В конце мая в Москве прошёл крупный “хакерский конвент” Positive Hack Days – международный форум для специалистов по практической информационной безопасности, организованный компанией Positive Technologies. По подсчётам организаторов, за два дня на форуме побывали полторы тысячи человек – профессионалы в области информационной безопасности, хакеры со всей планеты, представители бизнеса, интернет-сообщества и государства. Перефразируя ДДТ – короче, те, кого всегда у нас вызывают на “бис”, но кто в любых других условиях едва ли оказался бы в одном зале.

А тут оказались и, судя по всему, неплохо провели время, вскрыв ряд уязвимостей “нулевого дня” (то есть таких, о которых никто до сих пор не догадывался или убедительно делал вид, что ничего не знает).

Центральным мероприятием форума стала игра Capture The Flag (CTF) – “киберпанковский сценарий и реальные уязвимости”.

По легенде команды должны были отправиться в будущее, чтобы спасти земную цивилизацию от катастрофы. В “охоте за флагами” приняли участие 12 коллективов из России, Германии, Индии, Нидерландов, США, Туниса, Франции, Швейцарии и Японии.

Двое суток подряд хакеры искали уязвимости в системах противников, чтобы получить доступ к секретной информации, а также защищали свои сети, устраняя в них уязвимости. Победу в PHDays CTF 2012 одержала российская команда Leet More из Санкт-Петербурга, получившая приз – 150 000 руб. Второе место у команды 0daysober из Швейцарии (100 000 руб.), третье – у испанцев Int3pids (50 000 руб.). Прошлогодние победители PHDays CTF – американские хакеры из PPP – заняли четвёртое место.

Сторонние наблюдатели также могли принимать участие в аналогичном состязании – Online HackQuest. Первое и второе место заняли опять-таки россияне BECHED ahack.ru и ufologists, а бронза досталась немецкому специалисту stratum0.

В рамках “борьбы за флаги” участникам PHDays CTF потребовалось “добыть транспорт”: не более чем за полчаса перехватить управление беспилотным летательным аппаратом. Подопытными образцами оказались два квадролёта AR.Drone, которые управляются с телефона через небезопасные беспроводные соединения.

На Positive Hack Days захватывали вот такие квадролёты (фото ardrone2.parrot.com)

Быстрее всех завладел пилотированием квадрокоптера российский эксперт по информационной безопасности Сергей Азовсков из Екатеринбурга.

Особое внимание привлекли соревнования по взлому операционных систем, в том числе совсем, что называется, зрелых. В результате больше всего призов снова уволокли российские специалисты: Никита Тараканов продемонстрировал уязвимость “нулевого дня” в операционной системе Windows XP (“Что, опять?”), получив за это 50 тысяч рублей. Павел Шувалов взломал iPhone 4S, используя уязвимость в приложении Office2 Plus. В итоге ему достался приз 75 тысяч рублей – и взломанный iPhone в качестве трофея.

Кроме того, представитель всё той же команды Leet More обнаружил уязвимость нулевого дня в ОС FreeBSD 8.3. Брешь позволяет любому локальному пользователю обойти ограничения безопасности.

В целом на PHDays проведено около 50 докладов, мастер-классов и круглых столов на самые разные темы, от уязвимостей “нулевого дня” и взлома банковских счетов до шпионского кибероружия и истинного уровня профессионализма Anonymous.

Специалист по безопасности Хейзем Эль Мир, приехавший из Туниса, поведал о противостоянии Агентства компьютерной безопасности “Анонимусу”, а про кибероружие рассказывал Александр Гостев из “Лаборатории Касперского”. Совершенно неудивительно, что речь шла о Flame.

Защите от кибероружия можно считать посвящённой также и спецсекцию по безопасности АСУ ТП (SCADA): компания Positive Technologies анонсировала совместную с Siemens инициативу по поиску и устранению уязвимостей в SCADA Simatic WinCC и разработку стандартов безопасной конфигурации распространённых систем АСУ ТП. После казуса со Stuxnet подобные инициативы выглядят вполне закономерно.

Ключевым докладчиком PHDays стал легендарный криптограф Брюс Шнайер: в свойственной ему ироничной манере он поддержал людей, которых любопытство заставляет время от времени нарушать закон: дескать, нарушая правила, они служат развитию общества.

Лучше, конечно, когда правила нарушаются в специально отведённом для этого месте – Positive Hack Days, например.