В мире ИБ существует целая куча конференций, посвященных техническим и не очень проблемам ИБ. Если говорить о США, то, определенно, все знают о таких монстрах, как BlackHat и Defcon. В Европе тоже полно конференций, среди которых я бы выделил HackInTheBox, тот же BlackHat, а также иные небольшие, локальные, но это не значит, что плохие – Chaos Communication Congress, CONFidence, DeepSec, BruCon, PH-Neutral. Мне удалось побывать на европейской части BlackHat, о чем, собственно, и пишу.
В этом году конференция BlackHat EU проходила в Амстердаме, в середине марта. Конференция шла целых ТРИ дня – с 14-го по 16-е марта. В ней было три трека. Первые два трека являлись обыкновенными площадками с докладами по 45 минут + вопросы. Третий трек был посвящен мастер-классам (workshops). Дополнительно шли платные тренинги. Это насыщенная и богатая программа. По понятным причинам, побывать на всех докладах и воркшопах я не смог, а тренинги – те вообще стоили немалых денег. Остановлюсь на тех, где мне удалось побывать.
Первым спикером (кей-нот спикером) был сам Уитфилд Диффи. Если кто не в курсе, это один из отцов криптографии с открытым ключом (алгоритм Диффи-Хеллмана-Меркля). Выступал он живо и интересно. Вообще без слайдов. Много говорил об общих, но важных вещах, задающих направление всей отрасли, например о том, как делать вещи безопасно. На самом деле это выступление записано на видео, так что, если кому интересна философия ИБ, прошу просмотреть.
Второй доклад был от достаточно известного товарища – Шария Шаха (SHREERAJ SHAH). Тема – «Топ-10 угроз HTML5». Казалась бы, достаточно нудное название не предвещает ничего интересного, но на деле это было очень увлекательное повествование о реальных угрозах и возможных ошибках в коде. Кроме того, все это сопровождалось видеодемонстрациями. Лично я посчитал очень удобным подходом собрать все угрозы в одном месте и четко донести до слушателей существующие проблемы. ИМХО, рекомендую для веб-разработчиков и прочих любителей HTML.
Доклад Винчензо Иоззо (который как раз прибыл из Канады с конкурса PWN2OWN, где вместе со своим коллегой смог «наказать» браузер Firefox) был посвящен «песочницам» для приложений. Очень наглядная презентация, было даже красивое дерево с допустимыми и не очень вызовами, которые контролируются брокером и т.д. Опять же, для разработчиков крайне полезная информация.
Кстати, теме сэндбоксинга был посвящен еще один интересный доклад, уже более агрессивный – названный буквально так: «Как нафаззить себе путь из песочницы Adobe Reader». Докладчики: GUILLAUME LOVET и ZHENHUA LIU (не буду переводить и коверкать, ибо не уверен, что правильно расслышал их имена). Доклад, собственно, содержит именно то, о чем было сказано в названии. Разговор шел о том, как в прошлом году была найдена бага CVE-2011-1353 и как можно было юзать эту багу. Она как раз и заключалась в обходе ограничений песочницы. Их вывод: sandbox не панацея. Мило, круто, интересно.
Ну, говорить о каждом докладе я не буду. Во-первых, был далеко не на всех, а во-вторых, проще самим сходить да посмотреть, что там было: https://blackhat.com/html/bh-eu-12/bh-eu-12-archives.html
Отмечу еще воркшоп от Никхил Миттала (NIKHIL MITTAL), про использование таких штучек, как Teensy, во время тестов на проникновение. Если коротко, то Teensy – это дешевый программируемый контроллер с USB-разъемом. Поэтому злые дяди используют его как HID-устройство. Собственно, мы говорили об этом на встречах группы DCG в Питере, но Никхил завел целый воркшоп. Как создавать, что делать, как пользоваться и т.д. Кроме того, он написал целую тучу нагрузок, таких как: включение вай-фая с паролем таким-то, поднятие Meterpreter (бэкдорчик от Metasploit). Достаточно все забавно и увлекательно. Ну и тема применения – всякими там политиками и тулзами запрещено подключать storage и др. девайсы, кроме мышек да клавиатур (HID). А вставляя Teensy в такой ПК, мы выполняем-таки произвольный код и все равно заражаем его. Понятно, что теми же политиками и тулзами можно и от этого защитится, но, тем не менее, это реальная угроза.
А еще мы неслабо потусили с Никхилом, и он открыл мне радости индийской кухни. Человек он умный и интересный. Кроме того, мне удалось пообщаться с таким грандами хак-мира, как Питер Ван Еукхот (corelancoder, www.corelan.be), Дмитрий Скляров (рассказывал много очень интересного), Феликс Линдер и многими другими. Атмосфера была достаточно неформальная, несмотря на «статус». Во второй день конференции в одном из амстердамских баров была вечеринка от IOActive, где все желающие могли получить неограниченное число напитков за счет спонсора, что, разумеется, только способствовало общению и получению положительных эмоций. Возвращаясь к докладам, было 2 доклада из России, один мой – про пен-тестинг и 0-day, а также баги в Lotus, а второй от Дмитрия Склярова и Андрея Беленко – с этим докладом Дмитрий еще выступит в Москве на PHD, так что не все потеряно. А мой доклад ещё увидит свет на встрече DCG#7812, а также на конференции CONFidence в Кракове, тоже в мае.
Кроме того, на конференции была секция для демонстрации наработок и ПО, где выступил Андрей Лабунец, хороший человек и студент Тюменского государственного университета, демонстрируя свой фреймворк для фаззинга – Windbgshark. Достаточно любопытная вещь: сетевой фаззер с поддержкой windbg скриптов и модификации запросов в реальном времени, а также отображением структуры в whireshark. Он даже показал один 0-day в коде MS, который нашелся с помощью его фаззера.
Подводя итоги, хочется отметить нулевое присутствие российской аудитории на зарубежных конференциях. Понять причины этого несложно. Но все же в некоторой степени обидно. При этом хочется отметить, что доля украинских посетителей стабильна – в районе одного человека на конференцию. В прошлом году именно на CONFidence я познакомился с Глебом из Ukrainian Information Security Group, в этом году – с Назаром из SoftServe. Люди тянутся к знаниям и обмену опытом. Это воодушевляет!
На фото: Андрей Лабунец, я — d00kie, Назар, Дмитрий Скляров.
Автор: d00kie