Позитивные хакерские дни

Positive Hack Days (PHDays) — ежегодный международный форум по кибербезопасности. Проводится компанией Positive Technologies с 2011 года. PHDays объединяет экспертов в области информационных технологий и информационной безопасности, представителей власти, бизнеса, студентов и школьников. На форуме проходят лекции и мастер-классы на самые интересные темы информационной безопасности , киберупражнения The Standoff, практические соревнования, в которых участники анализируют безопасность промышленных систем управления, банковских и мобильных сервисов, веб-приложений. ^[1]

Масштаб и программу PHDays можно сравнить с программами Black Hat , DEF CON и Source . На форуме обсуждаются вопросы безопасности правительства и частных лиц в современном кибермире, атаки нулевого дня и цифровые расследования, кибервойны и криптография .

Форум пройдет в Москве в мае. Плата за участие обязательна. Бесплатные билеты доступны победителям специальных конкурсов белых хакеров и студентам, участвующим в программе Positive Education. Презентации проводятся на русском и английском языках. ^[2]

Первый форум прошел 19 мая 2011 года в популярном клубе Москвы.

Доклады и мастер-классы охватывали такие темы, как государственный контроль информационной безопасности в России, безопасность систем ДБО, безопасное соединение в VoIP, защита данных в облаке и безопасность систем виртуализации. Ключевым приглашенным спикером мероприятия стал Дмитрий Скляров.

В рамках форума было проведено соревнование по захвату флага (CTF) среди специалистов по информационной безопасности из разных стран. Победителем стала команда США PPP. Были и другие хакерские конкурсы, и во время одного из них участник обнаружил уязвимость нулевого дня в Safari для Windows. ^{[3] [4]}

Среди других спикеров были эксперты «Лаборатории Касперского» , Россельхозбанка, «Вымпелкома », «Ростелекома», Cisco Systems, IT-компании «Лета», Positive Technologies и PwC. В однодневном мероприятии приняли участие около 500 человек. ^[5]

Второй форум прошел 30 и 31 мая 2012 года в центре новых технологий Digital October. Наряду с шестью параллельными потоками презентаций и мастер-классов вновь были проведены конкурс CTF и несколько конкурсов, посвященных безопасности. Темы были разделены на две области: техническую (использование радиопомех, защита паролем, телекоммуникационная безопасность, использование sqlmap) и деловую (безопасность интернет-банкинга, утечка данных в правительстве, поиск специалистов по информационной безопасности). ^{[6] [7]}

В конференции приняли участие Брюс Шнайер, американский криптограф и автор книги «Прикладная криптография», Датук Мохд Нур Амин (из IMPACT, ООН), а также создатель инструмента для взлома паролей John the Ripper Александр Песляк (известный как Solar Designer ). ^[8]

Среди значимых мероприятий — демонстрация уязвимостей нулевого дня в Windows XP и FreeBSD 8.3, взлом iPhone 4S с помощью популярного приложения Office Plus, а также конкурсы по взятию под контроль AR.Drone и анализу безопасности системы ДБО. ^[9]

Впервые состоялся конкурс научных работ молодых ученых «Школа молодых». PHDays 2012 посетили 2000 человек.

Третья конференция прошла 23 и 24 мая в Центре международной торговли в Москве. Основными темами были защита АСУ ТП, безопасность веб-приложений и мобильных приложений, предотвращение атак на банковские системы, а также сотрудничество между правительством, исследователями и информационным обществом. Ведущим спикером третьего форума стал Марк «ван Хаузер» Хойз, создатель THC-Hydra, Amap и SuSEfirewall и основатель The Hacker Choice. ^[10]

Среди значимых событий — доклад от SCADA Strangelove о безопасности программного обеспечения Siemens SIMATIC, семинар по взлому банкоматов и семинар от компании TooOL (эксперты по неразрушающему вскрытию замков). На форуме была представлена ​​модель железной дороги, управляемая реальными промышленными системами, безопасность которой должны были проверить участники, и помещения Лабиринта с лазерным полем и детекторами движения (10). ^{[11] [12] [13]}

В конкурсе CTF в качестве члена PPP участвовал известный хакер Джордж Хотц (geohot). Он был первым, кто разблокировал iPhone, чтобы использовать его с другими провайдерами, помимо AT&T. Джордж Хотц также выиграл 2drunk2hack, конкурс, в котором участники взламывают веб-приложения и в случае неудачи должны допить алкогольный напиток. ^[14]

Студент из Самары Анатолий Катюшин по прозвищу «Бессердечный» выиграл конкурс $natch, участники которого проверяли безопасность систем ДБО: он взломал систему ДБО и украл 4900 рублей. ^[15]

Российский политик Владимир Жириновский принял участие в дискуссии о стимулировании специалистов по информационной безопасности работать в правовых рамках. ^[16]

Мероприятие посетило более 2000 человек. ^[17]

В 2013 году вышел фильм о подготовке к форуму. ^[18]

Форум прошел 21 и 22 мая 2014 года в центре новых технологий Digital October в Москве. Среди основных тем были кибервойны, Интернет вещей, защита АСУ ТП и критически важных компонентов инфраструктуры, безопасность систем интернет-банкинга и регулирование отрасли информационной безопасности. ^[19]

Алиса Шевченко обнаружила несколько уязвимостей нулевого дня в Indusoft Web Studio 7.1 в ходе конкурса по анализу безопасности АСУ ТП и заняла в конкурсе 1 место. Среди других крупных мероприятий — конкурс по выявлению угроз «умного дома», обсуждение безопасности телекоммуникационных компаний и отсутствия действительно «умных» сетей в электроэнергетике. Кроме того, участникам конкурсов по информационной безопасности удалось вывести деньги с виртуальных счетов в системе ДБО, созданной специально для конкурса и содержащей типичные уязвимости банковских систем. ^[20]

Форум собрал более 2500 участников со всего мира. ^[21]

Форум проходил 26 и 27 мая 2015 года в Центре Международной Торговли в Москве. Основными темами были безопасность критически важных информационных систем, борьба с мошенничеством, киберпреступления и расследование инцидентов. ^[21]

Специально на этом форуме был представлен новый формат CTF-игр. Команды соревновались в вымышленном государстве, которое имело свои корпорации, банки, биржи, СМИ и инфраструктуру. Чтобы заработать очки, хакерским командам приходилось выполнять задания: например, взламывать инфраструктуру энергетической компании, акции которой котировались на фондовой бирже, чтобы дать преимущество инсайдерам отрасли. ^[21]

Был конкурс на взлом настоящей электрической подстанции МЭК 61850. За время конкурса участникам шесть раз удалось временно вывести из строя информационную инфраструктуру организаторов, при этом дважды им удалось отключить потребителей от электросети, а также обнаружить одну уязвимость нулевого дня. ^[22]

На PHDays 2015 также прошел конкурс инвестиционного фонда Almaz Capital на выявление фотоманипуляций. Победителем стала компания SMTDP Tech. Призовой фонд составил 1,5 миллиона рублей. ^[23]

Мероприятие посетило более 3500 человек. ^[24]

Форум состоялся 17 и 18 мая 2016 года в Центре международной торговли в Москве. Темы включали защиту облачных вычислений и виртуальной инфраструктуры, бизнес-приложений и ERP-систем, предотвращение атак «нулевого дня», а также безопасность промышленных систем управления и сетей связи. ^[25]

Основной темой стала битва между атакующими и защитниками: организаторы подготовили игру, которая представляла собой противостояние команд атакующих (хакеров) и команд защитников (сотрудников SOC) на киберполигоне с макетом города (Город F). ^[26]

В одном из соревнований подросток из Москвы смог проникнуть на электрическую подстанцию. ^[27]

За два дня форум посетило 4200 человек. ^[25]

Enemy Inside прошла 23–24 мая 2017 года в Центре международной торговли в Москве, Россия. Ключевыми темами форума стали IoT, сочетание IoT и SCADA , разработка продуктов безопасности и SSDL-подходы. ^[28]

Главным соревнованием форума стал The Standoff. Участники соревновались на киберполигоне с вымышленным мегаполисом, в котором располагались компании с офисами, операторы связи, железные дороги, ТЭЦ, множество IoT-устройств и другие объекты. ^[29]

Патрик Уордл, бывший сотрудник АНБ и НАСА , представил технический обзор нового вредоносного ПО для macOS. Специалисты Positive Technologies Кирилл Пузанков, Сергей Машуков и Павел Новиков рассказали о небезопасности сотовых сетей. Андрей Масалович рассказал о способах взлома популярных сайтов и систем с помощью ботов. ^[30]

Форум посетило около 5000 человек. ^[31]

Форум проходил в Москве в Центре международной торговли 15 и 16 мая 2018 года. В число основных тем вошли роль правительства и регуляторов в цифровизации экономики, цифровая волна в финансах, безопасность критической информационной инфраструктуры, управление рисками безопасности и физическая безопасность. ^[32]

Среди спикеров PHDays 8 были Ильфак Гильфанов , создатель дизассемблера IDA Pro и декомпилятора Hex-Rays, и Фернандо Гонт, исследователь безопасности в SI6 Networks. ^[33]

На форуме состоялся «Standoff» — кибербитва между командами атакующих, защитников и оперативных центров безопасности. Полем битвы стал вымышленный город, экономика которого была построена на цифровых технологиях. Киберполигон имитировал городскую инфраструктуру. Противостояние завершилось вничью. ^[34]

Кроме того, на PHDays прошли и другие хакерские соревнования: участники взломали камеры наблюдения, умные электросчетчики и системы ДБО. Американский канал ABC News транслировал видеоролик о форуме. ^[35]

Впервые на PHDays состоялся фестиваль IT-музыки Positive Hard Days, в котором приняли участие шесть групп. ^[32]

На мероприятии присутствовало более 5000 человек. ^[36]

PHDays 9 прошел 21–22 мая 2019 года в Москве, в МВЦ «Крокус Экспо». В его рамках было проведено более 100 презентаций и мастер-классов от российских и зарубежных экспертов по информационной безопасности и представителей ИТ-бизнеса. Основным докладчиком выступил немецкий исследователь безопасности Карстен Нолл. На форуме проходили соревнования по хакерству и защите данных, в том числе The Standoff — кибербитва между злоумышленниками и защитниками. ^{[37] [38] [39]}

Лучшие атакующие команды PHDays 9 получили приглашение на финал конкурса на конференции HITB+ CyberWeek в Абу-Даби , который проходил 12–17 октября 2019 года. Впервые на PHDays при поддержке ФинЦЕРТ ( Банк России ) и CODDY (школа программирования) прошел детский трек The Standoff Kids. Юных гостей в возрасте от 8 до 13 лет познакомили с основами киберграмотности, а также информационной и финансовой безопасности. ^[40]

Во второй день форума состоялся заключительный этап музыкального IT-фестиваля Positive Wave. Победителем стала группа Raev Clan, а приз зрительских симпатий достался группе Of Titans and Men. ^[41]

Positive Hack Days 9 собрал более 8000 посетителей. ^[42]

В 2020 году PHDays отменили из-за пандемии коронавируса . Однако в ноябре 2020 года организаторы изолировали The Standoff (киберучения, проводимые на PHDays) от форума, выделив его в отдельное мероприятие, в ходе которого проходила онлайн-конференция. Основной темой мероприятия стало моделирование цифровых угроз. Для этого был создан целый киберполигон, включающий модель виртуального города с системами управления, имитирующими те же системы реальных электроподстанций, нефтеперерабатывающих заводов и инфраструктуры современных городов. ^[43]

PHDays 10 прошел 20 и 21 мая 2021 года в Центре международной торговли в Москве. Ее основной темой стал рост цифровизации в период пандемии и необходимость пересмотра существующих подходов к кибербезопасности. Максут Шадаев . В пленарном заседании форума принял участие Министр цифрового развития, связи и массовых коммуникаций Российской Федерации ^[44]

Злоумышленникам пришлось инициировать критически важные для бизнеса события в кибербитве The Standoff. К ним относились конкретные события, которые угрожают конкретному предприятию и могут привести к неприемлемым последствиям для предприятия. Например, злоумышленникам пришлось прекратить подачу газа, вызвать сбой в электроснабжении или спланировать железнодорожную аварию. На киберполигоне сработало 33 уникальных бизнес-критических события — 54% от общего количества рисков, перечисленных в программе конкурса. Всего команды атакующих представили на суд жюри 84 отчета об успешном выполнении заданий. ^[45]

PHDays 10 собрал 2500 человек. ^[46]

PHDays 11 прошел 18 и 19 мая 2022 года в Центре Международной Торговли в Москве. Его главной темой стала независимость от импорта в сфере информационной безопасности и сохранение цифрового суверенитета. Программа включала около 100 докладов, секций и круглых столов, в которых приняли участие более 250 спикеров. На форуме была представлена ​​платформа Standoff 365 Bug Bounty. Прошли мероприятия, посвященные инвестициям в кибербезопасность, традиционные конкурсы, творческие фестивали Positive Wave и HackerToon, финал первого Всероссийского конкурса проектов с открытым исходным кодом, а также конкурс по похищению людей NFT . ^{[47] [48]}

Студию прямого эфира посетили более 100 гостей, в том числе министр цифрового развития, связи и массовых коммуникаций России Максут Шадаев и официальный представитель МИД России Мария Захарова . ^[49]

Зрители и участники кибербитвы The Standoff стали свидетелями эффекта бабочки: они увидели, как недопустимое событие в одной отрасли может повлиять на другие отрасли. ^[50]

PHDays 11 стал самым посещаемым мероприятием за всю историю: площадку форума в Центре международной торговли в Москве посетили 8700 человек. ^[51]

Помимо технических презентаций, мастер-классов, конкурсов и дискуссий по вопросам регулирования ИТ-индустрии и развития бизнеса, на PHDays проводится большое количество мероприятий, направленных на создание свободной атмосферы киберпанка. ^[52]

известные рок-группы, такие как «Смысловые галлюцинации» , «Несчастный случай» , «Ундервуд» На церемонии закрытия форума на протяжении многих лет выступали . В 2014 году на форуме по ночам показывали фильмы о киберпанке, а в перерыве между презентациями шло аудиошоу «Модель для сборки». ^[21]

В 2018 году в программу форума добавился музыкальный фестиваль Positive Hard Days. ^[32]

В 2019 году в состав жюри конкурса (переименованного в «Позитивную волну») вошли лидер «Смысловых галлюцинаций» Сергей Бобунец и музыкальный обозреватель газеты «Коммерсантъ», музыкальный продюсер Борис Барабанов.

Шесть команд приняли участие в финале Positive Wave 2022 на PHDays 2022. Команда Serious Men (SIBUR Digital) победила в конкурсе и получила чек на 100 000 рублей и сертификаты на обучение в школе «Музыкальная волна». ^[53]

• Официальный сайт