Новости

Завтра стартует ZeroDays 2016 — легендарная хакерская конференция, которая проходит в Москве.

Ищите нашу команду на стенде Валарм на втором этаже и приходите на доклады Ивана Новикова и Антона Лопаницына, специалиста по тестированию на проникновение компании ONsec:

Hacking ElasticSearch. В докладе пойдёт речь о популярной системе индексации данных и поиска ElasticSearch. Будут рассмотрены вопросы безопасности всего технологического стека, необходимого для внедрения данной технологии в современные веб-приложения. Будет дана ретроспектива всех обнаруженных уязвимостей и сделаны предположения о будущих возможных проблемах. В докладе представлены новые уязвимости и практические методы их эксплуатации. Также приведены примеры наиболее частых ошибок, допущенных при внедрении этой технологии, на основе проведённых аудитов безопасности веб-приложений.

Удар ниже пояса. Обход современных WAF/IPS/DLP (Fast Track). Есть фаерволы на регулярных выражениях, а есть умные. Если с первыми все понятно — был отличный доклад на последнем Black Hat, то чтобы обойти современную защиту, нужно иметь совершенно другой подход!

Завтра стартует PHDays 2015, одна из немногих конференций в России, где качественные доклады по практической безопасности и тусовка настоящих гуру создают ощущение праздника.

Ищите нашу команду на стенде Wallarm на втором этаже и приходите на доклады Дмитрия Бумова, специалиста по тестированию на проникновение компании ONsec:

Не nmap'ом Nmap’ом единым (Fast Track). В докладе будет рассмотрена возможность сканирования внутренней инфраструктуры с помощью браузера жертвы без использования JavaScript. Представим, что необходимая нам информация о внутренней инфраструктуре тестируемого проекта имеется только у одного из работников. Не заставлять же его запускать Nmap! Лучше просканировать локальную сеть с помощью браузера жертвы, даже если в целях безопасности JavaScript в браузере ограничен или вовсе отключен. Нужно всего лишь заставить жертву пройти по нужной ссылке...

fuzz.txt (Fast Track). Доклад будет посвящен новому инструменту для массового сканирования веб-приложений в интернете на основе сканера Nikto. Разработчики — Олег «0x90» Купреев (компания Digital Security) и Дмитрий «Bo0oM» Бумов (компания ONsec) — расскажут о его сильных сторонах, позволяющих ему с легкостью справляться с поставленными задачами.

HackQuest на PHDays 2015

30 апреля 2015

Хотя до конференции Positive Hack Days V ещё почти месяц, некоторые традиционные активности, приуроченные к этому мероприятию, начнутся гораздо раньше. Команда ONsec готовит традиционный конкурс HackQuest — небольшой CTF, состоящий из заданий разной сложности. Это отличная возможность размяться и настроиться на правильную волну перед форумом, но главное — реальная возможность бесплатно попасть на PHdays PHDays для многих талантливых людей. Главная тема HackQuest в этом году — веб!

Призы:
1-е место — Ценный приз, 4 инвайта на форум
2-е место — Сувениры, 3 инвайта на форум
3-е место — Сувениры, 2 инвайта на форум
4—-10-е места — Инвайт на форум

Как принять участие: hackquest.phdays.com (сайт откроется за несколько дней до начала конкурса).

Время проведения: с 11 мая по 17 мая.

На проходящем в Москве форуме «Открытые инновации» подведены итоги конкурса проектов сферы информационной безопасности iSecurity. Победителем стал проект Валарм компании ОНСЕК, получивший наивысшую оценку жюри и главный приз — чек на 5 млн рублей от Фонда «Сколково» (мини-грант).

«В современном мире объем информации удваивается ежегодно, логично, что эту информацию нужно защищать современными методами. Также понятно, что на информацию всегда найдутся охотники — в том числе, те, кто посягает на нее незаконно. Мы посчитали, что важно провести конкурс для проектов сферы инфобезопасности и привлечь к нему ведущие российские и международные компании, обладающие серьезной экспертизой. Роль партнеров очень велика — они оценивали проекты, они же предоставили действительно полезные призы участникам», — заявил вице-президент, исполнительный директор IT-кластера Фонда «Сколково» Игорь Богачев, открывая церемонию награждения.

«Результаты конкурса радуют — видение жюри во многом совпало с мнением организаторов, и среди отмеченных наградами проектов действительно оказались самые сильные, — заявил Sk.ru представитель организаторов конкурса, руководитель направления «Безопасные информационные технологии» IT-кластера Фонда «Сколково» Сергей Ходаков. — Мы очень рады, что партнеры поддержали нашу инициативу и помогли нам в оценке и награждении проектов».

Команда наших исследователей выдерживает высокую планку, заданную нами в первом конкурсе «Месяц поиска уязвимостей Яндекса». Как сказали нам коллеги из Яндекса, на данный момент мы единственные, кто смог обнаружить уязвимость выполнения произвольного кода (Remote Code Execution, RCE) в сервисах крупнейшей поисковой системы.

Руководитель службы информационной безопасности Яндекса, Антон Карпов, так отозвался об одной из наших уязвимостей:

Мы очень ценим активную работу Яндекса в области повышения уровня информационной безопасности и популяризации этой сферы в целом. Планируем и дальше поддерживать такие начинания, участвуя в конкурсах.

Конгломерат исследовательских работ Pwning via SSRF (memcached, php-fastcgi, etc), выполненных в 2012-м году нашими экспертами совместно с коллегами из DsecRG удостоился пьедестала лучших техник атак на веб-приложения за год по мнению компании WhiteHat Security.

Наша работа уступила в финале только атаке CRIME на SSL протокол, которая, объективно, является сугубо теоретическими изысканиями. Еще одна работа российских экспертов из Positive Technologies Research Team под названием Bruteforce of PHPSESSID была удостоена четвертого места.

Рейтинг доступен на официальном сайте Top Ten Web Hacking Techniques of 2012.

Ознакомиться с новейшими техниками атак на memcached, FastCGI и другие сервисы, можно в презентации доклада наших экспертов SSRF attacks and sockets: smorgasbord of vulnerabilities. Наши исследования в данной области продолжаются и новые результаты будут представлены уже в апреле на конференции HITB-2013, которая пройдет в Амстердаме.