В конце мая в Москве прошёл крупный «хакерский конвент» Positive Hack Days — международный форум для специалистов по практической информационной безопасности, организованный компанией Positive Technologies. По подсчётам организаторов, за два дня на форуме побывали полторы тысячи человек — профессионалы в области информационной безопасности, хакеры со всей планеты, представители бизнеса, интернет-сообщества и государства. Перефразируя ДДТ — короче, те, кого всегда у нас вызывают на «бис», но кто в любых других условиях едва ли оказался бы в одном зале.
А тут оказались и, судя по всему, неплохо провели время, вскрыв ряд уязвимостей «нулевого дня» (то есть таких, о которых никто до сих пор не догадывался или убедительно делал вид, что ничего не знает).
Центральным мероприятием форума стала игра Capture The Flag (CTF) — «киберпанковский сценарий и реальные уязвимости».
По легенде команды должны были отправиться в будущее, чтобы спасти земную цивилизацию от катастрофы. В «охоте за флагами» приняли участие 12 коллективов из России, Германии, Индии, Нидерландов, США, Туниса, Франции, Швейцарии и Японии.
Двое суток подряд хакеры искали уязвимости в системах противников, чтобы получить доступ к секретной информации, а также защищали свои сети, устраняя в них уязвимости. Победу в PHDays CTF 2012 одержала российская команда Leet More из Санкт-Петербурга, получившая приз — 150 000 руб. Второе место у команды 0daysober из Швейцарии (100 000 руб.), третье — у испанцев Int3pids (50 000 руб.). Прошлогодние победители PHDays CTF — американские хакеры из PPP — заняли четвёртое место.
Сторонние наблюдатели также могли принимать участие в аналогичном состязании — Online HackQuest. Первое и второе место заняли опять-таки россияне BECHED ahack.ru и ufologists, а бронза досталась немецкому специалисту stratum0.
В рамках «борьбы за флаги» участникам PHDays CTF потребовалось «добыть транспорт»: не более чем за полчаса перехватить управление беспилотным летательным аппаратом. Подопытными образцами оказались два квадролёта AR.Drone, которые управляются с телефона через небезопасные беспроводные соединения.
Быстрее всех завладел пилотированием квадрокоптера российский эксперт по информационной безопасности Сергей Азовсков из Екатеринбурга.
Особое внимание привлекли соревнования по взлому операционных систем, в том числе совсем, что называется, зрелых. В результате больше всего призов снова уволокли российские специалисты: Никита Тараканов продемонстрировал уязвимость «нулевого дня» в операционной системе Windows XP («Что, опять?»), получив за это 50 тысяч рублей. Павел Шувалов взломал iPhone 4S, используя уязвимость в приложении Office2 Plus. В итоге ему достался приз 75 тысяч рублей — и взломанный iPhone в качестве трофея.
Кроме того, представитель всё той же команды Leet More обнаружил уязвимость нулевого дня в ОС FreeBSD 8.3. Брешь позволяет любому локальному пользователю обойти ограничения безопасности.
В целом на PHDays проведено около 50 докладов, мастер-классов и круглых столов на самые разные темы, от уязвимостей «нулевого дня» и взлома банковских счетов до шпионского кибероружия и истинного уровня профессионализма Anonymous.
Специалист по безопасности Хейзем Эль Мир, приехавший из Туниса, поведал о противостоянии Агентства компьютерной безопасности «Анонимусу», а про кибероружие рассказывал Александр Гостев из «Лаборатории Касперского». Совершенно неудивительно, что речь шла о Flame.
Защите от кибероружия можно считать посвящённой также и спецсекцию по безопасности АСУ ТП (SCADA): компания Positive Technologies анонсировала совместную с Siemens инициативу по поиску и устранению уязвимостей в SCADA Simatic WinCC и разработку стандартов безопасной конфигурации распространённых систем АСУ ТП. После казуса со Stuxnet подобные инициативы выглядят вполне закономерно.
Ключевым докладчиком PHDays стал легендарный криптограф Брюс Шнайер: в свойственной ему ироничной манере он поддержал людей, которых любопытство заставляет время от времени нарушать закон: дескать, нарушая правила, они служат развитию общества.
Лучше, конечно, когда правила нарушаются в специально отведённом для этого месте — Positive Hack Days, например.