суббота, 9 февраля 2013 г.

Ром, пираты, безопасность: Kaspersky SAS 2013


Конференция Kaspersky Threatpost Security Analyst Summit организуется Лабораторией Касперского в пятый раз и в 2013 году собрала 140 ведущих экспертов в области ИБ со всего мира. Сейчас существует достаточно много «вендорских» конференций, таких как Qualys Security Conference или Microsoft Secure Software Development Conference, но SAS ощутимо отличатся от них высококачественными техническими докладами, великолепной «околоконфой», отличным составом участников и прекрасной организацией.

Site: http://www.kaspersky.com/about/events/industry/sas2013 
Twitter: https://twitter.com/search?q=%23SAS2013&src=hash
Flickr: http://www.flickr.com/photos/e_kaspersky/sets/72157632665597779/with/8449311436/




Доклады

Большая часть докладов была великолепна. Описывать все – нереально, поэтому попробую выделить наиболее интересные. Для меня.

Отличный доклад Chris Soghoian, ACLU «The looming crisis of mobile security updates», в котором раскрывалась текущая ситуация с обновлениями безопасности мобильных платформ. Компания Google регулярно обновляет Adroid, но как часто выходят обновления для вашего смартфона? Очень интересный взгляд на проблему, взгляд со стороны бизнеса. Которому не нужна безопасность их клиентов, а нужны покупатели, меняющие «мобилку» каждый год.
Во многом проблема возникает из-за нежелания производителей инвестировать в безопасность и обновления. Им гораздо проще форсировать пользователей на смену «телефона», поскольку предыдущая модель «старая».  Смешно, но недавно я слышал подобные слова о производителях сетевого оборудования, буквально: «Отлично, продолжайте искать дырки в nowOS, это будет дополнительным фактором миграции на NextOS (названия условные)». Вот такой вот он – капитализм.

Очень смешное (в хорошем смысле) выступление David Jacoby, Kaspersky Lab; Pedro Deryckere, Belgian Federal Computer Crime Unit  «Unmasking the fake Microsoft support scammers», про мошенничество под личиной техподдержки Microsoft.
Пара ссылок по теме: http://www.microsoft.com/security/online-privacy/avoid-phone-scams.aspx, http://www.securelist.com/en/blog/208193750/Trying_to_unmask_the_fake_Microsoft_support_scammers

Не очень подробный, но весьма театральный доклад команды Costin Raiu, Vitaly Kamluk, Aleks Gostev из ЛК «The hunt for ‘Red October’».


John Strauchs в докладе «The Gauntlet: Defeating alarm» systems показал как с помощью магнита и пары нехитрых трюков обходить современные системы сигнализации.

Ребята из Cylance обратили свой взор на АСУ ТП управления зданием, связанные с управлением кондиционированием, вентиляцией и в докладе «ICS security from the trenches» Billy Rios и Terry McCorkle показали забавные (когда уже в SCADA начнут находить что-то серьезное) уязвимости платформы Niagra (link: http://www.darkreading.com/security/news/240147983/researchers-demo-building-control-system-hack.html).

Порадовал круглый стол в исполнении Eugene Kaspersky, Noboru Nakatani, Lee Vorthman, Steve Adegbite. "Надо больше тратить на безопасность!". Точно, кто же против!


Hacking vehicle infotainment systems в исполнении Teague Newman вообще без комментариев. Компания Ford запускает Интернет-магазин приложений для автомобилей. Я в ужасе. Парни, какую еще марку автомобиля НЕ покупать?

Отличный доклад о системе online-forensic «Umbrella Security Graph» представил Dan Hubbard из OpenDNS. Прекрасный проект, жду не дождусь, когда к нему можно будет получить доступ (link: http://blog.opendns.com/category/umbrella/)

Just because you are paranoid doesn't mean your phone isn't listening to everything you say. И это правда. Наконец-то удалось услышать доклад Ang Cui из Columbia University, на 29C3 мы выступали параллельно. Хорошее техническое исследование, отличное исполнение, ужасная схема для слайдов. Смотреть тут: http://www.youtube.com/watch?v=f3zUOZcewtA

Доклад Weaknesses in two-factor authentication мистера Nelson Murilo живо напомнил детские болезни OPT, которые мы встречали и встречаем в Интернет-банках. Забавно, но некоторые тезисы пересекались с нашим исследованием 2008 год  (http://www.ptsecurity.ru/download/PT-OTP-2008.pdf).

Очень многое почерпнул от Philip Zimmerman, особенно в рамках разговоров после выступления. Его фраза о бизнес-модели Silent Circle "All we want is your money. We are the opposite of Facebook. We don't want to sell your information. " достойна стать лозунгом.



SCADA StrangeLove

Ваш покорный слуга представил обновленную версию доклада SCADA under X-Rays (http://scadastrangelove.blogspot.com/2013/01/sux.html) в котором мы показали, почему модуль для подбора пароля S7 в John The Ripper (http://scadastrangelove.blogspot.com/2013/01/siemens-s7-jtr.html) совсем не обязателен и обновили на ICS/SCADA/PLC Google/Shodanhq Cheat Sheet (http://scadastrangelove.blogspot.com/2013/02/sas2013-release-hacking-ics-with.html).



Спасибо всем за обратную связь, вопросы и новые идеи.  К сожалению, пока мы не обо всем можем говорить, но на Black Hat Europe, Infiltrate и PHDays ждите новых сюрпризов.



В то время как я летел в самолете, Денис Баранов и Глеб Грицай рассказывали этот доклад в рамках программы Positive Education (см http://www.ptsecurity.ru/lab/webinars, прошедшие).

Русский след

Видимо сейчас модно вставлять себе в презентации что-то про страшных русских хакеров. На SAS2013 без этого не обошлось. К сожалению Antichat не упоминался, поэтому лавры Aylin Caliskan Islam, Rachel Greenstadt, Sadia Afroz (http://forum.antichat.ru/showthread.php?t=368335) и Mikko Hypponen остаются за ними.

Morgan Marquis-Boire в докладе «Cash rules everything around me: The commercialization of online spying» упомянул как всякие репрессивные режимы (включая сами знаете кого) используют Bluecoat для фильтрации демократического контента. На мой юмористический троллинг в твиттере (https://twitter.com/scadasl/status/298440917176688640) и попытки что-то объяснить в реале парни отреагировали достаточно прямолинейно: «есть исследование Citizen Lab, в нем святая правда».
Очень забавно было наблюдать как David Lenoe, Karthik Raman из Adobe в докладе «Half-disclosure: The partway zero-day phenomenon» рассказывают свои версию 0-day в Adobe Reader от Криса Касперски. Напомню, что недавно все это достаточно плотно обсуждалось в российском ИБ-сообществе (http://www.anti-malware.ru/forum/index.php?s=cf57ba793fa26c1477258e50663a8178&showtopic=24305&st=0&p=163310). Порадовал «вишнёвый сок» в «word cloud». Замечен не был, но по утрам жадно пил холодную воду, ага.



Окружение

Сан Хуан, где проходила конференция, привносил ощутимый колорит во все элементы саммита. Начиная с того, что докладчики завершали выступление громким «Cheers» и стопкой DonQ, и заканчивая прекрасным afterpaty в окружении пуэрториканских джунглей. Я не знал, завидовать или сочувствовать модераторам секций, которые опрокидывали свои стопочки после каждого доклада. Работа, тяжелая работа.



Ну и конечно возможность искупаться в океане в 5 утра (перед «встречами» с коллегами в Москве), в обед (перехватив что-то на лету) и вечером  (пока все наливают «по первенькой») просто бесценна.
Тусовка на SAS 2013 подобралась очень качественная. Мне удалось очно познакомиться со многими соратниками, с которыми плотно работал в рамках WASC (http://webappsec.org/), такими как Chris Eng (https://twitter.com/chriseng) и Cesar Cerrudo (https://twitter.com/cesarcer), организаторами конференции You Sh0t the Sheriff  (http://www.ysts.org/) в Бразилии и другими яркими личностями в мире Infosec.

Резюмируя, конференция удалась, и я покидал ее с ощущением легкого сожаления. Огромное спасибо организаторам, докладчикам и участникам.

1 комментарий:

Andrew Petukhov комментирует...

Отличный отчет, прочитал с большим интересом!