной безопасности тоже бесплатно примут участие в PHDays!
Не стоит забывать и про PHDays Everywhere, площадки с живой трансляцией форума и специальными конкурсами будут развернуты от Владивостока до Абу-Даби.
Но есть и секретный хакерский способ...

Конкурсы

Информация по основным конкурсам уже опубликована, список постоянно пополняется... 
Журнал Хакер например раздает инвайты на PHDays авторам рубрики "Взлом".
В ближайшее время стартует конкурс "Конкурентная разведка", победители которого также получают приглашения на PHDays! Регистрация тут. Три победителя — те, кто справится с заданиями лучше и быстрее всех, — получат приглашения на PHDays IV, где мы вручим им ценные призы. Приз за первое место — iPad. Сам конкурс будет проходить за неделю до форума и продлится два дня — 15 и 16 мая.

В этом году все будет непросто. В прошлом году например было так.

В этом выпуске - все. Ждем вас на PHDays и с Праздником!

Кибербойцы невидимого фронта, где вы?

В нашей индустрии – люди — это главное. Не нужны дорогостоящие станки, суперкомпьютеры, и «чистые» ангары для сборки изделий.
Ноутбук, Kali Linux, штатный интернет – вот все, что нужно для кибербойца XXI века.
Шучу конечно. Серверные фермы, удобный офис, виртуальные лаборатории, документация, специализированный софт и главное, компания единомышленников, вместе с которыми можно творить великие дела...
В Positive Technologies сконцентрировано все, что нужно для комфортной работы. Есть у нас и вакансии.
Сегодня хочу подсветить направление Application Security, хотя существуют и другие.
Активно ждем ищем в свою команду экспертов по тестам на проникновению и безопасности приложений, готовых ломать сложнейшие системы, искать уязвимости пачками, входить в международные рейтинги, выступать на модных конференциях и разрабатывать уникальные продукты.
Основные специализации: пентест, AppSec Java/.NET/ABAP.
Подробнее тут: http://hh.ru/vacancy/10372068
Отдельно выделю задачу «SSDL аннигилятора», специалиста по внедрению процессов управления безопасностью в разработке. Если от слов SAMM, BSIMM, SDLC, Agile, DevOps у вас не болят зубы, а наоборот, загораются глаза – добро пожаловать к нам в коллектив.
Подробнее: http://hh.ru/vacancy/10372537

PS. По просьбе коллег из Центра Кибербезопасности ОАО «РЖД». 

Центру требуются эксперты для проведения и сопровождения работ по анализу защищенности микропроцессорных систем управления железнодорожным транспортом (станции, локомотивы.  электропитание) и систем связи.
Обязательны практические навыки анализа защищенности информационных систем, управления проектами, взаимодействия с подрядчиками.
Желателен опыт или понимание систем АСУ, а также профильное образование (МИИТ, ПГУПС и т.п.)

Контакты: Колесников Артур Георгиевич, A.Kolesnikov@vniias.ru 

PPS. Картинка заимствованна, активная ссылка оставлена для юмора. 

CVE-2014-0160: красное или желтое?

В кулуарах возник вопрос о том, что различные источники по разному оценивают степень риска, связанно с уязвимостью в OpenSSL.

Давайте попробуем посчитать сами.

Формально, по CVSS, степень риска – средняя. Однако для ряда сервисов – например публичных Web-сайтов – степень риска вполне себе критическая, поскольку с помощью уязвимости можно увести пароли  и потом влиять не только «чуть-чуть на конфиденциальность» как в CVSS, а устроить полный кибермагидец всему CIA. Это естественно сказывается на оценке, ведь именно Impact Metrics в данном случае дает невысокую оценку.

Проблема (точнее не проблема, а понятное ограничение) CVSS и подобных оценок, то что они не рассматривают уязвимость применительно к конкретной системе и не рассматривают «второй хоп» эксплуатации, т.е. уязвимости, возникающие в результате успешной атаки. Это в принципе правильно, поскольку все это носит вероятностную оценку, надо строить граф атаки и т.д. Но иногда, при применении «в лоб» может запутать неспециалиста.

С подобной ситуацией я сталкивался когда при разработке WASC TCv2 пытались сделать «шкалу рисков» для Web-уязвимостей. Очень непросто, поскольку для оценки не уязвимости, а потенциального риска для системы надо учитывать контекст, т.е. к чему может привести данная конкретная SQLi или XSS. Согласитесь, что XSS на основной странице Яндекса или на никогда не используемом Web-HMI системы АСУ ТП, через которую только alert получишь – совершенно разные вещи.
В результате мы долго использовали «worst case scenario» (http://www.ptsecurity.ru/download/analitika_web.pdf, стр 32), но сейчас пересматриваем и этот подход.

Таким образом ответ: формально уязвимость – среднего уровня риска, однако для систем передающих важную информацию небольших объемов (пароли, номера кред и проч) эксплуатация уязвимости может привести к получению данных, использование которых может привести к полной компрометации системы или существенным финансовым потерям, в связи с чем иногда полезно повышать степень ее риска до критической.

Немного SCADA 0-day морозным весенним утром

Недавно Siemens выстрелил дуплетом патчей для PLC линейки SIMATIC S7. Уязвимости были закрыты в "игрушечных" контроллерах S7 1200 и S7 1500.
Ряд уязвимостей был обнаружен ребятами из Positive Technologis Yury Goltsev, Ilya Karpov, Alexey Osipov, Dmitry Serebryannikov и Alex Timorin., подробности тут:

http://scadastrangelove.blogspot.ru/search/label/PLC

Наиболее интересными среди обнаруженных кажется CVE-2014-2251 aka CVE-2014-2250 позволяющая обходить авторизацию на интерфейсах управления и ряд проблем с обработкой пакетов индустриальных протоколов, устранение самой исторической из них заняло почти год.

Надо отдать должное, Siemens значительно поработал над функциями безопасности в новой линейке S7 1500, но их реализация требует некоторой "доработки напильником".

Ruscrypto: Cheers!

Незаметно подкралась весна, а с ней и конференция Рускрипто.

Лично мне очень понравились секции

Технологии создания безопасного ПО
Продукты и технологии информационной безопасности
Кибербезопасность

Секция Безопасность современных информационных технологий заслуживала внимания хотя бы из-за таких заголовков как "Адаптивная обманная система для рефлексивного управления злоумышленником".

Когда я прочитал в пресс-релизе про "круглый стол «Подлинная безопасность, разговор на троих», участником которого станет Сергей Гордейчик, заместитель генерального директора Positive Technologies. Сергей обсудит с другими известными российскими экспертами — старшим исследователем Digital Security Олегом Купреевым и заместителем генерального директора компании «Перспективный мониторинг» Алексеем Качалиным — вопросы комплексного обеспечения информационной безопасности — сложной, многоаспектной задачи. Участники дискуссии расскажут о своих подходах к ее решению" у меня свело скулы и мы  решили как-то оживить дискуссию. Стопка текилы за каждый заданный вопрос поначалу казалась смелой идеей, но потом... В общем дискуссия оказалась настолько живой, что никто из участников не решился опубликовать свои презентации.

Модерируемая мной секция "Безопасность интернета вещей" прошла, к сожалению без моего участия - был срочно вызван в город. Но по заверениям докладчиков и участников - все было отлично. Более того Алексей Качалин вызвался подновить и повторить ее на PHDays. Ждем!
Из "наших" на секции выступил Артем с темой "Слишком Smart Grid в облаках". Звучит интригующе, передаю слово автору:

«Вслед за солнечными и ветряными электростанциями, которыми покрылась почти вся Европа (25% энергетики Дании — это ветрогенераторы), очень быстро вырос сегмент "умных" сетей электроснабжения, так называемых Smart Grid, — говорит Артем Чайкин. — Подобные системы позволяют гораздо эффективнее расходовать электроэнергию, решать проблемы ее доступности и недостатка информации о потреблении с помощью автоматического или ручного контроля. Однако интеллектуальные энергосети обычно подключены к интернету и имеют очень много уязвимостей. Обнаружив консоль Smart Grid в интернете, злоумышленник может обойти авторизацию (иногда и она не требуется), завладеть доступом к управлению параметрами системы, обновить прошивку, проникнуть в другие сегменты сети. Сейчас эти технологии оттачиваются на пользователях "интеллектуальных домов" или малых офисов, но когда начнется массовый перевод "в облака" сетей электроснабжения критически важных объектов, это повлечет за собой риски, сравнимые с уязвимостями SCADA-систем».

Ух, жуть берет. Обязательно на PHDays послушаю.

В целом, конференция в очередной раз подтвердила свой высокий уровень, чему я несказанно рад. Рекомендую.

Фотоотчет:

https://www.facebook.com/media/set/?set=oa.697327793657110 

https://www.facebook.com/media/set/?set=oa.697324306990792

Презентации докладов:
http://www.ruscrypto.ru/accotiation/archive/rc2014/

«Анонимусы» — прикрытие для серьезных операций

Ужасные анонимусы нападают на КВО. Просто комшар... http://www.digit.ru/internet/20140318/413777937.html

Рускрипто/Интернет вещей/срочный CFP

Внимание! Внимание!

Срочный зов докладов на секцию "Безопасность интернета вещей" старейшей российской конференции по безопасности Рускрипто!

Секция проводится 27 марта, в четверг. Формат: 15 минут. Приветсвуются собственные исследования в этой области или результаты практических экспериментов. Обзорные компиляции из открытых источников - "может быть", если очень качественные.

Заявки присылать: program.ruscrypto.ru и/или мне (gordey.ptsecurity.com) напрямую. 

Интересную компанию и внимательную аудиторию гарантирую!

Мертвая дата: пятница, 28 фераля 23:59.

Предварительная программа тут: http://www.ruscrypto.ru/program/timeline/

Большой Адроный Колайдер в (без)опасности!!!

Прочитал недавно в австралийских IT-news об ужасных хакерах, получающих полный доступ к критичным SCADA-системам.

Все примерно так и было, только не на 30C3, а на Kaspersky SAS 2014. И не злые хакеры, а добрые исследователи. И не Гордейчик, а Глеб Грицай, Илья Карпов и Кирилл Нестеров. И вообще - все уже устранили.

Но, в любом случае, баги забавные, поэтому публикую выдержку из доклада. Уровень подробностей считаем достаточным.


Видео из доклада.

Русский вариант истории.

PS. Организаторам Kaspersky SAS - огромное спасибо, конференция великолепна!

PPS. Наши победили! Ураааа!

Sochi2014: Киберкошмар

Наши заокеанские друзья нагнетают олимпийского духа.

http://www.nbcnews.com/storyline/sochi-olympics/sochi-security-warning-cyber-attacks-hackers-target-games-n22596

И сматфон с ноутбуков взломали-взломали и анонимусы наступают. Неплохо можно наловить 0-dayэчиков, ящитаю :)

sniffmap:кто за кем следит?

Интересный проект, наглядно показывающий, что значит фраза "функционирования национального сегмента единой мировой информационно-телекоммуникационной сети в условиях массированного деструктивного информационного воздействия" как ходит трафик в Интернет.

http://sniffmap.telcomap.org/

Bug-bounty для правительства: хороший, плохой, злой

В переписке по поводу стратегии кибербезопасности возник вопрос: «Объясните пожалуйста, почему bug-bounty будет вреден для гос. органов?».
Коротко не получилось, опять много букв.
Здесь и далее мое личное, частное мнение.

Стратегия кибербезопасности: без хозяина не взлетит

С удовольствием прочитал проект документа «КОНЦЕПЦИЯ СТРАТЕГИИ КИБЕРБЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ». Поскольку официального запроса на рецензию не приходило, выскажу в частном порядке свое личное мнение.
В целом документ выглядит невредным, есть полезные моменты, есть пару недоработок.
Далее много букв.

Hacker In The Box #10

Вышел 10й номер журнала HITB Magazine. Кроме всего прочего интересного обнаружил там статьи соратников Георгия Носеевича, Андрея Петухова и Дениса Гамаюнова и  коллег @cyberpunkych/@ru_raz0r/@a66at/Дмитрия Нагибина.

Не знаю как вам, но мне греет душу, что впервые эти исследования были представлены в России, на российской конференции. Да, да - там где взломали сайт Positive Hack Days.

Виновник: http://magazine.hackinthebox.org/issues/HITB-Ezine-Issue-010.pdf

Все выпуски: http://magazine.hackinthebox.org/hitb-magazine.html

IDC: Positive Technologies #1

В дополнение к прошлым"медалям". Positive Technologies была названа ведущей аналитической фирмой IDC самой быстрорастущей в мире компанией в сегменте Security and Vulnerability Management.

В мае 2013го MaxPatrol прошел сертификацию Center fro Internet Security (CIS)  в части проверок на соответствие стандартам этой уважаемой организации.

PS. PR & Marketing, ничего боле.

Chaos Communication Congress 30

Старейшая хакерская конференция мира в этом году праздновала свое тридцатилетие. Сказать, что 30C3 был великолепен - значит ничего не сказать.

Не смотря на явный перебор с разными "викиликсами" и "анб" отличная техническая и художественная программа, тусовка, атмосфера и антураж сделали свое дело и 4 дня конгресса пролетели как одно мгновение. Правда в Гамбурге был выпит весь Club Mate, поэтому Tschunk в этом году был нереально злой. Что накладывало.

Никогда еще не готовился к выступлению в таком хаосе. Но было круто.

Очень круто. Рекомендую.

Обзор конференции

http://habrahabr.ru/company/pt/blog/209010/

Наши релизы

http://scadastrangelove.blogspot.ru/2014/01/30c3-releases-all-in-one.html

Медиаархив

http://media.ccc.de/browse/congress/2013/

http://cdn.media.ccc.de/congress/2013/

http://www.youtube.com/user/CCCen

Публикации

http://rt.com/usa/dell-appelbaum-30c3-apology-027/

http://it.slashdot.org/story/14/01/12/1341207/hackers-gain-full-control-of-critical-scada-systems

http://phys.org/news/2014-01-30c3-sd-card-mitm.html

http://www.zdnet.com/researcher-describes-ease-to-detect-derail-and-exploit-nsas-lawful-interception-7000025073/

http://www.telegraph.co.uk/technology/internet-security/10568299/Hackers-discover-flaws-that-may-leave-water-and-electricity-networks-vulnerable.html

http://www.zdnet.com/glenn-greenwald-to-deliver-keynote-at-30c3-hacker-conference-7000024580/