среда, 27 марта 2013 г.

Как попасть на PHDays III?

Все достаточно просто. Возможности прошлых лет были сохранены и расширены. Также, по многочисленным просьбам добавился демократический метод "купить билет", противный моей тоталитарной душе.

Подробности http://phdays.ru/prinyat_uchastie/.

Резонно, что студентам дороговато, но ВУЗам, входящим в Positive Education приглашения рассылаются, плюс, в мае не исключено появление дополнительных опций для молодых талантов.

Спешу поделиться, что одним из ключевых докладчиков на PHDays будет некто Marc Heuse, более известный как Van Hauser@THC. Надеемся на юбилейный релиз Hydra.

Следите за новостями в twitter.




PS. На картинке - подготовка к конкурсу по взлому SCADA. Choo-choo!!!


четверг, 21 марта 2013 г.

Как создать свой личный Stuxnet?


Для продуктов Siemens Simatic PC7, WinCC и TIA Portal выпущены обновления безопасности. В популярных компонентах АСУ ТП, таких как средства разработки и HMI было устранено более десятка уязвимостей самого разного толка: от небезопасного хранения паролей и переполнений буфера до возможности создания "закладок" в файлах проектов SCADA.
Приятно, что обновления практически полностью ориентированы на устранение недочетов, обнаруженных командой SCADA StrangeLove экспертами Positive Technologies.
Ходят слухи, что эти уязвимости ICS будут подробно обсуждаться на грядущих Infiltrate (http://infiltratecon.com/speakers.html) и Positive Hack Days (http://phdays.ru/press/news/16155/).

Напоминаю, что в открытом доступе опубликованы WinCC Security Hardening Guides, которые могут использоваться в качестве технических стандартов безопасности для конфигурации систем или как контрольные списки для аудитов безопасности. Найти их можно тут: http://blog.ptsecurity.ru/2013/01/blog-post.html

Среди отметившихся:  Gleb Gritsai, Sergey Bobrov, Roman Ilin, Artem Chaykin, Timur Yunusov, Ilya Karpov, Alexey Osipov, Sergey Gordeychik, Dmitry Nagibin.

Подробнее: http://scadastrangelove.blogspot.com/2013/03/wincc-vulnerabilities-fresh-meat.html

PS. Недавно прислали картинку. IMHO - никакого сходства!


четверг, 14 марта 2013 г.

Black Hat XML XXE OOB Slides and Tool

Презентация у тулкит Тимура Юнусова и Алексея Осипова с вчерашнего выступления на BlackHat Europe.
http://scadastrangelove.blogspot.ru/2013/03/black-hat-xxe-oob-slides-and-tools.html 

А позавчера на Troopers выступал Дмитрий Скляров.
https://www.troopers.de/agenda13/troopers13-presentations/index.html#flash_storage_forensics 

Педант - криминал

Был безмерно удивлен содержимым блога Андрея Петухова. Спешу поделиться.




понедельник, 4 марта 2013 г.

PHDays III: По обе стороны баррикад

Закончилась первая волна CFP для Positive Hack Days. Спешу поделиться результатами: http://phdays.ru/press/news/16155/.

Среди докладчиков: Travis Goodspeed, Donato Ferrante, Luigi Auriemma,  Wan (Eagle) Tao и многие, многие другие.

Свободных слотов еще достаточно, вторая волна открыта - ждем ваших заявок на выступление (http://www.phdays.ru/program/call_for_papers/).

Если материала на полноценное исследование пока нет, но уже есть чем поделится с сообществом, можно отправлять заявку на Fast Track или на YS (https://andrepetukhov.wordpress.com/2013/02/22/phd-young-school-2013/).

Ждем вас на phdays iii!

PS. Что касается регистрации, информация будет опубликована в конце марта.


суббота, 2 марта 2013 г.

Top Ten Web Hacking Techniques of 2012

Джери Гроссман опубликовал традиционный список самых интересных хакерских техник за 2012 год. Приятно, что на 2м месте пресловутый SSRF (greetz to d0znpp, sh2kerr and my personal to Cesar Cerrudo ;) а на четвертом -  взломщики сайта PHDays во главе с Raz0r. Так держать.

Источник