РусКрипто’2010: Начало


Совсем скоро состоится мероприятие под названием РусКрипто'2010. Конференция "РусКрипто" представляет собой площадку для общения специалистов в области криптографии и защиты информации. В этом году команда Positive Technologies (и не только [1]) решили привнести в мир немного свежего позитива и занялись процессом воплощения соревнования по защите информации, проводимые по принципам игры в capture the flag - "РусКрипто CTF". И после долгих бессонных (дней и) ночей, я с уверенностью могу заявить, мы сделали этого монстра! :)) Сейчас он делает первые робкие шаги в направлении кошерных серверов, а уже в пятницу на этой неделе, станет размножаться и обустраиваться на новом месте. Но, я кажется, отвлекся... Приглашаем всех в качестве наблюдателей за соревнованиями. Предполагается много юмора и постойная динамика меняющегося мира CTF в контексте красивой легенды. Welcome!

Помимо проведения РусКрипто CTF, Сергей Гордейчик героически выступит в секции "Интернет и информационная безопасность" с докладом "Web Application Security Consortium. Перспективы развития", а ваш покорный слуга постарается за оставшееся время подготовить достойный материал на тему пентестов, и выступить в секции "Penetration testing internals" с докладом "Тестирование на проникновение, что за??!" (оригинальное название – "Penetration testing, WTF?", не пропустили модераторы:)).

До встречи на РусКрипто'2010!

Материалы с мастер-класса по Cross-Site Scripting

Проводил в субботу на прошедшей неделе лабораторную работу в институте МИФИ по теме "Межсайтовое выполнение сценариев" (базовый уровень). Материалы лабораторной работы представлены ниже.

Список допущенных команд до участия в РусКрипто CTF 2010

Список команд, принимающие участие в соревновании CTF, проводимом в рамках конференции РусКрипто'10, представлен ниже:

Институт: Уральский государственный университет имени А.М.Горького (УрГУ), г. Екатеринбург
Название команды: ХакерДом
Состав команды:
- Плотников К.
- Симонов Д.
- Соломонова О.
- Гейн А.
- Берсенев А.

IBM Full Disclosure SQL Injection

Всегда приятно посмаковать допускаемые ошибки теми, кто учит других построению информационной системы и вопросам обеспечения информационной безопасности :)) На этот раз под раздачей сайт в домене ibm.com - http://www.researcher.ibm.com/.

CENZIC Web Application Security Trends Report

Компания CENZIC, поставщик программного обеспечения и услуг по защите Web-приложений, на днях опубликовала отчет по тенденциям безопасности Web-приложений за период со второго квартала 2008 года по четвертый квартал 2009 года. Основные выводы, сделанные специалистами компании CENZIC по результатам проведенного анализа:

- 82% всех обнаруженных уязвимостей связано с Web-технологиями;
- Большее количество уязвимостей найдено в браузере Firefox;
- Компании Adobe, Sun (а теперь уже Oracle) и HP содержаться в числе 10 ведущих поставщиков с наиболее серьезными уязвимостями (на вторую половину 2009 года).

ISO.ORG Full Disclosure

На официальном сайте Международной организации по стандартизации (International Organization for Standardization, ISO), исследователем под псевдонимом GERTY9000, три недели тому назад, была обнаружена распространенная критическая уязвимость в Web-приложениях – "Внедрение операторов SQL". Международную организацию ISO знает каждый по многочисленным отраслевым стандартам, в том числе, стандартам в области информационной безопасности (вспоминаем ISO/IEC 27001:2005). Но давать напутствия другим – гораздо проще, чем придерживаться их самим :) Высокоуровневый взгляд проглядел "низы", и как следствие, недостатки в процессе обеспечения Web-безопасности вылезли наружу. Перейдем к разбору инцидента...