++2011

Желаю всем в новом году тока положительной динамики во всех плоскостях!
С наступающим новым годом и рождеством!11

ЗЫ. Продуктивных праздничных дней ;))

1st place - Plaid Parliament of Pwning #PCQ12


В эти выходные состоялись отборочные соревнования для участия в PHDays CTF III. На протяжении 48-ми часов шла ожесточенная борьба за лидерство в общем зачете. В результате с отрывом более чем в 1000 очков от ближайшего конкурента, одержала победу команда Plaid Parliament of Pwning (PPP). Мои поздравления!!!

Всего же в соревновании приняло участие почти 500 команд из 30 стран. Приведенная ниже динамика соревнования наглядно иллюстрирует, как нелегко было удерживать позиции лидерства.

Открыта регистрация на PHDays CTF Quals



В декабре стартует отборочный тур международных соревнований по защите информации PHDays CTF III. Основные состязания пройдут 22-23 мая 2013 года в Москве во время третьего международного форума по информационной безопасности Positive Hack Days.

Как и прежде, в этом году все желающие могут попробовать свои силы в отборочном туре CTF Quals. Регистрация на отборочные соревнования уже открыта!

PHDays CTF Quals --> http://quals.phdays.ru/

Узнать больше о хакерских соревнованиях Positive Hack Days CTF можно по следующей ссылке - http://www.ptsecurity.ru/download/PHDays_CTF_2012_analytics_ru.pdf

Открытие нового офиса Positive Technologies

Сегодня первый день работы Питерского офиса компании Positive Technologies!11


Для всех талантливых личностей двери компании открыты теперь и в культурной столице нашей необъятной родины. Присоединяйтесь к нашей команде!

Когда наступит конец света

"...оказалось, что все инструменты демократизации, включая наиболее либеральные и гуманные кассетные бомбы и боеголовки с объединенным ураном, превратились в бесполезные болванки. Взрыватели не взрывают, ракеты не летают..."(с) Серго Горди, 2011


Когда наступит конец света? Совсем скоро! И в самом что ни на есть прямом смысле этого слова (и не по календарю майя), если ситуация с безопасностью АСУ ТП не измениться кардинальным образом. Такое безрадостное утверждение основано на результатах проведенного исследования компанией Positive Technologies, посвященное реальной безопасности АСУ ТП сегодня.

Так, по результатам исследования с 2010 года в 20 раз выросло число обнаруженных уязвимостей в промышленных системах, при этом, практически половина подобных систем "торчавших наружу" может быть взломана за короткое время не самым опытным атакающим.

Positive Hack Days III CFP is Open!


Стартовал прием заявок на участие в международном форуме Positive Hack Days III. Если вы хотите поделиться своим опытом, результатами исследований или продемонстрировать свои навыки в плоскости практической информационной безопасности, то в конце мая 2013 года добро пожаловать на PHDays.

ФОРМАТЫ УЧАСТИЯ

·         Доклад (50 минут)
·         Fast Track (15—30 минут)
·         Hands on Lab (до 4 часов)

КОНТАКТНАЯ ИНФОРМАЦИЯ

Сайт: www.phdays.ru
Twitter: http://twitter.com/phdays_ru (@phdays_ru)
Хэштег: #phdays
Блог: blog.phdays.ru

Присылайте ваши заявки по адресу: cfp@phdays.com.

Обход ограничений безопасности в Windows

На днях в rss-ленте проскочил вектор обхода Software Restriction Policies (SRP), датированный аж 2008 годом. Судя по проявленному интересу в твиттере, даже уже ставшие известными методы обхода ограничений безопасности в интернет-киосках и терминалках (включая Citrix) по-прежнему вызывают интерес у аудитории. Это и побудило меня к написанию данной заметки. Речь пойдет о практических методах обхода излишней безопасности винды, воздвигнутой параноидальными силами администратора системы.

Для начала рассмотрим то, с чем приходится бороться.

Политики ограниченного использования программ являются функциональной возможностью операционных систем Microsoft® Windows®. Эта важная функция предоставляет администраторам основанный на управлении групповыми политиками механизм идентификации программ, выполняющихся на компьютере, и контролирует возможность их выполнения. Политики ограниченного использования программ могут существенно повысить целостность и управляемость системы, что в конечном счете снижает стоимость владения компьютером. Подробнее: http://technet.microsoft.com/ru-RU/library/hh831534 AppLocker – продолжение развития SPR, подробнее: http://technet.microsoft.com/ru-ru/library/dd548340(v=ws.10).aspx

Страшилки для интернет-бродилки

Не успели утихнуть страсти вокруг уязвимости в Java (CVE-2012-4681), как к радости создателей client-side exploit kits (и всех интересующихся) в публичном доступе оказался боевой эксплоит к уязвимости нулевого дня в Microsoft Internet Explorer. Как сообщается в официальном уведомлении, уязвимости подвержены практически вся линейка поддерживаемых версий операционных систем от MS и браузера IE вне зависимости от архитектуры процессора (от Windows XP до Windows 2008; от IE 6 до IE 9). При этом доступный для всех и каждого эксплоит, портированный в MSF, обеспечивает покрытие следующих таргетов:

IE 7/Windows XP SP3
IE 8/Windows XP SP3
IE 7/Windows Vista
IE 8/Windows Vista
IE 8/Windows 7
IE 9/Windows 7

King of the Hill (results)

Завершился самый реалистичный конкурс для хакеров. Надеюсь, что все, кто принимал участие в этом хакерском шутере получили свой фан от его прохождения. Итак, подводя итоги напряженного соревнования (динамика, которого порой просто зашкаливала!), конечный рейтинг выглядит следующим образом:


Первое место заслуженно занимает "beched AHack.Ru", который не только проявил наибольший интерес к этому конкурсу, но и единственный (!), кто сумел захватить на некоторое время второй уровень "Царя горы" - Microsoft Active Directory. Поздравляю!!!

Как и сообщалось ранее, участников, занявших три первых места ждут призы и подарки от компании Positive Technologies. А для всех интересующихся, что же из себя представляла сборка в обертке "Царя горы", ниже представлены презентации, детально рассматривающие, каким образом решались соответствующие задания.

The most realistic hacking contest

Принять участие в самом реалистичном хакерском конкурсе можно с 20 августа по 2 сентября. Для этого необходимо зарегистрироваться на официальном сайте по адресу: http://www.phdays.ru/ctf/king/

В ходе битвы хакеров Capture The Flag на PHDays 2012 двенадцать команд из 10 стран мира взламывали сети противников и защищали свои на протяжении двух дней в режиме NON-STOP. Условия сражения были максимально приближены к боевым: никаких выдуманных уязвимостей, только реально встречающиеся в современных информационных системах.

В рамках соревнований CTF на PHDays присутствовала также неконтролируемая участниками инфраструктура, построенная по принципу «Царь горы»: очки начислялись за  удержание захваченных систем. «Царь горы» - это настоящий шутер для пентестеров, максимально приближенный к реальности. «Царь горы» представляет из себя набор из трех информационных систем, которые в точности повторяют типовой внешний периметр среднестатистической корпоративной сети. На периметре такой организации расположены уязвимые веб-приложения и различные сервисы (интерфейсы администрирования, базы данных и др.), а за ними — на втором уровне — скрывается Microsoft Active Directory.


Typical vulnerabilities of E-Banking systems (Workshop on $natch)

По материалам международного форума Positive Hack Days 2012 сегодня состоялся удаленный воркшоп по конкурсу $natch. На этот раз уже в рамках конференции по практической безопасности SecurIT 2012, которая в настоящее время проходит в Индии. Напомню, что на прошлой неделе воркшоп по указанной теме проходил на площадке Хакспейса Neúron. Материалы выступлений приведены ниже.

Развитие направлений пупыринга Positive Technologies


Активный рост рынка мобильных устройств, наблюдаемый в течение последних нескольких лет, не мог не вызвать возникновения новых услуг в различных сферах бизнеса. В частности, все чаще появляются клиент-серверные приложения, разрабатываемые для мобильных платформ (iOS, Android и др.), которые позволяют пользователям осуществлять финансовые операции. Данные приложения могут содержать уязвимости, использование которых злоумышленниками может привести к ощутимым финансовым и репутационным потерям для компании — владельца системы. Согласно отчету корпорации Symantec в 2011 году средний годовой ущерб для крупного бизнеса, вызываемый инцидентами, связанными с мобильными приложениями, составил 429 000 долл. США на организацию.

Воркшоп по конкурсу $natch в Хакспейсе Neúron


Живые! Благодаря подвигу разработчиков конкурса "Большой ку$h" подготовлен воркшоп по типовым уязвимостям в системах дистанционного банковского обслуживания. Воркшоп пройдет в Московском хакспейсе Neúron 11-го августа с 12:00 до 15:00 MSK.

Всем живым y a welcome!

Регистрация будет доступна по адресу: http://neuronspace.timepad.ru/events

ЗЫ. Напомню, что специально для конкурса $natch специалистами компании Positive Technologies был разработан интернет-банк (PHDays I-Bank) с собственным процессингом, содержащий типовые уязвимости ДБО. Упомянутая разработка НЕ ЯВЛЯЕТСЯ системой, которая действительно работает в каком-либо из существующих банков; при этом она максимально приближена к подобным системам и содержит характерные для них уязвимости.

Разыскиваются хакеры!11

...для работы в отделе анализа защищенности в компании Positive Technologies.
У нас реально весело!


Ждем Вас :)

Инновации +: 25-й выпуск. Пластиковые карты. Защита от мошенников

Сокращенная версия:




А для тех, кто желает узнать больше ссылка на полноценный ролик.

IT & Security Forum ICL

Организаторам IT & Security Forum 2012 потребуется приложить немало усилий, чтобы сохранить заданный уровень. Планка поднята очень прилично, и сегодня это, наверное, самое интересное "нестоличное" мероприятие в России в сфере IT и ИБ. Форум в Казани — это великолепная организации и техническая подготовка, увлекательная и полезная бизнес-программа, транслируемая в четыре потока, прекрасная демо-зона, где можно было не только увидеть новые решения, но и потрогать их руками.

Презентация с моего выступления представлена ниже.

MS12-036: очередная бага в протоколе RDP, пора паниковать?)

Очередной вторник обновлений от Microsoft привнес прелесть нулевых ночей. Уже поговаривают, что одним багом вовсю активно пользуются соответствующие парни (http://news.hitb.org/content/attacks-actively-exploit-code-execution-bug-windows). При детальном рассмотрении списка багов из рассылки (http://blogs.technet.com/b/srd/archive/2012/06/12/assessing-risk-for-the-june-2012-security-updates.aspx) в глаза бросается уязвимость с идентификатором MS12-036. Уязвимость в ядре и эксплуатируется через всеми используемый протокол RDP. Стоит ли ждать очередного червя или равносильно MS12-020 бага является не подьемной?...

Статистика веб-уязвимостей за 2010-2011 годы

Опубликована статистика уязвимостей в веб-приложениях за 2010-2011 годы. Хорошая аналитическая работа. Рекомендую!

Ссылка на русскоязычный источник: http://www.ptsecurity.ru/download/статистика%20RU.pdf

English version: http://www.ptsecurity.com/download/statistics.pdf

Пару букв за PHDays 2012


Видимо я несколько запоздал с написанием отзыва о форуме… С другой стороны написать пару строк за PHDays очень даже хочется :) Буду краток, МЫ ЭТО СДЕЛАЛИ! Э-ГЕ-ГЕЙ!11

За форум, много всего хорошего рассказывают участники сего действа (ссылки под катом). Ну, а для тех, кто все пропустил или желает вновь окунуться в дни Positive Hack Days – You are welcome! - http://digitaloctober.ru/event/positive_hack_days


PHDays 2012: Конкурсная программа

Параллельно с форумом Positive Hack Days 2012 стартует целая пачка различных конкурсов, которые рассчитаны, как на матерого хакера, так доступны для всех и для каждого. Регистрация на онлайн конкурсы уже открыта - http://phdays.ru/personal/?register=yes Welcome!

Отдельно хочется выделить конкурс "PHDays Online HackQuest 2012", участники которого, помимо   прокачки собственных скиллов в решении множества заданий по взлому и реверсингу, смогут повлиять на рейтинг очного соревнования PHDays CTF 2012 во второй день работы форума. Присоединяйтесь к общей движухе!


Организаторы PHDays за два дня до мероприятия


Positive Hack Days 2012

Сегодня как-то неожиданно запланированно прошла регистрация на форум Positive Hack Days 2012. Регистрация продлилась всего 8 минут и затем была закрыта, т.к. количество желающих посетить мероприятие превысило вместительность площадки, на которой пройдет форум. Если вы не успели зарегистрироваться, не расстраивайтесь! Будет организована трансляция всех секций форума на двух языках. Кроме того, вы можете участвовать в online-конкурсах, которые будут проходить в дни проведения форума. Присоединяйтесь! http://phdays.ru/registration/


PHDays 2012

Мы запустились!11

Информация о форуме - http://phdays.ru/about/
Нас поддерживают - http://phdays.ru/registration/everywhere/
Программа форума - http://phdays.ru/program/
Конкурсная программа - http://phdays.ru/program/contests/ (и сейчас уже проходят два конкурса - "Взорвем городишку" и "Хакеры против форензики"; прими участие и получи инвайт на форум!). Отдельно хочется выделить конкурс "Hack2own", предварительный бюджет которого составляет 600.000 рублей. Информация о самом зрелищном конкурсе PHDays CTF 2012 - http://phdays.ru/ctf/

Вся информация также представлена на английском языке - http://phdays.com/

Software People 2012: Собираем команду хакеров

На днях в очередной раз побывал в здании Digital October и выступил в формате мероприятия Software People 2012. Презентация с выступления приведена ниже.



PS. выкладываю с большим опозданием т.к. slideshare.net неожиданно глючил на той неделе...

PHDAYS 2012: начало

До международного форума по практической безопасности Positive Hack Days 2012 (#phdays) осталось менее двух месяцев. Программа в целом сформирована и она апупенна! Направления тематических конкурсов до, после и во время мероприятия (включая мега CTF 2012) проработаны и в настоящее время идет их активная разработка. На следующей неделе планируется запуск нового сайта форума. Следите за новостями.

З.Ы. И да, это мой первый пост с андроида. "Все, когда-то бывает в первый раз" (с)

Neúron Хакспейс: итоги встречи

Интересно, но как-то так получилось, что по материалам прошлогоднего PHDays мы встречались на хакспейсе за два месяца до запланированного форума в этом году. И! Неожиданно Ожидаемо собрали в одном месте довольно много технически грамотных людей, которым действительно было интересно то, что мы рассказывали. Это, несомненно, очень приятно.

Воркшоп по итогам PHDays CTF 2011 на Хакспейсе Neúron

31 марта 2012 года в хакспейсе Neuron пройдет воркшоп, посвященный итогам PHDays CTF Afterparty.

Формат встречи

На площадке будет развернута виртуальная сеть, аналогичная той, что использовалась на отборочных соревнованиях CTF Afterparty 2011. Вы сможете не только выяснить секреты создания дьявольски сложных заданий, но и порешать их по ходу действия, поэтому не забудьте захватить ноутбук.

Другим поводом посетить хакспейс может стать желание неформально встретиться и потрещать на другие, не связанные CTF-афтепати темами.

Время проведения воркшопа: с 11 до 18 ч.

100% Virus Free Podcast #38

Специальный выпуск, посвященный конференции Positive Hack Days 2012;
hack the planet :)



Скачать mp3 файл

MS12-020: exploit available?

Появилось первое упоминание про рабочий эксплоит к уязвимости MS12-020:


Замечен по адресу: http://www.forgeting.com/archives/601.html
Источник: http://www.securitylab.ru/blog/personal/tecklord/21197.php

MS12-020: Vulnerabilities in Remote Desktop Could Allow Remote Code Execution

Как обычно во второй вторник месяца компания Microsoft выпустила пачку заплаток к линейке своих продуктов. Из всего списка бюллетеней по безопасности одной уязвимости, а это - MS12-020, был присвоен статус критической баги. "Обновление устраняет две обнаруженные уязвимости в протоколе удаленного рабочего стола (RDP). Наиболее серьезная из этих уязвимостей делает возможным удаленное выполнение кода, если злоумышленник отправляет уязвимой системе последовательность специально созданных пакетов RDP", сообщается на соответствующей странице.

В очередной раз Windows (а вместе с ней и весь мир) в опасности или Microsoft просто шутит? Эксперты прогнозируют, что малварь, эксплуатирующая уязвимость ms12-020 появится менее чем через 30 дней. С другой стороны, парни, которые уже сделали бинарный анализ выпущенного патча находятся в недоумении, пологая, что дальше отказа в обслуживании дело не дойдет [1, 2]. Появится-ли новый RCE для серьезного покрытия версий винды вновь покажет время. Ждем-с :)

Вебинар: Тестирование на проникновение в сетях Microsoft

В четверг на этой неделе (15.03) проведу вебинар по теме реализации угроз в сетях Microsoft. Буду делиться практическим опытом :) Данную презентацию я уже рассказывал не так давно на 8-й встрече Defcon Russia Group, которая проходила в Москве. Но по причине двух последних событий [1, 2], немного изменил содержимое в имеющейся презентации.

Для бесплатного участия в вебинаре необходимо зарегистрироваться по этой ссылке.

Backdoor в Active Directory III

Продолжая тему из серии "прячемся в каталоге MS LDAP" [1,2] нашел еще один замечательный способ скрыть свое присутствие от бдительного взора администратора домена. Речь идет про объект типа "msPKI-Key-Recovery-Agent", который визуально выглядит, как системная организационная единица и ни как не выдает себя при не целевом поиске (например, через стандартные средства поиска по каталогу). Приведенный ниже сценарий позволяет создать "скрытого" пользователя, как показано на картинке.


Windows Credentials Editor (WCE) 1.3beta released

Самые вкусные "плюшки" в сборке под названием mimikatz в части дерганья открытых паролей в операционной системе под управлением Windows на днях были портированы в "швейцарский нож", известный под названием Windows Credentials Editor:


Прямая ссылка для скачивания: WCE v1.3beta (32-bit) (download)

Positive Technologies has successfully passed the PCI SSC ASV

Компания Positive Technologies теперь тоже входит в элитный список вендоров, которые могут проводить PCI DSS ASV сканирования. И даже больше! Positive Technologies MaxPatrol полностью поддерживает формат ASV. О чем, собственно, я и буду хвастаться на соответствующем вебинаре в июне этого года.


UN.org, Skype.com, and Oracle.com Hacked by D35m0nd142

Что-то давно я не писал про SQL-инъекции и инциденты, связанные с ними. И потому не смог отказать себе в удовольствии посмаковать последние события, опубликованные на news.softpedia.com. Шутка ли, что хакер под псевдонимом D35m0nd142, вооружившись последней версией Acunetix WVS и средством для автоматизации проведения атаки через blind SQLi (Havij?) сумел натворить много дел [1] на столь известных ресурсах, как например Oracle.com и Skype.com:

(0day) Пароли в открытом виде или секреты LSA

Не успел я сконсолидировать типовые методы пост-эксплуатации на платформе Windows в предыдущем посте, как (неожиданно и в тот же день) Александр Зайцев нарыл в сети новую, куда более интересную тему. Речь идет про опубликованный на днях французским исследователем "швейцарский нож" под названием mimikatz. Инструмент, помимо аналогичного функционала, поддерживаемого Windows Credentials Editor, позволяет выдергивать креды залогиневшегося пользователя в системе открытым текстом! Атака реализуется следующей магией:

mimikatz # privilege::debug
mimikatz # inject::process lsass.exe sekurlsa.dll
mimikatz # @getLogonPasswords

Инфофорум 2012: материалы мастер-класса

Провел сегодня мастер-класс на Инфофоруме 2012 (да да, прям в здании Правительства РФ)). Рассказывал "сказки", показывал мультики :)

Доигрался или звезда в шоке)

NO COMMENTS ^_^


Вебинары Positive Technologies

Опубликовано расписание образовательной программы "Практическая безопасность" на первое полугодие 2012 года. Стоит отметить, что запланированный список тем не является окончательным и со временем будет пополняться. Разумеется, все самые "вкусные" темы припасены на международный форум Positive Hack Days :)

А пока счет 7/4 и MaxPatrol заметно лидирует))

Backdoor в Active Directory следующего поколения

В начале прошлого года мною уже поднималась тема пост-эксплуатации в домене Microsoft Active Directory. В предложенном ранее подходе рассматривался вариант ориентированный больше на случай утери административных привилегий, нежели их непосредственное использование. При этом само действо по возврату этих привилегий подразумевало "шумные" события и визуально палевные манипуляции в каталоге. Другими словами, для того, чтобы вернуть себе административные привилегии в домене, требовалось стать участником соответствующей группы безопасности, например, группы "Domain Admins".

Надо сказать, что администраторы очень волнуются, когда неожиданно осознают присутствие в своей системе кого-то еще. Некоторые из них бросаются всеми силами обрабатывать инцидент безопасности. Порой, самыми непредсказуемыми действиями ;))

С новым годом!!!

Поздравляю всех с уже наступившим Новым годом 2012! Желаю творческих успехов, удачи в этом году и, разумеется, больше позитива!!! :)