На форуме PHD хакеры взломали Safari, но не смогли ничего сделать с iPad.
Форум Positive Hack Days, прошедший в Москве 19 мая, собрал на одной площадке самых разных представителей сферы информационной безопасности. По предварительным подсчетам, форум посетило более 500 человек, представителей государственных структур, технических специалистов, топ-менедежров в области ИТ, независимых экспертов и хакеров.
Параллельно были организованы деловая программа с семинарами и мастер-классами, и конкурсная программа по взлому различных систем. Организаторы подводят предварительные итоги.
Соревнования PHD CTF
В рамках форума были проведены международные открытые соревнования по защите информации PHD CTF. 10 команд из России, США, Индии и Европы в течение 8 часов защищали свои сети и взламывали сети противников. Организаторы заранее подготовили набор уязвимостей, встречающихся в современных информационных системах (например, системы класса SCADA и др.). Основная задача участников – найти уязвимости, закрыть их у себя и воспользоваться ими для получения секретной информации у команд соперников.
По итогом соревнований с большим отрывом победила команда из США «РРР» (Питсбург), выигравшая 5 тыс. долларов. По словам одного из участников «РРР»: «Это не первый наш опыт участия в соревнованиях CTF, но на PHD CTF нам впервые пришлось не только взламывать чужие ресурсы, но и защищать собственные. Мы с удовольствием примем участие в следующем году». Второе и третье место заняли команды из России: «Leet More» (Санкт-Петербург) и «HackerDom» (Екатеринбург).
Директор по развитию Positive Technologies Борис Симис: «PHD CTF – первые соревнования подобного масштаба, проведенные в России. Тогда как в США, Канаде и Европе схожие соревнования проводятся уже очень давно. С этим связан и тот факт, что первое место заняла команда из США, страны, где вопросам информационной безопасности уделяется очень большое внимание. Мы уверены, что российским участникам PHD CTF было интересно сразиться с зарубежными командами, и ждем всех в следующем году».
Конкурсная программа
Взлом Safari
На форуме была проведена специальная конкурсная программа по взлому различных информационных систем. Так, в конкурсе по взлому ноутбука специалисты смогли найти так называемую уязвимость «нулевого дня» (о которой ранее не было известно) и с ее помощью продемонстрировали, что свежая версия интернет-браузера Safari для Windows поддается взлому. Конкурс выиграли специалисты по информационной безопасности из компании CISSRT.
Взлом iPad
В аналогичном конкурсе формально участникам не удалось взломать iPad, поскольку написанная ими программа по эксплуатации уязвимости в ПО (эксплойт) работала нестабильно. Тем не менее, те же представители CISSRT доказали наличие уязвимости в мобильном браузере Safari на отборочных этапах соревнований, а неудача на самом конкурсе была связана исключительно с трудностями с эксплойтом.
To drunk to hack
Завершило конкурсную программу соревнование под названием «наливайка», где участникам было предложено взломать копию сайта форума www.phdays.ru . При ошибке в конкурсе участник должен был выпить 50 гр. текилы. В конкурсе приняли участие совершеннолетние российские и иностранные гости форума. Победителем стал Владимир Воронцов, эксперт по безопасности onsec.ru – после шести ошибок он сумел найти все нужные уязвимости.
Охота на лис
В этом конкурсе в течение всего дня участники должны были найти точку беспроводного доступа, которая постоянно перемещалась по форума. Примечательно, что одним из победителей конкурса стала девушка.
Взломать за 900 секунд
Участникам нужно было последовательно взломать сетевое оборудование (коммутаторы) за 6 этапов. В ходе конкурса активно использовались подсказки представителя компании «Cisco Systems» Алексея Лукацкого. Победителем конкурса стал участник под знаковым псевдонимом «003»
Организатор конкурсной программы эксперт Positive Technologies Дмитрий Евтеев: «В конкурсной программе приняли участие очень сильные специалисты, которые справились со многими трудными конкурсами. Не могу не отметить, что ряд заданий оказался слишком сложным для наших участников, но это было связано скорее с общей усталостью, накопленной за день насыщенной программы форума. В целом радует, что уровень подготовки российских специалистов ничем не уступает зарубежному».
Деловая программа
На технических и бизнес-семинарах выступили с докладами ведущие специалисты российского ИТ-рынка из «Лаборатории Касперского», «Cisco Systems», RISSPA, ФСТЭК, «Ростелеком», «Вымпелкома» и многих других.
В рамках дискуссий участники обсудили такие темы как киберпреступность и кибервойны, безопасность беспроводных сетей и систем ДБО, DDoS, WIkiLeaks и утечки конфиденциальной информации, программу «информационное общество». Технические специалисты приняли участие в мастер-классах самых различных уровней от уважаемых экспертов по поиску уязвимостей и анализу защищенности различных информационных систем.
5778 К? Пф! У нас градус знаний зашкаливает!