понедельник, 23 декабря 2013 г.

Кибернаводчики

Интересные ситуации иногда возникают в нашей индустрии. Подразделение одной крупной государственной организации занимается безопасностью в банковской сфере. И выпускает это организация отчет, что более 10% банков выявляют инциденты в своих системах, в 46% процентах это фрод, в 27% - кража информации, необходимой для проведения переводов.
Список банков, понятен, вот он лежит.

Далее, цитирую "Как говорится, велкам! 

На жаргоне это наводка. Попробовали бы авторы на себя примерить. Автодилер, скажем, выложит номера прошедших ТО рядом с исследованием, что у 75% тросик открытия капота банально под правым локером спрятан. Или школа пусть напишет, что 40% учеников даже младших классов родители не забирают."


Есть еще более вопиющие случаи. Напримре тут, легко можно найти организации, у которых проблемы с выполнением 152 ФЗ, а стало быть и с защитой персональных данных! Хочешь немного персональных данных нарушить? Прям берешь список и идешь нарушать!

А если я например кибершпион китайский? Беру Verizon DBIR и прямо у меня пошаговая инструкция, как ломать, да еще и с разбивкой по отраслям.

Более того, некотоые совсем распоясались. Прямо так и пишут "You're vulnerable". Это же всю идустрию put at risk!

Посмеялись? Я тоже.

Отвечу на некоторые комментарии (см. выше ссылку на facebook) по нашему исследованию.

Ilya Borisov По мне отчет не очень похож на правду. Ну не верю я что так плохо все с периметром.

Илья, чистая правда. Действительно все так. Собственно для этого и отчет.


Ilya Medvedovsky Прочел отчет. По периметру это справедливо только по очень специфичной выборке заказчиков (если веб и социалку выкидываем). Причем из отчета четко ясно по каким: госы и телекомы. Вторые огромны на периметре и могут дать такую статистику, которая по числу узлов забьет кого хочешь. А первые дырявы и раздолбайны. По остальным категориям - периметры вырождены и минимизированы - ломать в лоб почти нечего (я не про веб, повторюсь). Так, если по опыту. Хотя бывают исключения.

Илья, отчет включает веб и социалку, ибо они входят в нашу стандартную методику (также как и wifi, мобильные устройства и т.д.). Считаем что без них комплексный пентест не комплескный.
Что касается "минимизированных периметров", то не соглашусь. Например технологические компании: Yandex, Nokia имеют (имели) даже собственные bug bounty программы, чтобы периметр вычищать. Банки (если пентест не 5 узлов под PCI DSS) а серьезный пентест, вполне себе имеют разлапистый периметр. Ну и так далее.

PS. Ну и телекомов в России далеко не 3. Пруф.И это только в России, мы же работаем по всему миру. Сейчас подкопится статистика, надеюсь опубликуем сравнение, "как у них и как у нас".






пятница, 29 ноября 2013 г.

PHDays IV + долги

Анонсирован PHDays IV. Все будет 21-22 мая 2014.
Подробнее тут: http://habrahabr.ru/company/pt/blog/203682/

По многочисленным просьбам подготовили русские субтитры для фильма про PHDays III.



воскресенье, 17 ноября 2013 г.

FIDO 2013

Нет, гипертекстовый векторный ФИДОнет тут не причем и призывать к повсеместному использованию МК я не собираюсь. Arduino как-то ближе.
Речь пойдет о альянсе FIDO, в рамках которого разрабатываются стандарты стойкой аутентификации для повсеместного использования. Что весьма актуально в наше неспокойное время.
Очень отрадно, что в альянс уже входит российская компания Актив, продвигая в нем совместимость с национальными стандартами защиты информации.
Подробнее в статье на CNews.

среда, 13 ноября 2013 г.

Куда заводит хакинг...

На прошлой неделе мы активно рассказывали, показывали и доказывали безопасность в разных частях света. На конференции Power of Community в Сеуле и на Zeronights в Москве.

С отчетами можно ознакомится по ссылкам:

POC2013

Неполный, но русский
http://habrahabr.ru/company/pt/blog/201830/

Полный, но английский
http://scadastrangelove.blogspot.com/2013/11/last-week-four-guys-of-scada.html


Zeronights

http://scadastrangelove.blogspot.com/2013/11/scada-security-deep-inside.html

Презентации там же, а вот утилиты и специальные релизы по отдельной ссылке:
http://scadastrangelove.blogspot.com/2013/11/power-of-community-2013-special-release.html

Огромное спасибо организаторам, участникам и докладчикам обоих конференций. Было круто!

Ну и в конце немного "МКС/stuxnet/АЭС/ужас-ужас"...



PS. http://www.securitylab.ru/news/358467.php




суббота, 9 ноября 2013 г.

PHDays III Documentary

Вот как-то так все оно и было...




среда, 6 ноября 2013 г.

Двойной удар по АСУ ТП

Парни из SCADA StrangeLove Positive Technologies нанесут синхронный удар по безопасности АСУ ТП в Москве и Сеуле.
На конференции ZeroNights (http://2013.zeronights.ru/program#timorin-tlyapov) Глеб Грицай и Александр Тляпов расскажут о последних исследованиях в области безопасности промышленных протоколов и об археологических раскопках внутренностей SCADA-систем.
На конференции Power of Community Александр Тиморин, Илья Карпов и Юрий Гольцев (http://www.powerofcommunity.net/schedule.html) проводят конкурс и доклад по мотивам Choo Choo PWN с PHDays III (http://2013.phdays.ru/program/contests/#17028).

Добро пожаловать в небезопасный мир безопасности АСУ ТП!

воскресенье, 6 октября 2013 г.

Инфобез: Немного безысходности для успешной карьеры

На следующей неделе грозится состояться Инфобез (aka Infobez-Expo). Во второй день, 09.10.2013 в период 10:30 – 12:00 немного помодерирую круглый стол: "Практические аспекты обеспечения безопасности АСУ ТП" где среди прочего @repdet зажжет (насколько это возможно с такой темой) про безопасность АСУ ТП и безысходность .
На следующий день (10.10.2013) в  12:30 колов времени предстоит мастер-класс для молодых специалистов: "Как построить успешную карьеру в ИБ?". Там уже не отвертеться, придется выступать. Видимо про PHDays, CTF и Positive Education.

Программа тут.

четверг, 3 октября 2013 г.

Ничего не вижу, ничего не слышу

В моем достаточно длинном списке недостоверных источников информации появилась организация Freedom House.
Я прекрасно понимаю, что они "вообще не о том" и результаты во многом определяются методикой исследования, но что-то говорить о свободе Интернет в США после последних событий просто смешно.

Т.е. я не сомневаюсь, что в рамках выбранной методики все результаты достоверны. Но поскольку они противоречат здравому смыслу возникает понимание манипуляции с помощью методики.

Есть еще один наглядный пример. Посмотрите на карту внизу.


По основному посылу - синенькие, это где цензура через Bluecoat и ужас-ужас. Конечно, когда начинаешь разбираться, оказывается что "серенькие" просто не включены в в исследование, поскольку там все нормально и сколько там инсталяций Bluecoat фильтрует интернеты - никому не интересно. Но кто там будет разбираться, есть же картинка.

воскресенье, 29 сентября 2013 г.

Основной элемент. Цифровая эпидемия

На России 24 недавно вышел фильм "Основной элемент. Цифровая эпидемия."

Компьютеры, которые когда-то создавались исключительно для блага человека, теперь могут нести реальную угрозу. В век информационных технологий преступникам вовсе не надо с автоматами вламываться в банки или закладывать бомбы, рискуя быть пойманными. В их руках куда более грозное оружие, которое позволяет им действовать на расстоянии.

пятница, 27 сентября 2013 г.

hackers wanted!

Ищем хакеров пентестеров. Все как обычно - ломать, что ломается, исследовать неломаемое и потом ломать, делать невозможное, создавать несуществующее.

Офис/Москва/Питер, другие места.

Рядом с офисами комфортно расположенны исследовательские лаборатории и команты психотерапии.


Писать мне или сюда.

PS. Кто такие хакеры пентестеры? Читайте, в комментариях все изложенно.

среда, 25 сентября 2013 г.

Завтра на Infosec

Завтра на Infosecurity Moscow (http://www.infosecurityrussia.ru/) в районе 12 часов  ваш покорный слуга будет принимать участие в секции АМТ по безопасности АСУ ТП.
А на стенде наших партнеров, компании Диалог-Наука можно поймать Дениса Баранова, руководителя направления безопасности приложений Positive Technologies и не только попытать его о новых продуктах PT AF и PT AI, но и своими глазами посмотреть на НДВ, закладки и черную магию.

PS. А картинка в начале - аттракцион "найди жучка" от одного из участников. PHDays цитируют? Приятно!

пятница, 13 сентября 2013 г.

Кевин Митник в Москве

Вчера в хакспейсе Neuron Кевин Митник  рассказавал всю хэккерскую правду. Которая оказалась насколько хэккерской и правдивой, что боюсь, мой скромный бложек ее не выдержит. Поэтому - фоточки.






Use VPN to access your GMail account, ага...

вторник, 10 сентября 2013 г.

Два слова о MS13-072/MS13-073

Microsoft недавно выпустил патчи MS13-072 и MS13-073, которые закрывают уязвимости XML External Entities Resolution CVE-2013-3159 и CVE-2013-3160, также известные как XXE OOB . Детали и инструменты для работы с подобными уязвимостями обсуждались в докладе Тимура Юнусова и Алексея Осипова XML Out-Of-Band Data Retrieval на Black Hat Talk этой весной .

Ставьте патчи, используйте XXOETA будьте счастливы.

Техномагия

В последнее время много раз сталкивался парадоксальной (ладно, не парадоксальной, а вполне понятной) ситуацией, когда специалисты и управленцы в области ИТ и ИБ полностью игнорируют и здравый смысл и набивший оскомину анализ рисков до того момента, когда не прозвучит какой-либо новый маркетинговый buzz-word или что-то "умное" из мира "бизнеса" и "менеджмента".
Выглядит это примерно так:


среда, 4 сентября 2013 г.

Positive Hack Days III official video

PHDays III за пять минут...


понедельник, 2 сентября 2013 г.

Аэрофлот поломали? Ужас-ужас...

Все как положено, шпионы - шпионят, журналисты - пишут статьи, а ваш покорный слуга пытается на пальцах, за 15 минут, объяснить неподготовленной аудитории подходы к анализу защищенности, PDCA применительно к ИБ и начинания России в области защиты критически важный объектов информационной инфраструктуры...

Кино под катом.


четверг, 22 августа 2013 г.

Кому нужен AppSec?

В комментариях к предыдущей публикации коллега chukot задал интересный вопрос, цитирую:
Можно поинтересоваться - какая целевая ниша у этого продукта? Явно не по соседству с MaxPatrol его ставить и нагружать такой спецификой местных ИБшников. Тут скорее для каких-то хардкорных аудиторов и веб-программеров.
Конечно, повышение защищенности приложений далеко не так увлекательно, как обеспечение соответствия очередной ветке регулирования законодательства о защите персональных данных, но все же.
Хотелось многое написать, но пусть вместо нас говорит рынок.
Согласно Verizon 2013 Data Breach Investigations Report, атаки на Web-приложения использовались в ~27% всех инцидентов ИБ в крупных корпорациях.



вторник, 20 августа 2013 г.

Скрестить ужа с ежом/найти все-все 0day/захватить вселенную!11

Краткое содержание

несовместимость DAST/SAST; IAST - buzzword и реальность;третий путь;меньше скобок

Как было отмечено в предыдущей заметке, у систем поиска уязвимостей SAST и  DAST есть и преимущества и недостатки, поэтому проблема поиска оптимального подхода к автоматизации анализа безопасности приложений не теряет своей актуальности. За последние несколько лет было выполнено как минимум три подхода к решению этой задачи.

вторник, 13 августа 2013 г.

Любопытсво - не порок... Honeypot для MySQL


Добрые парни @GiftsUngiven и @cyberpunkych  отрелизили доклад о некоторых особенностях mysql на Chaos Constructions. Было забавно.



PS. Тула для mitm уже тут http://intercepter.nerf.ru/#down

Черно-белая «статика» или динамический анализ исходных кодов

Краткое содержание: как модно искать уязвимости приложений; почему SAST и статический анализ, и DAST и динамический анализ не синонимы; в чем прелесть SAST и красота DAST; много скобок.

понедельник, 12 августа 2013 г.

Зачем Арону Каскад?

Наткнулся на твит, в рамках которого Aaron Portnoy интересуется уязвимостями SCADA Каскад.
Что в этом удивительного? Дело в том, что Арон, соучредитель широко известной в узкой кругах компании Exodus Intelligence, приторговывающей эксплойтами. Ну и основные покупатели у него сами понимаете кто. Очень сомневаюсь, что их интерес к SCADA российского производства как-то связан с Responsible Disclosure и повышением защищенности. Скорее уж с повышением обороноспособности...
Таким образом, отечественным разработчикам АСУ ТП необходимо готовится к серьезному повышению защищенности своих систем. Добро пожаловать в реальный мир!

PS. Кстати, очень удивлен, что коллеги из Станкинформзащиты опубликовали уязвимости в Каскаде без принятого в данном случае взаимодействия с разработчиком.
Оригинал: http://habrahabr.ru/company/xakep/blog/123672/

вторник, 30 июля 2013 г.

Охота на ведьм в исходных кодах: НДВ, закладки и черная магия

Краткое содержание

Много букв и пару картинок про "закладки", "НДВ", бэкдор, анализ исходных кодов и APT, хотя он здесь оказался не при чем (внимание! в тексте много скобок и немного теории заговора).

NATO & PHDays: better together!

Огромное спасибо Никите за победу в hack2own на PHDays 2011 и демонстрацию трофейного ноутбука (см. с секунды 50). 



среда, 24 июля 2013 г.

Универсиада, это не только спорт

Уже многое написано о Универсиаде, о построенных объектах и завоеванных медалях. Но мало кто говорит о том, что подобные мероприятия - это грандиозный IT-проект. Ваш покорный слуга знает об этом не понаслышке, поскольку последний месяц координировал работу Security Operation Center Positive Technologies, плотно вовлеченный в обеспечение информационной безопасности Универсиады.
Очень интересная задача, многое (но не все) удалось вытянуть на очень высокий уровень. Из основных выводов, для себя лично, могу сказать, что работа “внутреннего” SOC, пускай даже в модели аутсорсинга,  сильно отличается от SOC на подобных событиях. Больше это было похоже на непрерывный консалтинговый проект по анализу защищенности и расследованию инцидентов. Причем в режиме 24/7 и с ощущением легкой паники. Ну или на подготовку к PHDays, если угодно.

Немного официальной статистики и фотографий.

Источник: http://minsvyaz.ru/ru/news/index.php?id_4=43856

4 утра после церемонии открытия. Не упало! 
Нет, я не хакер, я дургой

PT SOC on duty

PT SOC on duty also на фоне ковра
  
Kazan 2013 Technical Operation Center после закрытия. Не упало!

PS. Да, да - вы не ошиблись, проведена аттестация АИС. И никто от этого не погиб и не потеряо. Regulatory Compliance, что делать. Dura lex, sed lex. 
PPS. Есть мнение, что успехи наших спортсменов связан с доступностью из Интернет систем Swiss Timing, замеряющие результаты соревнований, но это все домыслы. Я так думаю... 


пятница, 28 июня 2013 г.

Обновите свой завод! Последние новости о безопасности АСУ ТП

В последнее время происходит много всего интересного, связанного с безопасностью АСУ ТП.

На прошедшем Positive Hack Days было достаточно много интересных выступлений по различным направлениям защиты (и не совсем) систем ICS/SCADA. Вот некоторые из них.

DIY Industrial IPS, Dmitry Dudov 
Find Them, Bind Them – Industrial Control Systems (ICS) on the Internet, Johannes Klick, Daniel Marzin 
How to Straighten up a Car's "Brains", Kirill Ermakov, Dmitry Sklyarov 
Are ICS Models Needed to Ensure Information Security of Industrial Systems?
 Ruslan Stefanov 

Напомню, что видеотрансляция и презентации доступны в Интернет.

http://www.phdays.ru/registration/everywhere/broadcast.php#2
http://www.slideshare.net/phdays

Команда SCADA StrangeLove безопасности АСУ ТП компании Positive Technologies подготовила два доклада, конкурс Choo-Choo PWN, воркшопы по безопасности сетевых протоколов...

В докладе Industrial protocols for pentesters Александр Тиморин и Дмитрий Ефанов поделились результатами своих исследований индустриальных протоколов modbus, S7, DNP3, Profinet и повзрывали конденсаторы.



Александр опубликовал утилиту profinet_spanner.py которую можно использовать для быстрого поиска ICS-устройств в сети, а также с другими целями. Небольшая демонстрация - ниже.


Также мы представили доклад How to build your own Stuxnet, этакий отчет за год исследований.




Внезапно, чуть ли не в ходе выступления были выпущены обновления безопасности для Invensys Wonderware Information Server (используется в Wonderware Intouch HMI и ArchestrA System Platform) и Siemens WinCC 7.2. Это хорошо.

http://scadastrangelove.blogspot.ru/2013/06/invensys-wonderware-information-server.html

http://scadastrangelove.blogspot.ru/2013/06/wincc-vulnerabilities-fixes.html

Хотелось бы обратить внимание на CVE-2013-3957, поскольку уязвимость применима не только для WebNavigator но и для WinCC Runtime, т.е. удаленное выполнение кода возможно не только через HTTP/HTTPS, но и по протоколу OPC.

PS. В этом году уже опубликовано 75 уязвимостей, связанных с компонентами АСУ ТП. Год обещает быть урожайным.




четверг, 20 июня 2013 г.

Всего одно поддельное письмо, а столько шума...

Забавно как мы доверяем электронной почте, социальным сетям, даже понимая, что любая информация в них может быть легко подделана.

Недавний инцидент с сообщением якобы от  имени пресс-службы правительства РФ об отставке главы РЖД Владимира Якунина лишний раз доказывает это.
Напомню, что информация из поддельного письма была получена моментально растиражирована ведущими информационными агенствами, включая РИА Новости,  Интерфакс,  ИТАР-ТАСС, РБК, Рейтер и Bloomberg.
В общем-то ничего нового и Белый Дом в США недавно "взрывали" и Абрамовича "задерживали". Вполне себе тенденция.

Подробней: http://ria.ru/politics/20130620/944500480.html

понедельник, 3 июня 2013 г.

Слайды с выступлений phdays

Опубликованы слайды с выступлений Positive Hack Days. Пока не все, но многие http://www.slideshare.net/phdays/presentations?order=latest

Обновлен список райтапов и публикаций http://sgordey.blogspot.ru/2013/05/phdays-iii-write-ups.html

вторник, 28 мая 2013 г.

PHDays III write-ups


В этой тему буду помещать отзывы и публикации о Positive Hack Days III и все что его окружает.
Если что-то забыл/пропустил, пишите, добавлю.
Напоминаю, что продолжается конкурс на лучшую публикацию о PHDays, победителя ждут призы!

http://blog.phdays.ru/2013/05/phdays.html


Update 4.06

http://scii.ru/_shr/2013/06/phdays-2013/
http://habrahabr.ru/company/pt/blog/182058/
http://www.transportcard.ru/2013/06/blog-post_8825.html

Update 2.06

Слайды с выступлений
www.slideshare.net/phdays/presentations?order=latest

http://www.dataart.ru/blog/2013/06/dataart-protokoliroval-na-it-talk/
http://leetmore.ctf.su/wp/phd-ctf-2013-hackskell-500 (там много)
http://pastebin.com/gFwGNwzG
http://serenevenkiy.com/life/positive-hack-days-iii/
http://www.securitylab.ru/blog/personal/toxa/30547.php

Update 30.05


http://gematom.blogspot.ru/2013/02/positive-hack-days-2013.html
http://trud-ost.ru/?p=199872
http://www.osp.ru/news/articles/2013/19/13035809/
http://80na20.blogspot.ru/2013/05/phdays2013.html?spref=tw
http://www.dvfu.ru/-/studenty-skoly-estestvennyh-nauk-dvfu-stali-lucsimi-v-zasite-informacii
http://www.technoserv.com/about/company/press/articles/5270/
http://securegalaxy.blogspot.ru/2013/05/phdays.html?m=1
http://www.asteros.ru/press/news/2150/
http://extrime-code.ru/positive-hack-days-iii-%D0%B2-%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D0%B8%D0%B1%D0%B8%D1%80%D1%81%D0%BA%D0%B5-%D0%B2%D0%BF%D0%B5%D1%87%D0%B0%D1%82%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F/
http://blogbdv.blogspot.ru/2013/05/phdays-2013.html
https://forum.antichat.ru/thread384841.html
https://rdot.org/forum/showthread.php?t=2743
http://fleyta.blogspot.ru/2013/05/phdays.html?m=1



Media

http://www.intermonitor.ru/labirint-emocij-na-positive-hack-days-iii/

www.vesti.ru/doc.html?id=1087623&cid=7

http://www.8tv.ru/?id=12&hotnews=25295
http://www.xakep.ru/post/60688/default.asp
http://www.themoscowtimes.com/business/article/forum-helps-hackers-to-obey-law/480489.html
http://hitech.vesti.ru/news/view/id/2053
http://bankir.ru/novosti/s/zhirinovskii-ponimaet-khakerov-10045289/
http://www.mskit.ru/news/n143435/
http://www.digit.ru/technology/20130528/401872762.html

Blogs

http://mybestmac.blogspot.ru/2013/05/iphone-ipad_27.html
http://www.tsarev.biz/informacionnaya-bezopasnost/vpechatlenie-ot-phdays-2013-ili-kto-zakazchik-kiberbezopasnosti-v-rossii/
http://www.securitylab.ru/blog/personal/toxa/30467.php
http://sborisov.blogspot.ru/2013/05/dpi-waf-dlp.html 
http://www.securitylab.ru/blog/personal/shanker/30481.php
http://m.vk.com/wall-43001537_33933
http://c3ret.wordpress.com/2013/05/21/positive-hack-days-2013-phdays-iii/
http://forum.antichat.ru/thread384443.html
http://sgordey.blogspot.ru/2013/05/phdays-iii_27.html
http://vkochetkov.blogspot.ru/2013/05/phdays-iii.html
http://scadastrangelove.blogspot.com/2013/05/scada-strangelove-positive-hack-days.html#more

Write-up

http://habrahabr.ru/sandbox/64033/
http://raz0r.name/other/phdays-2013-ctf-blade-writeup/
https://rdot.org/forum/showthread.php?t=2740

Everywhere

https://m.vk.com/phdvl2013
http://nsuem.ru/dt/aboutUniver/news/news.php?ID=73381

понедельник, 27 мая 2013 г.

CVE для Infotecs

Внезапно для себя наткнулся на http://seclists.org/fulldisclosure/2013/May/114. Уязвимость невеликая, слабые разрешения на файловой системе, но сам факт появления CVE, а стало быть и обновлений безопасности для таких продуктов как ViPNet Client, ViPNet Coordinator, ViPNet SafeDisk, VipNet Personal Firewall 3.1 наводит на мысли.

Обновление было выпущенно очень оперативно, за две недели.


25/03/2013 Initial vendor notification
08/04/2013 Vendor response that patches has been released
20/05/2013 Advisory released

Аккурат по экстремистской old-school RFPolicy?

Сюрпризы PHDays III

Традиционно пишу о том, что внезапно случилось на PHDays

Внезапные Анонимусы

Нетривиальный формат выступления выбрали мистер A. Nonymous и B. Nonymous прислав видеозапись своего доклада об уязвимостях систем развлечения на борту самолета и проблемах безопасности интернет-доступа на рейсах American Airlines. Очень смешно получилось.



вторник, 21 мая 2013 г.

Самое вкусное на PHDays III


Прежде всего – ура, опубликовано расписание форума, можно планировать.

[rus] http://www.phdays.ru/upload/program/Setka.pdf
[eng] http://phdays.com/upload/program/Setka_eng.pdf 

В сети начали появляется анонсы выступлений и других активностей.
Однако хотелось бы остановится на том, что будет происходить за рамками основной программы.

вторник, 30 апреля 2013 г.

Хакерские соревнования, Лабиринт и другая магия

Для тех, кто до сих пор не знает как попасть на PHDays, открывается HackQuest, на котором можно получить инвайты.

http://hackquest.phdays.com/ (запускается).

Традиционно на PHDays будет много интересных активностей, конкурсов и соревнований. Читать подробнее:

http://habrahabr.ru/company/pt/blog/178439/

http://www.phdays.ru/program/contests/


среда, 24 апреля 2013 г.

32 часа hands-on: shell code/RFID/Appsec/Android/kernel/ERP

Сформирована самая практическая составляющая программы PHDays - hands-on lab. В этом году будет 8 семинаров по широкому спектру вопросов - от ядра Windows до построения процессов Secure SDL. Кроме этого будут еще открытые workshop по ATM, GSM, SCADA...
Не забудьте захватить  ноутбук с VmWare.  А какой же ты хацкер без ноутбука?

Подробнее: http://habrahabr.ru/company/pt/blog/177815/

вторник, 9 апреля 2013 г.

Открыта регистрация на Phdays III

Открыта регистрация на PHDays III. Все желающие могут купить билет http://phdays2013.runet-id.com/ или воспользоваться другими возможностями принять участие - от выступления до организации собственного мероприятия в рамках иннициативы PHDays Everywhere.

Подробнее: http://phdays.ru/prinyat_uchastie/

Подготовка идет полным ходом!

PS. В конце этой недели закрывается CFP!



среда, 27 марта 2013 г.

Как попасть на PHDays III?

Все достаточно просто. Возможности прошлых лет были сохранены и расширены. Также, по многочисленным просьбам добавился демократический метод "купить билет", противный моей тоталитарной душе.

Подробности http://phdays.ru/prinyat_uchastie/.

Резонно, что студентам дороговато, но ВУЗам, входящим в Positive Education приглашения рассылаются, плюс, в мае не исключено появление дополнительных опций для молодых талантов.

Спешу поделиться, что одним из ключевых докладчиков на PHDays будет некто Marc Heuse, более известный как Van Hauser@THC. Надеемся на юбилейный релиз Hydra.

Следите за новостями в twitter.




PS. На картинке - подготовка к конкурсу по взлому SCADA. Choo-choo!!!


четверг, 21 марта 2013 г.

Как создать свой личный Stuxnet?


Для продуктов Siemens Simatic PC7, WinCC и TIA Portal выпущены обновления безопасности. В популярных компонентах АСУ ТП, таких как средства разработки и HMI было устранено более десятка уязвимостей самого разного толка: от небезопасного хранения паролей и переполнений буфера до возможности создания "закладок" в файлах проектов SCADA.
Приятно, что обновления практически полностью ориентированы на устранение недочетов, обнаруженных командой SCADA StrangeLove экспертами Positive Technologies.
Ходят слухи, что эти уязвимости ICS будут подробно обсуждаться на грядущих Infiltrate (http://infiltratecon.com/speakers.html) и Positive Hack Days (http://phdays.ru/press/news/16155/).

Напоминаю, что в открытом доступе опубликованы WinCC Security Hardening Guides, которые могут использоваться в качестве технических стандартов безопасности для конфигурации систем или как контрольные списки для аудитов безопасности. Найти их можно тут: http://blog.ptsecurity.ru/2013/01/blog-post.html

Среди отметившихся:  Gleb Gritsai, Sergey Bobrov, Roman Ilin, Artem Chaykin, Timur Yunusov, Ilya Karpov, Alexey Osipov, Sergey Gordeychik, Dmitry Nagibin.

Подробнее: http://scadastrangelove.blogspot.com/2013/03/wincc-vulnerabilities-fresh-meat.html

PS. Недавно прислали картинку. IMHO - никакого сходства!


четверг, 14 марта 2013 г.

Black Hat XML XXE OOB Slides and Tool

Презентация у тулкит Тимура Юнусова и Алексея Осипова с вчерашнего выступления на BlackHat Europe.
http://scadastrangelove.blogspot.ru/2013/03/black-hat-xxe-oob-slides-and-tools.html 

А позавчера на Troopers выступал Дмитрий Скляров.
https://www.troopers.de/agenda13/troopers13-presentations/index.html#flash_storage_forensics 

Педант - криминал

Был безмерно удивлен содержимым блога Андрея Петухова. Спешу поделиться.




понедельник, 4 марта 2013 г.

PHDays III: По обе стороны баррикад

Закончилась первая волна CFP для Positive Hack Days. Спешу поделиться результатами: http://phdays.ru/press/news/16155/.

Среди докладчиков: Travis Goodspeed, Donato Ferrante, Luigi Auriemma,  Wan (Eagle) Tao и многие, многие другие.

Свободных слотов еще достаточно, вторая волна открыта - ждем ваших заявок на выступление (http://www.phdays.ru/program/call_for_papers/).

Если материала на полноценное исследование пока нет, но уже есть чем поделится с сообществом, можно отправлять заявку на Fast Track или на YS (https://andrepetukhov.wordpress.com/2013/02/22/phd-young-school-2013/).

Ждем вас на phdays iii!

PS. Что касается регистрации, информация будет опубликована в конце марта.


суббота, 2 марта 2013 г.

Top Ten Web Hacking Techniques of 2012

Джери Гроссман опубликовал традиционный список самых интересных хакерских техник за 2012 год. Приятно, что на 2м месте пресловутый SSRF (greetz to d0znpp, sh2kerr and my personal to Cesar Cerrudo ;) а на четвертом -  взломщики сайта PHDays во главе с Raz0r. Так держать.

Источник

четверг, 21 февраля 2013 г.

Взлом сайта как метод продвижения

Нет, речь идет не о распространенном "Скачал AcunetiX готов в хакеры", а совсем наоборот. Необычный способ продвижения предложил Рустем, за что ему спасибо.  

И вообще - рекомендую почитать, расслабляет.

воскресенье, 10 февраля 2013 г.

После PHDays 2012

Без комментариев.

(с) by LeetMore.

И еще, для юмора http://anonreview.blog.com/2012/05/29/0010/

суббота, 9 февраля 2013 г.

Ром, пираты, безопасность: Kaspersky SAS 2013


Конференция Kaspersky Threatpost Security Analyst Summit организуется Лабораторией Касперского в пятый раз и в 2013 году собрала 140 ведущих экспертов в области ИБ со всего мира. Сейчас существует достаточно много «вендорских» конференций, таких как Qualys Security Conference или Microsoft Secure Software Development Conference, но SAS ощутимо отличатся от них высококачественными техническими докладами, великолепной «околоконфой», отличным составом участников и прекрасной организацией.

Site: http://www.kaspersky.com/about/events/industry/sas2013 
Twitter: https://twitter.com/search?q=%23SAS2013&src=hash
Flickr: http://www.flickr.com/photos/e_kaspersky/sets/72157632665597779/with/8449311436/


четверг, 24 января 2013 г.

Только три дня осталось!

Только три дня осталось до 27го января! Первая волна PHDays III CFP закрывается катастрофически скоро!

Срочно послать доклад!


понедельник, 21 января 2013 г.

Безопасность АСУ ТП в картинках

Без комментариев...

S4x13: Взлом медицинских систем и перехват SmartGrid

На прошлой неделе в Майами проходил Scada Security Scientific Symposium (s4), наверное одно из авторитетнейших мероприятий в области технических вопросов безопасности АСУ ТП.

Ваш покорный слуга на правах капитана команды SCADA StrangeLove представлял там доклад SCADA under X-rays, в который вошли последние наработки в области анализа защищенности компонентов ICS семейства Siemens SIMATIC, включая WinCC, S7 PLC и TIA Portal. К сожалению, Siemens задержал ряд патчей для WinCC, WinCC Flexible и TIA Portal, поэтому достаточно часто пришлось использовать картинку, вынесенную в шапку заметки. Таковы огрехи responsble disclosure, нет патча - нет релиза.

Презентация с доклада:


Дополнительные релизы к докладу:

WinCC Flexible Security Hardening Guide:
scadastrangelove.blogspot.com/2013/01/s4x13-releases-wincc-flexible-security.html

S7 password offline bruteforce tool:
scadastrangelove.blogspot.com/2013/01/s7brut.html

По последнему ICS-CERT не удержался и выпустил уведомление ICS-ALERT-13-016-02, что несколько удивительно, поскольку:

1. Утилита не использует уязвимость поскольку SHA-1 и HMAC-SHA-1, используемые контроллерами достаточно стойкие.
2. Проблемы с передачей пароля в S7 широко известны и указаны на сайте Siemens  

3. Был опубликован только offline вариант, что требует от атакующего перехвата трафика. Это серьезно снижает возможность некорректного использования утилиты.

В целом программа была достаточно насыщена и интересна. Персонально мне понравились следующие доклады:


Electrical Substation Sabotage
Dr. Chee Wooi Ten of Michigan Technical University

RTU Risk Score Methodology
Chris Sistrunk of Entergy

Security of Medical Devices
Billy Rios, Independent Researcher

How Secure (or Insecure) Are Your SCADA RF Comms
Don Weber of inGuardians

Организаторы планируют опубликовать видео, отпишу отдельно.
Пока есть ряд заметок на Dark Reading, twitter: https://twitter.com/search/realtime?q=s4x13&src=typd





суббота, 5 января 2013 г.

S4, PT и другие, цифровые


17 января команда SCADA StrangeLove продолжит бороться за Purity of Essence на S4 2013, конференции по безопасности АСУ ТП (ICS/SCADA и прочих, кто в компании), организуемой Digital Bond. Интересная тусовка. Спасибо Dale Peterson.
Надеюсь и наши скромные изыскания будут восприняты без кислых помидоров.

Расписание.

PS. Дарю цитату c 29C3: "A guy with a rifle is also risk management...". Хотя Андрей уточнял про АК, национальный колорит тут не важен.

PPS. Видео-архив 29С3 http://www.youtube.com/user/CCCen/videos?view=0