Страницы

Про PHDays


На прошлой неделе в Москве состоялась конференция PHDays IV. Программа здесь.
Записи докладов можно посмотреть тут. Несмотря на заметное падение в качестве организации, PHDays по-прежнему остается крупнейшим мероприятием по ИБ в стране.



В этом году конференция опять проходила в центре DigitalOctober. Снова были толпы, и на несколько интересных докладов в малых залах я просто физически не смог попасть.

Иногда я таки попадал в малый зал, и тогда появлялась возможность сфотографировать набившихся в проходе неудачников :)
Организацию мероприятия очень точно описал один из американских спикеров: "Русские хакеры настолько суровы, что устраивают конференции без обеда". Обеда действительно совсем не было. Даже время на обед в сетке докладов было не предусмотрено. Тесный DigitalOctober - это шаг назад по сравнению с прошлым годом. Надеюсь, организаторы для себя это отметили.

Крутых иностранных спикеров в этом году не было. Ключевых докладов не было. Было много "секции" - что-то вроде модерируемового круглого стола. Но, к примеру, секция про международную ИБ выглядела так:
Сидел меланхоличный представитель МИДа и с бумажки читал про "усилия Российской Федерации в области обеспечения международной информационной безопасности и демилитаризации киберпространства".

Из тех докладов, на которые я смог протолкнуться, отмечу эти:

Ашманов. Большие данные в соц.сетях. 


Игорь Ашманов рассказал про свой проект - Крибрум. Эта система анализирует фид твиттера, фейсбука, ЖЖ и других соцсетей с целью выявления трендов и защиты бренда.
Имея доступ к миллионам открытых сообщений и к метаинформации, Ашманов сделал свое АНБ.
 
  
Рейтинг СМИ от Ашманова (на основе анализа просмотров, лайков, репостов, комментариев и так далее):
  
После чего Ашманов опробовал свое АНБ на Навальном (на ком же ещё?).
 
 
Имея поток сообщений соц.сетей, анализируя то, что пользователь читает, лайкает и комментирует, легко профилировать людей, "сортировать" их в соответствии с их политическими предпочтениями, вычислять кто и как делает информационные вбросы, какая информация в тренде или пытается туда попасть.
Подобно тому, как системы обнаружения атак со временем обзавелись активными функциями и стали системами предотвращения вторжений, системы анализа соцсетей со временем эволюционируют в системы манипулирования общественным мнением. Так что следующий доклад Ашманова будет ещё интересней (если останется публичным :)).

Сим-карты и телекомы

Сергей Пузанков и Дмитрий Курбатов выступили с хорошим докладом про то, как устроены сети связи. Все подробно, наглядно и с описанием возможных атак (см.трансляцию). Но в их докладе очень не хватало реальной демонстрации (NDA?). 
Это вообще беда многих отечественных докладчиков. Если американцы смело рассказывают и показывают работающие сценарии атак, то наши обычно вырезают всё самое интересное. Кого боятся? ФСБ?
По-настоящему страшно было слушать немца Карстена Ноль. Современная симкарта - это, фактически, микрокомпьютер с собственным процессором, памятью и возможностью исполнять JAVA апплеты. Оператор может загружать на карту свои апплеты (в том числе удаленно), которые могут устраивать MITM атаки на телефон пользователя, получать доступ к сообщениям и звонкам. Несмотря на то, что в сетях сотовой связи можно настроить стойкое шифрование, многие операторы работают по принципу "работает и не трогай", из-за чего старые настройки переносятся на новое оборудование и новые режимы шифрования просто не используются. 
Например, в целях экономии дорогих 3G/LTE мощностей, при звонке телефон переключается на старую 2G соту, которая использует вскрываемый на лету шифр A5/1. 
После скандала с прослушкой Меркель, Германия резко увеличила безопасность своих GSM сетей. Сегодня немецкие опсосы - самые защищённые опсосы в мире
По России сведений мало, но докладчик отдельно выделил то, что запад будет всеми силами стараться держать безопасность сотовых сетей в нашей стране на минимально возможном уровне.
Если кого заинтересовала эта тема, то Карстен часто ссылался на проект Osmocom.

Кибервойны

На второй день конференции мне запомнился доклад Уильяма Хейджстада, который напоминал мне сержанта Хартмана из цельнометаллической оболочки. Настоящий морпех в отставке рассказывал про хакеров Ирана, Китая и Северной Кореи. После того, как Обама заявил о том, что готов бомбить страну, которая попытается повторить против США то, что АНБ делает со всем миром, только ленивый не начал тренировать собственных кибердиверсантов. Китайский хакер - это не оружие нападения, а попытка догнать США в развязанной штатами киберхолодной войне. Эта трезвая идея звучит для американских слушателей, вероятно, сенсационно. А наша аудитория уже давно знает где локализован вселенский центр киберзла.
Была ещё секция про безопасность критических систем, но слушать там было нечего. Олимпиады прошли тихо, в страшилки никто не верит.

Конкурентная разведка

Андрей Масалович, в который раз уже, отжигал. Больше всего меня удивляет в нём умение каждый раз говорить об одном и том же и каждый раз по-разному. 
Я просто перечислю тут Google dork'и, которые он показывал:
  • по запросу Site:UA filetype:xls password находим файлик с украинскими паролями на apu.com.ua;
  • на сайте института стратегических исследований армии США открываем публичные документы, меняем id, получаем не очень публичные http://www.strategicstudiesinstitute.army.mil/pubs/display.cfm?pubID=1198
  • на сайте uralsibins.ru используется специфическая CMS (видно по расширению главной страницы - index.wbp). Особенность такой CMS - наличие медиакэша. Гуглим медиакэш дорком site:uralsibins.ru mediacache;
  • сайт http://ipmbran.ru дает качественную аналитику по политическим событиям. Чтобы скачать нужный отчет, можно попытаться угадать его местонахождение. Например, http://ipmbran.ru/moscow/birulevo.docx.
В конце презентации Андрей дал ссылку на свою систему анализа событий Аваланч. У них есть бесплатный фид с распродажами авиабилетов. 

Вообщем, главное Масаловичу не встречаться с Ашмановым, а то понятие "конфиденциальность" исчезнет из интернетов как класс %).

PHDays на фоне остальных конференции всегда выделялась хорошей организацией - просторными залами, хорошим wi-fi и обедом, приглашенными иконами мира ИБ. В этом году не было даже Жириновского. Так и звание лучшей конференции по ИБ в России потерять можно...

5 комментариев:

  1. Анонимный26 мая 2014 г., 19:27

    Масалович мне всегда нравился. И вообще идея о том, что закрытая информация, может быть не очень то и закрытой меня в своё время очень заинтересовала.
    Именно по этому дописываю диплом по конкурентной разведке.
    П.С. жаль руководство компании так и не отправили меня на конференцию(

    ОтветитьУдалить
  2. Анонимный26 мая 2014 г., 21:01

    Дорогой Артем!

    0. Если вас в 2014 радует "Конкурентная разведка" рассказывающая о том, о чем говорил johnyihackstuff в начале века, возможно вам стоит сменить профессию?

    1. Все купившие билет на PHDays получали прекрасные обеды и кружку пива! Откуда взялась информация, что обеда не было - непонятно. Готовы вернуть деньги, если вас обделили.

    3. "я просто физически не смог попасть" - предлагаю съездить на defcon или ccc и обратить внимание на таблички "зал переполнен".

    4. "Крутых иностранных спикеров в этом году не было." - ну поскольку крутой спикер для вас это "Конкурентная разветка", а не например взлом SmartTV, утечка ключей по побочным каналом или отлов взломов/шелкодов, то наверное так и есть.

    5. "Ключевых докладов не было." - да, действительно не было. Но зато у нас есть Крым. Давайте угадаем какая связь между этими событиями :)


    4. "Было много "секции"" - секций было 7, это менее четверти программы. На всех было написано, что они для бизнесов вроде. Не бизнес - не ходи.

    5. "Но в их докладе очень не хватало реальной демонстрации" - очень сложно, учтивая, что в России например 3 оператора. Кого из них ломать на публику :)?

    ОтветитьУдалить
    Ответы
    1. На докладе про SmartTV был. Он напоминал известную историю про хакера и солонку.

      Обед тоже был, просто времени на него не было. Пришлось оба дня прогуливать доклады.

      Удалить
    2. А Масалович, кстати, отличный оратор. Умеет в напряжении весь зал держать и это при том, что многие слушали его по многу раз.

      Удалить
  3. Всякий раз слушая Масаловича удивляюсь - зачем он вообще выступает? :) Казалось бы, своими выступлениями он должен уменьшать свою клиентскую базу, он же учит, а) как обходиться без него, и б) как прятать данные от поиска.
    Притом что те, кто могли сами для себя сформулировать задачу, задолго до того как узнали что такое "Google dork", "конкурентная разведка", "Масалович", могли создать грамотные поисковые запросы о себе либо о своем месте работы. Кавычки, минусы, наше всё :) Позднее гугл алерт появился, вообще подарок - нужная информация тебя находит сама...

    ОтветитьУдалить