На ежегодной международной конференции, которую посетили более 2500 человек из 18 стран мира, ведущие эксперты по безопасности демонстрировали новые киберугрозы и новые техники киберзащиты, обсуждали последние тренды в законодательстве и разницу в отношении к безопасности в разных странах.
Вскоре после PHDays IV был составлен рейтинг докладов, чаше всего цитируемых в социальных сетях. Как выяснилось, наибольший интерес у аудитории вызвала тема интернет-слежки. Андрей Масалович поделился способами поиска конфиденциальных данных на разных ресурсах, от «ВКонтакте» до сайта Пентагона, а Игорь Ашманов показал, как вычислить истинную «либеральность» или «патриотичность» пользователей на основе анализа их записей в Твиттере и Фейсбуке.
Все доклады и круглые столы конференции PHDays IV можно посмотреть в видеозаписи. Список самых популярных выступлений: habrahabr.ru/company/pt/blog/224147/
Конкурсы хакеров - школа будущего?
Может ли один-единственный злоумышленник парализовать целый город? Ответ на этот вопрос искали участники конкурса Critical Infrastructure Attack: им предстояло проверить на прочность несколько систем АСУ ТП (SCADA), которые управляли транспортом, городским освещением, ТЭЦ, кранами и промышленными роботами. Нужно было не только найти дыры в безопасности, но и показать их использование на живом макете «умного города». Победителем стала Алиса Шевченко, которая обнаружила несколько уязвимостей нулевого дня в популярной системе промышленной автоматизации фирмы Schneider Electric.
Другой конкурс, «Безумный дом», был связан с концепцией умных вещей. Вышедшие из-под контроля автомобили, пылесосы и телевизоры только на первый взгляд кажутся фантазиями из книг Стивена Кинга. По прогнозу Gartner, к 2020 году количество бытовых устройств с интернетом превысит 26 млрд штук, а объем рынка достигнет 300 млрд долларов. Это значит, что в ближайшие годы практически любой обыватель может быть атакован в собственном доме, где все вокруг буквально сошло с ума под влиянием злоумышленника. На конференции PHDays была представлена копия реальной квартиры, оборудованная аналогом системы «умного дома». Чтобы одержать победу, участнику нужно было пройти все ловушки взбесившихся устройств и получить контроль над домом быстрее других. Победителем с результатом 6 минут 3 секунды стал участник под ником Kraiden.
А как насчет защиты денежных средств? Количество клиентов интернет-банкинга в Европе и США превысило 120 млн человек, однако опыт показывает, что системы безопасности в этой сфере тоже можно обойти. В ходе конкурса «Большой ку$h» хакеры смогли вывести из виртуального банка практически все заложенные в него деньги (17 из 20 тыс. рублей), обнаружив несколько серьезных новых уязвимостей в банковском программном обеспечении. Победителем стал участник под ником d4d, которому удалось вывести из системы 9360 рублей, второе место занял Helm, похитивший чуть больше 6 тыс., а BigBear с 533 рублями стал третьим.
Самым масштабным конкурсом на PHDays IV стало соревнование Capture the Flag. В отборочных соревнованиях приняли участие несколько сотен хакерских команд, а в финал вышли 10 коллективов из России, Испании, Польши, США и Южной Кореи. В течение двух дней форума они сражались за доступ к секретной информации, искали уязвимости в системах противников и защищали собственные сети, устраняя в них уязвимости. Победила польская команда Dragon Sector, второе место заняла группа Int3pids из Испании, а российская команда из МИФИ BalalaikaCr3w взяла третье.
Но как же защищаться от этих вездесущих взломщиков? Еще один конкурс под названием WAF Bypass был посвящен тестированию новой концепции проактивной защиты, которую разрабатывает компания Positive Technologies. Участники конкурса могли попробовать свои силы в обходе сетевого экрана PT Application Firewall, который сочетает в своей работе методы статического и динамического анализа приложений с корреляционным анализом трафика. Победителями этого конкурса стала команда из МГУ - Георгий Носеевич, Андрей Петухов и Александр Раздобаров.
С подробными разборами заданий конкурсов PHDays IV можно ознакомиться на сайте конференции - это ещё и пособие для тех, кто хочет подготовиться к конкурсам следующего года.