четверг, 1 июня 2017 г.

Отзыв читателя о Positive Hack Days 7

Добрый вечер, дорогие читатели! Сегодня я хочу поделиться с Вами заметкой инженера-программиста АО "ИСС", аспиранта СФУ - Павла Шипулина о Positive Hack Days. Форум проходил 23-24 мая, за это время успело произойти много всего интересного. Как это было читайте ниже.

Впечатления о Positive Hack Days 7

Positive Hack Days – это международный форум по информационной безопасности, который проходит каждую весну в Москве. Мероприятие организуется компанией Positive Technologies. Думаю, данная компания не нуждается в отдельном представлении для мира ИБ. Здесь на два дня собираются ведущие специалисты по ИБ нашей страны и дружественного зарубежья, представители госструктур, крупного бизнеса и молодые учёные. Как подсказывает сайт мероприятия (www.phdays.ru), главные принципы PHDays – это минимум рекламы и максимум полезных знаний в докладах и на семинарах, неформальное общение «пиджаков» и «футболок» на круглых столах, множество захватывающих конкурсов и энергичная атмосфера исследовательского полигона.
Ещё в студенческие годы возникла мечта посетить данное мероприятие, но судьба «улыбнулась» мне только сейчас (может раньше я был не готов?) и в качестве аспиранта Сибирского федерального университета при поддержке компании «Информационные спутниковые системы» я посетил эту «хакерскую сходку».


Чтобы понимать масштаб события, обратимся к статистике 2016 года: число участников достигло 4200 человек из разных стран. Не могу рационально оценить количество людей в этом году, но их было очень много. В общем схема точек интереса (мест, где что-то происходило) выглядела следующим образом: 7 залов различного масштаба для докладов и семинаров, главный зал, где развернулась основная кибербитва «Противостояние», всё свободное место в холлах заполнено выставкой достижений ИБ-индустрии, конкурсами от организаторов и точками «распространения» кофе и сока. Все точки интереса действуют параллельно: для того чтобы иметь хоть общее представление о происходящем, можно было спешно пробежаться по холлу со стаканчиком кофе в руках (или зубах), заглядывая через плечо других участников. А если хочешь посетить все интересные доклады, идущие в одно время, в голову пришла одна сумасшедшая идея: fork()-нуться и создать свои практически идентичные копии по числу докладов. Дальше расскажу обо всём по-маленьку. Сразу предупреждаю, что больше всего мне были интересны доклады, поэтому о них рассказ более подробный, и я оставлю его на конец заметки.


Противостояние
В центре большого зала расположилась модель города, в котором расположено множество объектов нападения/защиты: телеком-оператор, ТЭЦ, офисный центр, система управления автомагистралью, система регулировки движения поездов и так далее. Существуют три вида команд: атакующие, защитники и security operations centers (SOC), которые предоставляют защитникам информационную помощь. В каждой группе наличествовало от двух до девяти команд.

Необходимо отметить чрезвычайно детализированный макет, на котором соответствующие объекты движутся, крутятся, парят, перекачивают «нефть» и так далее. Рассматривать его было, действительно, очень интересно. Я припомнил детские годы, когда у меня была железная дорога, состоящая из кучи рельсов, одного паровоза (достаточно дорогая игрушка, поэтому один) и одного самодельного туннеля из папье-маше.


Само происходящее со стороны чем-то напоминало классический CTF, но больше красивого макета зрителю мало что сходу понятно, так как команды готовились к Противостоянию (вникали в суть систем) целый месяц, а зритель – считанные минуты.
Кроме того, мой интерес к Противостоянию охлаждался не самыми лестными отзывами о прошлогоднем Противостоянии, которое имело большие слабости с организационной точки зрения: отсутствие визуализации в режиме реального времени, наличие непонятной процедуры проверки решений (если я правильно понял, баллы зависели не от бинарного система сломана/устояла, а от методов, хода нападения и т. д.). Член одной из команд тогда сказал: «В результате у меня осталось такое впечатление – мы классно посидели-похакали, но что именно и сколько не понятно, «непонятно» – это самое частое, что я говорил всю игру». Если сами команды слабо понимают, что происходит на данный момент в игре, я не думаю, что зрителям это будет «виднее». Соглашусь, организаторы могли учесть этот недостаток и с 2016 года всё могло поменяться. Но большинство мне известных «сильных» CTF-команд в этом году участвовать отказались. Поэтому простите, «борьба» за моё внимание на этом форуме была приличная, и я пошёл дальше.

Выставка достижений ИБ-индустрии
Под выставкой достижений ИБ-индустрии понимается множество мини-локаций, расположенных в холле. В каждой мини-локации идёт презентация деятельности одного из представителей «мирового ИБ-сообщества» (другими словами, партнёра PHDays): Advantech, Axoft, IBM, ICL, Infotecs, Kaspersky Lab, Microsoft, Rostelecom, R-Vision, Solar Security, Wallarm, Web Control и другие.
Каждая презентация состояла из рассказа специалиста, печатной и маркетинговой продукции.
Лукавить не буду, я не проникся интересом к большинству из представителей «мирового ИБ-сообщества». Единственное «прихватил» Отчёт о текущей исследовательской деятельности Positive Technologis (пока не читал).


Конкурсы от организаторов и партнёров

Для развлечения публики, уставшей от докладов и семинаров (ни в коем случае не подумайте, что они были не интересными! Устать можно и от переизбытка интересной информации), организаторы приберегли с десяток конкурсов на площадке и пару конкурсов онлайн.
По причине моего крайнего интереса к докладам, я не успел вникнуть в конкурсы в достаточной мере. Могу сказать лишь, что выгладили технические средства весьма заманчиво и участники форума проявляли к ним интерес.
Достаточно эффектно выглядел стенд для конкурса «Automotive Village: CarPWN» – взлом системы защиты автомобиля.

Понаблюдать мне удалось за финалом конкурса «HackBattle». На отборочном этапе этого конкурса участникам нужно было выполнить несколько заданий (это происходило в первый день). На следующий день двое лучших хакеров сели за компьютеры, установленные на главной сцене друг напротив друга, чтобы сразиться в финальном поединке – взлом Web-сайта. Задание для участников было неожиданностью, поэтому в этом конкурсе была важна крепость нервов, скорость и умение искать решение новой задачи в режиме реального времени (ещё и на глазах у сотни человек, которые наблюдали за экранами проецируемыми на большой экран).
В сопровождении комментариев профессионалов конкурс стал самым популярным для зрителей.
Победу в баттле одержал Влад Росков (SpbCTF). Один из зрителей хорошо заметил: «Да я Ctr-C+Ctr-V дольше нажимаю, чем он вводит команды консоли...» Профессиональный уровень обоих участников вызывает глубокое уважение и стремление расти, развиваться, чтобы достигнуть хоть 10% «скила».

Доклады и семинары

Послушать доклады ведущих ИБ-специалистов было моей основной целью на этом форуме, поэтому в этой части мой рассказ будет красочнее и полнее. Как я уже говорил, количество докладов и принцип их проведения делали физически невозможным присутствие на всех и даже многих. Расскажу свои впечатления о лучших докладах, на мой взгляд (из тех, которые я слышал).

«Хакеры хотят ваш банк больше, чем ваших клиентов»

Дмитрий Волков (GroupIB) крайне любопытно рассказал об атаках на финансовую сферу: на банкоматы, платежные шлюзы, системы межбанковских переводов и так далее. Отметил изменение вектора атаки хакеров с клиентов банковской сферы на сами финансовые организации.


С его слов становились простыми и понятными ходы весьма продуманных бандитских организаций: на каком этапе деньги незаметно украсть, сколько денег украсть, чтобы получилось действительно «незаметно», где, как и кому обналичивать их потом.
Дмитрий рассказал грустно-весёлую историю про квалифицированного замученного работой специалиста по ИБ. Привожу рассказ с точностью до ключевых фактов.
Бывают совсем глупые до боли случаи. Например, штатный администратор не всегда может оценить вредоносность файла, но это и не его работа. Вот, антиспам «поймал» некоторый файл (троян, как оказалось в дальнейшем), администратор отправляет его безопаснику для более глубокого анализа. Безопасник сидит «по уши в работе», ему приходит письмо от администратора. «Адрес-то проверенный– видит безопасник и открывает приложение, не читая текста письма.
Вот так перегруженность работой сводит на нет и образование, и опыт.

«Анти-APT своими руками»

Доклад Данила БородавкинаИнформационные спутниковые системы») про средства борьбы с целевыми атаками слишком нахваливать мне зазорно, так как Данил является моим коллегой. Но промолчать тоже сложно.
Во-первых, возникает чувство большой гордости, когда среди докладчиков из-за рубежа и центральной России, среди профильных компаний, занимающихся ИБ, возникает докладчик из компании «Информационные спутниковые системы» (для большинства участников это где-то в глухой Сибири) и рассказывает участникам форума об опыте выявления целевых атак средствами «опенсорса, костылей и порядка».
Во-вторых, мне было приятно смотреть и слушать про мои любимые *nix-системы, которые можно успешно применять для реальной защиты информации. В силу немного другой области ИБ, которой я занимаюсь на работе, все Linux, Unix и прочие на -nix живут у меня исключительно в домашних компьютерах. У каждого настоящего юниксоида есть собственные большие или маленькие программные поделки, но далеко не все из них могут быть использованы для решения серьёзной коммерческой задачи – повод для уважения Данила и его команды!


Взлом учетных записей в WhatsApp и Telegram

Доклад Романа Заикина (Check Point), содержание которого очевидно из названия, по мнению очень многих не стоил того, чтобы его пропустить. Мало того, что не хватило сидячих мест, мест на ступеньках, мест стоя в проходах, так мы в принципе не смогли зайти в зал!
Участников форума спасло то, что организаторы предусмотрели такую ситуацию и вели прямую трансляцию на большие экраны в холе, где можно сидя на диване или на кресле-мешке (если вам повезло), или просто стоя со стаканчиком кофе послушать столь интересующий публику доклад.
Надо отметить, что доклад был на английском языке. Посетители, попавшие на доклад, могли воспользоваться «мобильными переводчиками» (не уверен в правильности термина), которые всем желающим выдавали на входе в зал. Трансляция в холле уже велась с синхронным переводом. Не уверен, что это лучшая идея, так как доклад технический и воспринимался на языке оригинала весьма не сложно. Однако, с точки зрения продуманности «очко» организаторам.

«Как разработать DBFW с нуля»

Денис Колегов и Арсений Реутов (Positive Technologies) рассказали о технических аспектах разработки с нуля прототипа межсетевого экрана уровня СУБД Database Firewall. Интересный, можно сказать «фундаментальный» доклад (в сравнении с крайне прикладными теми других выступлений).
Учитывая тот факт, что web application firewall (WAF) от PT «засветился» в квадрате Гартнера и родственную близость WAF и DBFW, слушать господ разработчиков было в двойне интересно.

«Анализ атак на исчерпание энергоресурсов на примере устройств беспроводных сетей»
Владислав Александров (Positive Technologies, студент Университета ИТМО) рассказал о своих исследованиях совместно с Василием Десницким (СПИИРАН) по исследованию атак, направленных на исчерпание энергоресурсов устройств, работающих от автономных источников питания. Были продемонстрированы различные подвиды подобных атак, приведены результаты моделирования для отдельных платформ.
Цель атаки очевидна, но задумывались ли вы когда-нибудь, что злоумышленники могут искусственно «разрядить» ваш телефон в своих преступных целях?

«Хакеро-машинный интерфейс»

Одно представление Брайана Горенка и Фрица Сэндса утверждает человека в необходимости посетить их доклад. Брайан является руководителем департамента исследования уязвимостей компании Trend Micro, руководит Zero Day Initiative (ZDI), самой масштабной независимой программой поиска ошибок в программном обеспечении. Фриц сейчас работает исследователем проблем безопасности в ZDI, до 2014 года работал в компании Microsoft, где в его задачи входила проверка кода Windows и разработка инструментов динамического анализа.



В этом докладе была представлена популярная тема атак на АСУ ТП и КСИИ, подвергая удару SCADA-системы. Была представлена статистика по видам уязвимостей таких знаменитых производителей, как Schneider Electric, Siemens, General Electric и Advantech. Авторы доклада представили тенденции развития атак на SCADA и своё мнение о будущем этой области.
Я мало знаком с проблемой защиты SCADA-систем, но о потраченном времени я точно не жалею.

«Ты, а не тебя. Армии умных ботов в руках хакера»

По предварительному опроснику на сайте PHDays, этот доклад должен был стать самым популярным на форуме. Действительно, пришедшие послушать Андрея Масаловича (гендир «Лавина Пульс», кандидат физ.-мат. наук, подполковник ФАПСИ в отставке), участники форума сидели даже на ступеньках зала. Между прочим вполне удобно, мне показалось.
Автор развивал тему противодействия в сети не отдельных людей, а ботнет сетей, управляемых злоумышленниками, спецслужбами и прочими заинтересованными людьми. Интересы людей, использующих это оружие может варьироваться от массового взлома паролей до влияния на ход выборов президента.
К сожалению, опаздывая на самолёт, я не смог дослушать доклад до конца. Поэтому очень жду видео, которые, я надуюсь, будут выложены на сайте форума, как это было сделано с выступлениями 2015 и 16 годов.

Прочее

Доклады, которые мне не понравились, перечислять не буду, дабы никого не обидеть. Докладчики занимали должности в видных компаниях ИБ, предлагали интересные идеи, расставляли интересные акценты на современной ситуации в мире ИБ, по большому счёту, я уверен, что мне стоило бы поучиться очень многому у них. Но злую роль играл принцип «что-то хорошо умеешь – умей и не хуже рассказать об этом». При достаточно сложной информации, которую ты рассказываешь, плохо поставленная речь сводит на нет большую часть рассказа: пока слушатель стремится не упустить нить рассуждений и перевести винегрет из перемешанных русских и английских слов, приправленных жаргонизмами, ты уже успел подойти к заключительным словам доклада.


Заключение

Жаль, что в студенчестве не выдалось шанса добраться сюда. Так как мотивационную составляющую нахождения в «гуще» умных, успешных, квалифицированных специалистов можно смело сравнить по ценности с информацией, полученной на докладах и семинарах.



Ещё хотел рассказать об одном моменте. Понятное дело, что хакерское мероприятие не могло обойтись без выше_рекомендованного_минздравом количества кофе, который был, действительно, хорош и помогал держать мозги в тонусе. Кроме кофе был свежевыжатый «SOC».


В целом мне приятно было находиться в этой «точке сгущения» лучших специалистов области ИБ, теперь есть целый год на «переваривание» информации и плодотворную работу.

Павел Шипулин - крайний справа (примечание К. Шудровой)

https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов, а также новости мира ИБ.