4 Июня, 2012

Впечатления от PHDays\'2012

Александр Матросов
Выжидал я время, пока утихнут блоги ИБ деятелей от PHDays'2012, но чувствую произойдет это не скоро и к тому моменту я уже с трудом припомню свои собственные ощущения от мероприятия, поэтому все-таки не удержусь и выскажусь сейчас. 

Сначало искренне хочется поблагодарить организаторов, которые проделали колоссальную работу по подготовке PHDays'2012 и продолжали напряженно работать на протяжении всего мероприятия. Ребята, большой вам респект за все это!

Приехав на конференцию к 8:30, я так и не смог посмотреть доклады других участников до своего выступления, так как критическая масса друзей и знакомых просто зашкаливала. 



А так же в этом году приехал мой коллега Пьер-Марк Бюро из Канадского R&D, чтобы представить мастер-класс по реверсингу "Win32/Georbot. Особенности вредоносных программ и их автоматизированный анализ". Конечно, там речь не шла о каком-то мега хардкоре, но было интересно все собрано в одном практическом примере, как можно использовать возможности автоматизации на встроенном в  IDA питоне. И мне было нужно ему помочь освоится в незнакомой обстановке :)






Больше всего поразило то, что людей с ноутбуками можно было пересчитать по пальцам одной руки, хотя на сайте было написано, что требуется софт и ноут для участия. Но Пьер героически справился и на протяжении нескольких часов практически не смолкал, общаясь с публикой.



В зале был полный аншлаг и мне чудом удалось найти стул сбоку от докладчика. Посмотрев на все это действо минут десять, мне надо было выдвигаться к месту проведения нашего доклада.

До нашего доклада в зале №1 проходила секция "Смарт-карт технологии в России", что подготовило благодатную почву для нашего доклада, который в заключительной части приводил возможные вектора атак из реальных инцидентов.



Не смотря на то, что по какой то странной причине, наш доклад получил базовый рейтинг по своей хардкорности в программе мероприятия, мы постарались осветить тему с разных сторон в том числе и обсуждая низкоуровневые детали =)



Наш зал был настолько переполнен, что люди стояли в проходе и даже рядом с аудиторией, чтобы нас послушать. Спасибо всем кто пришел!



В первой части доклада мы сделали обзор технологического развития наиболее опасного банковского троянца Carberp, после чего уже перешли непосредственно к векторам атак на смарт-карты, используемые во вредоносном ПО. 

  • Win32/Spy.Ranbyus  и манипуляция на уровне APDU команд
  • Win32/RDPdoor, который устанавливается Carberp и по специальной команде в случае наличия смарт-карты ставит FabulaTech USB for RDP для удаленного контроля

Я думаю, что по этой теме немного позднее я выражу свои мысли еще в одном посте, так как цели этой публикации все же немного другие. Ну, а пока можно насладиться слайдами и видео :








Отдельно хочется отметить разработчиков смарт-карт, которые всячески сопротивлялись в сессии вопросов и пытались оправдаться. Оказывается уязвимость в винде, а то что через нее можно проводить атаки на смарт-карту это все окей, винда же виновата и все вопросы к Биллу.

После моего доклада и отбившись от всех вопросов неподалеку мне удалось отловить Брюса, который еще не был замучен толпой и выглядел довольно бодро. Всенепременно я воспользовался этой ситуацией и решил сфотографироваться с ним, так как фото с Брюсом стало главным фетишем PHDays'2012.



После этого, неподалеку был замечен российский клон Шнайера немного покрупнее, но в общих чертах крайне схож с оригиналом.



Послушав начало опуса о доверии на докладе Брюса, мне к сожалению надо было срочно отъехать и вернуться я смог только уже к концу первого дня на ужин для докладчиков. Отдельно стоит отметить, что организаторы позаботились о качественном питании посетителей и допинге в виде спиртных напитков, без которых некоторые доклады просто было не возможно воспринять :)



После ужина для всех желающих докладчиков была организована экскурсия на теплоходе по Москва-реке, что ввело в полный восторг наших зарубежных гостей. Которые дегустировали оригинальный русский напиток для расширения сознания и большего погружения в экскурсионную программу.

Кстати, Дима Скляров не прерывался ни на минуту и с усердием ломал наш крякми, специально разработанный для PHDays'2012. И даже на борту теплохода не поддавался искушению спиртными напитками в веселой компанией ИБ специалистов. За что в итоге получил первое место в нашем конкурсе и уже стал трижды призером конкурсов по реверсингу от ESET.



К сожалению решить полностью задание не удалось никому, но Дима продвинулся дальше всех. Видимо мы все-таки перемудрили со сложностью задания, так как это все-таки конференция и надо делать скидку на то, что люди хотят еще посетить доклады =)



Приятно, что  задание  оценили многие и не только российские исследователи. Его коллективно решали на  ExeLab , а так же  Eloi Vanderbéken  сделал  кейген .

В итоге, мероприятие удалось совершенно однозначно, а главное нанесло мощнейший удар по различным мифам и прочим пугалкам, которые оостанавливали зарубежных исследователей от поездки в нашу страну. Совершенно однозначно, что все кто был остались в полном восторге и по своему размаху конференция даст фору большинству зарубежных. А теперь, с нетерпением жду следующего ZeroNights, который с большой вероятностью пройдет в Москве и как обещают организаторы будет очень хардкорным с технической стороны докладов.

Ну, а в следующем моем отчете о конференции будет  REcon  на который мы десантируемся уже очень скоро с докладом "Bootkit Threats: In-Depth Reverse Engineering & Defense".
или введите имя

CAPTCHA