Грандиозный форум по практической безопасности Positive Hack Days IV, сердце которого бьется в центре Москвы, прошагал по всей планете и подошел к своему финалу. Спасибо вам огромное! Два дня пролетели незаметно благодаря невероятной концентрации нестандартно мыслящих людей с разных уголков света.
Определены победители международных соревнований CTF и множества других конкурсов, включая экстремальную «Наливайку», состоялись десятки важнейших докладов и увлекательных мастер-классов. Не менее интересные события проходили на 15 удаленных площадках PHDays Everywhere в четырех странах мира. Обо всем этом читайте в наших репортажах и в твиттере @phdays.
Сегодня мы процитируем наиболее запоминающиеся тезисы, прозвучавшие 22 мая во время центральных дискуссий.
Кто хозяин интернета?
Кому выгодна «глобальная слежка»? Где у интернета слабые места? Кто и как регулирует жизнь Всемирной сети? Ведущие эксперты по информационной безопасности, лидеры интернет-отрасли, представители МИДа и Совета Федерации встретились во второй день международного форума по практической безопасности Positive Hack Days, чтобы принять участие в острой дискуссии «Государство и информационная безопасность».
Представитель МИДа Борис Васильев подверг критике проект регулирования интернета, разработанный США для Совета Европы, так называемую Будапештскую конвенцию. В ней есть пункт Б статьи 32, где оговаривается возможность осуществлять мониторинг информационных систем, в том числе закрытых, без уведомления их владельцев. Все 35 стран, подписавших конвенцию, фактически дали добро на слежку за собой и своими гражданами.
«Каждое государство имеет право на суверенитет в своем информационном пространстве», — подчеркнул Борис Васильев. Россия является одним из разработчиков международного закона о защите персональных данных, где этот принцип должен быть реализован, однако у закона есть противники, которые выступают против передачи интернета под международный контроль. По их мнению, интернет принадлежит одновременно всем и никому.
Ахиллесова пята
Андрей Колесников, директор Координационного центра национального домена сети Интернет, продолжил тему международного и российского регулирования, заявив, что сломать интернет очень трудно, но у него есть ахиллесова пята — там, где техническое регулирование сталкивается с информационной безопасностью. Он задал интересный вопрос аудитории: что произойдет с интернетом, если судебный пристав придет с ордером на отключение, допустим, домена Ирана — к инженерам компании VeriSign, которая контролирует корневые интернет-серверы?..
Каких законов бояться
Самый острый вопрос — регулирование российского интернета и недавние законотворческие инициативы (запрет на зарубежный хостинг для государственных сайтов, требование регистрации блогеров-трехтысячников и др.) прокомментировала Людмила Бокова, член Совета Федерации, председатель временной комиссии по развитию информационного общества. Она отметила, что речь в законе идет о блогах, аудитория которых достигает 3 тыс. посетителей в сутки, и что это лишь один из критериев, позволяющих заносить блоги в реестр. Кроме того, предстоит еще определить порядок формирования подобного реестра.
По мнению Андрея Колесникова, опасаться следует не закона о трехтысячниках, который все-таки не коснется большинства пользователей, а недавно анонсированных предложений по введению для Рунета трехуровневой модели, ограничению количества трансграничных переходов и переносу DNS-серверов на территорию Российской Федерации. По его словам, при такой конфигурации Россия окажется просто изолирована по информационному периметру.
Различия в гигиене
Леонид Филатов, глава OpenStat, поднял тему защиты персональных данных посетителей сайтов. Сегодня, по его словам, в России лишь 6 из 40 компаний, использующих инструменты для сбора данных о посетителях, имеют прописанную политику работы с персональными данными. Таким образом, подобные компании не принимают на себя никаких обязательств по обеспечению сохранности персональных данных. В Европе, чтобы «прицепить к пользователю кукис», у него как минимум спрашивают на это разрешение. «У нас в сети не работают элементарные санитарно-гигиенические правила», — заявил Филатов.
Нечистоплотные персонажи могут воспользоваться дырами в законодательстве и недостатками онлайн-гигиены для продажи персональных данных, для слежки, нечестной предвыборной борьбы с использованием кибероружия... Данные о стоимости организации DDoS и флуд-атак, взлома почты, внедрения «человека посередине» и других хакерских трюков привел Евгений Венедиктов, представитель пресс-службы московского отделения ЛДПР, — почерпнув их из «прейскуранта», который попал к нему в руки от одного из «специалистов», предлагающих подобные услуги.
В дискуссии прозвучали также тезисы о «форсайтах» и ликбезе граждан. Участники выразили надежду, что законотворцы будут чаще сотрудничать с экспертами в области ИБ.
Прямая речь:
«Иногда создается впечатление, что законодатели просто стесняются спросить специалистов, как работает интернет», — прозвучало в одном из комментариев.
Почему хакеру интересен телевизор?
Современные телевизоры часто оснащены веб-камерами и микрофонами. Аппаратами с функцией Smart TV пользуются уже очень многие, утверждают Луиджи Ауриема и Донато Ферранте, всемирно известные эксперты по информационной безопасности, — и масштаб атаки может быть очень широким. Атакующий может подслушивать и подглядывать, может взломать, к примеру, Smart TV в переговорной и подслушивать деловые встречи. К тому же двунаправленный канал позволяет проводить атаки типа «человек посередине», внедряя собственный контент, чтобы повлиять на зрителей. Очевидная проблема смарт-телевизоров — недостаточно защищенный софт и относительно медленный выпуск обновлений безопасности. Если на компьютере уязвимость, скажем, браузера может быть устранена буквально в течение дня, то производители ТВ далеко не всегда столь оперативны.
Угрозы 3.0 и интернет вещей
Угрозы прогнозировались и еще на одной секции. Участники дискуссии обсудили, какие новые информационные опасности несут бизнесу и простым пользователям «умные вещи», способные подключаться к интернету. Данные, собираемые холодильниками и тостерами, можно использовать не только во благо: новые модели автомобилей, подключенные к интернету, могут выдавать свое местонахождение, а с помощью кондиционера, управляемого с телефона, можно «простудить» сотрудников конкурента. Данные о потреблении электричества расскажут о том, когда жильцы бывают дома.
Существует ли удобные и неуязвимые приложения?
Аналитик и специалист по антифрод-системам Анна Армарчук из «Яндекс.Денег» уверена, что конфликт эргономики и безопасности принципиально неразрешим и необходимо удерживать риски на приемлемом уровне, при котором бизнес приносит прибыль, а клиенты довольны сервисом. В ходе секции «AppSec: от почты до порталов госуслуг» она рассказала, как не стать жертвой киберпреступников и что представляет собой хорошая антифрод-система.
Пострадавшие от мошенников пользователи сервиса Яндекс.Деньги, как правило, не использовали OTP и антивирусы, сами сообщали код из SMS, хранили ключи во взломанном аккаунте и теряли телефон. Для выявления инцидентов мошенничества хорошая антифрод-система должна вести запись новых данных, блокировать подозрительные транзакции и счета потенциальной жертвы. Яндекс.Деньги участвуют в общей программе поиска уязвимостей (баг-баунти) «Яндекса» и проводят регулярные нагрузочные тестирования.
Молоток против макбука
О баг-баунти говорил и Владимир Дубровин, руководитель группы тестирования Mail.Ru. Он рассказал о стартовавшей программе поиска уязвимостей hackerone.com, цель которой помочь повысить безопасность множества собственных и партнерских проектов — от флэш-открытки со смеющимися котиками до электронной почты. На PHDays IV компания Mail.ru предложила приз для авторов поступающих репортов за лучшую найденную уязвимость (MacBook Air) и пообещала разбить его молотком, если реальных уязвимостей никто не найдет. Репортаж об этом душещипательном конфликте — уже скоро!
Красивые аббревиатуры и безопасная разработка
Во всем мире сейчас активно пропагандируются системы Secure Software Development Lifecycle (SDDL), которые помогают создавать безопасный код и обещают минимизировать самые разнообразные риски — от взлома приложений до восстания машин. Ведущий эксперт Positive Technologies Андрей Бершадский уверен, что всех проблем SDDL решить не может. «Нельзя взять из коробки, к примеру, систему документооборота — и внедрить ее в чистом виде. Необходимо создавать "кастомные" модули и адаптировать другие элементы, максимально приближая продукт к потребностям конкретного бизнеса; это заставляет компанию обращаться к разработчикам — своим или сторонним. Для них же безопасность, как правило, не является основным критерием: если о ней не позаботиться, это не отразиться на дедлайне и не приведет к срыву проекта. Во главе угла обычно стоит функциональность».
Что случается с «черными шляпами»
Илья Сачков, генеральный директор компании Group-IB, которая занимается расследованием киберпреступлений, рассказал о прецедентом аресте создателя Blackhole — популярнейшего набора утилит и сценариев для эксплуатации уязвимостей. Автор этой коллекции, как выяснили следователи, тратил на ее создание внушительные суммы, покупая отдельные эксплойты за сотни тысяч долларов.
Прямая речь:
«Возможно, поначалу черное хакерство кому-то кажется игрой, — отметил Илья Сачков. — Но потом люди, отвечающие за экономическую часть очередного «проекта», берут вас в оборот, возможно везут вас куда-нибудь в Дагестан, у вас ломается жизнь, психика, и запятнав себя, вы больше никогда не сможете выехать из страны, а будете либо всю жизнь работать на бандитов, либо — если очень-очень повезет — на соответствующие госорганы».
Конкурентная разведка: солдаты киберудачи
«Competitive intelligence появилась примерно 25 лет назад, отделившись от промышленного шпионажа», — так начал свое выступление «Жизнь после Сноудена. Современный инструментарий интернет-разведки» Андрей Масалович. Конкурентная разведка — это сбор и обработка информации из открытых источников — в рамках закона и этических норм. Она служит для поддержки и повышения конкурентоспособности коммерческой организации. Киберразведчик может зарабатывать 1000 евро в день, но должен при этом придерживаться жестких правил игры: ему противодействуют спецслужбы ведущих держав, которые борются за контроль над киберпространством. Андрей рассказал о практических методах анонимизации, позволяющих избавиться от основных идентификаторов, которых у обычного интернет-пользователя как минимум полсотни. Была рассмотрена, например, функция Multipeer Connectivity Framework в Apple iOS 7, позволяющая организовать беспроводную сеть формата WMN (когда интернет «протянут по цепочке» там, где нет сотовых вышек).
Записи всех выступлений второго дня Positive Hack Days IV доступны по адресу: http://www.phdays.ru/broadcast/#2
