Cамое интересное c первого дня PHDays VI

Cамое интересное c первого дня PHDays VI

В первый день прозвучало более 50 докладов, прошли мастер-классы и круглые столы, стартовали десятки хакерских конкурсов.

Завершился первый день форума Positive Hack Days, стартовавшего 17 мая в Москве, в Центре международной торговли. Сегодня форум посетило рекордное число участников — более 3000. Также свои двери в рамках PHDays Everywhere распахнули 15 хакспейсов в России, Бангладеш, Белоруссии, Индии, Казахстане, Перу, Тунисе и Швеции. На два дня организована онлайн-трансляция с площадки мероприятия, так что все интернет-пользователи смогут принять активное участие в форуме.

В первый день прозвучало более 50 докладов, прошли мастер-классы и круглые столы, стартовали десятки хакерских конкурсов.

В рамках форума был представлен отчет аналитического центра Positive Technologies — Positive Research 2016. Эксперты отмечают ухудшение общего уровня защищенности информационно-телекоммуникационных систем практически во всех областях. Защищенность IT-инфраструктур крупных компаний по-прежнему оставляет желать лучшего: в каждом втором случае (46%) для получения доступа к ресурсам внутренней сети злоумышленнику достаточно даже низкой квалификации. Самые распространенные уязвимости — использование словарных паролей (53%), уязвимости веб-приложений (47%) и служебных протоколов (100%), неэффективность антивирусной защиты (91%), устаревшее ПО (82%).

Данные абонентов сотовой связи под угрозой: к такому неутешительному выводу пришли эксперты. Исследования защищенности сетей SS7, проведенные в 2015 году, показали, что в 89% случаев возможен перехват входящего SMS-сообщения, в 58% случаев — определение местоположения абонента, а в 50% —прослушивание звонков.

Банковская индустрия по-прежнему уязвима. Все проанализированные экспертами Positive Technologies в 2015 году системы ДБО содержали уязвимости, причем 90% из них содержали критически опасные уязвимости, оставшиеся 10% — недостатки среднего уровня риска. В половине случаев механизмы двухфакторной аутентификаций с помощью одноразовых кодов, передаваемых через SMS-сообщения, отсутствовали или были реализованы некорректно. Мобильный банк на iOS на данный момент безопаснее решений на Android: серьезные уязвимости содержали 33% и 75% приложений соответственно.

Не отстает и сфера АСУ ТП: в 2015 году Positive Technologies обнаружила более 100 уязвимостей в промышленных системах управления, эксплуатация половины из этих ошибок может привести к отказу в работе оборудования. Наиболее уязвимы SCADA-серверы и HMI-панели, ПЛК и удаленные терминалы, сетевые устройства и инженерное ПО.

51.png

Актуальные проблемы информационной безопасности в разрезе государственной безопасности, бизнеса и технологий обсуждались на пленарном заседании «Те, от кого зависит безопасность: очная ставка». В дискуссии принимали участие представители госструктур, производителей средств защиты, IТ- и ИБ-руководители крупнейших предприятий:

  • Наталья Касперская, генеральный директор группы компаний InfoWatch,

  • Виталий Лютиков, начальник 2-го управления ФСТЭК России,

  • Олег Босенко, начальник управления защиты информации и инженерно-технической защиты службы безопасности НК «Роснефть»,

  • Евгений Крайнов, начальник управления безопасности и защиты информации Росфинмониторинга,

  • Кирилл Алифанов, директор по бизнес-процессам и информационным технологиям «Э.ОН Россия»,

  • Борис Симис, заместитель генерального директора Positive Technologies,

  • Дмитрий Гусев, заместитель генерального директора «ИнфоТеКС»,

  • Владимир Бондарев, директор практики «Информационная безопасность» AT Consulting,

  • Сергей Рыжиков, генеральный директор «1C-Битрикс»,

  • Илья Федорушкин, генеральный директор Tizen Security Center.

Задал тон беседы Борис Симис, он поставил наболевший вопрос: безопасники замалчивают проблемы ИБ и не доводят их даже до руководства. С ним согласилась и Наталья Касперская, пояснив, что они «дорожат честью мундира». Борис Симис высказал мнение, что пока безопасники не признают, что их могут взломать, — невозможно выстроить систему информационной безопасности.

Развитие информационных технологий значительно опережает развитие защитных средств, и повышение уровня безопасности в масштабах страны возможно только при совместном участии государства, бизнеса и экспертов. В числе ответственных за информационную безопасность Виталий Лютиков назвал регуляторов, исследователей, заказчиков, интеграторов и разработчиков. Начальник 2-го управления ФСТЭК видит основную общую задачу в сокращении времени от момента, когда проблема обнаружена, до ее локализации и призвал всех «заниматься реальной безопасностью».

52.png

Своего рода ответом на пленарное заседание стала секция «Хакерская правда: зачем ломаете?». Борис Симис пообщался с представителями хакерских сообществ о роли хакеров в развитии ИБ. Здесь собрались известные российские специалисты по тестированию на проникновение — Дмитрий Евтеев, Тимур Юнусов, Никита Кислицин, Омар Ганиев и Сергей Белов.

Почему взломать крупную сеть это один-два дня несложной работы? Люди тратят миллионы долларов, годами строят систему безопасности, а потом приходят специалисты по анализу защищенности и очень быстро проникают во внутреннюю сеть. Отвечая на этот вопрос, старший эксперт отдела безопасности банковских систем Positive Technologies Тимур Юнусов привел аналогию с шахматами: разница только в том, что здесь «черные» ходят первыми — и потому безопасники всегда опаздывают на один ход.

Грамотные люди есть среди атакующих и защитников, уверен технических директор HeadLight Security Дмитрий Евтеев. Именно Дмитрий, как отметил Борис Симис, еще в 2011 году «вдохнул хакерскую правду в PHDays». Работая в Positive Technologies, он собрал команду пентестеров, известную на всю страну. «Представим современную компанию, которая сделала все правильно с точки зрения парольной защиты, токенов, фаерволов и антивирусной защиты, — говорит Дмитрий. – Появляются пользователи в этой сети. Они начинают жаловаться на сложную парольную политику. Дальше на компьютере бухгалтера хотят поставить важную программу, которая не умеет работать с прокси. Возникают бреши. Пользователи начинают ходить по зараженным сайтам, а на компьютерах необычные аномалии. Специалисты по безопасности начинают бегать от компьютера к компьютеру, как-то реагировать, но уже не успевают».

Сергей Белов, аудитор ИБ компании Digital Security, уверен, что люди, которые занимаются защитой, неправильно выбирают себе команду: «Вместо пары грамотных offensive-специалистов берут экспертов, знающих теорию SDLC, но на практике умеющих строить лишь формально безопасные процессы. Такой подход ошибочен. На моей практике не было ни одной компании, в сети которой нельзя было бы перехватить минимум одну доменную учетную запись с помощью responder, nmap или Hydra».

Никита Кислицин из Group-IB отметил, что безопасность нельзя «прикрутить», купив какой-то продукт. Безопасность — это процессы, культура, люди. «Долгое время я занимался анализом бот-сетей, которые шлют самые разные данные с зараженных компьютеров — перехваченные пост-запросы, пароли, раскадровку рабочего дня, видео, ключи, которые можно вынуть из файловой системы или USB-стиков, — рассказывает Никита. — Свежий пример: зараженный компьютер системного администратора в коммерческом банке. Причина заражения лежит на поверхности: одной рукой администратор управляет доменом банка, а другой — сидит во ВКонтакте и переходит по присылаемым ему ссылкам. Банк может купить антивирус или FireEye за миллион долларов, но от таких ситуаций защититься не сможет. По моим оценкам, минимум треть компаний, в том числе крупных банков, заражены ботнетами. Сегодня строение DMZ и защита периметра немного отходит на второй план, так как проще заразить очень важные компьютеры, просто написав правильный текст и прислав человеку вирус».

53.png

Любопытный разговор состоялся в рамках секции «Разговор по ИБ: "совершенно секретно" или "срочно в номер"» заместитель директора центра компетенции Positive Technologies Алексей Качалин вместе с журналистами и блогерами разбирались, нужно ли освещать инциденты безопасности, насколько читатели вообще осведомлены о проблемах ИБ, как сделать так, чтобы материалы в СМИ стали инструментами для обеспечения безопасности. Среди участников были Алексей Лукацкий (ведущий ИБ-блогер, бизнес-консультант по безопасности, Cisco Systems), Сергей Вильянов (Bankir.ru), Илья Шабанов (Anti-Malware.ru) и другие.

Дискуссия получилась жаркой; пожалуй, самым ярким стало выступление Сергея Вильянова, который о необходимости освещения инцидентов безопасности емко заметил: «Безопасность любит тишину». По его словам, разговор об информационной безопасности должен быть для тесного круга, а не для публики. Алексей Лукацкий поднял ряд важных вопросов, в частности о том, для чего и для кого должен писать блогер. И предложил интересную мысль — писать об ИБ для домохозяек. Он полагает, что не только малому и среднему бизнесу важны вопросы безопасности: ориентируясь только на них, СМИ и блогеры упускают большую аудиторию.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.