• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фазинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Что было на PHDays 8

qvin

Red Team
05.12.2016
194
266
#1
Всем привет.

15 мая открылся международный форум по практической безопасности «Positive Hack Days»


Мне посчастливилось побывать на этом форуме и познакомится с командой Codeby.
На форуме было чем заняться. Для любителей CTF было 2 площадки где можно было решать «Таски» от команды CTF SPB и от Positive Technologies.

Positive Technologies представил площадку CTF под названием «HackBattle»

После регистрации на портале начинался отсчет времени которое вам давалось для выполнения заданий. Так что нужно было думать быстро.
Также был представлен стенд «MeterH3cker». Вам нужно было исследовать умные электросчетчики и понять как можно повлиять на показания счетчиков электричества. Вдруг ты решил поставить дома криптоферму а большие счета за свет не хочешь платить, тогда этот стенд для тебя.

Была площадка для любителей IoT-устройств «CAMBreaker».на площадке былы представлены популярные IP-камеры участникам нужно было попробовать найти не только веб-уязвимости, но и в прошивках используя реверс.
Кроме развлекательно интерактивных площадок были и доклады не только отечественных специалистов по ИБ но и зарубежных.

Но самое главное и завораживающее что там было, это было «PHD THE STANDOFF»
2018-05-17 14-05-28.JPG
2018-05-17 14-05-31.JPG
2018-05-17 14-05-18.JPG
2018-05-17 14-05-26.JPG
THE STANDOFF это борьба между Командами атакующих и командой защитников.
На форуме была представлена инфраструктура города со своими офисами, со своим телеком(Мобильная сеть, Интернет провайдеры), умные дома с IoT устройствами, Банки платежные терминалы.

Команде атакующих нужно было найти уязвимости и про эксплуатировать их, за обнаружению вторжения команда получала очки да удачную атаку.

Командам давалось 33 часа на все. После того как доклады закончились и люди начали расходится, команды атаки продолжали искать уязвимости и ночью.
Итог всего, форум стоит посетить чтобы узнать что-то интересное или показать себя во всей красе.
Ах да спасибо @SooLFaa за прекрасный доклад «Явно о неявном, или Чем еще опасны интерфейсы управления серверами».

На форуме ломали все что можно было взломать, а чтобы не хакнули тебя выдавали шапочки
2018-05-17 14-05-36.JPG
Спасибо всей команде Сodeby с которыми мне посчастливилось познакомится лично и пообщаться на интересные темы.
 

Valkiria

Red Team
05.01.2017
866
1 731
#3
Есть где то в сети имеются ответы на все "задачки" ?
Меня ответ на эту интересует интересует ))
Вам нужно было исследовать умные электросчетчики и понять как можно повлиять на показания счетчиков электричества. Вдруг ты решил поставить дома криптоферму а большие счета за свет не хочешь платить, тогда этот стенд для тебя.
Как всё-таки можно повлиять на показания электросчётчика ?
Я думаю, что его можно только перепрошить.
Есть где-то в сети модифицированные прошивки для электронных счётчиков ?
 

qvin

Red Team
05.12.2016
194
266
#4
Есть где то в сети имеются ответы на все "задачки" ?
Меня ответ на эту интересует интересует ))

Как всё-таки можно повлиять на показания электросчётчика ?
Я думаю, что его можно только перепрошить.
Есть где-то в сети модифицированные апрошивки для электронных счётчиков ?
ну как я понял там есть центральное устройство на которое передается данные, но если взломать протокол то можно было внести изменения
 

Valkiria

Red Team
05.01.2017
866
1 731
#6
ну как я понял там есть центральное устройство на которое передается данные
Так и есть.
Более того, совершенно не понятно, каким способом происходит передача данных от счётчика на это самое центральное устройство.
 

ALF

Well-known member
30.03.2018
70
105
#14
Деанонимизация на лицо , вот так всё просто по СИ и выявляются хакеры.;)
Это как раньше КГБ ходят, ходят в гражданке, а на 1 мая и 7 ноября стоят в форме с васильковыми погонами на площади на прелюдном обозрении.
 
Вверх Снизу