Неделя 25-29 мая выдалась у меня напряженная неделя - обучение и три конференции - PHD, ИТОПК и ITSF. Поэтому три последующих заметки будут посвящены впечатлениям от этих мероприятий, каждому из которых я посвятил один день (исключение составила только казанская ITSF, где я "завис" на два дня). Начну с PHD.
У меня к этому мероприятию трепетное отношение еще с самого первого PHD, проходившего в гостинице "Молодежной". С тех пор мероприятие уже дважды меняло свою площадку, пока не осело в ЦМТ на Красной Пресне. Из двух дней я был только в первый и своей впечатление у меня формировалось только по нему, а также по отзывам коллег в Facebook. Сразу отмечу, что многих коллег я так и не встретил - большая площадка и цейтнот по времени :-(
Традиционно PHD начался с пленарной сессии, на которой сошлись представители властных структур - депутаты Госдумы, представитель МИДа, представитель 8-го Центра ФСБ, представитель ФНС и, непонятно как туда затесавшийся, я.
Пленарка PHD |
Отдельные несознательные личности часто критикуют PHD именно за такую вот "попсу", считая, что хакерское мероприятие должно быть рассчитано только на гиков, а доклады должны быть такими, чтобы их поняли от силы две три сотни специалистов в стране. Я эту неумную мысль не разделял и не разделяю. Во-первых, чисто хакерские тусовки, на которых только и говорят о взломах и дырах, забывая упомянуть, как с этими проблемами бороться, - это движение в одну сторону; и сторона эта явно не белая. Во-вторых, пытаться улучшить отрасль (а мероприятие, если не рассматривать только версию своего пиара и заработка, направлено и на это) без привлечения всех ее участников невозможно. Ни один технарь, каких бы семи пядей во лбу он не был, не способен ничего сделать, если не может донести свои чаяния до властей и получить от них обратную связь.
Перед началом пленарки. Вид со сцены. |
На PHD такая связь была - присутствовали и представители Госдумы, и ФСБ, и ФСТЭК, и МВД. Причем присутствовали не негласно и без бейджиков, а вполне легально и даже выступали. Мне, например, понравилась секция ФСТЭК, на которой рассказывалось о последних веяниях регулятора в контексте конференции PHD. Говорилось о банке данных угроз и уязвимостей, об устранении дыр, о возможности разработки в России своего аналога CVSS (кстати, 10 июня вышла 3-я версия). Забавно что на данную секцию пришли послушать и те, кто рьяно ругает регулятора и считает, что им не место на хакерских тусовках.
Секция ФСТЭК |
Про положительные стороны больше не буду - достаточно подробно описывал это в предыдущие годы. Хочу добавить немножко дегтя. Речь идет о работающих макетах цифровой подстанции и железной дороги, которые пытаются взламывать в течение двух дней конференции. Точнее не о самих макетах, а о практическом выхлопе из этих взломов. Сложно продемонстрировать последствия от атак на эти систему управления технологическими процессами.
Макет цифровой подстанции на PHD |
Макет железной дороги на PHD |
Иными словами надо добавить зрелищности и понятности к тому, что уже сделано. Тогда эти стенды превратятся из загнанных в угол в центральные элементы мероприятия, к ним можно будет водить экскурсии регуляторов и депутатов, которые не будут уже рассматривать эти стенды как игрушки, а начнут относиться серьезно к теме кибербезопасности.
Заключительным аккордом в моем взгляде на PHD станет выставка изобразительных работ, демонстрируемых в фойе конференции. Не могу сказать, что это ново - выставки работ уже были и раньше, но в любом случае это позволяет отвлечься от технических докладов. Что тоже бывает полезно.
Вот, пожалуй, и все, чем мне запомнился в этом году PHD.
ЗЫ. Для тех, кого смущает число людей на второй фотографии, хочу отметить, что она была сделана еще до 10-ти утра, т.е. до официального начала мероприятия. В течение дня картина в залах была такая:
Заполненность залов на PHD (фото из Facebook) |
Приглашается на выступление государственный муж и пока он вещает легион жаждущих ломают систему освещения. Как только свет потух выходит ведущий и объявляет: господа, нас поимели!
ОтветитьУдалитьКак итог: 1. Государев муж на собственной шкуре осознал эффект;
2. Хакер получил много денег потому что это был конкурс;
3. Орги получили еще одну модель взлома;
4. Maxpatrol взлетел в цене.
Лучше ломать Интернет-банк государственного мужа ;-)
ОтветитьУдалитьАлексей, увы, фигня получится. За государственным мужем стоит государство со всеми вытекающими. А легкая демо-шутка модет легко сойти с рук.
ОтветитьУдалитьВзлом интернет-банка может закончится плачевно для всех сторон.
Что-то не удаются мне шутки в последнее время ;-(
ОтветитьУдалитьАлексей, смею не согласиться. А именно:
ОтветитьУдалить"Отдельные несознательные личности часто критикуют PHD именно за такую вот "попсу", считая, что хакерское мероприятие должно быть рассчитано только на гиков, а доклады должны быть такими, чтобы их поняли от силы две три сотни специалистов в стране. Я эту неумную мысль не разделял и не разделяю. "
Это две разные ЦА, и первой группе плевать на вторую, тогда как второй группе первые нужны только что бы рубить бабло и иметь работу. Пока имеются такие отношения, совместная конфа это просто развлекалово для пиджаков с шоу, где хакеры веселят "вау" эффектом, а потом эти пиджаки будут "решать судьбы человечества". Диалога между "пиджками" и "футболками" нету, по карйне мере не в РФ (есть исключения, но в целом так).
Alexey: Я тоже не разделяю твою точку зрения :-) Я не понял, кого ты называешь первой и второй группой, но понимаю, что ты считаешь, что PHD - это как раз конфа для "пиджаков" с "вау"-эффектом, а это не так. Публичных докладов для пиджаков там мало и все они в рамках закрытых секций проводятся. Я как раз написал, что вау-эффекта не хватает, чтобы транслировать проделки "футболок" для понимания "пиджаков". Но то, что на одном мероприятии сходятся и те и другие, и "пиджаки" не считают себя дураками, слушая малопонятные презентации на английском языке (при русскоговорящем докладчике), изобилующие жаргонизмами, это огромный плюс, который направлен на то, чтобы "пиджаки" лучше понимали "футболок", а "футболки" лучше понимали "пиджаков".
ОтветитьУдалитьНо все равно ПХД оченб крутая и хорошая конфа, особенно некоторая её часть ;) Я просто против миксового подхода и смесь тем людей, которые друг другу не интересны..., которые превращают конфу в "фестиваль". но это мое ИМХО, конечно..
ОтветитьУдалитьПиджакам это не интересно. Они хотят "бизнес", "риски", "политика", "импортозамещение" и что там еще... и опять же, нет, там на пхд не было "как защищать", в том контексте, в котором это есть на АппСекк ОВасп или ДевОпс. И если это добавить, это будет уже понятно только той паре сотен, но все равно будет не понятно и не интересно пиджакам. Кстати с прошлого года, на другой конфе, для "пары сотен" было эксперементально добавлено - "как защищать" ;)
ОтветитьУдалитьАлексей, вот же эффект взлома цифровой подстанции:
ОтветитьУдалитьhttp://www.youtube.com/watch?v=w8T-bbO3Qec
Только в эти дни добиться этого не удалось.
Задолбали уже меряться контентом. Любая конфа - место общения, контент - только повод слинять с работы для общения. Я вот ничего для себя интересного в программе не нашёл (хотя я не целевая аудитория концы - не "пиджак" и тем более не "футболка", так, "свитер"), но всех скопом повидать хотелось - поэтому во время конференции работу работал, а поехал сразу на афтепати в Джон Буль. У нас почти все сейлы съездили на PHD и в окрестные кафе в ЦМТ на встречи с клиентами, благо офис через дорогу.
ОтветитьУдалитьВовсе не плохо делать "попсовые" секции. Хуже, когда это делается в ущерб техническим (а конференция позиционируется как техническая), и они сливаются. Они наливайку просто убили!!! Это же хедлайнер!
ОтветитьУдалитьТы это скажи кое-кому, кто пытается на ЗН затянуть CISO, считая что они просто обязаны пойти на ЗН как на Дефкон и Блэкхет
ОтветитьУдалитьАлексей: вопрос в организации "неорганизуемого". В этом и искусство про бумаги интересно рассказать футболкам, и про дыры пиджакам
ОтветитьУдалитьАнтон: это стоило пиарить активнее ;-(
ОтветитьУдалитьРуст, я рад, что ты зашел на огонек; ты редкий гость в блогах
ОтветитьУдалить"Ты это скажи кое-кому, кто пытается на ЗН затянуть CISO" -- так есть мнение, что ЦИСО может и должен интересоваться такой тусовкой и контентом. Но просто я считаю в у нас в стране немного другая "ИБ культура". Пока не готовы, хотя многие ЦИСЫ там есть и вроде им ок, раз приходят опять...
ОтветитьУдалитьПро бумаги-футболкам и сплойты-пиджакам: тут не очень ясно, наверное как то так можно сделать, но верится с трудом... особенно про бумаги-футболкам. Пиджакам как раз полезнее поднимать свою базу знаний того что есть в мире и как оно работает, что бы быть ближе к предметной области и писать более правильные бумажки. Мир пиджаков зависит от того что делается в мире футболок, в то время как мир мир футболок не имеет зависимостей от пиджаков (или имеет, но косвенные и скорее как "feedback"). Я был на на пхдейсах и всегда футболки сами по себе в своей тусе, поэтому конфа хорошая, пиджаки не мешают - да они там где то есть, какие то закрытые совещания проводят, ходят туда-сюда, пялятся. Но всем (футболкам) пофиг, главное что есть несколько технических докладов, много конкурсов, кругом товарищи и все красиво и удобно, поэтому ПХДейс им (и мне) нравится.
Вопрос тусовки не рассматриваем :-) Это само собой и даже не обсуждается. Что касается КАК, то тут все просто. Например, футболка делает доклад "как ломать нечто через что-то". Какой от этого выхлоп для пиджака? Никакого. А вот если добавить в доклад либо "от этого защищаться так-то" или "последствия взлома такие-то и приводит к тому-то", то вот тебе и диалог между футболкой и пиджаком. Пиджаку сразу становится понятно, к чему может привести та или иная проблема.
ОтветитьУдалитьТоже самое касается и обратной связи. Пиджак делает доклад на тему "мы пишем стандарт/закон/приказ в котором будет указано, что частота аудита и сканирования сети должна быть раз в год". А футболки ему - "не, раз в год - это редко. надо раз в квартал". Или "мы прописали такие-то требования к компаниям пентестерам", а футболки обоснованно (ключевое слово) парируют, что требования должны быть другими или вообще никаких требований к пентестерам нельзя применять, так как они люди искусства.
И в обоих случаях очень важна работа организатора, который сможет быть толмачем на обоих языках и сможет заставить докладчиков с обеих сторон баррикад пойти навстречу друг другу.
ЗЫ. А культура сама не появляется - она формируется
Ну не знаю. Вообще доклад, это продукт человека, автора, и он ставит собой цель что он хочет сказать, соответственно есть оффенсив доклады которые ставят разные месседжы, я попробую сформулировать хотя бы часть:
ОтветитьУдалить1) Я очень умный, я сидел год и реверсил, и нашел очень неявную багу, которую смог засплойтить и я расскажу, как я искал, как реверсил, каике сложности и не стандартные решения я применил что бы сделать сплойт.
Такой доклад интересен для тех кому интересна искусство и техника взлома.
2) Я очень умный, и нашел новый способ обойти защиту Х, прикольное и не стандартное решние, поэтому теперь те кто пользуются защитой X должны знать, что это фуфня.
Вариация предыдущей темы, однако акцент немного другой.
3) Я такой же умный как и те двое, я нашел проблемы в решении/софте и системе, баг(и). Теперь я могу сделать А, Б, Ц.
Опять же вариация, только тут акцент на некий продукт и систему, и возможности который получает атакующий, а не на сложность и поиск баги, как в случае 1. Уже немного другая ЦА, например пользователи продукта смогут понять скрытые вещи в продукте и потенициальные и реальные угрозы. Такого рода доклады полезны как демонстрация слабостей технологии, системы или продукта а так же как история как эту проблему решили (вендор выпустил патч, или нужно уонфигурить системы по другому). Как правило во всех таких докладах есть секция в конце "что делать, что бы нас это не коснулась".
4) Я разработал тулу/фреймвор которая упрощает:
а) Фаззинг
б) Поиск багов в Y
в) какая то еще автоматизация, типа поиска и построение ROP
Опять же интересно: некое решение которое решает нестандартную задачу и помогает коммунити.
5) что то еще может быть, что упустил...
Из 4ых таких футболочных докладов, только номер 3 может быть интересен пиджакам, но такие доклады есть и на ЗН и на ПХД, и на БлекХат с Дефконом, ничего нового. Про пример взаимодействия, вот мне кажется так оно и есть. Есть же доклады "сертификация ваша отстой, мы опять нашли такие баги, которые у приличных компаний уже 10 лет как нет, в нашем отечественном софте полно." Все футболка сказал, а дальше пиджаки такие "вот сертификация не отвечает тому-то и тому то и она не идеальна ив вообще решает не ту задачу". Все пиджаки ссылаются на футболки, когда им надо подкрепить свои стремления что-то куда-то протолкнуть.
Алексеи!
ОтветитьУдалитьвы как-то об очень разных вещах разным языком говорите. или язык найдите общий, или говорите об одном предмете. у меня только один вопрос остался: а что же делать с теми кто из "маек" вырос в "пиджаки"?
мое личное мнение: ПХД, ИТСФ, ЗН - классные конфы и спасибо оргам, что они их делают! кроме ИТСФ, на которой не было "маяк" на других двух полно представителей и тех и других. и даже трехбуквенных организаций. просто у одной группы туда ходить "мотивация", а другой - "стимуляция". вот и вся разница :)
ИМХО
а что же делать с теми кто из "маек" вырос в "пиджаки"?
ОтветитьУдалитьПавел, да ничего не надо делать... условности это все, если тебе интересно что-то, то ты будешь сам искать контент и общество и все такое. Я просто к тому, что не надо пиджаков заставлять и "сводить" с футболками, как и наоборот...
P.S. Хотя что значит вырос? Можно ли из пиджака вырасти в футболку? Но это другой вопрос, почему то в РФ считают, что технарь - это низкий сорт спеца, а пиджак - высокой, хотя мне очевидно, что тут вообще нет такой связи.
А много ли технарей "за 40", которые не хотят стать пиджаками?
ОтветитьУдалитьАлексей, под термином "вырос" я имел ввиду, что данный специалист принял решение отвечать за других/вести их за собой/ взял патронаж/стал наставником. Как угодно. Смысл в принятом решении.
ОтветитьУдалитьКогда я был "майкой" (при этом ходил в костюме) я мог сказать: да шло оно все! Сейчас когда я "пиджак" (при этом хожу в майке), такой роскоши я себе позволить не могу. И да, в ответе за тех, кого привели, протолкнули.
Развитие, как и разруха, в головах".
Написал и подумал: а мы точно на одном языке разговариваем?
"Пиджак" - это руководитель или представитель "бумажной" безопасности?
"Майка" - это подопечный или представитель "практической" безопасности?
Да ;-)
ОтветитьУдалитьЛадно, тут у нас и вправду разные взгляды на термины. Футболка может быть руководителем и занимать менеджерскую должность. Пиджак и Футболка это не рабочие тайтлы же 8)) Просто вы считаете что Фктболка - это техно-дрочер, который отвечает только за код, копается в чем-то там и не принимает решения, не влияет на бизнес и тд. Я немного не так думаю, но это скорее потому что я работаю в ИТ/Софтваре компании... хз. Но на самом деле это даже не принципиально, скорее важнее то, чем человек интересуется и что (какие знания и компетенции) ему важны для работы.
ОтветитьУдалитьНу так надо договориться о "терминологии".
ОтветитьУдалить