Страницы

четверг, 5 апреля 2012 г.

0day/текила/криптография

На прошлой неделе прошла конференция «РусКрипто». Насколько я знаю, это старейшая из ныне здравствующих конференций по информационной безопасности. Несмотря на почетный возраст, конференция живет и развивается, за что огромное спасибо организаторам: Ассоциации «РусКрипто» и АИС.


В свое время именно на этой площадке я обкатывал свои идеи, которые позже привели к появлению Positive Hack Days. Именно тут прошел первый масштабный CTF под руководством Дмитрия Евтеева. В общем, отношение к «РусКрипто» у меня крайне теплое и в некоторой степени даже ностальгическое.

В этом году конференция проходила на площадке загородного отеля «Солнечный». Кстати, на веб-сайте отеля уютно расположилась mobile malware – расценил это как тест на профпригодность =)

Немного об аудитории конференции

Как следует из названия, основная тема конференции – криптография. Это в какой-то степени определяет выступающих и слушающих. В первую очередь - это производители СКЗИ («Крипто-Про», «Актив», «Инфотекс» и др.) и потребители их решений - государственные структуры и банки. Однако, из-за плотной связи криптографического рынка и научной среды, на конференции достаточно много представителей академических кругов – есть отдельная «научная» секция под предводительством г-на Котенко из СПИИРАН и даже почетная должность научного спонсора.

Несколько лет назад «РусКрипто» начала развивать альтернативные темы, и треки сетевой и прикладной безопасности плотно вошли в программу конференции. Это разбавило аудиторию независимыми экспертами, аналитиками и хакерами. Процитирую свой ответ представителю одного из российских интеграторов, участвующих в конференции: «Продавать? Продавать тут некому». Однако есть с кем подискутировать и от кого напитаться новыми идеями.

Подробнее о секциях

Ваш покорный слуга традиционно вел одну из секций под названием «Технологии защиты и нападения». В своем вступительном слове «Почему Россия может проиграть кибервойну?» я поделился тем, что наболело: от неизменившегося с советских времен законодательства в области НИР и ОКР до позиции Минобразования по отношению к практической безопасности. Как defensive, так и offensive. По комментариям в ходе дискуссий («Ваши эти хакерские соревнования... Это как учить молодых людей взламывать сейфы...») выяснилось, что наболело не только у меня одного. В силу ряда причин слайды не выкладываю. Собственно конференция началась в день заезда - гораздо раньше пленарного заседания. Вечером все собираются по диванчикам и биллиардным столам и выравнивают смысловое поле. От исследований к рынку ИБ в России, от него, родимого - к судьбам Отечества. А дальше - куда выведет кривая неформальной профессиональной дискуссии.

Мы разошлись около 3 часов ночи, так и не успев расставить все точки над i в вопросах актуальности в современном мире трех путей его познания: религиозно-мистического, научного и философского. К своему большому сожалению, я отношусь к той распространенной породе людей, которые, услышав фразу «прыгающие клеточные автоматы», начинают судорожно вспоминать цвет обложки учебника и название предмета. В связи с этим, криптографические секции обсуждались в кулуарах в компании коллег, специализирующихся на application security. Забавно, но обсуждаемая нами тема по оценке эффективности средств защиты была очень хорошо представлена в программе конференции. Илья Шабанов, управляющий партнер Anti-Malware.Ru, во вступительном слове к своей секции «Настоящее и будущее антивирусной индустрии» прозрачно намекнул, что пределы масштабируемости современных антивирусных технологий практически достигнуты. Дмитрий Ушаков из StoneSoft в работе «Новые техники защиты от старых угроз – обойти невозможно?!» продемонстрировал результаты тестирования популярных IDS/IPS.

Методика проста и эффективна - проведение набора атак с использованием различных методов обхода сигнатур. Результаты неутешительны. Андрей Петухов в докладе «Know Thy Limits…» продемонстрировал простые, но эффективные техники противодействия системам активного обнаружения вредоносного кода на сайтах. Еще одна тема, которая то и дело появлялась в различных вариациях - это угрозы «нулевого дня» и прочие сплоетсы и шелкодесы. Олеся Шелестова в обзорном докладе по модному слову APT анонсировала аналитику Positive Techologies по безопасности веб-приложений. Главной интригой обзора является следующий факт: более 10% сайтов коммерческих и государственных компаний скомпрометированы и содержат вредоносное ПО разного происхождения, направленности и степени зловредности.

Презентация Олеси ниже:


Алиса Шевченко (Esage, Neurone) и Гилязов Руслан из «Крипто-Про» буквально повторили демонстрационную часть выступления, показав совместную работу уязвимости клиентского ПО, уязвимости ядра Windows и современных техник руткитостроения. Расскажу подробнее. Если просто запустить trojan.exe, то антивирус сразу его обнаружит и сообщит об этом. Но если запустить exploit.exe trojan.exe*, то антивирус не сработает, а «зловред» неинтеллигентно начинает «жить» в процессе антивируса, используя его для маскировки своей сетевой активности. Жуть, в общем. В ответ на это, Алекс Гостев из «Лаборатории Касперского» театрально разобрал Duqu и промежуточные серверы C&C этого трояна, игнорируя вопросы «на чем он был написан».

В ходе доклада Александр показал интересные моменты из жизни операторов целевого malware, которые путали команды различных дистрибутивов Linux и в целом ошибались достаточно много. В ответ на реплику одного из слушателей: «как это похоже на sсript-kiddie», кто-то из зала возразил: «как это похоже на военных». Владимир Кропотов в совместном с Федором Ярочкиным докладе продемонстрировал ежедневные будни специалистов, защищающих пользователей от последствий атак «Drive by Download». Увидеть в потоке событий IDS нехарактерные паттерны. Вытащить с заражённого хоста отчаянно сопротивляющегося зловреда. Найти взломанный сайт, используемый для заражения. Убедить владельцев, сопротивляющихся подчас отчаяннее чем malware, вычистить заразу.

Отправить образец антивирусным вендорам и днями ожидать изменения счетчика обнаружений на virustotal… Тяжелая работа. Работа адова. Но – такая работа. Были другие интересные дискуссии о судьбе закона «Об ЭЦП» и деталях проекта Универсальной Электронной Карты (УЭК). Алексей Лукацкий устроил традиционную провокацию, на этот раз обернутую в формат деловой игры «Что, если?». Подробнее об этом можно почитать в блоге самого Алексея. Ассоциация RISSPA совместно с АП КИТ и ФСБ России провели секцию по использовании криптографии в облачных решениях. Надеюсь, что отчет скоро появится на сайте ассоциации.

Подводя итоги, «РусКрипто» была и остается ярким событие в сообществе профессионалов-практиков. Очень приятно наблюдать, что конференция развивается как в организационной части, так и в плане наполнения. Единственным огорчением был тот факт, что я не смог попасть на hands-on lab по следам PHDays CTF 2011 в Neúron Hackspace. Пришлось играть в «Наливайку» заочно.
Сергей Гордейчик, CTO, Positive Technologies


*Утилиты trojan.exe и exploit.exe не входят в стандартную поставку Microsoft Windows.
** Достаточно живой Ruscrypto-twitter в этом году получился: https://twitter.com/#!/ruscrypto

Комментариев нет:

Отправить комментарий