Содержание статьи
О конференции
С 2008 года «Лаборатория Касперского» ежегодно организует международную конференцию CyberSecurity for the Next Generation. Цель этого мероприятия — раскрыть потенциал молодых разработчиков, привлечь их в сферу информационной безопасности и объединить специалистов в области борьбы с компьютерными угрозами.
Конференция состоит из четырех региональных туров, которые проходят в Европе, Северной и Южной Америке, странах Тихоокеанского региона, Ближнего Востока и Африки, а также России и СНГ. По итогам всех региональных туров (между прочим, в программном комитете одного из них заседал и наш экс‑главред, Степан Ильин) организаторы конференции проводят международный финал, в ходе которого определяются лучшие проекты и решения. За семь лет существования конференции было отсмотрено две тысячи работ студентов из пятидесяти стран мира. Нынешний финал проходил в Стокгольме и состоял из четырех соревнований для студентов, лекций приглашенных специалистов и экспертов «ЛК», развлекательной части.
Первый конкурс: «презентация у лифта» или успей за две минуты
Elevator Pitch (презентация в лифте), давшая свое название этому конкурсу, в идеале не должна длиться больше одной минуты. Считается, что именно за это время ты должен суметь внятно презентовать свою идею большому боссу, которого ты смог поймать в лифте. Не смог — не «продал идею», и наши студенты были вынуждены подвергнуться этой проверке, причем за бонусное количество времени — в их распоряжении оказалось целых две минуты на каждого. Победителем стал Маурицио Абба (Maurizio Abbà) из Eurécom, Франция. Его презентация «Web Honeypots 2.0: an Analysis of Exploitation Behaviors on the Web» достойно показала результаты исследования нового поколения honeypot-ловушек и анализ поведения злоумышленников в Сети. Материал серьезный: 500 полнофункциональных ханипот‑сайтов, разные хостинги, 100 дней эксперимента, оригинальная система сохранения и изучения измененных и залитых хакерами файлов. Достойная работа, хороший доклад, заслуженное первое место.
Второе задание: видеоролик о будущем
Победил Дэвид Корчински (David Korczynski), Royal Holloway, University of London, Великобритания, с прикольным видеороликом, в котором продемонстрировал свое видение угроз кибербезопасности в 2020 году.
Третье задание: плакаты — «все на одном листе»
Победитель: Артём Шумилов из МГТУ имени Н. Э. Баумана.
Несмотря на то что после пятиминутной презентации его работы «Анимированная капча с использованием жестов рук» из зала был задан вопрос: «Погоди, так кто кому показывает жесты: мы компьютеру через веб‑камеру или компьютер нам, а мы расшифровываем?», к плакату претензий не было. Четко, ясно, показательно, есть практические результаты.
Да, правильный ответ на вопрос из зала: компьютер показывает нам трехмерные анимированные жесты, мы — расшифровываем (один палец — цифра один, два пальца — цифра два, средний палец — возможно, тебя здесь не любят, не ходи больше на этот сайт). Ну и вообще, для представления 3D-модели использовалась JS-библиотека Three.js, так что только за один этот факт наш Илья Русанен дал бы ему первое место ;).
Четвертое задание: кибервикторина
Победили команды Сергея Шпака (Национальный исследовательский ядерный университет «МИФИ»), Армандо Миральи (Armando Miraglia, Амстердамский свободный университет) и Вэньюань Ли (Wenjuan Li, Городской университет Гонконга). Пользуясь случаем, выскажу респект нашим парням: Сергей Шпак выделился нетипичным для нашего брата коммуникативным скиллом 🙂 и хорошей отработкой выступления, а Артём Шумилов — серьезным, «бауманским» подходом к изложению своей работы.
Круглый стол
По результатам общения с сотрудниками ЛК и приглашенными экспертами могу тебя порадовать: важность вузовского образования растет с каждым годом, но устроиться в достойную компанию без профильного образования сейчас, в 2014 году, все еще можно ;). Главное — мозги, а не «корочки».
Лекции: что понравилось
Дэвид Якоби, сотрудник «Лаборатории Касперского» (Global Research & Analysis team), рассказал о занимательном пентесте, который он проводил для одного шведского учреждения. Получить доступ к внутренней сети учреждения у него получилось за десять минут от момента начала задания — без агентурной работы, спецсредств и фальшивых документов. На входе в здание проверяют пропуска? Дэвид проходит туда не через главный вход, а через кафетерий. Найти комнату с плоттерами и сканерами, получить физический доступ к свичам и компьютеру, представиться сотрудником техподдержки, зайти под чужим аккаунтом, инсталлировать фейкобэкдор — и дело сделано!
В процессе пентеста Дэвид выявил следующие критические проблемы: плохая сегментация сети, пароли без срока действия на трех сотнях аккаунтов, устаревшее и уязвимое ПО, пароли на клейких бумажках.
*Из второй лекции Дэвида Якоби: *
Самые частые уязвимости ПО, используемые при взломе в наше время, относятся к 2002 (!) и 2012 годам. Что старые версии программ — стабильно существующая проблема, вроде бы и так ясно, но чтобы 2002 год...
Демо от Вячеслава Закоржевского: watering hole attack
Если в водоеме, который посещает много животных, заводится холерный вибрион, все они заболевают поносом. Если в роли водоема будет выступать популярный зараженный сайт, а в роли животных — компьютеры, получится эта атака. Модель не нова, но показательна презентация. Все как на ладони: пользователь заходит на зараженный сайт, запускается Java версии, подверженной CVE-2012-1723, Java скачивает Zeus, а Громовержец качает конфиги и перехватывает формы в IE. Как говорится, профит!
Мария Альверас (Maria Alveras Love), Шведская национальная система реакции на компьютерные угрозы, показала нам, что такое социализм (в хорошем смысле) в области компьютерной безопасности в стране с населением меньше одной нашей Москвы (9,66 миллиона человек). Если у тебя есть проблемы — позвони дежурному офицеру, доложи ситуацию, и они этим займутся. Бесплатно!
Также удивило, что 25–30% детей в детских садах Швеции ежедневно пользуются интернетом. Интересно, что они там делают?
Зато про Стокгольм
Конференция конференцией, а развлекательная программа по расписанию. Я мог бы тебе рассказать про величественные церкви, огромный корабль из Vasa Museum и поедание оленьих сердец в аутентичном ресторане, но вместо этого расскажу про велосипеды :). На правах злостного круглогодичного московского ситибайкера я тут же взял в местном автоматизированном прокате велосипедик. Три дня безлимитного проката — всего 1350 наших рублей! Конечно, техника слегка поскрипывала, но у любого хакера всегда при себе должен быть WD-40 для тех хреней, которые не двигаются, хотя должны, и хороший металлизированный скотч для тех хреней, которые двигаются, хотя должны быть неподвижны :).
Стокгольм со стороны велосипедиста прекрасен. Велодорожки везде, велосипедистов больше, чем автомобилистов, и то, как они резко гоняют на своих ушатанных ситибайках по местным подъемам, заставило меня позавидовать.
Заключение
Четыре дня мероприятия прошли незаметно. Сидя на конференции, я подумал, что в наше время быть айтишником — любым вменяемым IT-специалистом: программистом, админом, безопасником — не просто круто, а чрезвычайно круто. Потребность в специалистах настолько велика, что перед ними не просто открыты все двери — их еще и засасывает в эти двери имеющимся там отрицательным давлением :). В нашей динамичной отрасли никого не удивишь 22-летним начальником отдела из двадцати человек, поэтому заинтересованность в студенчестве у представителей IT-компаний более чем обоснованна.
Не теряйся, и да пребудет с тобой Сила :).