21.05.2013

О грядущем PHDays III, Жириновском, будущем молодежи, SDLC и другие размышления

Осталось всего два дня до начала третьего форума Positive Hack Days. Пора уже рассказать о том, что я там буду делать и прокомментировать некоторые одиозные высказывания людей, далеких от понимания того, что и ради чего организовывается на PHD.

Начну с конца - в первый день я буду модерировать секцию про SDLC, в которой примут участие Антон Карпов (руководитель службы ИБ Яндекса), Денис Баранов (руководитель группы по безопасности Web-приложений), Рустем Хайретдинов (генеральный директор Appercut Security) и ваш покорный слуга. Говорить мы будем о анализе качества кода с точки зрения информационной безопасности. Антон и я будем делиться практическим опытом того, как это устроено в наших компаниях (Яндекс и Cisco), а Денис и Рустем расскажут о том, как использовать SAST/DAST/IAST в контексте поиска уязвимостей и поиске закладок в исходном коде. Ну и нельзя будет обойти вниманием вопрос реализации механизма работы автоматического анализа в виде локального сканера и облачного сервиса. И хотя времени на секцию выделено немного, попробуем осветить ключевые моменты и сделать ее практической.

Вторая секция является "молодежной". Аннотация у нее следующая: "Сегодня, в 2013-м году мы находимся на пороге серьезных изменений в отрасли информационной безопасности, которые коренным образом меняют современную картину мира многих специалистов в области ИБ. Stuxnet, Duqu, Flame, Red October, Wikileaks, «Лунный лабиринт», операция «Аврора»… Атаки становятся изощреннее, а методы борьбы с ними остаются прежними. Прежние люди, отдавшие службе Родине не один десяток лет, прежние документы, мало поменявшиеся с 90-х годов. При этом современная молодежь чувствует себя лишней на этом «празднике жизни». Снижение качества образования в области информационной безопасности, нехватка специалистов, ориентация на «бумажную безопасность»… Все это отторгает молодежь от современной отечественной отрасли ИБ. Она не до конца понимает, чем она может пригодиться своей Родине. У многих молодых выпускников возникает понятное желание побыстрее заработать на своих знания, что зачастую приводит к уходу одаренных специалистов в полукриминальный или полностью криминальный бизнес; в киберпреступность. Как бороться с этой проблемой? Какие шаги предпринимают государство и бизнес для решения данной задачи? Как направить свои знания и умения в правильное русло? Об этом пойдет разговор на секции, куда приглашены представители всех основных «профильных» организаций, ответственных за информационную безопасность в Российской Федерации".

Иными словами на этой секции не будет хардкора, не будет техники, не будет шоу. Будет серьезный разговор представителей Совета Федерации, Министерства связи и массовых коммуникаций,  ЦИБ ФСБ, представителей ruCTF и Defcon Russia, представителей бизнеса с участниками PHD, с молодежью. Не будет нравоучений. Будет интересная дисскусия. Причем не односторонняя, а с активным участием тех, на кого и рассчитана секция.

Теперь насчет Жириновского. В Твиттере и ФБ началась истерия с использованием эпитетов к самому спикеру и PHD - "шапито", "клоуны", "цирк" и т.п. Отдельные личности, которым, видимо, не дает спокойно спать успех PHD, заявляют о том, что организаторы, не умея рекламировать PHD (хотя хорошее мероприятие в рекламе не нуждается), пытаются завлечь "левую" аудиторию и прессу на свою конференцию. Они же заявляют о том, что не дело на хардкорной конференции привлекать "Сару Пейлин" местного разлива. Отвечаю. Где, написано, что PHD - это хардкорное мероприятие? Где написано, что вообще техническое?

Заходим на сайт и читаем "международный форум по практической безопасности, организованный компанией Positive Technologies. Беспрецедентный по масштабу ИБ-марафон, объединяющий на одной площадке специалистов с разных сторон баррикад, теорию и практику, профессиональную дискуссию и захватывающие соревнования. На PHDays III соберется рекордное число участников — более 2000 человек, среди которых ведущие эксперты в области ИБ, важнейшие фигуры хакерской сцены, студенты и молодые ученые, представители государственных организаций, CIO и CISO крупнейших российских и зарубежных компаний". Что видим? Теория и практика, разные стороны баррикад, госорганы и бизнес, ученые и студенты... Где хардкор? В том-то и прелесть этого мероприятия, что в нем найдет баланс между техническими и бизнесовыми докладами, между правовыми и практическими аспектами ИБ, между выступления бизнеса и госорганов. Я уже в третий раз буду участвовать в PHD и могу сказать, что никогда не рассматривать его как хакерскую тусовку. даже в самый первый раз я там читал тему про кибервойны и про законодательное регулирование криптографии в России. Во второй раз говорил опять про законодательство и про плохие документы ФСТЭК. В этот раз с моими темами докладов (опять про законодательство и про безопасность M2M) меня завернули, но и без этого в программе немало "бизнесовых" выступлений, которые не тянут на хардкор, но при этом не менее интересны.

Могу отметить один интересный момент в программе. Речь идет об активном участии ФСТЭК в мероприятии. В этом году будет закрытая сессия ФСТЭК с рассказом об инспекционных проверках, а также сессия ФСТЭК про сертифицированные СЗИ и недостатки современной системы сертификации средств защиты, а также пути выхода из сложившейся ситуации. Один из редких случаев, когда регулятор готов выслушать пожелания индустрии и учесть их в своих нормативных документах (а они готовятся).

Но вернемся к Жириновскому. На этом фоне, выступление чиновника (пусть даже и уровня вицеспикера Госдумы) не выглядит чем-то из ряда вон выходящим. А в секции про роль молодежи в России и подавно. Он не будет участвовать в секциях по безопасности АСУ ТП (а их много на PHD), и слушать про бизнес-модели киберпреступности тоже. Его задача ответить на вопросы касательно усилий государства в части поддержки молодежи. И для этой задачи он как никто лучше подходит. Кстати, на тему клоунады. Мне довелось на Парламентских слушаниях (не под камеру) его несколько раз видеть и слышать и могу сказать, что глупостей он не говорит. Более того, если отбросить его особую манеру говорить, то в его словах обычно скрывает потаенный смысл (особенно учитывая, что он часто говорит то, что потом наши власти реализуют на практике). Поэтому его будет интересно послушать. Но это далеко не все сюрпризы, которые будут на "молодежной" секции. Будет очень интересное выступление от Центра информационной безопасности ФСБ России, но предвосхищать его я не буду. Вас ждут два сюрприза! Приходите - сами все увидите и услышите ;-) Будет интересно!

PS. Да, кстати. Будет у меня еще одно выступления, как от представителя спонсора ;-) Расскажу о предлагаемых Cisco продуктах в области ИБ, о которых мало кто вообще слышал в России - о CTD, о WAF, и о AntiDDoS ;-) Аккурат на 15 минут ;-)

6 коммент.:

ZZubra комментирует...

Прочитал. Обглодал локти. Денег стоит много - попасть не получается ((((
А "представителям Совета Федерации, Министерства связи и массовых коммуникаций, ЦИБ ФСБ; закрытая сессия ФСТЭК" у меня есть что сказать.
Многоуважаемый Алексей! Если посчитаете нужным и возможным, задайте этим товарищам или донесите до них, ПОЖАЛУЙСТА, следующие проблемы:
1. Для ФСТЭК и ФСБ:
не планируется ли выпустить обобщающую графическую схему с системой нормативных актов ФСТЭК и ФСБ по защите информации (в первую очередь для госорганов), чтобы видеть и представлять какие документы задумываются, что уже сделано, куда все будет двигаться дальше. Отсутствие сего документа - это создание нигилистического отношения ко всем офигительным шагам, предпринимаемым регуляторами (ну или когда документы появятся, исполнители разведут руками и скажут "кто ж знал").
2. Для ФСТЭК, ФСБ и Совета Федерации:
21 приказ минюст зарегистрировал: http://minjust.consultant.ru/page.aspx?1045253
НО! Сейчас активно создаются государственные системы, двигателем которых является предоставление электронных услуг. Очень жёстко устанавливаются сроки начала предоставления таких услуг (1 января 2013 и 2014 годов). Но создание систем (баз данных) для предоставления информации на госуслуги делается сейчас, В ОТСУТСТВИИ НОРМАТИВКИ ПО ЗАЩИТЕ!!! (нет методик моделирования, не ко всем СЗИ предъявлены новые требования, нет документов от ФСБ и т.п. все и так знают чего нет). Деньги выделяются бешеные НО ОДИН РАЗ, и ВТОРОЙ РАЗ для ПЕРЕДЕЛЫВАНИЯ СИСТЕМ ИХ НИКТО НЕ ДАСТ! ИХ и ПРОСИТЬ НА МЕСТАХ ПОБОЯТСЯ ВТОРОЙ РАЗ! И вся нормативка, такая классная и умная, будет лежать мертвым грузом и не исполняться. И сами проверяющие НИКОГДА УЖЕ не остановят работу ни портала госуслуг, ни цода медицины в регионе, ни системы ЕГЭ, ни ГАС Выборы, ни систем ЗАГСов, ни... Надо СЕЙЧАС исполнительной и законодательным властям выбрать одно из двух - или не прессовать по созданию информационных систем в ограниченные сроки или в кротчайшие сроки выпустить нормативку (или на крайний случай концепции этих документов с принципами, закладываемыми в них).
3. Для ФСБ и Совета Федерации:
Совет Федерации решает какие законы и когда вступают в силу и вступают ли вообще. Сейчас виден явный тренд на предоставление госуслуг в электронном виде, систему электронного межведа. Под это пишутся законы и подзаконники. Основой для них является возможность применения электронной подписи (ЭП). Большинство документов, переводимых в электронный формат, должны храниться достаточно продолжительное время (у нас в России есть даже несколько перечней архивных документов с указанием сроков их хранения, за нарушение которых карают по кодексам). Например, медицинская карточка амбулаторного больного (25 лет), запись о внесении в реестр собственников жилья и т.п. Есть документы и постоянного хранения!!! Но их нельзя подписывать электронной подписью!!! Даже квалифицированной!!! Почему? Потому что через 16 лет эти подписи станут не проверяемы (см. пункт 36 "Требований к средствам ЭП" приказа ФСБ №796: "Срок действия ключа проверки ЭП не должен превышать срок действия ключа ЭП более чем на 15 лет."). Итого мы получаем систему законодательства не исполнимую в принципе (хотя 15 лет ФСБ наверняка железобетонно обоснует математически) из-за отсутствия инструмента исполнения законодательства (конечно можно будет волевым решением убрать "15 лет" вообще, но какие возможности тогда открываются для высокотехнологичных мошенников... или как легко будет импортным спецслужбам перемешав записи в регистрационной палате вызвать волнения в любом субъекте РФ... А уж в каком положении окажется суд, когда подтвердить подлинность давнешних документов не представляется возможным)

ZZubra комментирует...

4. Для ФСБ:
Пока не вышли документы ФСБ по персоналке, очень бы хотелось до них донести следующее. ЕСЛИ (а оснований думать иначе очень мало) документы по персоналке будут идентичны по системе и требованиям приказу ФСБ №796, то может возникнуть страшная ситуация поголовного их неисполнения, из-за того, что строительство большинства систем уже начато, т.е. УЖЕ ЗАКУПЛЕНО ОБОРУДОВАНИЕ ШИФРОВАНИЯ (для медицины, ЕГЭ, росреестра, занятости, трудовых инстпекций и многих других). Причем закуплено от федерального до муниципального уровней. Кое где эти системы даже уже эксплуатируются (а по отчетам, наверное, вообще везде). Большинство закупленных систем классов КС2 и КС3. Если требования к прикладному и системному ПО ИСПДн будут как в 18 пункте "Требований к средствам УЦ" приказа ФСБ №796:

"18. Требования к ПО средств УЦ:
18.1. Требования для средств УЦ класса КС1:
- ПО средств УЦ не должно содержать средств, позволяющих модифицировать или искажать алгоритм работы программных средств и АС УЦ.
18.2. Требования для средств УЦ класса КС2:
- прикладное ПО средств УЦ и СКЗИ, используемых в УЦ, должно использовать только документированные функции системного ПО.
18.3. Требования для средств УЦ класса КС3:
...
- системное и прикладное ПО средств УЦ должно соответствовать 4 уровню контроля отсутствия недекларированных возможностей;"

то исполнить их для КС2 и КС3 в части НДВ для прикладного ПО будет очень сложно из-за нежелания поставщиков систем заморачиваться и НЕВОЗМОЖНОСТИ отказаться (сменить на другое ПО) от МАСШТАБНЫХ УЖЕ ВНЕДРЕННЫХ программных продуктов которые контроль отсутствия НДВ не проходили (обновления на сертифицированные версии стране тоже встанет в копеечку) и для КС3 в части НДВ ОС в связи с "отсутствием таких ОС" для существующего прикладного ПО (а в случае перехода - ни один админ не согласиться под страхом остановки работы, допустим, всех медучреждений области, переустановить ОС и ВСЕ прикладное ПО МИС, которое ставили специалисты из Москвы по многомиллионному контракту).
Если же требования по необходимости отсутствия НДВ сдвинутся на одну ступеньку (для КС1 и КС2 - вообще не требуется контроль НДВ, для КС3 - НДВ прикладного ПО ИСПДн, для КВ1 - НДВ ПО и ОС, далее - по документу), таких ужасающих последствий массово скорее всего можно будет избежать.
5. Для всех :)
Я столкнулся с подходом разработчиков, который автоматом нивелирует работу всех безопасников. На примере ORACLE. Большинство ключевых государственных систем (баз данных) работает на этой серьезной промышленной СУБД. С сертификацией этой СУБД существуют серьезные проблемы (по моим куцым сведениям). И если, может быть, для федеральных органов они разрешимы, то когда разработчики приходят в регионы внедрять свои решения на базе того же ORACLE, попытка задать вопрос про сертифицированные механизмы контроля доступа или логирования натыкаются на бешенное возмущение: ДА ВСЕ ГОСУДАРСТВЕННЫЕ СИСТЕМЫ ...(не буду тут приводить этот перечень) РАБОТАЮТ НА ORACLE!!! Вы хотите сказать что ... (далее следует перечень из министерстви служб) НЕ ИСПОЛНЯЮТ ПРИКАЗ ФСТЭК???
Естественно, что т.к. применение несертифицированных систем в работе госорганов такого уровня однозначно влияет на решения руководителей на местах, выбор идет не в пользу исполнения законодательства. А дальше наступает время проверки, при которой ни один чиновник (проверяющий)не возьмет на себя ответственность остановить работу, допустим, единой медицинской системы области. Зачем тогда вообще городить огород с нормативкой? Чтобы "враг" думал, что у нас все серьезно?

PS Все это мое провинциально-кухонно-дилетантское личное видение проблем современной России. Как хотелось бы, чтобы моя мысленная модель действительности не соответствовала действительности...

doom комментирует...

>о CTD, о WAF, и о AntiDDoS

Алексей, а последние 2 ветки разве ж вы не закрыли еще?
Cisco Guard - EOS (или EOL уже)
Cisco ACE - тоже уже объявили о свертывании...
Или вы уже дружественные решения продвигать будете?

Алексей Лукацкий комментирует...

Пока секрет :-)

Vit Volkov комментирует...

Уважаемый Алексей (или кто там будет)
Поскольку будет "флейм" (уверен все равно) - поднимите ПЛИИИЗ и развейте следующую "глобальную тему"
ЯКОБЫ ЛУЧШЕГО ПОНИМАНИЯ ЧИНОВНИКАМИ что надо для защиты безопасности бизнеса.
Особенно по лицензиям ФСБ на СКЗИ.
( только по отн. к ч.бизнесу а не к госам)
В цив.странах как: -рекомендаци дали (по ПДн) и сами решайте что выполнять из них..Хотите рискнуть реально сесть -не выполняйте. Но чьито ПДн попадутся -сядете. И бизнес гибко решает и определяет рынок(спросом)
У нас (в СКЗИ особенно) -наоборот ЧИНОВНИКИ "формируют спрос".
получается применять шифрование для лучшей защиты -себе дороже. все бегут от слова шифрование. Так чиновники насильно -"вот тут у вас должно быть шифрование -аттестуйте помещение по ПЭМИН=до100тыщ, У вас сервер и тонкие терминальн.клиенты без бумажек? выкиньте все и закупите на 500тыщ точно таких но сертифицированных + ТОЛЬКО ОТ НАШЕЙ КОНТОРЫ серт. МСЭ и НДП
и если вздумаете чтото поменять(кондишн встроить) -звоните скидку сделаем :)
ни бесплатных эффективных PGP ssl/tls, ни ssh , ни opensource вообще(если все по закону делать :)
В реальности большинство мелких "не тянет" ограничивается 1й р.станцией с ИСПДН и МСЭ ,платкой НДП в комнатушке или вообще на "бумагу" в 19й век уходят. реальная безопасность больше страдает. Нет реальной конкуренции и, соответственно низких цен в предлагаемых СКЗИ(и не может быть под контролем 1го естественного гос-монополиста).
Спасибо (вам в том числе) что хоть с СЗИ(лицензированием) полегче стало.
Но все равно в других странах как-то "все как у людей, а у нас ..все как всегда" (обидно:)

Vit Volkov комментирует...
Этот комментарий был удален автором.