Подведение итогов PHDays CTF AfterParty 2011

Завершился двухнедельный конкурс по практической защите информации в рамках PHDays CTF AfterParty 2011. Победителем соревнования стал участник под псевдонимом kyprizel, набравший максимальное число очков из числа возможных. Респект и уважуха!!!

В качестве приза он получит самую новую версию легендарного сканера безопасности XSpider 7.8 и приглашение на международный форум Positive Hack Days 2012 в качестве участника. Остальных победителей, а это участники, которые заняли 2-17 места на 25.12, ждут дипломы и подарки от организатора соревнований – компании Positive Technologies.

Positive Hack Days CTF 2012 (предварительный список команд)

Определился список команд, которые будут приглашены на соревнования по практической безопасности Positive Hack Days CTF 2012. По результатам отборочных испытаний CTF Quals 2011 приглашения получат следующие команды:

- eindbazen, Нидерланды
- leetmore, Россия
- int3pids, Испания
- HackerDom, Россия
- 0daysober, Франция

(почему команда rdot.org не примет участие в PHDays CTF 2012? Это большой большой секрет :))

Positive Hack Days Young School & CFP is open!

С сегодняшнего дня открывается регистрация докладов на конкурс работ молодых ученых по информационной безопасности и на выступление в основной секции международного форума по практической безопасности Positive Hack Days 2012.

Подробности приема заявок доступны по соответствующим ссылкам:

- Young School

- Call for Papers

PHDAYS CTF Quals 2011 competitions completed

Отборочные соревнования PHDAYS CTF Quals завершены. Лидеры соревнования:

PHDAYS CTF Quals 2011

Отборочные соревнования PHDAYS CTF Quals 2011 в самом разгаре! Командам участникам соревнования следует авторизоваться в личном кабинете для получения необходимых реквизитов доступа. С легендой используемой игровой инфраструктуры можно ознакомиться на сайте мероприятия: http://phdays.ru/monolith.asp

Следить за рейтингом отборочного соревнования можно по следующей ссылке: http://phdays.ru/ctf_quals_rating.asp

Напомню, что лидеры отборочных соревнований CTF Quals будут приглашены на очные соревнования PHDAYS CTF, которые пройдут в Москве 30-31 мая в 2012 году.

Очередная атака нулевого дня через продукты Adobe

Сообщество вновь переживает сильные эмоции по поводу очередных проблем безопасности, которые (неожиданно) были обнаружены в продуктах всеми любимой компании Adobe. Проблема затрагивает программное обеспечение Adobe Reader на всех основных платформах Windows, Macintosh и UNIX т.е. атака вполне может быть кроссплатформенной. Подробности: http://www.adobe.com/support/security/advisories/apsa11-04.html

В тоже время, как-то тихо и незаметно в сплоит паке VulnDisco под IMMUNITY Canvas появился 0day в Adobe Flash: https://lists.immunityinc.com/pipermail/canvas/2011-November/000082.html, http://seclists.org/dailydave/2011/q4/80. Таким образом, использование уязвимостей в продуктах компании Adobe по-прежнему может составить конкуренцию использованию уязвимостей в Java.

ZeroNight: резюме

Многие к этому моменту уже высказали свое мнение по поводу конференции ZeroNight [1,2,3,4,5,6,7], которая проходила 25 ноября. Обобщая все высказывания могу отметить, что, по мнению большинства, мероприятие удалось, в большей степени, за счет высокого уровня технических докладов (а что еще нужно для хорошей хакерской тусы?). Из минусов все участники конференции отмечают недостатки, связанные с организационными моментами.

Собственное мнение я уже озвучил непосредственно организаторам мероприятия, потому не стану его транслировать сюда. В любом случае, мой отзыв заведомо будет расценен, как не объективный. Поэтому скажу лишь "э-ге-гей! Мы были на ZeroNight и отлично провели время!".

Основы безопасности веб-приложений

Презентация с сегодняшнего вебинара представлена ниже. Всем спасибо, кто потратил свое время на мое выступление!

Введение в тему безопасности веб-приложений

View more presentations from Dmitry Evteev

Безопасность веб-приложений: просто о сложном

Как бы далеко я не запланировал свои "пять копеек" в общей движухе серии бесплатных вебинаров, проводимых под логотипом Positive Technologies, день икс настал (неожиданно!;)). Поэтому приглашаю завтра на свой вебинар по избитой теме безопасности веб-приложений. Ничего принципиально нового в рамках этого вебинара я не расскажу (и это должно быть очевидно из названия вебинара), но возможно помогу аудитории упорядочить уже имеющиеся знания в этой предметной области.

Стоит отметить, что этот вебинар является первой ласточкой на пути к трехдневному курсу по безопасности веб-приложений, который мы будем разрабатывать и продвигать. Но это планы уже следующего года.

Формат мероприятия Positive Hack Days

PHD 2011-2012 from Positive Technologies on Vimeo.

Напоминалко: регистрация на Positive Hack Days 2012 уже открыта и доступна по следующей ссылке - http://phday.ru/registration.asp

CTF Quals / CTF Afterparty

В декабре стартует отборочный тур международных соревнований по защите информации PHD CTF. Основные состязания пройдут 30–31 мая 2012 года в Москве во время второго международного форума по информационной безопасности Positive Hack Days.

В этом году все желающие могут попробовать свои силы в отборочном туре: CTF Quals или CTF Afterparty. Все участники попробуют свои силы в оценке защищенности, поиске и эксплуатации уязвимостей, выполнении заданий на реверсинг и просто хакерстве. Причем борьба будет проходить в условиях, максимально приближенных к боевым: уязвимости, использованные в PHD CTF Quals и CTF Afterparty, не выдуманы, а встречаются в "живой природе".

Разыскиваются пентестеры

В связи с ростом числа работ по тестированию на проникновение и расширением одноименного отдела нам требуются новые силы!

Что такое работать пентестером в компании Positive Technologies?

Это работа в высококвалифицированной команде профессионалов. Анализ защищенности сетевых инфраструктур ведущих российских и зарубежных компаний. Новые, комплексные, нестандартные и интересные задачи каждый день. Проведение тестов на проникновение, аудитов информационной безопасности, участие в исследовательской деятельности отдела, посещение и участие в российских и международных конференциях. Участие в организации передовой практической конференции по информационной безопасности Positive Hack Days. Широкие возможности для развития собственных наработок и исследований в области информационной безопасности. Участие в некоммерческих хакерских проектах.

MS11-083:Vulnerability in TCP/IP Could Allow Remote Code Execution

Ожидается сплоетс на уязвимость в реализации TCP/IP стека операционных систем Windows серии Vista и выше. "Правильный" пакет отправленный на закрытый порт по протоколу UDP, может  привести к выполнению произвольного кода. С такой приятной новости начинается вторник нулевого дня))

Подробности:

- http://www.securitylab.ru/vulnerability/409824.php

- http://technet.microsoft.com/en-us/security/bulletin/ms11-083

Чего ждать от Positive Hack Days CTF 2012?

Такого нет даже в самых ваших смелых мыслях... ))

Подготовка к PHD CTF 2012

К слову, скоро стоит ожидать анонс мероприятия и дату его проведения.

Client-Side Vulnerabilities

Глянул на досуге страничку статистики серфпатруля и... совершенно не удивился, когда увидел, что 86% посетителей этого блога бесстрашно серфят просторы интернета:

Статистика по сайту devteev.blogspot.com (18.07.2011-18.10.2011)

Все что вы хотели знать про безопасность VOIP, но боялись спросить

Продолжая серию вебинаров в рамках образовательной программы "Практическая безопасность" Константин Гурзов и Глеб Грицай раскроют тему безопасности технологии VOIP. Два ближайших вебинара полностью посвящены именно этой теме.

13 октября 14:00 - Легенды и мифы безопасности VOIP  Зарегистрироваться
10 ноября 14:00 - Безопасность VOIP  Добавить в календарь

Инфобез 2011

Довелось на этой неделе побывать в качестве спикера на Инфобез 2011. Скажу честно, что предвкушая это мероприятие в мыслях крутился текст, что мол к подобным выставкам я отношусь крайне положительно. И в качестве аргументов вспоминал чувства и эмоции, которые испытывал на Infosecurity до его деления на два лагеря в далеком 2009 году. К сожалению, половинка Infosecurity под логотипом Инфобез не оправдала моих ожиданий и я был несколько разочарован.

Несмотря на то, что в целом Инфобез оказался каким-то небольшим междусобойчиком, в центре всего действа располагался стенд... нет, вовсе не стенд компании Positive Technologies, а стенд, посвященный мероприятию PHDAYS :) Что собственно многих посетителей несколько смутило.

(снова) Взломан сайт MySQL.com

Какая-то нездоровая тенденция наблюдается в последнее время. То и дело ломают крупные проекты, безопасность которых по идее должна быть примером для подражания. Kernel.org, Linux.com, SourceForge.net, PHP.net в далеком 2009 Apache.org. Хорошо, если по результатам инцидента делаются правильные выводы и адекватные действия, так ведь нет! Не все учатся с первого раза.

Меньше полугода был взломан сайт MySQL.com и вот снова, проект подвергся той же напасти.

Может быть уже пришло время учиться на ошибках других и уже что-то делать обеспечивать адекватную безопасность информационным активам?

CoreSecurity.com defaced

Вчера оф. сайт известной компании в области информационной безопасности, разработчика профессионального инструмента для проведения тестирований на проникновение CORE IMPACT, подвергся дефейсу. Примечательно, что на странице дефейса злоумышленник оставил ссылку на свой аккаунт в твиттере. Судя по дефейсу, взлом был осуществлен из побуждений мести...

P.S. Ярко выраженный представитель хакерского сообщества.

Хроники пентестера #4: безопасность внешних веб-приложений

Как и несколько лет назад, веб-приложения по-прежнему остаются наиболее привлекательной мишенью для нарушителей всех мастей. Тут всегда хватит места и для матерых SEOшников, и для желающих нести свои мысли в массы путем подмены содержимого страниц, и, разумеется, веб-приложения являются первоочередной мишенью при преодолении внешнего периметра компаний, как в тестированиях на проникновение, так и в суровой жизни.

Повсеместно низкая безопасность веб-приложений обусловлена множеством факторов: от качества разрабатываемого кода и выбранного языка программирования, до используемых конфигураций на стороне веб-сервера. Масло в огонь добавляет еще тот факт, что безопасность веб-приложений держится особняком относительно общей стратегии безопасности. Менеджеры структурных подразделений инициируют процессы развития бизнеса, которые в свою очередь, так или иначе, базируются на веб-технологиях. При этом служба управления информационной безопасностью в среднестатистической компании как бы закрывает глаза на то, что приобретаемое решение может содержать уязвимости. Более того, из опыта проводимых работ, больше половины ИБ подразделений в российских компаниях даже не подозревают, кто ответственен за внешний, официальный сайт компании, не говоря уже о том, кто занимается его безопасностью. Потому веб-приложения и взламывают на потоке.

Позитивный ASV

Как Positive Technologies миксуя пентесты сканирование PCI DSS ASV проходил. Подробности - http://ptresearch.blogspot.com/2011/09/asv-vulnerabilities.html

Уязвимости Web - сложные случаи

Продолжая позитивные вебинары, на этой неделе Юрий Гольцев, эксперт по ИБ компании Positive Technologies затронет тему уязвимостей в веб-приложениях. Будут рассмотрены следующие темы:

• уязвимость HTTP Verb Tampering;
• фрагментированные SQL инъекции;
• уязвимость HTTP Parameter Pollution;
• использование обратимого шифрования.

Вебинар будет проходить в формате мастер-класса с практическими заданиями и расширенной теоретической частью. Участник получит навыки обнаружения и эксплуатации сложных уязвимостей веб-приложений.

Зарегистрироваться

LFI over PHPinfo

Где-то с год назад парни с форума rdot.org раскручивали самый красивый вектор проведения Local File Including (LFI). Суть метода заключается в пробросе нагрузки в теле загружаемого файла и обращении к нему в момент, когда файл еще содержится во временном каталоге PHP, пути к которому обычно заранее известны. Таким образом предложенный вектор LFI может использоваться даже в тех случаях, когда другие методы не работают. Если бы не одно НО!

Изучая энтропию возможных значений при генерации имени временного файла исследователи пришли к выводу, что вероятность подбора этого имени стремиться к нулю и не может быть использована на практике. После этого, было предложено вполне логичное решение. Раз подобрать случайное имя файла не удается, его можно подсмотреть. А где его можно увидеть? Например, в тестовом выводе информации об окружении phpinfo(). И понеслось...

Ознакомиться с первоисточником можно по этой ссылке. Исследования Brett Moore (благодаря которому эта информация спустилась в паблик) доступны здесь.

RankMyHack.Com - кто лучший веб хакер?

Ответ на этот вопрос взялся найти проект под названием "RankMyHack.Com"...

AUG 25TH: Wow! Hacker 'el33t' 0wnz the w0rld!!

Анализ защищенности сетевой инфраструктуры

Опыт Positive Technologies в части проведения анализа защищенности сетевой инфраструктуры показывает, что во многих случаях минимизировать риск реализации атаки можно, используя рекомендации вендоров по безопасности и опыт международного сообщества в области ИБ. Но на практике ситуация отличается от идеальной. На вебинаре будут рассмотрены как типичные, так и частные способы анализа защищенности сетевых устройств. Вебинар будет состоять из нескольких теоретических частей, подкрепленных практическими заданиями:

• сканирование сетевых устройств с целью получения списка доступных служб, определение их версий и подбора учетных записей;
• демонстрация подбора строк подключения для SNMP и копирование файла конфигурации на TFTP-сервер;
• примеры восстановления паролей для доступа к сетевым устройствам;
• работа с веб-интерфейсом, использование стандартных настроек;
• добавление нового сервера регистрации событий с целью получения доступа к проходящему трафику, используя мало известные возможности Cisco;
• настройка VPN на примере PPTP и получение доступа внутри периметра корпоративной сети.

Вебинар проведет: Сергей Павлов, руководитель группы анализа безопасности сетевых устройств Исследовательского центра Positive Technologies

Зарегистрироваться

AB}USE their Clouds. Облачные вычисления глазами пентестера

В выступлении будут рассмотрены возможности использования сервисов облачных вычислений для тестов на проникновения, а также потенциальные сценарии применения Clouds злоумышленниками. Как покажут авторы, дешевая вычислительная мощность, анонимность и сложность расследования инцидентов, характерные для облачных вычислений, весьма привлекательны для киберпреступников. Преступная активность может приводить к блокированию адресного пространства облачных провайдеров и недоступности реализованных с их использованием сервисов.

Вебинар проводят: Сергей Гордейчик, технический директор, Positive Technologies; Юрий Гольцев, специалист группы тестирования на проникновение, Positive Technologies

Зарегистрироваться

Http Parameter Contamination (more)

Продолжая исследование атаки Http Parameter Contamination (HPC), мною был проведен примитивный фаззинг, в том числе в тех средах, которые не были затронуты Ivan Markovic в его оригинальном исследовании. Стоит сразу отметить, что ничего принципиально нового найдено не было. С другой стороны была выявлена интересная особенность интерпретатора Python, а также, получен боевой сплоит на отказ в обслуживании в отношении сервера Tomcat :) Но по последнему, пока non disclosure.

Полученные результаты представлены на картинке ниже.

Http Parameter Contamination

Ivan Markovic на днях опубликовал результаты своего исследования, посвященные развитию атаки Http Parameter Pollution. Новая атака получила название Http Parameter Contamination (HPC). Суть атаки заключается в том, что различные платформы и приложения по-разному обрабатывают заведомо некорректные параметры. Это иллюстрирует следующая таблица:

Почему случился Russian.Leaks?

Масштабные утечки конфиденциальной информации через поисковые системы породили множество вопросов, домыслов и толкований. Что послужило причиной утечек? Почему конфиденциальная информация не становилась достоянием широкой общественности раньше? Как защитить компанию от ущерба, связанного с утечкой конфиденциальной информации через поисковые системы? Что опаснее: Google Analytics или Яндекс.Бар? Эксперты исследовательского центра Positive Research компании Positive Technologies провели тщательное расследование причин и последствий инцидентов. В ходе выступления технического директора компании Positive Technologies Сергея Гордейчика будут представлены результаты исследования.

Зарегистрироваться

Как поисковые машины атакуют ваши сайты

Довольно интересную тему затронул в своем блоге Андрей Петухов, цитирую:

Дано:

1. Есть сайт А, на котором есть уязвимость SQLi, позволяющая удалить все данные из БД.

1. Есть форум B, на который мальчик Петя постит ссылку, при переходе по которой отправляется запрос, реализующий SQLi на сайте А и, как следствие, удаляющий там данные.

1. Есть поисковик С, который радостно индексирует форум B и, переходя по ссылке, наносит ущерб сайту А.

Вопросы:

1. Виноват ли поисковик в том, что на сайте А пропали данные?

1. Если не виноват поисковик, то кто же виноват?

Демотиваторы

Знаменитость вчерашнего дня в вечерних новостях на телеканале РЕН -

«Яндекс» рассекретил данные покупателей секс-шопов from Dmitry Evteev on Vimeo.

Яндекс – (действительно) найдется все!

Добиваем Яндекс  http://yandex.ru/yandsearch?p=12&text=url%3Awww.railwayticket.ru*%20|%20url%3Arailwayticket.ru*&lr=213

Назван виновный в утечке смс сообщений Мегафон

И как вы думаете, кто же он? Цитирую: "Обвинили же в данной беде одного из сотрудников компании Positive Technologies... " и " ...дабы доказать свою непричастность к преступным деянием... Дмитрий Евтеев тщательно изучил сервис «Яндекс.Бар»" (источник).

Интересно, какую сумму можно взыскать в этом случае за клевету и компенсацию морального ущерба? :)

Позитив раскрывает таланты

Вновь возвращаюсь к теме вакансий в компании Positive Technologies. Мы растем не по дням, а по часам! (с) И нам требуются новые позитивные люди! У нас открыто гораздо больше вакансий, чем ты можешь себе представить (см. 1, см. 2). Но нам требуешься именно ты! Ждем тебя :)

К слову, из последнего, открыта новая интересная вакансия "Редактор портала (информационная безопасность)".

Ну, а если ты хочешь заниматься пентестами, но по каким-то причинам до сих пор сомневаешься, обращайся ко мне напрямую – devteev@ptsecurity.ru или в скайп – devteev.

Яндекс - найдется все

А вы еще не знаете, как выглядит СОРМ? Тогда внимательно смотрим следующий видео-ролик, посвященный многострадальной теме и показанный на широком экране...

Яндекс.Бар – Большой брат следит за тобой

Возвращаясь к обсуждению инцидента, связанного с утечкой более 8 тысяч смс сообщений сотового оператора "Мегафон", можно утверждать, что выдвинутые предположения ранее частично подтвердились. Утечка произошла в следствии двух факторов: уязвимости на сайте www.sendsms.megafon.ru (Insufficient Authentication) и видимо передачи посещаемых страниц пользователями поисковой системе Яндекс, на компьютерах которых установлен Яндекс.Бар.

Так что-же из себя представляет Яндекс.Бар?

DNS Rebinding – сценарий по захвату мира

В далеком 2009 году я вскользь упоминал атаку под названием DNS Rebinding (Anti DNS Pinning). Тогда, у аудитории слушателей возникли сомнения в ее реализации в силу своей сложности. Но прошло каких-то пару лет и у нас появился не "наколенный" proof-of-concept, а полноценный фреймворк с графическим веб-интерфейсом для проведения этого сценария атаки.

Напомню, что суть атаки DNS Rebinding заключается в возможности обхода ограничений безопасности Same origin policy. Именно это ограничение, которое присутствует во всех браузерах, и спасает Интернет от полного хаоса.

Yandex Dorks

Занятная утечка сегодня просочилась в паблик. Дело в том, что в кеш поисковой машины Яндекс попала часть сообщений сотового оператора Мегафон, отправленные через веб-морду www.sendsms.megafon.ru.

По имеющемуся предположению это произошло в следствии двух факторов.

Первый фактор - это уязвимость в самом веб-приложении www.sendsms.megafon.ru, при отправке смс сообщения с которого существует возможность проверить статус доставки этого сообщения. Каждому отправленному смс сообщению присваивается уникальный идентификатор, который можно увидеть в адресной строке. Зная этот идентификатор любой пользователь Интернет без какой-либо авторизации может получить доступ к статусу доставки сообщения, в котором присутствует, как номер мобильного телефона, на который было отправлено сообщение, так и тело самого сообщения. Идентификатор является случайным, и далеко не факт, имеющим сильную энтропию. К слову, время хранения этой информации на сайте составляет более часа...

100% Virus Free Podcast #28: Обсуждение Positive Hack Days 2011

Первый самый большой подкаст по количеству голосов, записываемый в Российском представительстве компании ESET. А иначе и быть не могло, ведь выпуск полностью посвящен международному форуму по практической безопасности Positive Hack Days 2011. Участники подкаста: Александр Матросов (ESET), Дмитрий Евтеев (PT), Денис Баранов (PT), Никита Тараканов (CISS), Дмитрий Олексюк (eSage), Владимир Воронцов (ONSEC). Слушаем.

Скачать mp3 файл

Позитивные вакансии

Расширяем отдел тестирований на проникновение в компании Positive Technologies.
В связи с чем, набираем талантливых людей, желающих осуществлять взлом информационных систем на законных основаниях :)

Требования к кандидату

Опыт работы в области информационной безопасности или информационных технологий. Уверенные знания в следующих направлениях:

1. безопасность сетевой инфраструктуры и беспроводных сетей;
2. безопасность информационной инфраструктуры на базе Windows и Unix;
3. безопасность прикладных систем и баз данных;
4. безопасность веб-приложений.

Обязанности

Участие в консалтинговых проектах (аудиты ИБ, тесты на проникновение, проектирование внедрение систем защиты и т.д., см. http://www.ptsecurity.ru/serv_list.asp); исследования в области ИБ; развитие сканера уязвимостей XSpider 7.5 и системы мониторинга защищенности MaxPatrol 8.0.

Работа в Positive Technologies - это круто! ;)

Ваши резюме присылайте в текстовом формате в теле письма на адрес электронной почты: pt@ptsecurity.ru.

Право на тайну переписки

Как обойти право на тайну переписки, которая распространяется, в том числе, на служебную электронную почту?

Очень просто!

Для этого следует создать группу рассылки, в которую входит, например, администратор безопасности. На MTA отбрасывать все исходящие письма, которые не содержат копию на эту группу рассылки, а пользователей обязать делать копию всех исходящих писем на этот адрес. Т.к. администратор безопасности, входящий в группу рассылки, является равноправным участником переписки, он имеет законное право читать эту корреспонденцию. Таким образом, при оповещении системы DLP администратор безопасности не нарушая закона имеет право разобрать имеющийся инцидент.

По следам Positive Hack Days 2011

Опубликованы материалы международного форума Positive Hack Days 2011:

- Бизнес-семинары
- Технические семинары
- Мастер-классы

Наполняется видео архив:

http://vimeo.com/phdays/videos
http://www.youtube.com/user/positivehackdays


Наравне с этим, постепенно появляются публикации о мероприятии в печатных изданиях:

- Журнал ХАКЕР Июль 07 (150) 2011, «Отчет с Международного Форума по практической безопасности от независимого участника»
- Защита информации. INSIDE № 4'2011 (40), «День практической безопасности»

ModSecurity bypass (again)

Позитивные парни (в лице Юры Гольцева и Александра Зайцева) вновь продемонстрировали высокий уровень мастерства Positive Research (hack drove) Team (Lab:)) и сумели воспользоваться уязвимостью SQL-инъекция в обход последних правил ModSecurity в рамках конкурса SQL Injection Challenge [1]:

Подробности прохождения конкурса в ближайшее время будут опубликованы в блоге http://ptresearch.blogspot.com/

CISS Hot Summer

Этим летом для всех перспективных студентов-реверсеров открывается уникальная возможность поработать вместе с Никитой Таракановым, и, с не менее выдающейся личностью Александром Бажанюком, в рамках проекта "CISS Hot Summer".

Что из себя представляет CISS Hot Summer?

Кратко – проведение исследований и разработок по направлениям:
- Динамический анализ
- Статический анализ
- Исследование Solvers - STP,Z3,SMT и т.д.
- Исследование отладчиков
- Поиск уязвимостей, исследование новых векторов атаки

Разумеется, любой труд (даже на стажировке) должен оплачиваться, поэтому, цитирую [1]: "По окончанию проекта ВСЕ успешно выполненные задания будут вознаграждены денежными призами от 30000 до 100000 рублей."

Исправления/добавления от Никиты)
1. "CISS Hot Summer - это не стажировка в CISS"
2. "Все разработки ведутся по OpenSource методике, авторство кода сохраняется. Участник выбирает лицензию самостоятельно, по его личным предпочтениям(GPLv3, BSD, Apache и т.д.)."

В настоящее время уже сформировалась команда на 10 человек. Прием заявок по участию в проекте заканчивается 1-го июля. Welcome!

P.S. Для людей, которые желают развиваться по указанным направлениям или чувствуют себя уверенным по теме реверсинга, двери компании Positive Technologies всегда открыты!

Воины будущего: Да придет спаситель часть V

На этот раз несем Positive Hack Days в массы :)




И рассуждаем на тему мировой гонки кибервооружений - http://sgordey.blogspot.com/2011/06/blog-post_22.html

Positive Hack Days 2011: Награждение

Потихоньку начинаем обрабатывать и публиковать видео с Positive Hack Days 2011...

Positive Hack Days 2011: Награждение from phdays on Vimeo.

Официальный видео архив мероприятия: http://www.youtube.com/user/positivehackdays
Зеркало: http://vimeo.com/phdays/videos

Самая удачная фотография на PHDAYS 2011

Разумеется все поняли, что речь идет про фотографию Дмитрия Склярова на заднем плане ))

Хроники пентестера #3: взломать за 900 секунд

Немного отвлекшись от подготовки материалов по окончанию форума Positive Hack Days 2011, ваш покорный слуга переключился на другие, не менее интересные работы, и устроил себе скромную реабилитацию на несколько дней. А что может быть лучшим времяпрепровождением, чем участие в комплексном тестировании на проникновение в отношении крупной организации? Вот и я так думаю. Потому и организовал себе отдушину в виде корпоративного CTF :)

Все шло как обычно. Технологический пробив внешнего периметра с доступом к корпоративной информационной системе центрального офиса. Затем подобная участь постигла и региональные представительства организации. А на завершающем этапе, все по-взрослому, тест на проникновение плавно перешел от "внешнего" к "внутреннему".

РУ-Defcon :)

Видимо оценив успех Positive Hack Days, на этой волне был создан соответствующий сайт, который посвящен еще более пупыристому мероприятию - http://defcon-russia.ru/

NO COMMENTS

Positive Hack Days 2011: Results (updated +34)

Вот и состоялось первое мероприятие по практической безопасности проводимое в Москве силами компании Positive Technologies. На текущий момент времени уже опубликовано множество положительных отзывов о мероприятии (спасибо Сергею за их консолидацию):

6 дней до Positive Hack Days

Полным ходом идет подготовка к одному из центральных событий Positive Hack Days 2011 - командным соревнованиями по защите информации PHD CTF 2011.

В этом году соревнования пройдут под кодовым названием:

Продолжая традицию, заложенную на Ruscripto CTF 2010 подходим к CTF не как к набору разрозненных задач, а как к реальной ситуации, элементы которой мы черпаем из своего опыта работ по оценке защищенности.

100% Virus Free Podcast #27: без пяти минут до PHDAYS

На последнем дыхании записали подкаст, посвящённый предстоящей конференции Positive Hack Days.



Скачать mp3 файл

Принеси 0day и заработай 100к

Появился ценник для победителей первых раундов в конкурсах по взлому браузеров и iPhone. Подробности в блоге мероприятия Positive Hack Days: http://phdays.blogspot.com/

РИТ++ / 2011: презентация с выступления

Посетил вчера мероприятие под названием "Российские интернет-технологии 2011" и выступил, уже с несколько баянистой темой, про реалии веб-безопасности современного мира. Чтобы немного разбавить свой рассказ, слил голосом пару нулл-деев. Презентация с выступления представлена ниже.

И еще пару слов о самом мероприятии. Много молодежи, отличная аудитория слушателей, но не обошлось и без эксцессов. Стоило буквально на секундочку оставить свой пакет участника в момент поглощения бутербродов, как его моментально кто-то утащил. Хорошо, что хоть бейдж все это время оставался при мне))

Positive Hack Day(s) 2011: Challenges

Подготовка к Positive Hack Day(s) идет в полном разгаре. Рабочие проекты потихоньку откладываются в сторону… (и кажется это не совсем нравится Серго Горди и профессору Анисимису)) но не будем о грустном:)

Появилась подробная информация по проводимым конкурсам на странице http://phdays.ru/contests.asp. Парням, и, разумеется, очаровательным девушкам, способными прийти с 0day, рекомендую обратить внимание на конкурсы "взломай и уноси" Ноутбук и/или iPhone.

На странице участников соревнования PHD CTF 2011 опубликован предварительный список команд, который надеюсь, к концу недели будет окончательно сформирован (предполагается участие 10-12 команд).

На текущий момент времени доступны следующие ресурсы, относящиеся к Positive Hack Days (2011):

- сайт мероприятия (зеркало на английском языке);
- блог мероприятия (где также можно задать имеющиеся вопросы);
- группа на Facebook;
- группа на Linkedin;
- twitter мероприятия.

Присоединяйтесь!

Хроники пентестера #2: безопасность ERP-систем

Существует довольно известная во всем мире ERP-система под брендом SAP, которая еще с конца прошлого века получила широкое распространение в крупных компаниях. Но при всей своей популяризации, разработчики SAP сделали все возможное, чтобы максимально усложнить архитектуру безопасности своего детища.

История, которая произошла совсем недавно, берет свое начало с использования пароля по умолчанию к учетной записи SAP* в 066 манданте. Вполне стандартная проблема с дефолтами в системах SAP. Указанный (типовой) недостаток встречается в 9 случаях из 10 (и в половине случаев, если рассматривать исключительно продуктивные системы). В таблице ниже приведены известные идентификаторы и пароли по умолчанию.

Positive Hack Day(s) 2011

Компания Positive Technologies проводит уникальное мероприятие – международную конференцию Positive Hack Day(s), которая посвящена практическим вопросам безопасности и предоставляет собой площадку для обмена мнениями, получения новых знаний, обретения контактов и практических навыков. Мероприятие проходит 19 мая в Культурно-развлекательном центре Молодая Гвардия г. Москва. Сайт мероприятия: http://phdays.ru/

Тематика конференции сформирована с акцентом на практические моменты актуальных вопросов информационной безопасности. Основными темами конференции являются: безопасность веб-приложений, защита облачных вычислений и виртуальной инфраструктуры, противодействие 0-day атакам, расследование инцидентов, защита от DDoS, противодействие мошенничеству, безопасность АСУ ТП (SCADA), защита бизнес-приложений и ERP.

Хроники пентестера #1: Безопасность в сетях Microsoft

Предположил, что многим будет интересно почитать невыдуманные истории из жизни, в которых удавалось воспользоваться слабостями защитных механизмов в крупных компаниях и реализовать различные угрозы информационной безопасности. В силу того, что подобных историй за время работы в компании Positive Technologies накопилось огромное множество и маленькая тележка, данную рубрику предполагаю вести по всем направлениям enterprise security. А чтобы защищающейся стороне данный материал также являлся полезным, в конце каждого подобного поста буду приводить практическое решение по избеганию описываемых (типовых) проблем безопасности. Итак, поехали!

Полное руководство по прохождению HackQuest 2010

Журнал "Хакер" назвал HQ2010, как "САМЫЙ ЛУЧШИЙ... КВЕСТ!". Моя версия – "Самый долгоиграющий хак-квест" :), потому как проходил он в конце августа на фестивале Chaos Constructions 2010, а затем в урезанном формате был доступен в online-режиме в конце 2010 года на площадке портала SecurityLab. И только теперь, по прошествии более полугода, публикуется его прохождение.

Данная публикация была подготовлена при участии:

Сергея Рублева (Positive Technologies); http://ptresearch.blogspot.com/
Александра Матросова (ESET); http://amatrosov.blogspot.com/
Владимира d0znp Воронцова (ONsec.RU); http://oxod.ru/
Тараса oxdef Иващенко (Яндекс); http://blog.oxdef.info/
...и вашего покорного слуги.

Воины будущего: Да придет спаситель часть IV

Продолжая серию Позитивных выступлений для широкой аудитории, Сергей Рублев рассказал про хокс-программы на телеканале iTV:



Хокс-программы (англ. hoax — мистификация) — разновидность троянских программ, использующих обман неосведомленных пользователей Интернет в вопросах информационной безопасности для убеждения их в необходимости заплатить за некое действие (обычно даже мнимое) или, наоборот, за предотвращение действия.

Авторизация на веб-сервере Apache по сертификату

На днях для внутренних нужд компании потребовалось настроить веб-сервер Apache для авторизации пользователей в приложении с использованием цифровых сертификатов. Причем так, чтобы все было кошерно :) т.е. все сертификаты должны быть подписаны внутренним удостоверяющим центром Microsoft CA.

Стоит признаться, что пришлось несколько повозиться, ибо подробного howto на просторах нашей бескрайней мне найти не удалось. Потому предположил, что шпаргалка на эту тему может оказаться полезной.

Постановка задачи:

требуется настроить авторизацию на веб-сервере Apache с использованием подписанных цифровых сертификатов внутренним удостоверяющим центром Microsoft CA.

Backdoor в Active Directory

В свое время, менее года назад, на хабре мелькала публикация с аналогичным заголовком [1]. В ней автор предлагал способ по сокрытию привилегий администратора домена путем использования в качестве контейнера, для размещения "скрытой" учетной записи, служебное хранилище "Program data", в совокупностью с агрессивным разграничением прав с целью предотвращения доступа к "спрятанной" учетной записи. Однако, несмотря на заверения автора, обнаружение "скрытой" учетной записи и ее последующее удаление можно было выполнить всего в несколько кликов.

Т.е. предложенный подход на практике будет не работоспособен. Но может быть существует более подходящая альтернатива этому способу (в том числе без использования руткитов на контроллерах домена:))?

100% Virus Free Podcast #25

Итоговый подкаст за 2010 год. На этот раз настоящий 25 выпуск ;))

Подводим итоги года в гостях у Александра Матросова за чашечкой пафосного мокачино. Надо признаться, что подкаст записывался в конце декабря, в день взлома процессинга хронопей :-) , так что не пугайтесь некоторых фраз. Кроме того, первоначально и до последнего момента, предполагалось включение в этот выпуск подкаста голоса Ильи Сачкова, который так и не нашел времени добраться до места дислокации Российского представительства компании ESET. В связи со всем вышеперечисленным в подкасте имеются мелкие косяки, на которые не стоит обращать внимание :) И, разумеется, поздравляю Александра с тем, что его идея с записью подкастов по тематике информационной безопасности развивается и живет уже почти год! 8-)



Скачать mp3 файл

Symantec Report on Attack Kits and Malicious Websites

Следом за другими крупными игроками рынка по информационной безопасности, компания Symantec опубликовала свое видение "где мы сейчас находимся" и "чего нам следует бояться" в современном информационном мире. Довольно занятный материал собран в документе под названием "Attack Kits and Malicious Website".

PS. Данные Symantec сходятся с данными Trustwave в том, что наши соотечественники занимают лидирующие позиции в общем мировом рейтинге по взлому...

PS2. Особенно понравилась подборка "Appendix A: List of Attack Kits".

Trustwave's 2011 Global Security Report

Компания Trustwave, занимающаяся вопросами безопасности платежных систем, опубликовала очередной отчет Global Security Report 2011. Из числа красивых картинок, представленных в отчете, можно выделить график, иллюстрирующий усредненный временной интервал для обнаружения инцидента, связанного с утечкой данных, начиная от компаний, серьезно занимающихся вопросами информационной безопасности, в противоположность компаниям, уповающим на регуляторов:

Kaspersky Anti-Virus Source Code Leaks Online

Все качаем сорцы детища Евгения Касперского датированные 2008 годом ))

via Torrent: http://thepiratebay.org/
direct Download: http://vx.netlux.org


Первоисточники:
http://news.softpedia.com/
http://safe.cnews.ru/
http://security-sh3ll.blogspot.com/

Cisco 2010 Annual Security Report

Компанией Cisco опубликован годовой отчет безопасности за 2010. В отчете рассмотрены основные события прошлого года, угрозы и их последствия. В частности, отчет охватывает такие направления, как:

- Схему отмывания денежных средств
- Социальную инженерию на фоне социальных сетей
- Риски и уязвимости
- Тенденции мирового правительства
- Общие тенденции в сторону мобильных платформ

А ты до сих пор не в Позитиве?

В очередной раз и точно - не последний :)

Вакантная должность

Руководитель отдела проектных решений

Подразделение

Отдел проектных решений департамента проектирования и консалтинга

Требования

Навыки:

• постановки задачи и контроля исполнения
• распределения задач в зависимости от загрузки и квалификации подчиненных
• планирования карьеры подчиненного
• работы с продуктами Компании
• управления проектами по проектированию и внедрению систем ИБ
• хорошие коммуникативные и презентационные навыки
• разработки проектной документации

Воины будущего: Да придет спаситель часть III

Очередная серия много(страдального)серийного блокбастера "Воины будущего: Да придет спаситель" часть III! Теперь и в формате передачи "Военная тайна" на телеканале РЕН. Смотрим ;)

военная тайна 15-01-2011 from devteev on Vimeo.

Предыдущие серии [1,2].

Безопасность языком цифр #9: откровения о пентестах

Услуги по тестированию на проникновение и анализу защищенности предлагают сегодня все кому не лень. Оно и понятно. Такие работы позволяют с минимальными временными и финансовыми затратами выявить существенные недостатки в реализации системы управления информационной безопасности. Поэтому услуги по тестированию на проникновения являются все более и более востребованными в настоящее время.

Одним из ограничений анализа защищенности, и, тестирования на проникновение в частности, является то, что не существует четких критериев оценки качества предоставляемых услуг. Таким образом, Заказчику остается только уповать на методику Исполнителя и опыт участников, которые непосредственно проводят подобный анализ.

Особенности PHP в среде Windows

Довольно интересное исследование опубликовал Владимир Воронцов (aka d0znpp) на тему особенностей работы PHP с файловой системой в среде Windows. Началось все с того, что была замечена равнозначность следующих способов обращения к файлам:

• any.phP
• any.php
• any.ph<
• any.ph>