Год назад я ещё писал статейки для одного компьютерного журнала в свободное время, и однажды даже собирался написать репортаж про то, как задорно я сходил на конференцию по ИБ. Так как свободного времени выдалось тогда не особенно много, статью я вовремя так не дописал, а уже в Январе 2013-ого наш журнал перестал выходить на бумаге и отчёт так и остался пылиться в недрах жёсткого диска.
Сейчас вот, глядя как лихо ребята пиарят своё мероприятие я решил расчехлить годовалый отчёт, дабы поделиться впечатлениями с теми, кто планирует сходить на конференцию в этом году, а заодно высказать организаторам своё «фи» за невыполнение обещаний в прошлом году. Статья не является детальным обзором докладов, которые проходили в том году, потому что никаких материалов я сейчас не имею (дальше будет сказано почему), а память моя, увы, не столь совершенна… Получить представление о том, чего ождать в этом году, из отчёта вполне можно.
Итак, начну своё неспешное повествование. Кому лень читать всю «тягомотину» – вся суть максимально кратко изложена в последней главе (а ещё под катом есть несколько фоток).
Девятнадцатого ноября 2012 года я побросал все свои важнейшие дела и ломанулся что есть силы на приобретение незаменимых в повседневной жизни знаний о взолме чего угодно на конференцию по IT-безопасности ZeroNights 2012, организуемую Digital Security и CareerLab, при поддержке целой толпы спонсоров, среди которых засветились такие гиганты индустрии как Intel, Яндекс и даже Nokia. Судя по архиву, конференция каждый год проводится в разных местах, в тот раз местом проведения было выбрано «Инфопространство» на Кропоткинской. Анонсировано было крайне много всего интересного, надо отдать должное Digital Security, с этим у них всё нормально.
Первое впечатление по прибытию на место: «Ого, столько гиков, да в одном месте!».
Кругом тусовка, движуха и всяческое веселье, а чего делать пришедшему в одиночестве, собственно, непонятно. Да ещё и гардероб уже переполнен, приходится шмотки с собой таскать… Ну да ладно, так как я немного опоздал, выбираю самый интересный доклад из уже идущих. Это, кстати, первый крупный косяк: мероприятие занимает два дня, поэтому сетка докладов очень плотная. Понятно, что разместить всё так, чтобы сходить можно было абсолютно на всё интересующее – нереально в принципе. Но почему бы не продлить конференцию на день? Можно возразить про аренду помещений, но ведь есть спонсоры, и мероприятие, так-то, далеко не бесплатное – там даже для студентов цена была что-то около полутора тысяч, что не мало…. В конце концов, почему бы не сделать запись видео на каждом воркшопе или докладе, неужели это сейчас такая проблема?
Из плюсов можно отметить приятное оформление главного холла конференции и возможность в любое время посидеть в мягком кресле и попить чайку.
Можно было относительно легко зарубиться с первым встречным-поперечным на большущем экране в какую-нибудь олдскульную игру на приставке, вроде Mortal Kombat’a или чего-нибудь в этом духе. Относительно легко, потому что желающие поиграть, разумеется, были всегда – гики жеж, чего вы хотите (смайл). Кроме прочего, в холле тут и там разложили свои стенды уже привычные для IT-мероприятий компании, например ребята с 3D-принтером MakerBot (всё время забываю как же они называются, но сам принтер и их инсталяцю уже запомнил прекрасно), журнал Хакер и, разумеется, спонсоры Яндекс и Intel. Ещё были ребята с фейковой базовой станцией GSM, демонстрирующие всем, что могут в онлайн-режиме собрать всю инфу о телефонах всех присутствующих и рассказывающие ещё что-то непонятное (не много у нас знатоков внутренней кухни подобных сетей всё-таки), но однозначно жутко крутое.
Был даже предусмотрен обед, но лишь для тех, кто оплатил эту высшую привелегию заранее, что тоже непонятно – я вот пропустил в описании пункт про отдельную оплату обеда, но у меня с собой были деньги, почему бы не сделать возможность что-то купить на месте?
Программа мероприятия была поделена на четыре параллельных «блока» – в двух больших залах можно было послушать доклады от различных специалистов по безопасности иили пентестеров (что немаловажно, помимо наших ребят было также несколько заграничных гостей), в двух залах поменьше проводились воркшопы, где можно было сразу попробовать применить полученные знания и поспрашивать непонятные моменты у докладчика. Ажиотаж был велик, на все воркшопы люди чуть ли не ломились, а чтобы занять нормальное место нужно было прийти минут на 15 пораньше. Место, конечно, всегда можно было найти, только вот самые удобные, разумеется, были заняты. Виновата в этом слишком высокая востребованность тем занятий (смайл).
Как можно догадаться, на некоторых воркшопах авторы предоставляли свои материалы для обучения, в число которых входили как различные программы, так и образы операционнок, а раздавать всё это планировалось посредством проводной сети, либо флешек. Очередным камнем в огород организаторов станет претензия к качеству обеспечения участников сетью. Суть проблемы в следующем – организовать быстрое подключение сразу 30-40 человек к проводной сети это не такая уж тривиальная задача, как может показаться на первый взгляд, ведь кабели под ногами мало кому удобны, а беспроводную сеть использовать бессмысленно из-за низкой пропускной способности. Тем не менее, выход найти можно, но организаторы в итоге и эту проблему никак толком не решили, поэтому на воркшопе посвящённому XML-уязвимостям, например, скачать нужный образ за время занятия смогли только человек пять от силы и то, лишь под конец, так что воркшоп стал фактически докладом. Несколько недель после конференции ещё сохранялась надежда, что образ из занятия выложат в сеть после, даже где-то видел обещание это сделать от организатора. Тем не менее, ни образа, ни программ, ни видео мы так и не дождались – дело кончилось бесполезными, в общем-то, слайдами с докладов и воркшопов, а это как вы понимаете даже не краткое содержание всей информации, а вообще нечто вроде оглавления.
Про доклады.
Но не будем о грустном, всё же информация, полученная на конференции с лихвой компенсирует любой недостаток удобства её получения, ну или почти любой. Интересных тем заявлено было масса, причём охватывали они не только уязвимости в программных продуктах, но и разнообразные дыры в физических системах, технологиях и девайсах. В частности, одним из самых интригующих лично для меня был воркшоп, посвящённый технологии RFID-меток, на котором Кирилл Саламатин и Андрей Цуманов рассказывали о том, как эта технология в принципе работает, как злоумышленник может эксплуатировать её уязвимости, и, конечно, о том как от этого защититься.
Защита от несанкционированного копирования метки, кстати, в самом простом случае тривиальна и заключается в использовании обклееной фольгированным скотчем карточки, которую предлагается хранить исключительно рядом со своими метками, ну то есть банально экранированием (смайл). Это, правда, не касается «умных» меток, используемых в автомобильных сигнализациях, которые могут давать автоматичеси генерируемый ответ на определённый сигнал, поэтому простого их копирования можно не бояться. Однако, как нас заверили докладчики, нет ничего невозможного, так что при пользовании данными устройствами в любом случае стоит соблюдать осторожность и вообще оглядываться, дабы коварные злодеи с большими антеннами не подкрадывались к вам сзади в сам момент открытия машины. Кстати, я уже где-то читал что даже «умные» системы, в которых ни один код не используется дважды, сейчас научились обманывать. Реализовано всё достаточно просто – хитрое устройство в момент передачи кода замусоривает эфир так, что приёмник сигнал не получает, а само устройство при этом сохраняет первый код. Внешне это выглядит как несработавшая установка на охрану. При этом владелец, очевидно, нажимает на кнопку снова, сигнализация успешно встаёт на охрану, но с небольшим запазданием – хитрое устройство опять забивает эфир, сохраняет новый код, а первым кодом закрывает машину. Таким образом, в памяти устройства остаётся рабочий код, с помощью которого машина успешно открывается.
Аж три часа было посвящено воркшопу про распределённые DoS атаки (DDoS), о том как и почему они в принципе могут быть произведены. При желании можно было послушать даже про то, как писать устойчивые к DoS приложения, основанные на протоколе TCP, но я на первую часть тоже почему-то опоздал и, вместо того чтобы слушать урывки, пошёл просвящаться на тему RFID.
Следующим запомнившимся воркшопом было занятие с освещением всех особенностей атак на XML, проводил его Алексей Тюрин (весьма своеобразный тип, мне он всё время чем-то неуловимо напоминал Бублика из журнала Хакер). Там первые минут 20 мы слушали вступление, а потом, как я уже писал, пытались заполучить в своё распоряжение образ линукса (там был BackTrack, кажется или что-то в этом духе) для VMware. Самое непонятное, что нужного образа почему-то не было даже у ведущего (ну или не завелось у него там чего-то, не помню уже), так что машину для демонстрации всяких своих приколов он получил только тогда, когда образ докачался, наконец-таки, с сервера конференции на ноут одного из участников…
Тут необходимо отметить вот какой момент… Если вы собираетесь пойти на конференцию и узнать как с нуля стать «ололо-хакиром-блэкхатом» или чего-то подобное, то вас ждёт весьма суровый облом. Ибо часть материалов, освещаемых на конференции, являет собой таки достаточно глубокие технические сведения, которые требуют для их понимания, опять же, достаточно глубоких и узкоспециализированных знаний, вроде досконального понимания работы процессора или знания принципов работы сетей на всех уровнях семиуровневой модели, ну и т.п. Оно и понятно, ведь современная ИБ она такая, не для всяких там Бабушкиных и Поповых. Впрочем и доступные для понимания доклады тоже присутствовали, так что минусом это, ни в коем случае не является, скорее говорит об уровне мероприятия.
Несмотря на скоротечность, запомнился короткий доклад (FastTrack) Олега Купреева, в котором он рассказал, как, вообще-то, просто заразить какой-нибудь пакостью привычную всем ныне железку — 3G-модем, и в целом осветил идею организации некислого вирус-ботнета на подобных устройствах. Так что, если где-то увидите сообщения о таких сетях, знайте – создатель оного явно присутствовал на ZeroNights 2012, хе-хе.
Про 3G-модемы, кстати, был ещё один небольшой доклад – какой-то чел (увы, я не запомнил имени) рассказал, как их можно относительно беспроблемно отвязать от оператора и наглядно показал уже разлоченный девайс от МТС, который на глазах заинтригованной публики совершенно свободно завёлся с симкой Билайна. В конце своего выступления он, между прочим, обещал, что де вот-вот ещё пару месяцев и он доведёт до ума софт и сей процесс будет почти полностью автоматизирован, а на всеми любимом Хабре появится обширная статья от него на эту тему. Я вроде как каждый день читаю Хабр, но что-то такой статьи пока не видел, если ты чувак, вдруг сейчас читаешь эти строки, знай – твой софт до сих пор интересен, давай пили уже статью!
Думаю, нету особого смысла рассказывать во всех подробностях о всех докладах, да и не смогу я спустя год всё вспомнить. Надеюсь из вышеизложенного понятно, что было действительно очень интересно. Полный список всех материалов предыдущего года можно посмотреть тут: 2012.zeronights.ru/includes/program.pdf
Завершающим этапом на конференции стало традиционное 0day-шоу. В одном из эпизодов на сцену вышел какой-то мэн, нацепил шлем Дарта Вейдера и принялся что-то быстро делать посредством дебаггера и Process Explorer'а. Несмотря на всю необъятность экрана, происходящее было достаточно сложно разобрать даже с первых рядов, подозреваю, что ряда с третьего, даже при знании техник взлома, от видео никакой информации о том, что собственно ща происходит, получить не удалось. Результатом его манипуляций стала продемонстрированная уязвимость, все поняли, что произошло нечто крутое и зааплодировали. В ходе шоу ещё несколько ребят выходили и демонстрировали нечто подобное, с разной степенью понятности, но финалом каждого выступления неизменно являлась демонстрация той или иной 0day уязвимости, что в общем-то действительно круто.
Резюме, для тех, кому лень читать всю эту простыню.
Итак, что я собственно хотел сказать всей этой «бодягой». Организаторы берут за сие мероприятие деньги, причём деньги, в общем-то, не малые. Если для вас главное информативность, вы не стеснены в средствах, но при этом готовы пропустить часть из докладов, плюс вам не критично получение материалов конференции в полной мере – тогда эта тусовка в полной мере вас удовлетворит и ZeroNights 2013 ни в коем случае пропускать не следует!
Но вот, если вы думаете, что раз заплатили организатором деньги, то они обязаны в должной мере позаботиться и о вашем удобстве – вы сильно ошибаетесь, такого в прошлый раз не произошло, а видя, как агрессивно ребята пиарят собственный продукт (я сейчас о программе, которая помогает баги искать) и собственную конференцию, думаю у них явно присутствует некая материальная заинтересованность в вопросе, что, в свою очередь, может повлечь за собой очередной случай наплевательского отношения к основной идеи подобных мероприятий – обмене информацией.
Тут можно возразить что, де вот на сайте у них написано, что это «так называемый non profit event», но элементарный подсчёт в уме всех затрат, учитывая, что для физического лица участие сейчас стоит 7 000 рублей, говорит об обратном. Я, ни в коем случае, не считаю чужие деньги и, конечно, не думаю, что организаторы подобных мероприятий не должны получать свою копеечку за свои услия, напротив. Но уж, по крайней мере, можно было бы так открыто о собственной «не заинтересованности в прибыли» не писать, а то, вкупе со всеми косяками получается не особо красиво как-то, согласитесь.
Если кто-то из Digital Security данный обзор прочитает и как-то повлияет на исправление этих косяков в будущем мероприятии – респект и уважуха, в конце-концов, ребята делают порой весьма интересные штуки, ту же прогу для автоматизированного поиска багов, которую демонстрировал один из бородатых представителей компании, я и сам бы с удовольствием прикупил, будь она не такой непомерно дорогой для рядового сисадмина.
Да и уж, что говорить, если недостатки будут как-то учтены, может я и сам передумаю и тоже заявлюсь в этом году в качестве участника, всё же не так много у нас подобных тусовок проходит, а такого масштаба так и вообще единицы. Всем спасибо за внимание.
P.S. А у хабра есть аналог для <p align="justify">?
Автор: Psychosynthesis
