0day/текила/криптография

^[1]На прошлой неделе прошла конференция «РусКрипто ^[2]». Насколько я знаю, это старейшая из ныне здравствующих конференций по информационной безопасности.

Несмотря на почетный возраст, конференция живет и развивается, за что огромное спасибо организаторам: Ассоциации «РусКрипто» и АИС ^[3]. В свое время именно на этой площадке я обкатывал свои идеи, которые позже привели к появлению Positive Hack Days ^[4]. Именно тут прошел первый масштабный CTF под руководством Дмитрия Евтеева ^[5]. В общем, отношение к «РусКрипто» у меня крайне теплое и в некоторой степени даже ностальгическое.

В этом году конференция проходила на площадке загородного отеля «Солнечный ^[6]». Кстати, на веб-сайте отеля уютно расположилась mobile malware – расценил это как тест на профпригодность =)

Немного об аудитории конференции

Как следует из названия, основная тема конференции – криптография. Это в какой-то степени определяет выступающих и слушающих. В первую очередь — это производители СКЗИ («Крипто-Про», «Актив», «Инфотекс» и др.) и потребители их решений — государственные структуры и банки.

Однако, из-за плотной связи криптографического рынка и научной среды, на конференции достаточно много представителей академических кругов – есть отдельная «научная» секция под предводительством г-на Котенко из СПИИРАН и даже почетная должность научного спонсора.

Несколько лет назад «РусКрипто» начала развивать альтернативные темы, и треки сетевой и прикладной безопасности плотно вошли в программу конференции. Это разбавило аудиторию независимыми экспертами, аналитиками и хакерами. Процитирую свой ответ представителю одного из российских интеграторов, участвующих в конференции: «Продавать? Продавать тут некому». Однако есть с кем подискутировать и от кого напитаться новыми идеями.

Подробнее о секциях

Ваш покорный слуга традиционно вел одну из секций под названием «Технологии защиты и нападения ^[7]». В своем вступительном слове «Почему Россия может проиграть кибервойну?» я поделился тем, что наболело: от неизменившегося с советских времен законодательства в области НИР и ОКР до позиции Минобразования по отношению к практической безопасности. Как defensive, так и offensive. По комментариям в ходе дискуссий («Ваши эти хакерские соревнования… Это как учить молодых людей взламывать сейфы...») выяснилось, что наболело не только у меня одного. В силу ряда причин слайды не выкладываю.

Собственно конференция началась в день заезда — гораздо раньше пленарного заседания. Вечером все собираются по диванчикам и биллиардным столам и выравнивают смысловое поле. От исследований к рынку ИБ в России, от него, родимого — к судьбам Отечества. А дальше — куда выведет кривая неформальной профессиональной дискуссии. Мы разошлись около 3 часов ночи, так и не успев расставить все точки над i в вопросах актуальности в современном мире трех путей его познания: религиозно-мистического, научного и философского.

К своему большому сожалению, я отношусь к той распространенной породе людей, которые, услышав фразу «прыгающие клеточные автоматы», начинают судорожно вспоминать цвет обложки учебника и название предмета. В связи с этим, криптографические секции обсуждались в кулуарах в компании коллег, специализирующихся на application security. Забавно, но обсуждаемая нами тема по оценке эффективности средств защиты была очень хорошо представлена в программе конференции.

Илья Шабанов, управляющий партнер Anti-Malware.Ru ^[8], во вступительном слове к своей секции «Настоящее и будущее антивирусной индустрии» прозрачно намекнул, что пределы масштабируемости современных антивирусных технологий практически достигнуты. Дмитрий Ушаков из StoneSoft ^[9] в работе «Новые техники защиты от старых угроз – обойти невозможно?!» продемонстрировал результаты тестирования популярных IDS/IPS. Методика проста и эффективна — проведение набора атак с использованием различных методов обхода сигнатур. Результаты неутешительны.

Андрей Петухов в докладе «Know Thy Limits ^[10]…» продемонстрировал простые, но эффективные техники противодействия системам активного обнаружения вредоносного кода на сайтах.

Еще одна тема, которая то и дело появлялась в различных вариациях — это угрозы «нулевого дня» и прочие сплоетсы и шелкодесы.

Олеся Шелестова ^[11] в обзорном докладе по модному слову APT анонсировала аналитику Positive Techologies ^[12] по безопасности веб-приложений. Главной интригой обзора является следующий факт: более 10% сайтов коммерческих и государственных компаний скомпрометированы и содержат вредоносное ПО разного происхождения, направленности и степени зловредности.

Презентация Олеси ниже:

Алиса Шевченко (Esage ^[13], Neurone ^[14]) и Гилязов Руслан из «Крипто-Про» буквально повторили демонстрационную часть выступления, показав совместную работу уязвимости клиентского ПО, уязвимости ядра Windows и современных техник руткитостроения.

Расскажу подробнее. Если просто запустить trojan.exe, то антивирус сразу его обнаружит и сообщит об этом. Но если запустить exploit.exe trojan.exe*, то антивирус не сработает, а «зловред» неинтеллигентно начинает «жить» в процессе антивируса, используя его для маскировки своей сетевой активности. Жуть, в общем.

В ответ на это, Алекс Гостев ^[15] из «Лаборатории Касперского» театрально разобрал Duqu и промежуточные серверы C&C этого трояна, игнорируя вопросы «на чем он был написан». В ходе доклада Александр показал интересные моменты из жизни операторов целевого malware, которые путали команды различных дистрибутивов Linux и в целом ошибались достаточно много.

В ответ на реплику одного из слушателей: «как это похоже на sсript-kiddie», кто-то из зала возразил: «как это похоже на военных».

Владимир Кропотов в совместном с Федором Ярочкиным ^[16] докладе продемонстрировал ежедневные будни специалистов, защищающих пользователей от последствий атак «Drive by Download». Увидеть в потоке событий IDS нехарактерные паттерны. Вытащить с заражённого хоста отчаянно сопротивляющегося зловреда. Найти взломанный сайт, используемый для заражения. Убедить владельцев, сопротивляющихся подчас отчаяннее чем malware, вычистить заразу. Отправить образец антивирусным вендорам и днями ожидать изменения счетчика обнаружений на virustotal… Тяжелая работа. Работа адова. Но – такая работа.

Были другие интересные дискуссии о судьбе закона «Об ЭЦП» и деталях проекта Универсальной Электронной Карты (УЭК). Алексей Лукацкий устроил традиционную провокацию, на этот раз обернутую в формат деловой игры «Что, если?». Подробнее об этом можно почитать в блоге самого Алексея ^[17].

Ассоциация RISSPA ^[18] совместно с АП КИТ и ФСБ России провели секцию по использовании криптографии в облачных решениях. Надеюсь, что отчет скоро появится на сайте ассоциации.

Подводя итоги, «РусКрипто» была и остается ярким событие в сообществе профессионалов-практиков. Очень приятно наблюдать, что конференция развивается как в организационной части, так и в плане наполнения. Единственным огорчением был тот факт, что я не смог попасть на hands-on lab по следам PHDays CTF 2011 ^[19] в Neúron Hackspace. Пришлось играть в «Наливайку ^[20]» заочно.

Сергей Гордейчик,
CTO, Positive Technologies

*Утилиты trojan.exe и exploit.exe не входят в стандартную поставку Microsoft Windows.

** Достаточно живой Ruscrypto-twitter в этом году получился: https://twitter.com/#!/ruscrypto ^[21]

Автор: ptsecurity