Информационная безопасность в Австралии, и почему пентест там уже не торт

Настало время написать про Австралию и мою поездку на конференцию AusCERT. На этом волшебном континенте мне предстояло провести три недели, начав с города Gold Coast. Ожидания, связанные с находящимся там отличным сёрф-спотом, были самыми приятными. В итоге, мой серф так и не изведал этого места, найдя ещё более шикарные австралийские волны, после чего, прямиком оттуда я попал в Сингапур, где выступил на культовой конференции RSA.

Итак, первое, что я увидел в Австралии, это – к-е-н-г-у-р-у, нет, не мёртвое, как дельфин из прошлой истории ^[1], и это меня очень обрадовало. «Хороший знак», — подумалось мне. А дальше – провал, вызванный тяжелым перелётом, состоящим из 4-х рейсов общей протяжённостью 36 часов.

Конференция

Перед конференцией мне предстояло провести тренинг по безопасности SAP. Читать доклады уже не модно, теперь круто проводить тренинги. О нем рассказывать не буду, поскольку здесь либо все, либо ничего, а наш пост посвящен Австралии и AusCERT. Кратко: это был мощный мозговой штурм для местных пентестеров, поскольку пришлось запихнуть им дневной материал за 4 часа, но, в общем, все остались довольны. А я, утомленный джетлагом и тренингом, был совершенно свободен на конференции, что позволило мне лучше ознакомиться с местным рынком, докладчиками и вообще.
Итак, конференция: вообще, я был очень удивлён, что ивент этот проводится уже без малого 20 лет! Получается, что это чуть ли не старейшая секюрити-конференция, хотя правильнее называть ее выставка, или вендор-пати. На выставке было порядка 70 стендов, что, в общем, немного больше обычного. И снующие повсюду продавцы и маркетологи всего, что связано с инфобезопасностью. Просто постоять в очереди за кофе там не получится, не набравшись листовок или не ответив на десяток анкет и вопросов про BYOD (кстати, что это такое, кто-нибудь в курсе?) Все обеды, перерывы и прочие ништяки щедро спонсированы, а про благодетелей навязчиво жужжат громкоговорители. В общем, обычная выставка вендоров, только очень уж “продажная”. Апогеем этой вакханалии стал завершающий салют нехилого размаха. На этом фоне очень отличились ребята из HackLabs со стендом на улице, фото которого в начале статьи.
Для завершения пафосности на конференции был ещё и гольф. Перед конференцией, во время тренингов, еще проводились гольф-турнирчики. Рядом с отелем — огромная гольф-площадка. Ну пока другие спикеры дружески резались в гольф, я вел тренинг, так что это поле тоже пока не охвачено. Но ничего, я еще постучу по шарикам клюшкой, когда песок с меня начнет сыпаться на кресло Бентли.

Доклады

Итак, доклады. Несмотря на то, что конференция очень ориентирована на бизнес, организаторы постарались представить интересные технические доклады. Не прям технические-технические, как мы любим видеть на ZeroNights ^[2], а просто технические. На конференции было 4 трека, два с нормальными докладами, два — со спонсируемыми выступлениями от вендоров. Я побывал на трех докладах. Первый — спонсируемый доклад Евгения Касперского. По содержанию ничем не примечательный, про кибервойны и прочее, но сам Евгений крутой в принципе. Я давно хотел посмотреть на то, как выступает кто-нибудь из профессиональных русских докладчиков на английском, хотя, в общем-то, интересных спикеров мало. Выступил он отлично, явно давно это делает и с удовольствием, хотя от русского акцента никуда не деться. Бесспорно, достойно уважения то, что он вывел российскую компанию в четверку мировых Endpoint-решений, да и вообще первым начал продавать продукты по безопасности заграницу в подобных масштабах, что бы там ни говорили про техническую сторону вопроса и маркетинговую политику.
Второй доклад был от HD Moore, автора Metasploit. Ничего сверхъестественного, но была представлена очень качественная аналитика результатов сканирования интернета от проекта InternetCensus ^[3].
Если вы не в курсе: один исследователь, пожелавший остаться неизвестным, выложил в интернет результаты сканирования всего интернета на наличие популярных открытых портов, а также собрал баннеры и провел ряд других исследований. Проект интересен тем, что сканирование проводилось не то чтоб легально, а с помощью бот-сети, состоявшей из похаканных простейших устройств типа домашних роутеров с дефалтовыми паролями на SSH. Статистика, проанализированная HDMoore, показала ряд интересных фактов относительно того, что можно сделать с уязвимыми сервисами и насколько вообще плохи дела. Очень рекомендую обратиться к первоисточнику. Мне проект этот был интересен, поскольку мы уже третий год анализируем открытые порты в интернете, только конкретно от SAP систем. Кстати, ждите скоро новый репорт за 2013 год.
Последний доклад, что я посетил, был от Barnaby Jack. Он рассказывал про атаки на медицинские девайсы, а презентация была оформлена в виде реального комикса, — как всегда, всё на высоте. После мы практически договорились с ним о выступлении на ZeroNights, но…. Вы, наверное, уже в курсе.
От себя могу сказать, что я познакомился с ним в Барселоне на конференции Source года 3 назад. Это была вторая или третья моя международная конференция, он как раз рассказывал про банкоматы и для демонстрации организовал конференц-связь со своим офисом, где стоял банкомат, который он удалённо ломал из Барселоны. Вечером на спикер-пати он травил всякие байки из жизни, отнюдь не только хакерской. Вообще, этот человек был и навсегда останется для меня иконой среди рисерчеров: он всегда искал новые неисследованные раннее и очень крутые темы, а, главное, умел их представить так, что его понимал самый далёкий от техники человек, но, в тоже время, получал респекты от технарей. Балансировать на этой грани – истинное искусство. Покойся с миром, друг.

Дела-Отдых-Дела-Отдых

…После конференции я отправился в небольшой трип, совмещая отдых и работу. Первой остановкой был Байрон-Бей — шикарное место для сёрфинга, наполненное хиппи и всякими кафешками с Organic-едой и прочими прелестями, и даже деские площадки намекают на то, чем заняться по жизни.

Не Portland, конечно, но что-то есть. Мы были там с знакомым журналистом и HD Moore. Кстати, в местном баре, куда мы зашли полушать музыки, также засветился Евгений Касперский, буквально за час до моего прихода…

Итак, коли пост об информационной безопасности, то расскажу, как дела обстоят с этим в Австралии. В общем, если кратко, там очень популярны пентесты и пентестинг компаний, пентестеров хоть отбавляй, работы гора, конкуренция огромная. Работа само по себе не шибко интеллектуальная, потому что все поставлено на поток, масса коротких проектов а-ля комплаенс. Почему так? Ну, отчасти, из-за законов.

…… вообще, в Австралии много странных законов, позволю себе отвлечься ещё на чуток. Например, про курение. Не страшно, что пачка табака стоит 30 баксов, но ее ещё не так-то просто купить: в магазинах сигареты и табак открыто выставлять запрещено, есть только названия и цены на отдельном листике. Бренды почти все местные, а что из них сигареты и что табак — неясно, на вопросы ответить не могут, никаких рекомендаций не дают, короче – не способствуют, так как запрещено законом. Покупка табака поэтому — лотерея. Ещё нелепые законы в барах Байрон-бея, где нельзя в барах заказывать шоты, двойные коктейли, два коктейля на одного, и еще что-то, крайне ограничивающее скорость прихода. Видимо, эта мера продиктована заботой о хиппи и других гражданах, несдержанных в потреблении алкоголя.

Итак, законы. Есть у них госучреждения, называемые council, что-то типа районных управлений. И вот, всех этих “управдомов” обязали делать пентест. А надо отдельно сказать, что управдомы там — все, они и мусор вывозят, и деревья пилят, простым смертным это делать запрещено. На любые работы граждане пишут заявки “управдому”, который любую бумажку за денежку уберет с тротуара. И всех этих “мусорщиков”, которых на всю страну тысячи, надо пентестить, причем не раз в году, а все четыре. Конечно, попадаются среди них конкретно непонимающие ничего и хотящие только бумажку, как некоторые наши компании, измученные обязательным соответствием PCIDSS, например. И весь этот большой и не особо грамотный в технических вопросах рынок окучивает большое число посредственных исполнителей, хотя безусловно есть и отличные команды.
Пентест тут оценивается по человеко-дням, и у пентестерских компаний есть определённые рейты на человекодень пентестера, обычного и продвинутого. Зачастую, поскольку компании сильно тратиться не хотят на неведомую услугу, все происходит за 2-3 человекодня. «А если не успеют ничего найти?» — поинтересовался я. На это мне резонно заметили, что, мол, задача не разломать все вдребезги, как в России, копая, если надо, впятером месяц, а просто проверить, так сказать, наличие определённого уровня защищённости, равняющегося трём человеко-дням пентестера.

Вдобавок к этому «великолепию» на рынок стремительно выходят индийские компании с дневным рейтом чуть ли ни в 10 раз ниже. Естественно, некоторые клиенты выбирают их, о чем потом крайне жалеют: хитрые индусы не предупреждают заранее, что проект, скорее всего, затянется, а также о том, что их цена учитывает только работу пентестера, которому для работы обязательно нужны разные программы за дополнительные деньги. И несчастные клиенты покупа.т лицензии на метасплоит или нессус и т.д. В итоге, такая «экономия» обходится заказчикам очень дорого. Безусловно, стандарты и большой рынок – это, конечно, лучше, чем отсутствие рынка вообще, но и пентест в этом случае уже не Торт.

Потом я немножко пообщался с партнерами, продал немножко ERPScan, и полетел в Сингапур — выступать на конференции RSA APAC.

Это, наверное, первая конфа, где среди спикеров не встретил я ни одного знакомого, все сплошь большие боссы крупных компаний несут баяны с умными личиками. И хотя мой доклад был самым нетехническим из всех моих докладов, он оказался самым технически-хардкорным на RSA. Ну а так, конечно, RSA – это статус, абы кого там выступать не берут, среди спикеров – только профессионалы, поэтому гостям, безусловно, полезно послушать аналитику и выжимку о том, что произошло за год. А технарям там делать нечего, это факт. Доклад если что, доступен для просмотра.

ЗЫ

Напоследок я еще заглянул в Тасманию. Местные при упоминании о ней делают страшные глаза и рассказывают про двухголовых аборигенов и нереальный холод, ну примерно, как у нас говорят о «замкадье». Там я искал тасманского дьявола ^[4], а нашёл традиционно труп непонятного зверя (и я не имею ни малейшего понятия кто это, но это точно не ТАЗ). Чтобы не травмировать публику, на этот раз фото — по ссылке ^[5]. Еще были кенгуру ^[6], коала ^[7], валаби и другая местная живность.

Тут, кстати, объявили конкурс ^[8] за лучшие достижения в ИБ в России и прочие прелести, среди компаний и простых граждан. Бумажники уже наверняка проголосовали, а Технари, скорее всего, не в курсе даже, так что будет справедливо, если я просто оставлю ссылку здесь, а вы уже решите, кто чего достоин.
Всё, последний пост с некачественными фотками, ждите новый опять из ЮАР или из Америки. Пока не решил, что интереснее.

Автор: AlexandrPolyakov

Источник ^[9]