О себе

Меня зовут Петухов Андрей, я занимаюсь безопасностью веб-приложений.

Краткая биография
Я окончил факультет ВМиК МГУ в 2004 году, защитив диплом по теме “Инструментальный контроль политики безопасности с помощью формальных описаний”. К тому моменту я уже понял, что хочу профессионально заниматься информационной безопасностью.
Поэтому было принято решение остаться на факультете: поступить в аспирантуру, участвовать в исследовательских проектах и работать со студентами по перспективным темам в качестве научного руководителя.

В течение следующих трех лет были успешно завершены несколько проектов по безопасности веб-приложений и обнаружению атак, в частности, в большое плавание отправился проект redsecure под руководством Дениса Гамаюнова, и в плавание поменьше – модуль для проведения taint-анализа программ на Питоне.

По мере развития нашего спецсеминара по информационной безопасности стало ясно, что хочется еще и преподавать. Началось все с чтения курсов Cisco в авторизованном учебном центре, в основном по безопасности, а закончилось ведением авторского практикума на сетевом оборудовании для студентов, спецкурсах “Введение в информационную безопасность” и “Практические аспекты сетевой безопасности” в соавторстве с коллегами (Денисом Гамаюновым, Владимиром Ивановым, Андреем Сапожниковым и Федором Сахаровым) и двух курсах “Проектирование корпоративных сетей” и “Основы управления информационной безопасностью на предприятиях” в магистратуре ВМиК.

В 2007 году наш проект по taint-анализу программ на Питоне был выбран в качестве участника OWASP Spring of Code, а в 2008 году я предложил новый подход по обнаружению уязвимостей авторизации и реализовал его в проекте OWASP Access Control Rules Tester. Позднее к проекту присоединился Георгий Носеевич, который стал его новым локомотивом. С тех пор мы не однократно выступали contributor’ами в различных проектах сообщества OWASP.

В 2010 году стало ясно, что дальше жить без командного CTF решительно нельзя, в результате чего на базе нашего спецсеминара была собрана команда Bushwhackers.
На сегодняшний день результаты команды выглядят так:
– 6-ое место в финале ruCTF 2012;
– 8-ое место на квалификации ruCTF 2012;
– 12-ое место на ruCTF Europe 2011 (4-е среди российских команд);
– 5-ое место на PHD CTF 2011.
– 1-ое место в квалификации Swiss Cyber Storm Car Game Challenge 2011;
– 4-ое место в финале ruCTF 2011;
– 1-ое место на квалификации ruCTF 2011;
– 25-ое место на ruCTF Europe 2010 (10-е среди российских команд);
– 30-е место на iCTF 2010;
– второе место в Deutsche Post Security Cup;
– 12-ое место в финале ruCTF 2010;
– третье место на RusCrypto CTF 2010;
– 4-ое место на квалификации ruCTF 2010;

В 2010 году я решил предлагать свои услуги по аудиту безопасности сайтов, что вылилось в основание Internal Security. Если вам нужен аудит безопасности сайта – пишите на petandr@gmail.com!

p.s. Мой научный блог  на английском расположен по адресу http://andrewpetukhov.blogspot.com/

Мои статьи:

• Петухов А., Матюнин Н. ОПАСНАЯ РАЗМЕТКА или Настольный справочник по атакам на XML-приложения. // Хакер, №5 (160), Москва, 2012, с. 18-23.
• Петухов А., Раздобаров А. DRIVE-BY-DOWNLOAD ПО-ТИХОМУ или Маскируем вредоносные сайты от wepawet и его друзей. // Хакер, №9 (152), Москва, 2011, с. 73-75.
• Петухов А., Раздобаров А. Направленные атаки @ malware. // Информационно-методический журнал «Защита информации. Инсайд», №4, Санкт-Петербург, 2011, с. 46-50.
• G. Noseevich, A. Petukhov. Detecting Insufficient Access Control in Web Applications. // In Proc. 1st SysSec Workshop, DIMVA 2011, Amsterdam, 2011.
• Петухов А.А. Использование XSS для организации ботнетов нового поколения. // Информационно-методический журнал «Защита информации. Инсайд», №4, Санкт-Петербург, 2010, с. 50-54.
• Козлов Д.Д., Петухов А.А. Сбор информации о поведении веб-приложения при тестировании методом “черного ящика”// Методы и средства обработки информации: Третья Всероссийская научная конференция. Труды конференции. – М.: Издательский отдел факультета ВМиК МГУ имени М.В. Ломоносова; МАКС Пресс, 2009. – С.463-468.
• A. Petukhov, D. Kozlov. Detecting Security Vulnerabilities in Web Applications Using Dynamic Analysis with Penetration Testing. OWASP Application Security Conference 19-22 May 2008, Ghent, Belgium, 2008.
• A. Petukhov, D. Kozlov. Implementation of Tainted Mode Approach to Finding Security Vulnerabilities for Python Technology. In Proceedings of the First Spring Young Researchers’ Colloquium on Software Engineering, Moscow, 2007, vol 1, pp. 45-47.
• Козлов Д.Д., Петухов А.А. Методы обнаружения уязвимостей в web-приложениях. // Программные системы и инструменты: тематический сборник ф-та ВМиК МГУ им. Ломоносова N 7. П/р Л.Н. Королева. М: Издательский отдел ВМиК МГУ. Изд-во МАКС Пресс, 2006 г.

Сертификаты: Cisco Certified Security Professional (CCSP), Cisco Certified Design Associate (CCDA), Certified Cisco Systems Instructor (CCSI), Sun Certified Java Developer (SCJD).