PHDays, которая состоялась 23 и 24 мая 2013 г. в Москве - это одна из интереснейших международных тусовок, проходящих в России и при этом грамотно проработанных. Основным является, так называемый, «концепт PHDays Everywhere», объединяющий все события этого мероприятия в единую трансляцию, - как видео, так и социальную. Программа конференции включала полсотни событий типа «fasttrack»: доклады и Young School, CTF, круглые столы и мастер-классы. В рамках мероприятия докладчикам организовали отдельный шведский стол в специальном помещении, а вечером - ужин и экскурсию.

График выступлений докладов был плотным, чтобы поместились все выступления, – даже без перерыва на обед, хотя это, кажется, не сильно расстроило посетителей. К сожалению, ряд залов был выбран крайне неудачно: в них просто не помещались все желающие...

Как и год назад, докладчики относились к самым разным областям - от технарей до государственных представителей. Таким, например, явился В.В. Жириновский, которым явно заменили прошлогоднего Шнайера, а также van Hauser. Владимир Вольфович дал ряд советов, как надо работать хакерам [http://www.8tv.ru/?id=12&hotnews=25295]. Впрочем, оба они - сильные шоумены, но В.В. Жириновский, во всяком случае, не осуществлял cash-сбор с обещанием выслать свои книги почтой ... России :) В рамках стратегии кибербезопасности госпредставители обсудили вопросы привлечения на службу компьютерных преступников и построения его эффективной бизнес-модели.

Смешение всех докладов без явного разделения на секции было вряд ли удачной идеей, хотя оно, бесспорно, «удалось»: как и год назад, это приводило, к тому, что большинство слушателей уходили с докладов.

В первый день итальянские докладчики по теме ИБ в Италии явно перепутали формат конференции. Вероятно, это случилось из-за того, что на конференции был прорекламирован высокий процент присутствующих политических деятелей и членов совета федерации, МВД, ФСБ и т.п., хотя не они определяли содержание конференции. Формат самого доклада был скорее отраслевым: короткое семиминутное выступление о текущей ситуации в Италии, после которого даже не знаешь, как сформулировать вопрос докладчику. Хотя один вопрос был задан – на тему персональных данных :)

То же самое получилось и со School Young, когда люди без явной математической подготовки ретировались через восемь минут после начала доклада. Зато сразу можно было отсеять стойкий академический контингент ;) Академические докладчики, Евгений Тумоян и Дарья Кравчук «Моделирование атак с использованием систем искуственного интеллекта» и Евгений Тумоян и Ксения Цыганюк «Статистический анализ для классификации вредоносного ПО», были больше сконцентрированы на научной части в подходах и методах. Несмотря на то, что в процессе вопросов-ответов был выявлен ряд ошибок или допущений, сам такой формат пока не прижился на конференции PHDays, т.к. основная аудитория жаждет практических результатов, а еще лучше Proof-Of-Concept, продуктов или метасплойтов! Евгений представил обзор решений по моделированию атак:

· Sea Monster – рисовалка деревьев (free);

· Attack Tree + - платная рисовалка;

· Securel Tree - платная рисовалка;

· RedSealPlatform, SkyBoxSecurity, Exata – платные генерилки карт сети и графов атак;

· MuLVAL – бесплатная генерилка графов атак берет на вход xml от Nessus и OVAL;

· TVA Tool, Cauldron - генерилка графов атак берет на вход xml от Nessus.

С другой стороны, на примере доклада Ксении был видно, что изъяны научного подхода связаны напрямую с отсутствием практической апробации и практических знаний о проблемах, пусть даже решенных с академической стороны. В принципе, это проблема науки в целом: несмотря на объективную изящность ряда подходов и моделей, очень сильно страдает практическая часть, выливаясь в идею, которую ещё надо реализовывать).

С другой стороны, проблема шоуменов в том, что если они, как Шнайер и van Hauser с докладом «Как стать успешным», и имеют отношение к области ИБ и ИТ, то, неся «олдскульный поток сознания», выбирают темы с тонкой подоплёкой, где когда-то было упущено решение и тема стала вечной с позиции желания заказчиков и подрядчиков, философии безопасности, коммуникации друг с другом (ключевая парадигма доклада) и фундаментальных проблем. На самом деле, из-за большого пласта глубоко интегрированных технологий, решение таких проблем возможно только при полном рефакторинге даже не систем или технологий, а инфраструктур. Тем не менее, такие доклады слушать интересно, просто, чтобы отвлечься от прочих сурово хардкорных. Так, например, van Hauser составил список, как быть успешным, в котором особенно стоит отметить пункты с 5 по 7 и особенно, ключевым, шестой :)

1) fun & passion;

2) concentrate;

3) naive rebel;

4) teach yourself;

5) talk, share & connect;

6) don't asshole;

7) выучить английский.

Ну а ключевые идеи:

· развитие навыков не «вширь», «вглубь»;

· необходимость создания сообщения для обмена опытом и знаниями;

· необходимость выучить английский язык =)

Отдельно, хочется отметить небольшой интерактив, который Марк провел со слушателями: желающие должны были рассказать друг другу о своих интересах и увлечениях. Другая часть людей сидела и смеялась вместе с ним, третья часть ушла из зала, осталась четвертая, которая просто уснула :))

Довольно необычно было увидеть доклад и мастер-класс на тему LockPicking [Девиант Олгам, Бабак Жавади, Кит Хоуэлл] и физической безопасности, где они устраивали пятиминутные конкурсы по освобождению заложников и демонстрировали видео по взлому дверей в отелях, после чего к ним подходили служащие отеля и спрашивали, что они тут творят :D . Учитывая, что тема не столь популярна в России, представленный материал докладчиков был крайне нов; но, как правильно было подмечено у Антона [www.securitylab.ru/blog/personal/toxa/30467.php], физический пентест - хоть и новинка, но без какой бы то ни было бизнес-потребности в локпикинге. Эти же докладчики ещё будут на CONFidence.

Тема физической безопасности продолжилась в секции уязвимостей банковского оборудования, где продемонстрировал способ получения доступа к банкомату без ключа с помощью скрепки [http://www.themoscowtimes.com/business/article/forum-helps-hackers-to-obey-law/480489.html]. Далее участникам предлагалось самим попробовать силы поднять уровень физического пентестера.

Тему банкинга раскрыл также в докладе «Мошенничество в SMS-банкинге» [Денис Горчаков]. Он рассказывал о том, как, используя возможность подделки номера отправителя в мобильных сетях, получить доступ к информации, предназначенной для жертвы. Перехваченная информация, если она содержит номер кредитной карты и пароль, код подтверждения и т.д., может использоваться злоумышленником для снятия от имени жертвы денежных средств с ее счета. В последнее время зарождается тенденция привязки банковского счета не только к номеру мобильного, но и к идентификатору SIM-карты и IMEI-телефона.

Как всегда, были и CTF-конкурсы, правда если в них не участвовать или заглянуть лишь на пару минут, то вряд ли станет понятно, о чем речь [http://feedproxy.google.com/~r/iphones/ru/~3/zPweqHhDVgg/303277].

Интересным мероприятием был Лабиринт, однако организация проведения пока не доросла до таких масштабов, как мероприятия в стиле X-traction Point, которые технически и сюжетно проработаны на порядок лучше ;)

В первый день на фасттреке был представлен видео-доклад от Анонимусов А и В об уязвимостях бортовых приборов American Airlines. Докладчики были на «Hack In The Box», к сожалению, долететь им не удалось, т.к. взломали всё, что можно, и осталось одно видео J: https://www.youtube.com/watch?feature=player_embedded&v=sd7RWEKLmGo.

Александр Гостев, представитель лаборатории Касперского, в докладе «Особенности национальной охоты» рассказал подробно о следах в вирусах, которые могут говорить о возможной национальности (используемом языке) разработчиков. Среди признаков отмечались:

· пути каталогов, содержащие иероглифы, или имена, или названия городов, конференций, других вирусов и пр.;

· лица, на которые зарегистрированы сервера управления вирусами;

· используемые кодировки;

· отладочные данные, содержащие имена или названия городов, конференций, других вирусов и пр.;

· язык комментариев.

Сам доклад был представлен довольно неплохо и рассказан интересно. А. Гостев, как и полагается шоумену, держал всех в напряжении до окончания повествования об артефактах, о суровых буднях суровых безопасников и более суровых реверсеров лаборатории Касперского, как впрочем, и любой другой AV-компании на ее месте; много говорил о сложных вирусах и кибервойне, об известных вирусах и о том, что функционал некоторых из них до сих пор зашифрован, – в том числе, про Red October с указанием на новый мейнстрим – промышленные зловреды. Хотя всем понятно, что они были всегда и не взялись ниоткуда, – в отличие от того, как это обычно любят представлять в СМИ.

Федор Ярочкин, Владимир Кропотов, Виталий Четвертаков «Поймать неуловимое: расследование действий злоумышленников в корпоративных сетях». Особенности доклада: презентация на английском языке. Докладчик Ярочкин, видимо давно живет зарубежом, ибо забывал русские слова и обращался к коллегам за подсказками. Впрочем, другой докладчик Максима Гончарова их не забывал, так что, видимо, это пиар-акция J Смысл доклада в том, что атаки бывают массовыми и целенаправленными. Если в логах или трафике есть признаки сканирования, рассылки спама, файлов и т.д. – то это массовая атака. У такой атаки нет конкретной цели. Для целенаправленной атаки используются эксплойты. Целенаправленная атака планируется дольше и ее успех выше. Соответственно рассылка писем или файлов и действия эксплойтов различимы в трафике. Доклад был посвящен методам обнаружения APT-атак. Среди признаков атак:

· всплески трафика от зараженного компьютера при соединении вредоносного ПО с сервером управления;

· наличие в почтовых сообщениях запароленных архивов, странных переадресаций, исполняемых файлов;

· наличие в логах прокси-сервера доменных имен, сгенерированных случайно, следов использования dyndns (dnsdojo), нестандартных портов, редко используемых IP-адресов (один раз в сутки), переадресации по времени (с 9 до 18 часов), get-запросов с настройками хоста.

Доклад Синцова "Ловушки умеют кусаться: обратное проникновение" был посвящен Honey pot и тому, как можно с помощью социальной инженерии идентифицировать взломщика и потенциально выполнить код. Ключевая идея: была создана страница, доступ к которой возможен только по правильному коду инвайта. Инвайт можно было обойти с помощью sql-инъекции, после чего атакующий попадал на вредоносную страницу с java applet. Использовались интересные приемы, например, перенаправление пользователя на соцсети, и по аккаунту получение информации о нем. Отличный доклад про агрессивные хайнипоты, сбор информации об атакующем, фильтрации и обнаружении неавтоматизированных атак, определении уровня технической подготовки злоумышленника. В качестве ответной меры рассматривались варианты:

· собрать больше информации об атакующем;

· определить местоположение;

· сломать ноги.

Сплойт-паки в качестве ответной меры не рассматривались. Весь дальнейший доклад был о добытой информации о взломщиках. Доклад очень интересно слушать. Интересная задумка, однако, технически нового ничего нет.

Отлично был представлен доклад «Подпольный рынок 101: статистика цен и схемы ценообразования» Макса Гончарова из компании Trend Micro, который рассказал, как построить свой ботнет, сколько это примерно стоит и как сильно упали цены за последние несколько лет; о ключевых этапах в этом процессе, о доступности сервисов для этого и их стремительном росте. Докладчик привел примеры из открытых источников. В целом, речь шла о следующих продуктах:

· VPN сервисы: 25$ в мес.;

· конструкторы ботнетов: 125$ – ядро + 40$ – обновление и поддержка;

· абузоустойчивые хостинги: 50$ в месяц;

· эксплоит киты: 120$ – ядро + 40$ – поддержка (7000$ - исходники);

· доменные имена: 20$ в месяц;

· дропперы и крипторы: 100$ – ежедневная проверка с автоматическим перешифрованием и перезаливкой.

Доклад был поздним (в конце), но докладчик ещё целый час отвечал на всякие каверзные вопросы и полчаса или больше – на вопросы, уже более адекватные от людей, явно интересующихся данной темой, а не просто пришедших устроить перепалку и потом уйти, не подловив докладчика ни разу. Хотя подоплёка ряда вопросов была откровенно странной. Например, вопрос: «Вы пришли агитировать за создание ботнетов и рассказывать, как это можно сделать?» – не задавался никому и вряд ли вообще задавался где-нибудь другим участникам в другой интерпретации – как: «А вы пришли сюда показать исходники шпиона, вируса, другого зловреда, метасплойта и т.п.?».

Вопрос подобного характера не задавался автору доклада «SCADA Strangelove: как создать собственный Stuxnet» от Positive Technologies. Докладчик MAX представил достаточно детальный анализ этой области, определенно свидетельствуя о многолетнем опытесотрудничества компании с властями – местами чуть ли не до уровня how-to. Ключевой мыслью было: «Об этой области знают, ею интересуются, занимаются, её исследуют – как и всех лиц, связанных с ней. И эта область не является какой-то загадочной и таинственной. В узких кругах все чуть ли не в лицо знают друг друга и всё обо всех»

Докладчица из Positive Technology рассказала о подмене вай-фай-точек и о том, за сколько можно купить нужное оборудование. B дополнение демонстрация плюшевых мишек как упаковок для таких фейковых точек доступа. Рекомендуется дарить всем особо прошаренным специалистам по ИБ, а не только женскому полу ;) Вообще в этот раз Positive Technology произвела впечатление компании, в которой знают о безопасности всё, поэтому теперь им захотелось как взламывать с помощью плюшевых мишек, так и разгонять мозги автомобилю. Последнее было представлено Дмитрием Скляровым и Кириллом Ермаковым. Доклад получился вполне интересным, как обычно и получается у Дмитрия, слушать интересно, сразу проглядывается многолетний опыт реверсинга и желание докопаться до сути.

«Десяток способов преодоления DLP-систем», Александр Кузнецов, Александр Товстолип. Получился краткий ликбез для начинающих администраторов DLP. Основные причины снижения эффективности DLP-системы:

· отсутствие контроля на стадии внедрения;

· использование настроек по умолчанию;

· отсутствие обновлений;

· отсутствие результатов расследования инцидентов.

Основные методы сокрытия ключевых слов в файле, записываемом на флэш-носитель:

· вынос текста за границы страницы (в макросы, формулы и пр.);

· замена символов на похожие;

· включение малоиспользуемых кодировок;

· защита паролем;

· печать в файл;

· использование скриншота;

· организация архива, криптоконтейнера.

Докладчик продемонстрировал следующие способы обхода DLP-систем и слабый технический уровень защиты от таких способов со стороны самих DLP:

· остановка сервиса агента DLP;

· переименование исполняемого файла агента DLP;

· двойное архивирование с шифрованием на пароле средствами архиватора;

· печать документа в файл – что вообще странно;

· восстановление документа со съемного носителя: большая часть DLP-систем сначала записывают файл документа в указанную директорию, а затем проверяют легитимность такой записи; если оказывается, что подобная операция запрещена, то файл удаляется; соответственно, такой файл, обладающий специальными средствами, впоследствии можно восстановить;

· использование непонятных для DLP-систем кодировок документа (большая часть DLP-систем способна понимать лишь до 5-10 различных кодировок);

· удаление логов, пока они не ушли с локального хоста.

Егошин «Загрузка файлов стандартными средствами ОС Windows». Доклад содержал ответы на вопрос, чего можно добиться при получении возможности исполнить код и пробиться наружу под толщей Firewall'ов с reverse shell'ом с описанием методов проверки и установления сетевого соединения встроенными средствами Windows, а также подгрузки файлов из Интернета стандартными средствами Windows. Доклад был посвящен этапу пост-эксплуатации и получению данных в отсутствии прямого доступа в Интернет с использованием стандартного ПО, входящего в поставку OS Windows. Жаль, не были представлены какие-нибудь свежие методы атак типа Drive-by download с применением рассмотренных в докладе техник пост-эксплуатации. Доклад интересный и полезный для пентестеров, которым часто приходится сталкиваться с ситуациями, описанными в докладе.

В докладе "Прелюдия к атаке: практика и автоматизация OSINT" автор [Владимир Стыран] говорит о критичности информации, полученной из открытых источников. Успешный пентест невозможен без предварительного сбора информации. Доклад содержит обзор существующих методик сбора данных из открытых источников; в нем представлен набор наиболее используемых утилит. Доклад стоит послушать тем, кто занимается социальной инженерией.

Ряд докладов выглядел довольно сумбурно. Например, Воронцов "Теория лжи: обход современных WAF". В нем представлено много известных методик обхода WAF или же «Java Everyday. Системный анализ эксплоитов нулевого дня в Java» от Бориса Рютина. Доклад обещал быть интересным, однако свелся к описанию использованных инструментов и процесса их настройки и видео-демонстрации нескольких эксплоитов. «Анонимность в интернете: средства, методы, уязвимости и все-все-все» Докладчик [Дмитрий Угромов] рассказывал о том, как хорошо использовать VPN и ТОР. Проблема в том, что анонимность обеспечивается серверами, владельцы которых неизвестны, и, гипотетически, информация о пользователях может быть раскрыта.

Доклад «Эксплуатация пользовательских интерфейсов для забавы и ради выгоды» [Розарио Валлота] вышел довольно коротким: из 50 отведенных минут занял всего 30. Докладчик рассказал о возможностях проведения атак на удаленную машину с использованием техники кликджекинга и особенностях работы механизмов уведомлений некоторых браузеров. В основе всех описанных методов лежит общий механизм открытия, так называемого, pop-under – активного окна браузера, открывающегося за текущим окном. Рассматривались примеры для Internet Explorer и Google Chrome.

Джефф Кац "Кто смотрит на тебя малыш." Затронута проблема идентификации человека в сети. Представлена система отслеживания местоположения участников конференций с помощью RFID. На базе собранных данных о местоположении, создана визуализация. Доклад был продолжен мастер-классом по RFID, где было уделено внимание как высокочастотным, так и низкочастотным меткам. На практике был разобран процесс анализа и модификации данных, записанных на метку. Было рассмотрено как «железо», т.е., устройства чтения и записи на метку, так и софт для чтения/записи. Отдельная часть доклада была уделена карточкам компании NXP: Mifare Classic 1k и 4k, Ultralight. Здесь же рассматривались способы атак на реализации алгоритмов шифрования, применявшиеся в карточках NXP, и инструментарий для проведения подобных атак. В заключительной части доклада рассматривались реальные случаи взлома существующих систем, использовавших технологию RFID.

Безопасность приложений на платформе Android Отличный доклад от Артёма Чакина для начинающих. Докладчик на практике провел первичный анализ исходного кода нескольких приложений на наличие уязвимостей. Соответственно, на воркшопе были рассмотрены как инструменты для проведения анализа исходных кодов приложения и его ресурсов (apktool, dex2jar, jd-gui, mercury framework и программы из пакета Android SDK), так и типичные ошибки, которые допускают разработчики приложений: чрезмерное использование интентов, использование сторонних небезопасных библиотек и т.д. В качестве эпилога к докладу была продемонстрирована реальная уязвимость в стандартном браузере Android (до версий 4.2).

Доклад «Моделирование атак, вычисление метрик защищенности и визуализация в перспективных SIEM-системах» [Игорь Котенко] являлся повторением доклада с «РусКрипто 2013» и выглядел сильно научным, однако в нем интересным был рассказ про визуализацию данных на одной из Японских АЭС (название озвучено не было). Суть визуализации в том, что на экране обслуживающему персоналу демонстрируется луг с пасущимися на нем коровами. Если все показатели оборудования в норме, то небо ясное и светит солнце. По мере выхода показателей оборудования за пределы нормы картина начинает меняться – набегают облака, льет дождь, коровы перестают есть траву и т.д. Такое изменение картины привлекает внимание персонала. К сожалению, г-н Котенко не уточнил, привязаны или нет объекты картины – коровы, трава, облака и т.д. – к каким-то конкретным элементам оборудования АЭС.

Темы детектирования трафика была продолжена в докладе «SPAN-агрегация и анализ сетевого трафика на наличие угроз: возможности и ограничения, плюсы и минусы» [Андрей Дугин]. Описаны сетевые архитектуры, места установки TAP, конфигурации SPAN-сессий, возможности и ограничения SPAN-агрегаторов, а также параметры выборочной агрегации. Ничего нового, неинтересно. Прозвучало, что ТАР-устройства оказывают влияние на канал обмена данными, что не совсем верно т.к. современные ТАР-устройства продолжают пропускать через себя трафик даже в случае сбоев (например, при выключении питания).

Доклады с конференции можно найти здесь http://www.slideshare.net/phdays