16.06.2015

Три в одной: впечатление от PHD

Неделя 25-29 мая выдалась у меня напряженная неделя - обучение и три конференции - PHD, ИТОПК и ITSF. Поэтому три последующих заметки будут посвящены впечатлениям от этих мероприятий, каждому из которых я посвятил один день (исключение составила только казанская ITSF, где я "завис" на два дня). Начну с PHD.

У меня к этому мероприятию трепетное отношение еще с самого первого PHD, проходившего в гостинице "Молодежной". С тех пор мероприятие уже дважды меняло свою площадку, пока не осело в ЦМТ на Красной Пресне. Из двух дней я был только в первый и своей впечатление у меня формировалось только по нему, а также по отзывам коллег в Facebook. Сразу отмечу, что многих коллег я так и не встретил - большая площадка и цейтнот по времени :-( 

Традиционно PHD начался с пленарной сессии, на которой сошлись представители властных структур - депутаты Госдумы, представитель МИДа, представитель 8-го Центра ФСБ, представитель ФНС и, непонятно как туда затесавшийся, я. 

Пленарка PHD
Отдельные несознательные личности часто критикуют PHD именно за такую вот "попсу", считая, что хакерское мероприятие должно быть рассчитано только на гиков, а доклады должны быть такими, чтобы их поняли от силы две три сотни специалистов в стране. Я эту неумную мысль не разделял и не разделяю. Во-первых, чисто хакерские тусовки, на которых только и говорят о взломах и дырах, забывая упомянуть, как с этими проблемами бороться, - это движение в одну сторону; и сторона эта явно не белая. Во-вторых, пытаться улучшить отрасль (а мероприятие, если не рассматривать только версию своего пиара и заработка, направлено и на это) без привлечения всех ее участников невозможно. Ни один технарь, каких бы семи пядей во лбу он не был, не способен ничего сделать, если не может донести свои чаяния до властей и получить от них обратную связь.

Перед началом пленарки. Вид со сцены.
На PHD такая связь была - присутствовали и представители Госдумы, и ФСБ, и ФСТЭК, и МВД. Причем присутствовали не негласно и без бейджиков, а вполне легально и даже выступали. Мне, например, понравилась секция ФСТЭК, на которой рассказывалось о последних веяниях регулятора в контексте конференции PHD. Говорилось о банке данных угроз и уязвимостей, об устранении дыр, о возможности разработки в России своего аналога CVSS (кстати, 10 июня вышла 3-я версия). Забавно что на данную секцию пришли послушать и те, кто рьяно ругает регулятора и считает, что им не место на хакерских тусовках.

Секция ФСТЭК
По сути PHD является на сегодняшний день (и с момента своего основания) реальным объединением "пиджаков" и хакеров, бизнеса и регуляторов. Всем находится место, всегда есть место диалогу. В этом и ценность этого позитивного мероприятия, проводимого уже в пятый раз.

Про положительные стороны больше не буду - достаточно подробно описывал это в предыдущие годы. Хочу добавить немножко дегтя. Речь идет о работающих макетах цифровой подстанции и железной дороги, которые пытаются взламывать в течение двух дней конференции. Точнее не о самих макетах, а о практическом выхлопе из этих взломов. Сложно продемонстрировать последствия от атак на эти систему управления технологическими процессами.

Макет цифровой подстанции на PHD
Если с железной дорогой еще можно как-то заставить поезд сойти с рельсов, то непонятно, что демонстрировать в виде результата взлома цифровой подстанции. Погасшую лампочку? Это не цепляет. Тут надо придумывать что-то другое. Например, на стоящей рядом плазме демонстрировать хроники столкновения поездов, схождения их с рельсов и тому подобные катастрофы, которые смогут придать кибератаке зрелищности и понятности. В случае с подстанцией можно показывать часто используемый голливудскими кинематографистами пример с поэтапно гаснущими кварталами города или с отключением электроэнергии на побережье США.

Макет железной дороги на PHD
Иными словами надо добавить зрелищности и понятности к тому, что уже сделано. Тогда эти стенды превратятся из загнанных в угол в центральные элементы мероприятия, к ним можно будет водить экскурсии регуляторов и депутатов, которые не будут уже рассматривать эти стенды как игрушки, а начнут относиться серьезно к теме кибербезопасности.

Заключительным аккордом в моем взгляде на PHD станет выставка изобразительных работ, демонстрируемых в фойе конференции. Не могу сказать, что это ново - выставки работ уже были и раньше, но в любом случае это позволяет отвлечься от технических докладов. Что тоже бывает полезно.


Вот, пожалуй, и все, чем мне запомнился в этом году PHD.

ЗЫ. Для тех, кого смущает число людей на второй фотографии, хочу отметить, что она была сделана еще до 10-ти утра, т.е. до официального начала мероприятия. В течение дня картина в залах была такая:

Заполненность залов на PHD (фото из Facebook)

25 коммент.:

p.a.kulikov комментирует...

Приглашается на выступление государственный муж и пока он вещает легион жаждущих ломают систему освещения. Как только свет потух выходит ведущий и объявляет: господа, нас поимели!
Как итог: 1. Государев муж на собственной шкуре осознал эффект;
2. Хакер получил много денег потому что это был конкурс;
3. Орги получили еще одну модель взлома;
4. Maxpatrol взлетел в цене.

Алексей Лукацкий комментирует...

Лучше ломать Интернет-банк государственного мужа ;-)

p.a.kulikov комментирует...

Алексей, увы, фигня получится. За государственным мужем стоит государство со всеми вытекающими. А легкая демо-шутка модет легко сойти с рук.
Взлом интернет-банка может закончится плачевно для всех сторон.

Алексей Лукацкий комментирует...

Что-то не удаются мне шутки в последнее время ;-(

Alexey Sintsov комментирует...

Алексей, смею не согласиться. А именно:
"Отдельные несознательные личности часто критикуют PHD именно за такую вот "попсу", считая, что хакерское мероприятие должно быть рассчитано только на гиков, а доклады должны быть такими, чтобы их поняли от силы две три сотни специалистов в стране. Я эту неумную мысль не разделял и не разделяю. "

Это две разные ЦА, и первой группе плевать на вторую, тогда как второй группе первые нужны только что бы рубить бабло и иметь работу. Пока имеются такие отношения, совместная конфа это просто развлекалово для пиджаков с шоу, где хакеры веселят "вау" эффектом, а потом эти пиджаки будут "решать судьбы человечества". Диалога между "пиджками" и "футболками" нету, по карйне мере не в РФ (есть исключения, но в целом так).

Алексей Лукацкий комментирует...

Alexey: Я тоже не разделяю твою точку зрения :-) Я не понял, кого ты называешь первой и второй группой, но понимаю, что ты считаешь, что PHD - это как раз конфа для "пиджаков" с "вау"-эффектом, а это не так. Публичных докладов для пиджаков там мало и все они в рамках закрытых секций проводятся. Я как раз написал, что вау-эффекта не хватает, чтобы транслировать проделки "футболок" для понимания "пиджаков". Но то, что на одном мероприятии сходятся и те и другие, и "пиджаки" не считают себя дураками, слушая малопонятные презентации на английском языке (при русскоговорящем докладчике), изобилующие жаргонизмами, это огромный плюс, который направлен на то, чтобы "пиджаки" лучше понимали "футболок", а "футболки" лучше понимали "пиджаков".

Alexey Sintsov комментирует...

Но все равно ПХД оченб крутая и хорошая конфа, особенно некоторая её часть ;) Я просто против миксового подхода и смесь тем людей, которые друг другу не интересны..., которые превращают конфу в "фестиваль". но это мое ИМХО, конечно..

Alexey Sintsov комментирует...

Пиджакам это не интересно. Они хотят "бизнес", "риски", "политика", "импортозамещение" и что там еще... и опять же, нет, там на пхд не было "как защищать", в том контексте, в котором это есть на АппСекк ОВасп или ДевОпс. И если это добавить, это будет уже понятно только той паре сотен, но все равно будет не понятно и не интересно пиджакам. Кстати с прошлого года, на другой конфе, для "пары сотен" было эксперементально добавлено - "как защищать" ;)

Anton Shipulin комментирует...

Алексей, вот же эффект взлома цифровой подстанции:
http://www.youtube.com/watch?v=w8T-bbO3Qec

Только в эти дни добиться этого не удалось.

Рустэм Хайретдинов комментирует...

Задолбали уже меряться контентом. Любая конфа - место общения, контент - только повод слинять с работы для общения. Я вот ничего для себя интересного в программе не нашёл (хотя я не целевая аудитория концы - не "пиджак" и тем более не "футболка", так, "свитер"), но всех скопом повидать хотелось - поэтому во время конференции работу работал, а поехал сразу на афтепати в Джон Буль. У нас почти все сейлы съездили на PHD и в окрестные кафе в ЦМТ на встречи с клиентами, благо офис через дорогу.

Julia Suslina комментирует...

Вовсе не плохо делать "попсовые" секции. Хуже, когда это делается в ущерб техническим (а конференция позиционируется как техническая), и они сливаются. Они наливайку просто убили!!! Это же хедлайнер!

Алексей Лукацкий комментирует...

Ты это скажи кое-кому, кто пытается на ЗН затянуть CISO, считая что они просто обязаны пойти на ЗН как на Дефкон и Блэкхет

Алексей Лукацкий комментирует...

Алексей: вопрос в организации "неорганизуемого". В этом и искусство про бумаги интересно рассказать футболкам, и про дыры пиджакам

Алексей Лукацкий комментирует...

Антон: это стоило пиарить активнее ;-(

Алексей Лукацкий комментирует...

Руст, я рад, что ты зашел на огонек; ты редкий гость в блогах

Alexey Sintsov комментирует...

"Ты это скажи кое-кому, кто пытается на ЗН затянуть CISO" -- так есть мнение, что ЦИСО может и должен интересоваться такой тусовкой и контентом. Но просто я считаю в у нас в стране немного другая "ИБ культура". Пока не готовы, хотя многие ЦИСЫ там есть и вроде им ок, раз приходят опять...
Про бумаги-футболкам и сплойты-пиджакам: тут не очень ясно, наверное как то так можно сделать, но верится с трудом... особенно про бумаги-футболкам. Пиджакам как раз полезнее поднимать свою базу знаний того что есть в мире и как оно работает, что бы быть ближе к предметной области и писать более правильные бумажки. Мир пиджаков зависит от того что делается в мире футболок, в то время как мир мир футболок не имеет зависимостей от пиджаков (или имеет, но косвенные и скорее как "feedback"). Я был на на пхдейсах и всегда футболки сами по себе в своей тусе, поэтому конфа хорошая, пиджаки не мешают - да они там где то есть, какие то закрытые совещания проводят, ходят туда-сюда, пялятся. Но всем (футболкам) пофиг, главное что есть несколько технических докладов, много конкурсов, кругом товарищи и все красиво и удобно, поэтому ПХДейс им (и мне) нравится.

Алексей Лукацкий комментирует...

Вопрос тусовки не рассматриваем :-) Это само собой и даже не обсуждается. Что касается КАК, то тут все просто. Например, футболка делает доклад "как ломать нечто через что-то". Какой от этого выхлоп для пиджака? Никакого. А вот если добавить в доклад либо "от этого защищаться так-то" или "последствия взлома такие-то и приводит к тому-то", то вот тебе и диалог между футболкой и пиджаком. Пиджаку сразу становится понятно, к чему может привести та или иная проблема.

Тоже самое касается и обратной связи. Пиджак делает доклад на тему "мы пишем стандарт/закон/приказ в котором будет указано, что частота аудита и сканирования сети должна быть раз в год". А футболки ему - "не, раз в год - это редко. надо раз в квартал". Или "мы прописали такие-то требования к компаниям пентестерам", а футболки обоснованно (ключевое слово) парируют, что требования должны быть другими или вообще никаких требований к пентестерам нельзя применять, так как они люди искусства.

И в обоих случаях очень важна работа организатора, который сможет быть толмачем на обоих языках и сможет заставить докладчиков с обеих сторон баррикад пойти навстречу друг другу.

ЗЫ. А культура сама не появляется - она формируется

Alexey Sintsov комментирует...

Ну не знаю. Вообще доклад, это продукт человека, автора, и он ставит собой цель что он хочет сказать, соответственно есть оффенсив доклады которые ставят разные месседжы, я попробую сформулировать хотя бы часть:

1) Я очень умный, я сидел год и реверсил, и нашел очень неявную багу, которую смог засплойтить и я расскажу, как я искал, как реверсил, каике сложности и не стандартные решения я применил что бы сделать сплойт.

Такой доклад интересен для тех кому интересна искусство и техника взлома.

2) Я очень умный, и нашел новый способ обойти защиту Х, прикольное и не стандартное решние, поэтому теперь те кто пользуются защитой X должны знать, что это фуфня.

Вариация предыдущей темы, однако акцент немного другой.

3) Я такой же умный как и те двое, я нашел проблемы в решении/софте и системе, баг(и). Теперь я могу сделать А, Б, Ц.

Опять же вариация, только тут акцент на некий продукт и систему, и возможности который получает атакующий, а не на сложность и поиск баги, как в случае 1. Уже немного другая ЦА, например пользователи продукта смогут понять скрытые вещи в продукте и потенициальные и реальные угрозы. Такого рода доклады полезны как демонстрация слабостей технологии, системы или продукта а так же как история как эту проблему решили (вендор выпустил патч, или нужно уонфигурить системы по другому). Как правило во всех таких докладах есть секция в конце "что делать, что бы нас это не коснулась".

4) Я разработал тулу/фреймвор которая упрощает:
а) Фаззинг
б) Поиск багов в Y
в) какая то еще автоматизация, типа поиска и построение ROP

Опять же интересно: некое решение которое решает нестандартную задачу и помогает коммунити.

5) что то еще может быть, что упустил...



Из 4ых таких футболочных докладов, только номер 3 может быть интересен пиджакам, но такие доклады есть и на ЗН и на ПХД, и на БлекХат с Дефконом, ничего нового. Про пример взаимодействия, вот мне кажется так оно и есть. Есть же доклады "сертификация ваша отстой, мы опять нашли такие баги, которые у приличных компаний уже 10 лет как нет, в нашем отечественном софте полно." Все футболка сказал, а дальше пиджаки такие "вот сертификация не отвечает тому-то и тому то и она не идеальна ив вообще решает не ту задачу". Все пиджаки ссылаются на футболки, когда им надо подкрепить свои стремления что-то куда-то протолкнуть.

p.a.kulikov комментирует...

Алексеи!
вы как-то об очень разных вещах разным языком говорите. или язык найдите общий, или говорите об одном предмете. у меня только один вопрос остался: а что же делать с теми кто из "маек" вырос в "пиджаки"?

мое личное мнение: ПХД, ИТСФ, ЗН - классные конфы и спасибо оргам, что они их делают! кроме ИТСФ, на которой не было "маяк" на других двух полно представителей и тех и других. и даже трехбуквенных организаций. просто у одной группы туда ходить "мотивация", а другой - "стимуляция". вот и вся разница :)
ИМХО

Alexey Sintsov комментирует...

а что же делать с теми кто из "маек" вырос в "пиджаки"?

Павел, да ничего не надо делать... условности это все, если тебе интересно что-то, то ты будешь сам искать контент и общество и все такое. Я просто к тому, что не надо пиджаков заставлять и "сводить" с футболками, как и наоборот...

P.S. Хотя что значит вырос? Можно ли из пиджака вырасти в футболку? Но это другой вопрос, почему то в РФ считают, что технарь - это низкий сорт спеца, а пиджак - высокой, хотя мне очевидно, что тут вообще нет такой связи.

Алексей Лукацкий комментирует...

А много ли технарей "за 40", которые не хотят стать пиджаками?

p.a.kulikov комментирует...

Алексей, под термином "вырос" я имел ввиду, что данный специалист принял решение отвечать за других/вести их за собой/ взял патронаж/стал наставником. Как угодно. Смысл в принятом решении.
Когда я был "майкой" (при этом ходил в костюме) я мог сказать: да шло оно все! Сейчас когда я "пиджак" (при этом хожу в майке), такой роскоши я себе позволить не могу. И да, в ответе за тех, кого привели, протолкнули.
Развитие, как и разруха, в головах".
Написал и подумал: а мы точно на одном языке разговариваем?
"Пиджак" - это руководитель или представитель "бумажной" безопасности?
"Майка" - это подопечный или представитель "практической" безопасности?

Алексей Лукацкий комментирует...

Да ;-)

Alexey Sintsov комментирует...

Ладно, тут у нас и вправду разные взгляды на термины. Футболка может быть руководителем и занимать менеджерскую должность. Пиджак и Футболка это не рабочие тайтлы же 8)) Просто вы считаете что Фктболка - это техно-дрочер, который отвечает только за код, копается в чем-то там и не принимает решения, не влияет на бизнес и тд. Я немного не так думаю, но это скорее потому что я работаю в ИТ/Софтваре компании... хз. Но на самом деле это даже не принципиально, скорее важнее то, чем человек интересуется и что (какие знания и компетенции) ему важны для работы.

p.a.kulikov комментирует...

Ну так надо договориться о "терминологии".