О важности информационной безопасности — отчет о конференции HackIT 2016

На фото троянские лошадки вживую (да, они голые и их можно было «потроянить»)

HackIT — это не просто призыв к действию (hack it), а ежегодное мероприятие, посвященное всем вопросам информационной безопасности, которое проводится в Харькове уже второй раз.

Каждый в этой стране должен научиться программировать, потому что это научит думать

— Steve Jobs

Если развивать мысль создателя Apple, то хакинг научит не просто думать, а мыслить на порядок выше большинства программистов.

Так сложилось, что Харьков — это историческое обиталище хакеров, а Украина, по мнению зарубежных журналистов, вообще — cybercrime heaven.

Даже читатель savex ^[1], который занимался локализацией NeverHood в лохматых 2000-ых, знал это.

Наша задача, как организаторов, это развитие индустрии ИБ в Украине и повышение осведомленности людей о методах и последствиях информационных войн.

А самое главное — передать опыт и понимание в сжатые сроки — 8 часов. Поэтому постарались преподнести аспекты такой сложной и технической темы как информационная безопасность, простым и понятным языком, дополнив нашу речь показательными шоу и визуальными эффектами, чтобы донести понимание актуальности и близости опасностей в сегодняшней ситуации в мире.

Поэтому этот пост не просто фото-отчет, а небольшая экскурсия.

В зале на 500+ человек первыми, кто взял микрофон, это группа «Гражданин Топинамбур» с песней «Войти в Айти», которая была выбрана не случайно.

Пока ребята допевали куплеты:

Нам сказали в передаче:
“Проживете, мол, на сдачу”,
Вот такой вот поворот,
Обнищал вокруг народ.
А я хочу наоборот,
Чтобы лето круглый год,
Чтобы белый пароход,
И писать свой джавакод.

в зал вошла группа людей в камуфляже и автоматами, как это иногда случается с IT-компаниями в Украине и стала заниматься задержанием лиц, выступающих в роли спикеров.

Мне даже позвонило пару друзей с вопросом «У вас там все в порядке?». Это получило небольшой резонанс в местном медиа, собственно как и каждый обыск, проходивший в 2016 и 2015-ом годах. Но на самом деле это были ребята с местного пейтнболл-клуба, поэтому они не представляли никакой опасности. А вот правоохранительным органам мы хотим лишь донести одну простую мысль:

не нужно «убивать» IT-бизнес, в который все стремятся «войти», там работают головой, а не руками.

Тогда, возможно, будет диалог между представителями власти и бизнеса, как и отображено на фотографии, в виде жеста открытости — рукопожатия.

И это не пафосные слова, в этом направлении нам удалось приблизиться к кое-каким результатам, об этом свидетельствуют люди в форме, которых можно увидеть в фото-отчете, а также утвердительный ответ на пригласительное письмо от Киберполиции Украины ^[2].

Ведь в соседних странах сотрудничество частных компаний с государственными — это норма, живым доказательством послужил Ник Белогорский, один из хедлайнеров конференции, который сотрудничает с правительством США ^[3] и является создателем антивируса нового поколения.

Особо параноидальным личностям, мы с сарказмом говорили: товарищ майор тоже будет присутствовать…

Сама конференция состояла из 3-ех потоков лекций и практических докладов (workshop)

Из зарубежных приглашенных спикеров были:

Andrew Auernheimer — хакер из США, который отсидел в тюрьме 12 месяцев за взлом AT&T и Amazon с докладом Hacktivism — за славу и деньги.
Alfonso De Gregorio — эксперт Евросоюза по информационной безопасности, раскрывший этическую дилемму продажи уязвимостей нулевого дня.
Andrei Avadanei — основатель Defcamp, Румыния, с интересными методами, которые позволяют не только обезопасить систему, а еще и деанонимизировать злоумышленника по принципу honeypot.

Кроме области IT, был представитель профессии, которую в странах постсоветского пространства слышно только в анекдотах и насмешках, а именно физик-ядерщик Andrew Dodson, с оригинальной темой: «Умные сети — глупая идея».

С другими, не менее интересными личностями, вы можете заочно познакомиться на сайте HackIT, посмотреть их презентации и видео выступлений.

Темы украинских докладчиков были злободневные и практические. Директор кибер-лаборатории раскрыл каждый шаг, сделанный хакерами при взломе Закарпатской энергостанции, инженер из CERT-UA рассказал о секрете изготовления флешки из сериала mrRobot, которая способна «воспламенить» ваш компьютер. В соседнем зале все пытались разглядеть, где же спрятана миниатюрная камера и воочию узрели как и куда «просверливаются» спецслужбы со своими индукционными микрофонами размером с блоху.

Были представлены также увлекательнейшие исследования теневого рынка adware на Google Play Market, векторы угона автомобилей и анализ рынка web-shell'ов методом бекдора в бекдоре.

Озвученные темы затрагивали самые разные и не пересекающиеся между собой области безопасности, от сетей, железа и веб-сайтов до энергостанций, машин и геополитики.

Форум проходил не только познавательно, но и развлекательно. Вне залов, где делились знаниями, присутствовали увеселительные зоны, где каждый мог вспомнить молодость или познать историю, сыграть на приставках Dandy и SEGA.

Мы специально для развлечения привезли мадагарскарских тараканов, размером с большой палец, которые грозно шипели на тех, кто их хотел погладить, но были приручены багхантерами, исследователями уязвимостей, которые умеют находить баги в компьютерных системах и с удовольствием предавшихся азарту(без ставок) соревнования тараканов на скорость. Чем крупнее был «баг», тем он был медленней.

В общем, кто не смог поприсутствовать, могут это сделать виртуально. Включите видео, откиньтесь на спинку стула и крутите мышкой в ту сторону, которую хотите посмотреть.

00:00 Offline CTF
26:50 Открытие мероприятия
40:45 Andrew Auernheimer
1:02:00 Alfonso De Gregorio
1:23:00 Алексей Ясинский

Помимо форума и замечательных спикеров, мы отобрали 10-ку лучших команд хакеров и исследователей из зарегистрированных 1062 команд на отборочном туре, в каждой из которых было от 2-ух до 5-ти человек.

Финальный scoreboard

Всего участвовало более 5000 участников из 93-ех стран мира. Топ стран:

• США, 886 участников
• Украина, 695 участников
• Россия, 682 участников

За все время соревнования только 458 команд смогли решить хоть 1 задачу. Всеми командами было успешно сдано 8096 ФЛАГОВ и 35 000 ошибочных попыток сдачи.

О том, как мы поднимали сервер (64Gb RAM) палками и костылями на протяжении первой ночи, как проводили оптимизацию узких мест платформы для проведения CTF и другие подробности, имеет смысл описать отдельным постом. И конечно же будет немного об offline части CTF.

И к концу форума мы всех наградили ценными подарками и, чтобы ребята не использовали свои навыки во вред, мы их «обелили», как именно, узнаете в следующей статье.

P.S. не обошлось и без серии after-party, after-after-party, и т.д., но это уже другая история...

Автор: rewiaca

Источник ^[4]