05.06.2012

В Москве на PHDays 2012 взломали iPhone, Windows XP и FreeBSD

На международном форуме по практической информационной безопасности Positive Hack Days 2012 участники конкурса Hack2own продемонстрировали взлом  iPhone 4S и операционной системы Windows XP. Кроме того, в ходе соревнований CTF была обнаружена новая уязвимость в операционной системе FreeBSD, а на конкурсе «Большой ку$h» хакеры сумели продемонстрировать, каким образом можно украсть деньги, используя типичные уязвимости в системе дистанционного банковского обслуживания. Отдельного внимания заслуживает выступление отечественных хакеров. 

Российский ИБ-специалист Павел Шувалов в рамках конкурса PHDays Hack2own продемонстрировал взлом iPhone. Уязвимость содержалась в приложении Office² Plus, распространяемом через официальный магазин Apple App Store. За победу хакер получил взломанный iPhone 4S, а также денежный приз в размере 75 000 рублей. Павел Шувалов известен свой утилитой Vulndisco Mobile 1.7, предназначенной для джейлбрейка устройств на базе iOS. Сама по себе система iOS оказалась крепких орешком: главный приз в 137 000 руб. за взлом почты и оболочки iOS без использования уязвимостей сторонних приложений — так и остался у организаторов форума. К слову, взлом почты на заказ без всякой предоплаты и с полной гарантией качества осуществляют сегодня специализированные компании, имеющие все необходимые для этого технические ресурсы и возможности.

Популярную операционную систему  Windows XP удалось взломать независимому эксперту по информационной безопасности Никите Тараканову. Для получения максимальных привилегий в системе он использовал новую уязвимость в ядре операционной системы. Благодаря этому успеху Никита стал победителем конкурса Hack2own в категории операционных систем и получил приз — 50 000 рублей. Интересно, что в прошлом году на форуме Positive Hack Days 2011 Никита Тараканов сумел взломать браузер Safari для Windows. 

Финальным аккордом банковской секции, на которой присутствовали эксперты по информационной безопасности и представители финансовых организаций, стал конкурс «Большой ку$h». На их глазах хакеры, используя типичные уязвимости систем ДБО, сумели перевести на свои виртуальные счета различные денежные суммы, а затем снять их через банкомат, который располагался рядом с местом проведения конкурса. Победителем стал Алексей Осипов, студент пятого курса Московского энергетического института: ему удалось «увести» из банка 3500 рублей. 

В рамках соревнований PHDays CTF 2012 российский специалист в области национальной безопасности Сергей Азовсков из Екатеринбурга стал победителем конкурса по взлому радиоуправляемого дрона. Такие устройства, являясь «двоюродными братьями» беспилотных самолетов, подходят не только для игр: будучи оснащены видеокамерами, они могут использоваться для шпионажа.  Другой участник CTF из команды Leet More прямо во время напряженной схватки PHDays CTF 2012 обнаружил уязвимость нулевого дня в операционной системе FreeBSD 8.3. Уязвимость позволяет любому локальному пользователю обойти ограничения безопасности. 

Кроме того, на PHDays 2012 прошли десятки разнообразных состязаний по взлому и анализу защищенности. Участники преодолевали шифрование WPA-PSK для Wi-Fi, клонировали RFID-метки с большого расстояния, искали способы обойти межсетевые экраны, взламывали перегрузочное оборудование Cisco и подбирали алгоритмы шифрования паролей.