Добрый вечер, дорогие читатели! Сегодня я хочу поделиться с Вами заметкой инженера-программиста АО "ИСС", аспиранта СФУ - Павла Шипулина о Positive Hack Days. Форум проходил 23-24 мая, за это время успело произойти много всего интересного. Как это было читайте ниже.
Positive Hack Days – этомеждународныйфорумпоинформационнойбезопасности, которыйпроходиткаждуювеснувМоскве. МероприятиеорганизуетсякомпаниейPositive Technologies. Думаю, даннаякомпанияненуждаетсявотдельномпредставлениидлямираИБ. ЗдесьнадваднясобираютсяведущиеспециалистыпоИБнашейстраныидружественногозарубежья, представителигосструктур, крупногобизнесаимолодыеучёные. Какподсказываетсайтмероприятия( www.phdays.ru ), главныепринципыPHDays – этоминимумрекламыимаксимумполезныхзнанийвдокладахинасеминарах, неформальноеобщение«пиджаков» и«футболок» накруглыхстолах, множествозахватывающихконкурсовиэнергичнаяатмосфераисследовательскогополигона.
Ещёвстуденческиегодывозникламечтапосетитьданноемероприятие, носудьба«улыбнулась» мнетолькосейчас(можетраньшеябылнеготов?) ивкачествеаспирантаСибирскогофедеральногоуниверситетаприподдержкекомпании«Информационныеспутниковыесистемы» япосетилэту«хакерскуюсходку».
Чтобыпониматьмасштабсобытия, обратимсякстатистике2016 года: числоучастниковдостигло4200 человекизразныхстран. Немогурациональнооценитьколичестволюдейвэтомгоду, ноихбылооченьмного. Вобщемсхематочекинтереса(мест, гдечто-топроисходило) выгляделаследующимобразом: 7 заловразличногомасштабадлядокладовисеминаров, главныйзал, гдеразвернуласьосновнаякибербитва«Противостояние», всёсвободноеместовхоллахзаполненовыставкойдостиженийИБ-индустрии, конкурсамиоторганизаторовиточками«распространения» кофеисока. Всеточкиинтересадействуютпараллельно: длятогочтобыиметьхотьобщеепредставлениеопроисходящем, можнобылоспешнопробежатьсяпохоллусостаканчикомкофевруках(илизубах), заглядываячерезплечодругихучастников.А если хочешь посетить все интересные доклады,идущиеводновремя, вголовупришлаоднасумасшедшаяидея: fork()-нутьсяисоздатьсвоипрактическиидентичныекопиипочислудокладов. Дальшерасскажуобовсёмпо-маленьку. Сразупредупреждаю, чтобольшевсегомнебылиинтересныдоклады, поэтомуонихрассказболееподробный, ияоставлюегонаконецзаметки.
Противостояние
Вцентребольшогозаларасположиласьмодельгорода, вкоторомрасположено множествообъектовнападения/защиты: телеком-оператор, ТЭЦ, офисныйцентр, системауправленияавтомагистралью, системарегулировкидвиженияпоездовитакдалее. Существуюттривидакоманд: атакующие, защитникииsecurity operations centers (SOC), которыепредоставляютзащитникаминформационнуюпомощь. Вкаждойгруппеналичествовалоотдвухдодевятикоманд.
Необходимоотметитьчрезвычайнодетализированныймакет, накоторомсоответствующиеобъектыдвижутся, крутятся, парят, перекачивают«нефть» итакдалее. Рассматриватьегобыло, действительно, оченьинтересно. Яприпомнилдетскиегоды, когдауменябылажелезнаядорога, состоящаяизкучирельсов, одногопаровоза(достаточнодорогаяигрушка, поэтомуодин) иодногосамодельноготуннеляизпапье-маше.
Самопроисходящеесосторонычем-тонапоминалоклассическийCTF, нобольшекрасивогомакетазрителюмалочтосходу понятно, таккаккомандыготовилиськПротивостоянию(вникаливсутьсистем) целыймесяц, азритель– считанныеминуты.
Крометого, мойинтерескПротивостояниюохлаждалсянесамымилестнымиотзывамиопрошлогоднемПротивостоянии, котороеимелобольшиеслабостисорганизационнойточкизрения: отсутствиевизуализацииврежимереальноговремени, наличиенепонятнойпроцедурыпроверкирешений(еслияправильнопонял, баллызависелинеотбинарногосистемасломана/устояла, аотметодов, ходанападенияит. д.). Членоднойизкомандтогдасказал: «Врезультатеуменяосталосьтакоевпечатление– мыкласснопосидели-похакали, ночтоименноискольконепонятно, «непонятно» – этосамоечастое, чтояговорилвсюигру». Еслисамикомандыслабопонимают, чтопроисходитнаданныймоментвигре, янедумаю, чтозрителямэтобудет«виднее». Соглашусь, организаторымоглиучестьэтотнедостатокис2016 годавсёмоглопоменяться. Нобольшинствомнеизвестных«сильных» CTF-командвэтомгодуучаствоватьотказались. Поэтомупростите, «борьба» замоёвниманиенаэтомфорумебылаприличная, ияпошёлдальше.
ВыставкадостиженийИБ-индустрии
ПодвыставкойдостиженийИБ-индустриипонимаетсямножествомини-локаций, расположенныхвхолле. Вкаждоймини-локацииидётпрезентациядеятельностиодногоизпредставителей«мировогоИБ-сообщества» (другимисловами, партнёраPHDays): Advantech, Axoft, IBM, ICL, Infotecs, Kaspersky Lab, Microsoft, Rostelecom, R-Vision, Solar Security, Wallarm, Web Control идругие.
Каждаяпрезентациясостоялаизрассказаспециалиста, печатнойимаркетинговойпродукции.
Лукавитьнебуду, янепрониксяинтересомкбольшинствуизпредставителей«мировогоИБ-сообщества». Единственное«прихватил» ОтчётотекущейисследовательскойдеятельностиPositive Technologis (поканечитал).
Конкурсыоторганизаторовипартнёров
Дляразвлеченияпублики, уставшейотдокладовисеминаров(нивкоемслучаенеподумайте, чтоонибылинеинтересными! Устатьможноиотпереизбыткаинтереснойинформации), организаторыприбереглисдесятокконкурсовнаплощадкеипаруконкурсовонлайн.Попричинемоегокрайнегоинтересакдокладам, янеуспелвникнутьвконкурсывдостаточноймере. Могусказатьлишь, чтовыгладилитехническиесредствавесьмазаманчивоиучастникифорумапроявляликниминтерес.
Достаточноэффектновыгляделстенддляконкурса«Automotive Village: CarPWN» – взломсистемызащитыавтомобиля.
Понаблюдатьмнеудалосьзафиналомконкурса«HackBattle». Наотборочномэтапеэтогоконкурсаучастникамнужнобыловыполнитьнесколькозаданий(этопроисходиловпервыйдень). Наследующийденьдвоелучшиххакеровселизакомпьютеры, установленныенаглавнойсценедругнапротивдруга, чтобысразитьсявфинальномпоединке– взломWeb-сайта. Заданиедляучастниковбылонеожиданностью, поэтомувэтомконкурсебылаважнакрепостьнервов, скоростьиумениеискатьрешениеновойзадачиврежимереальноговремени(ещёинаглазахусотничеловек, которыенаблюдализаэкранамипроецируемыминабольшойэкран).Всопровождениикомментариевпрофессионаловконкурссталсамымпопулярнымдлязрителей.
ПобедувбаттлеодержалВладРосков(SpbCTF). Одиниззрителейхорошозаметил: «ДаяCtr-C+Ctr-V дольшенажимаю, чемонвводиткомандыконсоли...» Профессиональныйуровеньобоихучастниковвызываетглубокоеуважениеистремлениерасти, развиваться, чтобыдостигнутьхоть10% «скила».
Докладыисеминары
ПослушатьдокладыведущихИБ-специалистовбыломоейосновнойцельюнаэтомфоруме, поэтомувэтойчастимойрассказбудеткрасочнее и полнее. Какяужеговорил, количестводокладовипринципихпроведенияделалифизическиневозможнымприсутствиенавсехидажемногих. Расскажусвоивпечатленияолучшихдокладах, намойвзгляд(изтех, которыеяслышал).
«Хакерыхотятвашбанкбольше, чемвашихклиентов»
ДмитрийВолков(GroupIB) крайнелюбопытнорассказалобатакахнафинансовуюсферу: набанкоматы, платежныешлюзы, системымежбанковскихпереводовитакдалее. Отметилизменениевектораатакихакеровсклиентовбанковскойсферынасамифинансовыеорганизации.
Сегословстановилисьпростымиипонятнымиходывесьмапродуманныхбандитскихорганизаций: накакомэтапеденьгинезаметноукрасть, сколькоденегукрасть, чтобыполучилосьдействительно«незаметно», где, какикомуобналичиватьихпотом.
Дмитрийрассказалгрустно-весёлуюисториюпроквалифицированного замученногоработойспециалистапоИБ. Привожурассказсточностьюдоключевыхфактов.
Бываютсовсемглупыедоболислучаи. Например, штатныйадминистраторневсегдаможетоценитьвредоносностьфайла, ноэтоинеегоработа. Вот, антиспам«поймал» некоторыйфайл(троян, какоказалосьвдальнейшем), администраторотправляетегобезопасникудляболееглубокогоанализа. Безопасниксидит«поушивработе», емуприходитписьмоотадминистратора. «Адрес-топроверенный,» – видитбезопасникиоткрываетприложение, нечитаятекстаписьма.
Воттакперегруженностьработойсводитнанетиобразование, иопыт.
«Анти-APT своимируками»
ДокладДанилаБородавкина(«Информационныеспутниковыесистемы») просредстваборьбысцелевымиатакамислишкомнахваливатьмнезазорно, таккакДанилявляетсямоимколлегой. Нопромолчатьтожесложно.
Во-первых, возникаетчувствобольшойгордости, когдасредидокладчиковиз-зарубежаицентральнойРоссии, средипрофильныхкомпаний, занимающихсяИБ, возникаетдокладчикизкомпании«Информационныеспутниковыесистемы» (длябольшинстваучастниковэтогде-товглухойСибири) ирассказываетучастникамфорума обопытевыявленияцелевыхатаксредствами«опенсорса, костылейипорядка».
Во-вторых, мнебылоприятносмотретьислушатьпромоилюбимые*nix-системы, которыеможноуспешноприменятьдляреальнойзащитыинформации. ВсилунемногодругойобластиИБ, которойязанимаюсьнаработе, всеLinux, Unix ипрочиена-nix живутуменяисключительновдомашнихкомпьютерах. Укаждогонастоящегоюниксоидаестьсобственныебольшиеилималенькиепрограммныеподелки, нодалеконевсеизнихмогутбытьиспользованыдлярешениясерьёзнойкоммерческойзадачи– поводдляуваженияДанилаиегокоманды!
ВзломучетныхзаписейвWhatsApp иTelegram
ДокладРоманаЗаикина(Check Point), содержаниекоторогоочевидноизназвания, помнениюоченьмногихнестоилтого, чтобыегопропустить. Малотого, чтонехватилосидячихмест, местнаступеньках, местстоявпроходах, такмывпринципенесмоглизайтивзал!
Участниковфорумаспаслото, чтоорганизаторыпредусмотрелитакуюситуациюивелипрямуютрансляциюнабольшиеэкранывхоле, гдеможносидянадиванеилинакресле-мешке(есливамповезло),илипростостоясостаканчикомкофепослушатьстольинтересующийпубликудоклад.
Надоотметить, чтодокладбылнаанглийскомязыке. Посетители, попавшиенадоклад, могливоспользоваться«мобильнымипереводчиками» (неуверенвправильноститермина), которыевсемжелающимвыдавалинавходевзал. Трансляциявхоллеужевеласьссинхроннымпереводом. Неуверен, чтоэтолучшаяидея, таккакдокладтехническийивоспринималсянаязыкеоригиналавесьманесложно. Однако, сточкизренияпродуманности«очко» организаторам.
«КакразработатьDBFW снуля»
ДенисКолеговиАрсенийРеутов(Positive Technologies) рассказалиотехническихаспектахразработкиснуляпрототипамежсетевогоэкранауровняСУБДDatabase Firewall. Интересный, можносказать«фундаментальный» доклад(всравнениискрайнеприкладнымитемидругихвыступлений).
Учитываятотфакт, чтоweb application firewall (WAF) отPT «засветился» вквадратеГартнераиродственнуюблизостьWAF иDBFW, слушатьгосподразработчиковбыловдвойнеинтересно.
«Анализатакнаисчерпаниеэнергоресурсовнапримереустройствбеспроводныхсетей»
ВладиславАлександров(Positive Technologies, студентУниверситетаИТМО) рассказалосвоихисследованияхсовместносВасилиемДесницким(СПИИРАН) поисследованиюатак, направленныхнаисчерпаниеэнергоресурсовустройств, работающихотавтономныхисточниковпитания. Былипродемонстрированыразличныеподвидыподобныхатак, приведенырезультатымоделированиядляотдельныхплатформ.
Цельатакиочевидна, нозадумывалисьливыкогда-нибудь, чтозлоумышленникимогутискусственно«разрядить» ваштелефонвсвоихпреступныхцелях?
«Хакеро-машинныйинтерфейс»
ОднопредставлениеБрайанаГоренкаиФрицаСэндсаутверждаетчеловекавнеобходимостипосетитьихдоклад. БрайанявляетсяруководителемдепартаментаисследованияуязвимостейкомпанииTrend Micro, руководитZero Day Initiative (ZDI), самоймасштабнойнезависимойпрограммойпоискаошибоквпрограммномобеспечении. ФрицсейчасработаетисследователемпроблембезопасностивZDI, до2014 годаработалвкомпанииMicrosoft, гдевегозадачивходилапроверкакодаWindows иразработкаинструментовдинамическогоанализа.
ВэтомдокладебылапредставленапопулярнаятемаатакнаАСУТПиКСИИ, подвергаяударуSCADA-системы. Былапредставленастатистикаповидамуязвимостейтакихзнаменитыхпроизводителей, какSchneider Electric, Siemens, General Electric иAdvantech. АвторыдокладапредставилитенденцииразвитияатакнаSCADA исвоёмнениеобудущемэтойобласти.
Ямалознакомспроблемойзащиты SCADA-систем, ноопотраченномвременияточнонежалею.
«Ты, анетебя. Армииумныхботовврукаххакера»
ПопредварительномуопросникунасайтеPHDays, этотдокладдолженбылстатьсамымпопулярнымнафоруме. Действительно, пришедшиепослушатьАндреяМасаловича(гендир«ЛавинаПульс», кандидатфиз.-мат. наук, подполковникФАПСИвотставке), участникифорума сиделидаженаступенькахзала. Междупрочимвполнеудобно, мнепоказалось.
Авторразвивалтемупротиводействиявсетинеотдельныхлюдей, аботнетсетей, управляемыхзлоумышленниками, спецслужбамиипрочимизаинтересованнымилюдьми. Интересылюдей, использующихэтооружиеможетварьироватьсяотмассовоговзломапаролейдовлияниянаходвыборовпрезидента.
Ксожалению, опаздываянасамолёт, янесмогдослушатьдокладдоконца. Поэтомуоченьждувидео, которые, янадуюсь, будутвыложенынасайтефорума, какэтобылосделаносвыступлениями2015 и16 годов.
Прочее
Доклады, которыемненепонравились, перечислятьнебуду, дабыникогонеобидеть. ДокладчикизанималидолжностиввидныхкомпанияхИБ, предлагалиинтересныеидеи, расставлялиинтересныеакцентынасовременнойситуациивмиреИБ, побольшомусчёту, яуверен, чтомнестоилобыпоучитьсяоченьмногомууних. Нозлуюрольигралпринцип«что-тохорошоумеешь– умейинехужерассказатьобэтом». Придостаточносложнойинформации, которуютырассказываешь, плохопоставленнаяречьсводитнанетбольшуючастьрассказа: покаслушательстремитсянеупуститьнитьрассужденийиперевестивинегретизперемешанныхрусскихианглийскихслов, приправленныхжаргонизмами, тыужеуспелподойтикзаключительнымсловамдоклада.
Заключение
Жаль, чтовстуденчественевыдалосьшансадобратьсясюда. Таккакмотивационнуюсоставляющуюнахожденияв«гуще» умных, успешных, квалифицированныхспециалистовможносмелосравнитьпоценностисинформацией, полученнойнадокладахисеминарах.
Ещёхотелрассказатьободноммоменте. Понятноедело, чтохакерскоемероприятиенемоглообойтисьбезвыше_рекомендованного_минздравомколичествакофе, которыйбыл, действительно, хорошипомогалдержатьмозгивтонусе. Кромекофебылсвежевыжатый«SOC».
Вцеломмнеприятнобылонаходитьсявэтой«точкесгущения» лучшихспециалистовобластиИБ, теперьестьцелыйгодна«переваривание» информациииплодотворнуюработу.
 |
| Павел Шипулин - крайний справа (примечание К. Шудровой) |
https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов, а также новости мира ИБ.
