Category Archives: events

Positive Hack Days 2013 (PHDays III)

phdIII main

Итак, что я успел сделать за период проведения PHDays III.

В первый день:

– встретить 90% тех, кого хотел встретить, было очень приятно пообщаться со всеми;

– у стойки регистрации познакомиться с представителями TOOOL;

– а потом проторчать с ними пол-дня в секции лок-пипинга (под конец дня от начального количества замков и отмычек осталась лишь половина). Все доступные отмычки были скуплены в течение первых трех часов. Спасибо мужчине, который альтруистично вызвался под конец дня помочь набором отмычек, он до сих пор у меня). Очень тяжко было переводить описание процесса локпикинга на английский и обратно;

D3NFZWWrj1g

– совсем не успевал на какие-либо доклады в связи с участием в организационных вопросах. Однако, на Жириновского я время нашел. Точнее, 5 минут – больше я не выдержал. Я понимаю, что говорить он может и, даже, убедительно, но тут этого было мало. Наиболее “впечатлившей” идеей стала “отнять и поделить” – отнять у банков, поделить с юными хакерами;

rtable

– успешно зарегистрировать CTF’ников, регистрация работала на отлично;

– затусить с товарищами из RDOT.

Во второй день:

– завести новые знакомства;

– определиться с новым местом работы;

– обсудить варианты возможного будущего взаимодействия в рамках проведения пентестов с одним новым и одним старым знакомым;

– хотел сходить послушать Китай, но сетка выступлений была изменена и вместо него выступил Travis Goodspeed (которого пошли слушать ToooL);

– конечно, постараться послушать доклады про веб, а именно – сходить послушать Володю Воронцова, доклады которого обычно интересные. Увы, через 30 минут теории я сдулся, хотя коллеги подтверждают, что остаток выступления был интересный;

– застрять на Кремлёвской набережной в часовой пробке, но погода располагала полюбоваться видами;

– удивиться, что ForbiddenBITS выступали на CTF в количестве 2-х человек;

– активно поболеть в 2drunk2hack за анонимуса с antichat’а;

2d2h

– не успеть затусить с коллегами;

– затусить с товарищами из RDOT и Eindbazen;

Photo (127 of 132)

– на обратном пути домой попался таксист, который внезапно(!) всю дорогу домой рассказывал мне как выглядит анализ защищенности, что такое безопасность, почему в промышленных системах не должно быть универсальных систем и почему никто не взломал калькулятор. Магия PHDays в действии!

В третий день (afterparty) отличные выдались посиделки:

– не успел во второй день послушать Marc Heuse, поэтому пришлось экстренно наверстывать упущенное в ходе беседы. Было действительно интересно узнать как самоучка может достигнуть таких впечатляющих результатов, почему Марк предпочитает международным консалтинговым компаниям свой бизнес, услышать мнение о бесполезности высшего образования и института брака;

– не менее интересно пообщаться с участниками команд PPP и Eindbazen, одним анонимусом с RDOT’а и eigrad (второе место в наливайке, респект!). Узнал, что проблемы с регистрацией в Америке не проще, чем у нас, и что цена однушки в Сан-Франциско втрое дороже, чем в Москве (!). Special thanks to the Eindbazen team’s members for that really cool evening at the Digital October and at the hotel restaurant. We were very glad to have the possibility to talk with all of you.

– договориться с geohot об интервью (шутку на счет знакомо ли ему то устройство, в которое я предложил записать координаты (iPhone), он не понял :'( ).

Итоги:

Очень сильная усталость, но оно того стоило: конференция вышла знатная по всем направлениям – понятная регистрация, большое и комфортное помещение, отличная музыка и дизайн помещений, судя по отзывам – хорошие и разнообразные доклады, удачное совмещение разношерстной публики, множество интересных зон (лабиринт, конечно, был очень эффектен), достаточно воды, атмосфера (а главное – настрой посетителей и организаторов) и музыка, явно располагающая к удобному общению, высокий уровень организации мероприятия (о чём косвенно свидетельствует маленькое число различных вопросов от посетителей). Полагаю, что курильщики были рады возможности выбирать между помещением и улицей. Из маленьких минусов: приходилось постараться, чтобы найти расписание выступлений, если программа не под рукой (эта же проблема была раньше на ZeroNights, но не было на прошлом PHDays), ненужный Жириновский, найти перекусить было непросто и дорого, что-то не так у меня было с интернетом, PHD не работала сеть, WTC работала но с аутентификацией, приходилось пользоваться служебной. По субъективным причинам пропустил очень много интересного: промышленные протоколы, банкоматы с iBank’ами, мастерклассы и т.п. Буду с нетерпением ждать материалы. Хотелось бы отметить, что все без исключения участники CTF (и наши, и иностранцы) отметили высокое качество и ясность структуры конкурса, интересность заданий, наличие уклона в реверсинг и отличный сопровождающий дизайн, а также то, что этот CTF был лучшим за 3 года (к сожалению, в этом году я не принимал участия к подготовке CTF и не видел задания).

P.S. Был удивлен, узнав, что многие успешные хекеры – это разработчики. Возможно, мысль кажется очевидной, но для меня это – открытие. Так и не решенной осталась загадка – тот ли это самый был зал в Digital October, в котором в прошлом году проходила конференция или нет (смутила перепланировка).

Some papers (буду пополнять по мере поступления информации):

Володя Кочетков, How to Develop a Secure Web Application and Stay in Mind?

Володя Воронцов, Lie to Me: Bypassing Modern Web Application Firewalls

Борис Рютин, Java Everyday (так я с тобой и не пообщался на пхднях)

Владимир Стыран, Прелюдия к атаке: практика и автоматизация OSINT

Игорь Агиевич, Dynamic detection of shell code in electronic documents

Юра Дьяченко, $natch

Miroslav Stampar, sqlmap – Under the Hood

The program can be founded here.

choochoo
Van HauserVVZ

Tagged , , ,

О хек-конференции Zer02days 2012 (Zeronights 0x02)

Сравнивать конференцию с PHDays 2012 я не буду – как показали 2 дня, проведенные на конференции, формат конференции Zeronights исключает такую возможность (такое сравнение будет просто некорректным). Но сравню ее с первой конференцией Zeronights, проведенной в 2011 году в Питере. Сражу скажу, что качество конференции стало на порядок выше. В деталях:

Минусы:
– раннее начало. Второй день в 11 это приемлемо, учитывая объем материала, первый день офиц. рабочей недели в 8 – не приемлемо.
– реклама – рекламой, однако, когда получаемый на входе пакет на 90% заполнен буклетами, возникает ощущение, что я только что залез в почтовый ящик;
– странная система раздачи сувениров – только после того, как будет отдана заполненная анкета с отзывами о мероприятии. Вообще говоря, анкету я заполнил еще вечером понедельника дома, до того как узнал о таком неудачном бартере, а когда узнал, то принципиально не стал отдавать анкету;

– мало конкурсов, нечем было себя развлечь в редкие минуты пребывания вне спикер-румов;

– организационное сопровождение в части проведения 0day-шоу, хаотично и невнятно. Точно также невнятно выглядели “информационные сообщения” в ходе проведения конференции – о том, что и как сейчас будет меняться, чего следует ждать и т.п.;

– не понравилось само 0day-шоу, которое явно противоречит основному подходу к грамотному изложению технического материала. Запустить 3 мультика с комментариями “А вот и code exec!” – таким ли должно быть шоу? Показ результатов выглядел бы интереснее, если бы он сопровождался кратким внятным техническим описанием уязвимостей. При этом 0day от Nicolas Gregoire, наоборот, был разъяснен автором, но демонстрации DoS’а не последовало;

– не знаю чей это прокол, но сетевое оборудование на воркшопах позволяло, имея доступ к порту устройства, обеспечить недееспособность подготовленной инфраструктуры на весь воркшоп (работал тот же DHCP-спуфинг).

Неприятным сюрпризом, не связанным напрямую с конференцией, стали плазменные панели перед храмом ХС. С этих панелей, усиленный в несколько раз, разливался по окрестностям голос главного священнослужителя РФ. Испытал культурный шок. Еще одним малоприятным сюрпризом для меня стало то, что во время докладов я не мог нормально видеть презентации, в то время как рядом сидящие коллеги – вполне. А это значит, что зрение уже не то и с этим нужно что-то делать.

Плюсы:
+ конференция в 2012 году проводилась в Москве, в 2011 году, как многие, наверное, помнят, это был Питер. Многие в твиттерах говорят, что Санкт-Петербург придаст колорит, но я с этим не согласен. Конференция должна проводиться в Москве, хотя Питер я, как и большинство из тех, кто выступает с предложением проводить мероприятие в Питере, люблю. Проведение конференции в Москве явно повышает привлекательность конференции для посетителей, в т.ч. иностранных, а также обеспечивает возможность присутствия на конференции представителей крупных организаций;
+ место нахождения конференции – центр (близко, удачно – в прошлом году место нельзя было назвать удачным);
+ организационное сопровождение – понятно как, куда, когда и зачем идти (в прошлом году было менее ясно). Также на каждом воркшопе всем хватало розеток/кабеля/портов, как и в общем зале;
+ “фирменные” цвета конференции более яркие и приятные для глаза;
+ если в прошлый раз я отмечал, что ничего не отложилось в памяти в качестве ассоциации с мероприятием, то теперь две огромные матрёшки/кегли восполнили недостающее :) ;
+ так получилось, что обе ночи перед конференцией я ложился спать около 3 утра и это сказывалось на моем состоянии – однако, горячий и постоянно в наличии кофе помог взбодриться;
+ равно как и обеды – весьма достойные (хотя в первый день присутствовал некий хаос в организации процесса приема пищи);
+ вполне себе органичный контингент, который можно было ранее встретить как на модных PHDays, так и на ретро-Инфобез’ах. И хотя количество студентов явно превышало количество представителей иных социальных групп, на конференции присутствовали сотрудники крупных организаций и компаний (в силу того, что большинство посетителей предпочли свободный стиль одежды, я даже не сразу смог опознать “вот в том мужчине” бывшего заказчика по одному из проектов);

+ доступные для общения представители Yandex’а (в частности – Тарас Иващенко, которому отдельное спасибо за ответы на все вопросы по YandexBugBounty, да и просто за приятное общение), ГазИнформСервиса (Сергей Овчинников, поделившийся большим количеством информации о процессе разработки и особенностях работы системы АСЗП и деталях проведенного конкурса, а также девушка, которая ответила на все возникшие вопросы, но чье имя я посмотреть не успел), OnSEC‘а (хотя Володя всегда доступен для общения :)), Андрей Петухов и Георгий Носеевич (Георгий, кстати, выиграл проведенный ГИС конкурс) после своего доклада нашли время обсудить его, а также изложить суть XXE-атак и принцип работы XML-валидаторов одному известному в узких кругах реверсеру ;-). Стоит отметить, что я был удивлен результатами (технической стороной вопроса) конкурса, проведенного ГазИнформСервис’ом по анализу разработанной ими системы заказа и выдачи пропусков (АСЗП). На этот счет могу сказать только одно – не стоит недооценивать свои достижения :) (даже найденная XML-injection без её успешной эксплуатации могла бы быть весьма кстати, если бы была мной прислана, а не озвучена на конференции устно).

+ как и в прошлом году, выступление иностранных гостей (которых было много), сопровождалось синхронным переводом. Такой опцией я не воспользовался, т.к. переводил самостоятельно, поэтому о качестве перевода ничего сказать не могу;

+ очень впечатлил воркшоп Алексея Синцова, который весьма эффективно (как с точки зрения подачи материала, так и с точки зрения качества материала) просвещал публику в существующих техниках и методах эксплуатации ошибок, связанных с обработкой памяти (переполнение буфера в куче и в стеке, use-after-free и, возможно, что-то еще), а также способах обхода известных методов защиты от эксплуатации подобных уязвимостей (всякие DEP, ASLR, SafeSEH’и иже с ними). Кроме того, Алексей, несмотря на очень ограниченное для такого материала время, успел изложить весь материал, хотя процесс, в силу того, что это был именно воркшоп, несколько затягивался участниками. Учитывая, что эксплуатация подобных вещей не является моим самым сильным навыком, мне было очень интересно.

+ наверное, самый важный плюс, на который стоит ориентироваться организаторам: очень высокий уровень почти всех докладов и воркшопов (конечно, я говорю о тех, что я успел посетить). Видно, что материал отбирали эксперты в своем деле и отбирали тщательно. Было очень приятно и интересно его слушать. Учитывая мои профессиональные интересы, обилие информации по веб-безопасности стало просто бальзамом на душу, а вот доклады по виртуализации/облакам я посетить не успел.
А вот то, что не понравилось (и здесь можно таки провести аналогию с PHDays) – так это доклад весьма уважаемого в узких кругах человека из Phenoelit. Я не считаю приемлемым включение в грамотные технические конференции откровенно нравоучительного материала. Точно такой же казуистикой страдают обычно бородатые мужчины (не знаю как именно влияет борода на стремление пофилософствовать). Например, на PHDays – Брюс Шнайер, а также некоторые российские представители. Респект – респектом, а материал – материалом.

Подводя итог: понятно, что мероприятие встало организаторам в копеечку, в том числе и по времени. Эта копеечка вряд ли была успешной инвестицией в краткосрочном периоде, но, уверен, в долгосрочной перспективе оно того стоит. Было интересно и комфортно, но не слишком экспрессивно. Хотя эта экспрессия Zeronights и не нужна – здесь своя атмосфера :). Спасибо организаторам и участникам за мероприятие!

Ссылки на доклады (буду расширять список по мере наличия времени или если Вы поможете собрать ссылки на доклады):

SSRF attacks and sockets (Володя Воронцов)

Attacking MongoDB (Михаил Фирстов)

Hacking OpenAM infrastructure (Андрей Петухов, Георгий Носеевич)

Workshop: Random Numbers. Take two. (Арсений Реутов, Тимур Юнусов, Дмитрий Нагибин из Positive Technologies)

Beyond the botnet (Александр Лямин)

Win32/Flamer: Reverse Engineering and Framework Reconstruction (Александр Матросов, Евгений Родионов)

New developments in password hashing: ROM-port-hard functions (Александр Песляк aka Solar Designer)

The Art of Binary Diffing or how to find 0-dayz for free (Никита Тараканов)

All you ever weanted to know about BeEF (Michele Orru aka Antisnatchor)

Positive Hack Days 2012

!!! Статья заказная !!!

Плюсы-минусы конференции phdays 2012 от Positive Technologies.

(+)

– big place;

– serious teams;

– working staff;

– good level and wide range of tasks at CTF;

– lot posibilities to communicate with real guys (visitors, speakers, participants);

– good materials from speakers (50%);

– good conditions for speakers;

– very good translation of speaking;

– 0day from LeetMore team (the proof is needed!);

– ATM hacking and dumpster diving were looked very exciting.

(-)

Exists. No way to say. Thnx for those who always listen only themselves.

PS Thanks a lot for all guys from CTF teams (esp. Shell-Storm, 0daysober, C.o.P, PPP, int3pids, HackerDom)

Good photos of phdays are also located here

Участники были поражены обилием открытых Wi-Fi точек в России :)

PCI DSS Russia 2012

Вчера побывал на мероприятии PCI DSS Russia (организатор – Digital Security). Удивил общий настрой слушающих – столько негатива не всегда можно найти, даже если очень стараться. При этом причины остались для меня совершенно неизвестными. Вроде бы представители финансовых компаний в основном, но такое желание убедить каждого выступающего в его неправоте – откуда? Или доведение до абсурда ключевых принципов обеспечения ИБ с применением аргументации a la “Но ведь всё равно можно взломать!”. Конечно можно! А с таким отношениям к методам обеспечения ИБ еще и обязательно взломают.

Было интересно узнать, насколько сильно будоражат ума сотрудников банков требования стандарта. Оказалось, стандарт некоторыми воспринимается, как принуждение идти в школу. Особенно удивили вопросы из ряда: “А вот вы говорите, что стандарт полезный и прохождение аттестации влияет положительно на защищённость.. А если я отключу на год защиту – то о какой безопасности может идти речь?”. Я даже не знаю, как такие вопросы можно задавать. А если отключить защитные механизмы в сети – ведь сеть не будет защищена, зачем же покупать защитные механизмы, если, когда их отключаешь, сеть не защищена? Странная логика. Также было интересно узнать, что хакеры, дескать, “люди с суперспособностями” :) А ведь на самом деле ;-)

В целом, было интересно послушать многих докладчиков. С их стороны рекламы было немного. В одном из последних докладов приводилась различная финансовая статистика по кибер-крайму, бросилась в глаза одна цифра – стоимость средней атаки на банк (а точнее клиентов) – 30 000 руб. На всякий случай уточнил у докладчика, а что, дескать, входит в меню. На что получил ответ – что это проведение полностью атаки на одного(!) пользователя. А теперь, давайте, посмотрим на стоимость проведения атаки на пользователя согласно этим вашим интернетам (любые данные по стоимости услуг и т.п. находятся на специализированных форумах в публичном доступе). Общая формула расчёта стоимости будет выглядеть так (понятно, что возможны девиации, но это пример. Многие вещи из нижеприведённой формулы могут быть получены и на бесплатном основании, но эффективность их применения близка к нулю):

Аренда абузоустойчивого сервера + покупка связки эксплоитов (можно купить загрузки) + покупка вредоносного ПО + крипт вредоносного ПО (не обязательно) + покупка домена (не обязательно, но при покупке связки в 90% домен необходим)  + приобретение возможности НСД к ресурсам, с которых будет загружаться ПО (можно купить загрузки) + стоимость загрузок (в случае, если не самостоятельно добывается траффик) + стоимость отмывания (оформление офшорных счетов, или хотя бы левых персональных сертификатов в платёжных системах).

Итого, если убрать модификацию ПО и абузоустойчивый домен, а также расходы на отмывание, то минимальная цифра представляет собой и если рассматривать вариант, в котором загрузка ПО осуществляется путем приобретения соответствующего сервиса, средняя стоимость проведения атаки в месяц на 1000 пользователей составит:

$300 (сервер) + $800 (неуникальное вредоносное ПО, заточенное под отечественные банки и детектируемое 90% антивирусов) + $50 (стоимость 1000 загрузок ПО по зонам RU/UA) = $1150

Это оценка, при которой при редком везении можно получить результат. При этом под загрузками понимается совершенно левый, нецелевой трафик (например, не аудитория сайта forum.bank.ru).

Таким образом, если делать расчёт на одного пользователя (а это делать некорректно, атаки на клиентов банков в 99% случаев носят массовый характер) – стоимость атаки составит $1,15.

Если же считать более корректно, то стоимость атаки составляет примерно $2000 для проведения атаки на 1000 пользователей  без принятия мер к отмыванию. Цены на отмывание в инторнетах найти можно, но оценить их адекватность я не берусь.

Понравилась презентация Димы Евдокимова из DSec о безопасности мобильного банкинга. Вдохновила на более пристальный взгляд на эту область ИБ. А от Алексея Лукацкого узнал, что общепринятое наименование той интересной штуки, тестировать защищенность которой пришлось на днях (MobileIron) – MDM software.

P.S. Алексей, хорошего выступления на BlackHat!

P.S.S. Забыл  – успел найти XSS на веб-сервисе доступа в инет через Wi-Fi, пока сидел в зале. Там всё тривиально – что-то типа http://portal.wi-fu.com/dir/file1.jsp выводило file1 is not found.

Acunetix Web Vulnerability Scanner 8 beta-testing

Acunetix developers provide possibility to take a part in Acunetix WVS 8 beta-testing program.

For taking a part in program you must send a mail to beta@acunetix.com and after that confirm that you are into web security.

Thanks to Acunetix’s developers team for provided possibility – guys, you make a real usefull and good quality software!

Links:

http://t.co/IsAVa1UH

http://twitter.com/c3retc3

Tagged , , , ,

PHD CTF 2012 prequals results

PHDays CTF prequals had finished yesterday.

Results are expected – first place won rdot.org team (gratz guys!). Teams from NL, SP, FR also at TOP 5.

The CTF was very hot for participants and I hope that we could see all winners on PHD 2012.

Also:

http://sgordey.blogspot.com/2011/12/phd-ctf-quals_11.html

http://phdays.ru/ctf_quals_rating.asp

http://devteev.blogspot.com/2011/12/phdays-ctf-quals-2011-competitions.html

Tagged , ,

Zerodays

О конференции zeronights:

– далеко;

– не было столпотворения;

– достаточно мест, чтобы присесть;

– доклады разной направленности;

  • сильные доклады по телекомам;
  • слабые доклады по банкам.

– доклады неудачно разбросаны по времени;

– еда/вода;

– большой, приличный зал;

– доступность community;

rdot.org молодцы (как всегда);

– говорят, задание от doznpp было неплохим;

– desTiny уделал крякмисы, как всегда;

– несколько симпатичных девушек из dsec;

– не осталось ничего, что мыслительно ассоциировалось бы с zeronights кроме синего цвета;

– 0-days;

– слабая подача организационных моментов;

– рекламы почти не было.

 

P. S. Где взять доклад с мероприятия по responce splitting’у?

UPDATE: off video http://www.youtube.com/watch?v=bW6ke62HB6E

not off video :) http://www.youtube.com/watch?v=_Qlxx-xKknY&feature=related