Опубликована конкурсная программа PHDays V

Александр Панасенко 12 Мая 2015 - 12:36

...

26 и 27 мая в ЦМТ состоится пятый по счету форум Positive Hack Days. Подготовка к мероприятию идет полным ходом: формируется программа докладов и мастер-классов (проголосовать за то или иное выступление можно на сайте), к инициативе PHDays Everywhere присоединились первые площадки из разных стран, но это еще не все.

Традиционно на форуме проходил много конкурсов. Сегодня мы расскажем о том, в каких соревнованиях смогут принять участие гости PHDays и интернет-пользователи, а также о том, какие призы ждут победителей.

Соревнования на площадке

Внимание! Для участия в большинстве конкурсов нужно принести с собой ноутбук.

Leave ATM Alone

Физические атаки на банкоматы постепенно уступают место интеллектуальным атакам на программное обеспечение. На этом конкурсе любой желающий сможет попробовать свои силы в поиске уязвимостей в банкоматах.

Организаторы подготовили банкомат, программное обеспечение которого содержит типичные для подобных устройств уязвимости. Участникам будет предоставлен доступ к интерфейсам взаимодействия модулей банкомата (диспенсер, кардридер, пинпад): захватив управление ими, можно попробовать изъять из банкомата некоторое количество денег.

Призы:

1-е место — FaceDancer21, рюкзак, 3d ATM, сувениры от организаторов
2-е и 3-е места — FaceDancer21, 3d ATM, сувениры

Обход WAF

Задачей участников конкурса является обход PT Application Firewall — межсетевого экрана прикладного уровня компании Positive Technologies. В этом году уязвимости внедрены в специально подготовленный веб-сайт.

Успешный обход будет засчитываться при сдаче специальных флагов. Попытать свои силы смогут не только участники форума, но и все пользователи интернета.

Призы:

1-е место — iPad Air 2, сувениры от организаторов
2-е место — Sony Xperia Z3, сувениры
3-е место — Burp Suite (годовая лицензия), сувениры

Большой ку$h

Это конкурс-ветеран. Участники должны провести анализ исходных кодов системы ДБО (она создана специально для конкурса и содержит типичные уязвимости приложений интернет-банкинга), подготовить эксплойты и попытаться опередить других взломщиков и похитить деньги.

Победителем станет тот, кто быстрее всех обчистит «банк», его «клиентов» и других игроков. Деньги в нашем интернет-банке — самые что ни на есть настоящие.

Образ системы ДБО для предварительного исследования будет выдан за день до мероприятия, а финал конкурса состоится во второй день на площадке.

Игроки забирают все «уведенные» из системы деньги (призовой фонд 40 000 руб.).

Примечание: система ДБО разработана в компании Positive Technologies специально для форума PHDays. Она не является системой, которая действительно работает в каком-либо из существующих банков; при этом она максимально приближена к подобным системам и содержит характерные для них уязвимости.

Choo Choo Pwn

Конкурс по анализу защищенности критически важных систем. В этом году макет транспортной системы, построенной с использованием реальных промышленных контроллеров и ПО, претерпел значительные изменения.

В ущерб «правдоподобности» промышленного оборудования была реализована автоматизация транспортной безопасности. Теперь у нас, как и в реальном мире, нельзя отправить команду, которая приведет к аварии: логика, обеспечивающая безопасность движения, не позволит этому произойти. Целью соревнования будет взлом комплекса средств, обеспечивающих безопасность транспорта (который впоследствии может приводить к авариям на макете).

Призы:

1-е место — JTAGulator, рюкзак, сувениры
2-е и 3-е места — сувениры

«Наливайка»

По традиции венчает конкурсную программу, да и сам форум Positive Hack Days, атмосферное соревнование «Наливайка». Чтобы принять в нем участие, прежде всего нужно подписать документ о снятии ответственности с организаторов конкурса за то, что произойдет в следующие 30 минут. Допускаются все желающие, достигшие алкогольной зрелости.

Участникам предстоит испытать свои навыки взлома веб-приложений, защищенных WAF (Web Application Firewall), а также продемонстрировать способность трезво мыслить в любой ситуации. Каждые 5 минут участникам, на действия которых чаще всего реагировал WAF, предлагается выпить 50 мл крепкого горячительного напитка — и продолжать борьбу.

Победителем становится тот участник, который сумеет первым получить главный игровой флаг. Если главный флаг никто не получил, то победителем становится участник, набравший максимальное число флагов на других этапах при эксплуатации уязвимостей.

Призы:

1-е место: самовар, сувениры от организаторов
2-е и 3-е места — сувениры

Онлайн-конкурсы

Все, кто по каким-либо причинам не сможет 26 и 27 мая оказаться в Москве, смогут принять участие в специальных онлайн-конкурсах.

HackQuiz

В 2014 году в конкурсе участвовали три команды — команда SESAME из Туниса, Brizz из Омска и команда из участников PHDays в Москве. Ребята продемонстрировали, что знают, как выглядят Geohot и Solar Designer, умеют распознавать закодированные послания и осведомлены о главных эпик-фейлах за хакерскую историю. Особенно удачно выступила команда из Москвы, набравшая больше всего баллов.

Первый HackQuiz на PHDays не обошелся без накладок, но главное, что все участники подарили друг другу хорошее настроение, поэтому на 5-м юбилейном PHDays мы собираемся повторить эксперимент и приглашаем площадки PHDays Everywhere и участников форума в Москве присоединиться к викторине.

Победители получат набор книг Райана Рассела по информационной безопасности и сувениры от организаторов.

Конкурентная разведка

Конкурс ясно показывает, насколько легко в современном мире можно получить различную конфиденциальную информации о людях и компаниях. Главный навык конкурентного разведчика — умение находить и анализировать крупицы информации, рассыпанные в общедоступных сетях. На протяжении трех лет (2012, 2013, 2014) участники соревнования показывают, как можно узнать самые ценные секреты, ничего не взламывая (ну или почти ничего).

Каждый год ремесло конкурентного разведчика становится с одной стороны легче из-за распространения информации в интернете, с другой — сложнее, так как обработать эти данные человеку все сложнее. Поэтому помимо поисковых движков участникам потребуется использовать специальные инструменты и технические приемы. Кроме того, конкурсанты столкнутся и с традиционными веб-уязвимостями разного уровня сложности.

Призы:

1 место — iPad Air и сувениры от организаторов
2-е и 3-е места — сувениры

Лучший реверсер

Знакомый многим конкурс по обратной разработке. Участники должны продемонстрировать навыки анализа исполняемых файлов. Те, кто займет призовые места, получат FaceDancer21 и сувениры от организаторов.

Присоединяйтесь к баталиям ИБ-специалистов со всего мира на Positive Hack Days! До встречи в Москве!

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 13 Марта 2025 - 13:10

Общее R-Vision

23 апреля. R-EVOlution Conference 2025: Революция подходов и технологий

23 апреля 2025 года в Москве состоится R-EVOlution Conference 2025 — мероприятие, где ведущие эксперты обсудят актуальные вызовы безопасности, стратегии автоматизации и новый этап зрелости рынка. Компания R-Vision представит новый технологический подход, с помощью которого достигается синергия между задачами и интересами внутренних команд бизнеса, ИТ и ИБ, и способы их решения в условиях усложняющейся цифровой среды.

Где проходит граница между ИТ и ИБ — и стоит ли её проводить?

Зрелость процессов и команд ИТ и ИБ развивается несинхронно, провоцируя внутренний конфликт интересов и борьбу за финансы и ресурсы. В условиях стремительного роста числа кибератак это усиливает риски и усложняет оперативное реагирование. Дефицит ресурсов подталкивает организации повышать эффективность, согласованность и прозрачность процессов, тогда как принятие решений на основе фрагментированных данных становится всё более затратным. В таких условиях стоит задуматься — нужно ли сохранять строгие границы между ИТ и ИБ или настало время пересмотреть подход к их взаимодействию?

На R-EVOlution Conference 2025 команда R-Vision представит новый подход к интеграции ИТ и ИБ. В центре внимания — прозрачность ИТ-инфраструктуры, контроль за активами для снижения затрат, автоматизация обработки запросов и управление инцидентами, а также эффективное использование данных компании как стратегического ресурса.

Директора по информационной безопасности и информационным технологиям, а также представители регуляторов совместно с экспертами R-Vision обсудят, как интеграция ИБ- и ИТ-технологий помогает не только управлять киберрисками, но и повышать устойчивость ИТ-инфраструктуры, оптимизировать процессы и принимать более обоснованные бизнес-решения. Особое внимание будет уделено устранению конфликтов между подразделениями, повышению согласованности работы ИТ и ИБ и ускорению реагирования на угрозы.

Решения — в обновлённой линейке продуктов R-Vision и подтвержденных кейсах внедрения.

«R-EVOlution Conference 2025 станет площадкой для обсуждения проблем и решений в кибербезопасности и ИТ. Мы сосредоточим внимание на эффективном объединении ИТ и ИБ для повышения устойчивости бизнеса, снижении рисков и ускорении процессов функционирования компании», — отметил Валерий Богдашов, генеральный директор R-Vision. — «Мы предлагаем новый технологический подход, где ИТ и ИБ работают как единая система: непрерывные объединяющие процессы, экономия затрат, повышение эффективности. Такой подход помогает бизнесу быстрее реагировать на угрозы, точнее управлять рисками и эффективнее использовать ресурсы».

Деловая программа: ключевые темы и реальные кейсы

В программе — доклады, дискуссии и практические кейсы с участием ведущих экспертов, инженеров, лидеров отрасли и представителей регуляторов. Присоединяйтесь, чтобы первыми узнать о новых подходах к интеграции ИТ и ИБ и обсудить стратегии повышения эффективности бизнеса.

Chief-прожарка: ИБ vs ИТ — поиск баланса. Обсудим конфликт между безопасностью и удобством сервиса и доступностью ИТ-систем. Вопросы к обсуждению:

Нехватка ресурсов (персонал, бюджет, компетенции) и способы решения.
Совместимость решений разных вендоров и проблема закрытости платформ.
Сложные архитектурные задачи, которые не решаются в одиночку.
Разграничение зон ответственности между CISO и CIO.
Какие подходы и технологии применяются для решения смежных задач?
Уровень доверия к данным друг друга.
Цена ошибки: сколько стоит изменение с разных сторон и как защитить себя от них.

Практика и реальные кейсы

Представители крупного бизнеса и госструктур поделятся опытом решения практических задач в области мониторинга инфраструктуры, обнаружения угроз и реагирования на инциденты. Эксперты расскажут о реальных сложностях, с которыми сталкиваются компании, и о проверенных способах их решения.

Практические кейсы, результаты нагрузочных тестов и архитектурные решения — участники конференции узнают, какие подходы работают сегодня и как подготовиться к вызовам будущего.

Управление уязвимостями: роль ML и TI. Как автоматизировать устранение уязвимостей и объединить работу ИТ и ИБ:

Интеграция управления активами, инцидентами и уязвимостями в единый процесс.
Проблемы мониторинга и устранения уязвимостей в отечественном ПО и оборудовании.
Комбо технологий с использованием данных о киберугрозах, ML, AI для устранения уязвимостей и контроля защищенности.
Открытые экосистемы и партнёрства для повышения эффективности решений.

Атаки на цепочки поставок: от теории к практике

На прошлой R-EVOlution Conference 2024 эксперты во время пленарной сессии обсуждали атаки на цепочки поставок как потенциальную угрозу. Сегодня мы видим такую реальность, когда взлом через подрядчиков или собственные разработки угрожают устойчивости бизнеса и конфиденциальности данных.

В этом году участники разберут реальные кейсы, полученный опыт, инструменты для предотвращения и защиты от подобных атак с представителями крупных компаний, интеграторов и регуляторов. Основные вопросы к обсуждению: