Отгремел Positive Hack Days III

На площадке международного форума, состоявшегося 23 и 24 мая, обсуждали технологии защиты и нападения, нормативные документы и законодательные инициативы, соревновались в поиске уязвимостей банкомата, систем ДБО и АСУ ТП, проводили мастер-классы и хакерские сражения.

Пиджаки и футболки

Профессионалы в области ИБ необходимы и государству, и бизнесу. Этот тезис является основным итогом круглого стола, посвященного проблемам молодых специалистов.

Георгий Грицай, заместитель начальника департамента регулирования радиочастот и сетей связи Минкомсвязи, подчеркнул, что по состоянию на 2012 год в России есть колоссальная потребность в специалистах по ИБ. Руслан Гаттаров, представлявший на встрече Совет Федерации, отметил, что президент России обращает пристальное внимание на отрасль: в январе вышел Указ Президента № 31с, который сделает информационную безопасность вопросом государственной важности. Владимир Жириновский посоветовал начинающим специалистам по информационной безопасности «работать на позитиве» и не связываться с криминалом, а представлявшая ЦИБ ФСБ Оксана Докучаева призвала регионы уделять больше внимания студенческим играм CTF в России.

На форуме прошли более десяти бизнес-секций, посвященных кибервойне и киберпреступности, безопасности АСУ ТП, инспекционным проверкам регуляторов, защите банковских приложений и другим темам.

Большой интерес вызвала откровенная дискуссия с участием представителей ФСТЭК, «Ростелекома», Cisco, Positive Technologies, в ходе которой обсуждались недостатки современной системы сертификации средств защиты. Начальник управления ФСТЭК России Виталий Лютиков заявил, что регулирующий орган разрабатывает целый ряд современных нормативов: руководящие документы по анализу защищенности, доверенной загрузке и ряду классов средств защиты, а также ГОСТ по организации жизненного цикла разработки защищенных информационных систем. Активно готовятся и долгожданные рекомендации по организации процесса обновления сертифицированных средств защиты, так как до сих пор установка исправлений лишала систему сертификата. По словам Лютикова, ФСТЭК всячески приветствует участие экспертов в разработке нормативных актов и продолжит практику публичного обсуждения проектов документов.

«В очередной раз Positive Hack Days был на высоте. Этот форум неизменно оставляет приятное чувство, что сообщество IT-безопасности в России год от года становится сильнее и профессиональнее, а сама тема вызывает всё больший интерес общественности. Отдельное уважение вызывают организаторы конференции, которые умудряются весьма гармонично и толково объединить на одном «поле» игроков из разных «команд»: и тех, кто нападает, и тех, кто им противостоит. Такой диалог позволяет лучше понять тренды по обе стороны баррикад и ответить на наиболее злободневные вопросы IT-безопасности», — отметил Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».

Они говорят: «Я не верю!» — и взламывают

На PHDays III прозвучали десятки докладов и было затронуто множество тем — от способов обхода современных WAF в исполнении Владимира Воронцова до нестандартных методов определения источников атак в изложении Александра Гостева. Также говорилось о десятках уязвимостей компонентов современных АСУ ТП, обнаруженных группой экспертов исследовательского центра Positive Technologies.

Знаменитый немецкий исследователь и разработчик Марк Хойзе, также известный как van Hauser, подчеркнул важность взаимодействия каждой из сторон, заинтересованных в развитии индустрии информационной безопасности: «Мы являемся частью единого целого. Надо не бояться хакеров, а учитывать специфику их работы. Хорошие хакеры — это бунтовщики по природе, им сложно вписываться в стандартную корпоративную или государственную структуру, где принято говорить: наш продукт самый лучший, наши системы защищены на 100%, вы в полной безопасности. Они говорят: “Я не верю”, и находят неприятные многим ошибки и уязвимости. Необходимо пытаться работать всем вместе, понимать друг друга, учить друг друга. Другого пути нет».

Открыть банкомат скрепкой

Докладчики PHDays III в очередной раз смогли немного удивить мир: именно здесь показали опаснейшие уязвимости, обнаруженные в сотнях тысячах камер наблюдения по всему миру, ошибки безопасности автомобильных видеорегистраторов, проблемы защищенности системы доступа к Интернет на самолетах American Airlines.

Эксперты продемонстрировали новые векторы атаки на банкомат, в том числе получение доступа к сервисной зоне ATM с помощью проволоки. Они также переключили банкомат в сервисный режим, используя обычную канцелярскую скрепку.

Несмотря на участие в форуме хакеров со всего мира, в конкурсах вновь лучше других выступали российские студенты. К примеру, пятикурснику Анатолию Катюшину удалось использовать уязвимости в системе дистанционного банковского обслуживания (ДБО), а первокурснику Михаилу Елизарову покорилась не только система АСУ ТП, управляющая железной дорогой, но и конкурсный банкомат.

Новые идеи

Впервые в рамках мероприятия была организована специальная выставка, на которой крупнейшие российские и зарубежные компании отрасли (ОАО «ЭЛВИС-ПЛЮС», Stonesoft Corporation, «Лаборатория Касперского», Корпорация ЕМС, «Астерос», Cisco и ICL) показали свои свежие разработки. Организатор форума, Positive Technologies, представил два новых продукта: PT Application Inspector, систему контроля защищенности приложений, комбинирующую достоинства статического, динамического и интерактивного анализа исходного кода, а также PT Application Firewall, межсетевой экран, сочетающий традиционные методы черного и белого списков с новейшими возможностями самообучения.

Алексей Лукацкий, бизнес-консультант по ИБ компании Cisco: «В этом году на PHDays III компания Cisco выступила сразу в двух секциях. На первой, посвященной практикам защищенного программирования, мы рассказали о том, как выстроен процесс SDLC в нашей компании, и как мы обеспечиваем высокий уровень исходной защищенности наших продуктов. На второй сессии мы представили продукты, о которых в России еще ни разу не говорили – наше решение для борьбы с DDoS-атаками операторского класса, средства анализа сетевой активности Cisco Threat Defense, мультигипервизорную платформу для работы Imperva SecureSphere WAF, а также сервис управления уведомлениями об уязвимостях Cisco Intellishield Alert Manager. Считаем, что в этом году PHDays вновь поднял планку для российских мероприятий по информационной безопасности, которую и раньше было сложно перепрыгнуть, а сейчас тем более».

Все только начинается

Форум PHDays III стал площадкой как для начинающих исследователей, так и для молодых стартап-компаний — ONsec, ЦОР, Fairwaves, SolidLab, Seclab@MSU. Они смогли рассказать о своей деятельности перед широкой экспертной аудиторией и получить ценные отзывы.

По словам организаторов форума, отрасль может развиваться лишь в том случае, если оригинальные и перспективные идеи не остаются на бумаге, а реализуются на практике, помогая обеспечивать реальную безопасность.

Сергей Коношенко, руководитель технической дирекции «Астерос Информационная безопасность»: «Два дня абсолютного позитива с пользой для ума - таково краткое резюме по итогам форума. Масса интересных  докладов на злобу дня и, уже традиционно, информационная безопасность в действии. В этом году мы обратили особое внимание на то, как PHDays решает задачу подготовки будущего поколения специалистов в области информационной безопасности. Не секрет, что эта проблема стоит крайне остро, как для ИБ-отрасли, так и для рынка информационных технологий в целом. Выступив интеллектуальным спонсором, мы с головой окунулись в молодежную "тусовку" форума. Результат погружения не мог не порадовать.  Перспективные идеи, основательный подход, понимание современного мира ИБ - все это я увидел в работах молодых ученых конкурса Young School. Практическая сторона безопасности тоже не осталась без внимания организаторов - многочисленные конкурсы полностью отражают реалии и  тенденции рынка ИБ. Я искренне горд, что российская компания организует мероприятия такого уровня и масштаба, и желаю коллегам из Positive Technologies - так держать».