Кроме того, были конкурсы на взлом мобильного компьютера, планшетника Apple, маршрутизаторов Cisco и даже обычных замков — участие мог принять любой желающий. Причем мобильный компьютер и iPad можно было унести с собой — сделал это Никита Тараканов, он разработал эксплойт для уязвимости в браузере Safari.
В рамках конференции, организованной компанией Positive Technologies, Day прошло сразу несколько конкурсов по взлому |
В «битве за флаг" приняли участие десять команд, в том числе три зарубежных: из США (Университет Карнеги-Меллона), Франции и Индии. Каждой команде была выделена собственная инфраструктура из виртуальных серверов, в которой разработчики конкурса оставили несколько слабых мест, и набор уникальных идентификаторов — "флагов". Именно их и должны были отыскать соперники, а затем зарегистрировать найденные "флаги» конкурентов в системе. При этом запрещалось выполнять любые деструктивные действия как против соперников, так и против системы конкурса. Организаторы каждый час производили определенные изменения в системе, внося новые уязимости и добавляя "флаги». Победила американская команда Plaid Parliament of Pwning. На втором месте оказалась команда Leet More из Санкт-Петербургского государственного университета информационных технологий, механики и оптики, а на третьем — HackerDom из Уральского государственного университета (Екатеринбург). Все действия участников состязания протоколировались конкурсной системой и для наглядности показывались посетителям на трех информационных табло. Специалисты Positive планируют проанализировать ход состязания и опубликовать отчет о проделанной участниками во время конкурса работе.
Параллельно с конкурсами шла и деловая программа, предназначенная как для технических специалистов, так и для бизнеса. В частности на ней обсуждались уязвимости в браузерах, которые сейчас активно используются для проникновения на компьютеры пользователей. С распространением концепции сетевых приложений, чью основу составляет JavaScript, вредоносные программы начали писать на этом языке. В то же время браузер сейчас стал для многих пользователей основной программой доступа к ресурсам Интернета. В частности, именно с помощью браузера можно подделывать URL для проведения фишинговых атак, имитировать сообщения операционной системы для провоцирования пользователя к выполнению определенных действий или даже эмулировать с помощью JavaScript действия пользователей.
Отдельно стоит сказать о таком типе атак, как Cross Application Scripting, когда некоторые действия с программами пользовательского устройства можно совершать с помощью браузера. Например, в мобильных платформах URL- вида tel:// и номер телефона приведут к набору указанного в ссылке номера. В результате при просмотре какой-нибудь страницы на сайте параллельно телефон может совершать звонок на платный номер, а браузер будет этот факт скрывать. "Атаки подобного типа будут бичом мобильных устройств", — считает Владимир Воронцов, главный эксперт по безопасности компании ONsec.
В бизнес-секции обсуждались общие проблемы, связанные с информационной безопасностью, такие как соответствие требованиям законодательства, электронное правительство, защита от DDoS-атак и даже информационные войны. Многие считают, что информационные войны — это DoS-атаки на правительственные сайты и взлом критически важных объектов и систем. Однако информационной войной является и влияние на общественное мнение и настроения у себя в стране и в стане потенциального противника. В армии США существуют специальные подразделения, которые занимаются подобной работой; возможно, подобные специалисты есть и в российской армии.