В Москве на PHDays2012 взломали AppleiPhone, WindowsXP и FreeBSD

На международном форуме по практической информационной безопасности PositiveHackDays2012 участники конкурса Hack2own продемонстрировали взлом AppleiPhone4S и популярной операционной системы WindowsXP. Кроме того, в ходе соревнований CTFбыла обнаружена новая уязвимость в операционной системе FreeBSD, а на конкурсе «Большой ку$h» хакеры сумели продемонстрировать, каким образом можно украсть деньги, используя типичные уязвимости в системе дистанционного банковского обслуживания. Отдельного внимания заслуживает выступление отечественных хакеров.
 

Взлом iPhone

Российский ИБ-специалист Павел Шувалов в рамках конкурса PHDaysHack2own продемонстрировал взлом AppleiPhone. Уязвимость содержалась в приложении Office² Plus, распространяемом через официальный магазин Apple App Store. За победу хакер получил взломанный iPhone 4S, а также денежный приз в размере 75000 руб. Павел Шувалов известен свой утилитой Vulndisco Mobile 1.7, предназначенной для джейлбрейка устройств на базе iOS. Сама по себе система iOS оказалась крепких орешком: главный приз в 137000 руб. за взлом оболочки iOS без использования уязвимостей сторонних приложений — так и остался у организаторов форума.

Уязвимость нулевого дня в WindowsXP

Популярную операционную систему Windows XP удалось взломать независимому эксперту по информационной безопасности Никите Тараканову. Для получения максимальных привилегий в системе он использовал новую уязвимость в ядре операционной системы. Благодаря этому успеху Никита стал победителем конкурса Hack2own в категории операционных систем и получил денежный приз — 50000 руб. Интересно, что в прошлом году на форуме Positive Hack Days 2011 Никита Тараканов сумел взломать браузер Safari для Windows.

Взлом ДБО

Финальным аккордом банковской секции, на которой присутствовали эксперты по информационной безопасности и представители финансовых организаций, стал конкурс «Большой ку$h». На их глазах хакеры, используя типичные уязвимости систем ДБО, сумели перевести на свои виртуальные счета различные денежные суммы, а затем снять их через банкомат, который располагался рядом с местом проведения конкурса. Победителем стал Алексей Осипов, студент пятого курса Московского энергетического института: ему удалось «увести» из банка 3500 руб.

AR.Droneи FreeBSD 8.3

В рамках соревнований PHDaysCTF2012 российский специалист в области национальной безопасности Сергей Азовсков из Екатеринбурга стал победителем конкурса по взлому радиоуправляемого дрона. Такие устройства, являясь «двоюродными братьями» беспилотных самолетов, подходят не только для игр: будучи оснащены видеокамерами, они могут использоваться для шпионажа.

Другой участник CTF из команды Leet More прямо во время напряженной схватки PHDaysCTF2012 обнаружил уязвимость нулевого дня в операционной системе FreeBSD8.3. Уязвимость позволяет любому локальному пользователю обойти ограничения безопасности.

Множество конкурсов

На PHDays2012 прошли десятки разнообразных состязаний по взлому и анализу защищенности. Участники преодолевали шифрование WPA-PSKдля Wi-Fi, клонировали RFID-метки с большого расстояния, искали способы обойти межсетевые экраны, взламывали оборудование Cisco и подбирали алгоритмы шифрования паролей. В ближайшие дни мы подробно расскажем обо всех конкурсах, состоявшихся на PHDays2012, и назовем всех победителей.