Мно­гие IT-ком­пании начина­ют прис­матри­вать себе сот­рудни­ков уже со сту­ден­ческой скамьи, орга­низуя по сво­им про­филям кон­ферен­ции, кон­курсы и кур­сы, которые мож­но прой­ти, не отры­ваясь от основно­го мес­та уче­бы. В кон­це июня мы съез­дили на финал меж­дународ­ного секь­юри­ти‑кон­курса от «ЛК» и написа­ли для тебя этот неболь­шой отче­тик.
Блестящий Макбук на фоне студентов-участников
Блес­тящий Мак­бук на фоне сту­ден­тов‑учас­тни­ков
 

О конференции

С 2008 года «Лабора­тория Кас­пер­ско­го» еже­год­но орга­низу­ет меж­дународ­ную кон­ферен­цию CyberSecurity for the Next Generation. Цель это­го мероп­риятия — рас­крыть потен­циал молодых раз­работ­чиков, прив­лечь их в сфе­ру информа­цион­ной безопас­ности и объ­еди­нить спе­циалис­тов в области борь­бы с компь­ютер­ными угро­зами.

Кон­ферен­ция сос­тоит из четырех реги­ональ­ных туров, которые про­ходят в Евро­пе, Север­ной и Южной Аме­рике, стра­нах Тихо­океан­ско­го реги­она, Ближ­него Вос­тока и Афри­ки, а так­же Рос­сии и СНГ. По ито­гам всех реги­ональ­ных туров (меж­ду про­чим, в прог­рам­мном комите­те одно­го из них заседал и наш экс‑глав­ред, Сте­пан Иль­ин) орга­низа­торы кон­ферен­ции про­водят меж­дународ­ный финал, в ходе которо­го опре­деля­ются луч­шие про­екты и решения. За семь лет сущес­тво­вания кон­ферен­ции было отсмот­рено две тысячи работ сту­ден­тов из пятиде­сяти стран мира. Нынеш­ний финал про­ходил в Сток­голь­ме и сос­тоял из четырех сорев­нований для сту­ден­тов, лек­ций приг­лашен­ных спе­циалис­тов и экспер­тов «ЛК», раз­вле­катель­ной час­ти.

 

Первый конкурс: «презентация у лифта» или успей за две минуты

Elevator Pitch (пре­зен­тация в лиф­те), дав­шая свое наз­вание это­му кон­курсу, в иде­але не дол­жна длить­ся боль­ше одной минуты. Счи­тает­ся, что имен­но за это вре­мя ты дол­жен суметь внят­но пре­зен­товать свою идею боль­шому бос­су, которо­го ты смог пой­мать в лиф­те. Не смог — не «про­дал идею», и наши сту­ден­ты были вынуж­дены под­вер­гнуть­ся этой про­вер­ке, при­чем за бонус­ное количес­тво вре­мени — в их рас­поряже­нии ока­залось целых две минуты на каж­дого. Победи­телем стал Маури­цио Абба (Maurizio Abbà) из Eurécom, Фран­ция. Его пре­зен­тация «Web Honeypots 2.0: an Analysis of Exploitation Behaviors on the Web» дос­той­но показа­ла резуль­таты иссле­дова­ния нового поколе­ния honeypot-ловушек и ана­лиз поведе­ния зло­умыш­ленни­ков в Сети. Матери­ал серь­езный: 500 пол­нофун­кци­ональ­ных ханипот‑сай­тов, раз­ные хос­тинги, 100 дней экспе­римен­та, ори­гиналь­ная сис­тема сох­ранения и изу­чения изме­нен­ных и залитых хакера­ми фай­лов. Дос­той­ная работа, хороший док­лад, зас­лужен­ное пер­вое мес­то.

 

Второе задание: видеоролик о будущем

По­бедил Дэвид Кор­чин­ски (David Korczynski), Royal Holloway, University of London, Великоб­ритания, с при­коль­ным виде­оро­ликом, в котором про­демонс­три­ровал свое видение угроз кибер­безопас­ности в 2020 году.

 

Третье задание: плакаты — «все на одном листе»

По­беди­тель: Артём Шумилов из МГТУ име­ни Н. Э. Баума­на.

Нес­мотря на то что пос­ле пятими­нут­ной пре­зен­тации его работы «Ани­миро­ван­ная кап­ча с исполь­зовани­ем жес­тов рук» из зала был задан воп­рос: «Погоди, так кто кому показы­вает жес­ты: мы компь­юте­ру через веб‑камеру или компь­ютер нам, а мы рас­шифро­выва­ем?», к пла­кату пре­тен­зий не было. Чет­ко, ясно, показа­тель­но, есть прак­тичес­кие резуль­таты.

Да, пра­виль­ный ответ на воп­рос из зала: компь­ютер показы­вает нам трех­мерные ани­миро­ван­ные жес­ты, мы — рас­шифро­выва­ем (один палец — циф­ра один, два паль­ца — циф­ра два, сред­ний палец — воз­можно, тебя здесь не любят, не ходи боль­ше на этот сайт). Ну и вооб­ще, для пред­став­ления 3D-модели исполь­зовалась JS-биб­лиоте­ка Three.js, так что толь­ко за один этот факт наш Илья Русанен дал бы ему пер­вое мес­то ;).

Артём Шумилов и его жестовая капча
Ар­тём Шумилов и его жес­товая кап­ча
 

Четвертое задание: кибервикторина

По­беди­ли коман­ды Сер­гея Шпа­ка (Наци­ональ­ный иссле­дова­тель­ский ядер­ный уни­вер­ситет «МИФИ»), Армандо Миральи (Armando Miraglia, Амстер­дам­ский сво­бод­ный уни­вер­ситет) и Вэнь­юань Ли (Wenjuan Li, Город­ской уни­вер­ситет Гон­конга). Поль­зуясь слу­чаем, выс­кажу рес­пект нашим пар­ням: Сер­гей Шпак выделил­ся нетипич­ным для нашего бра­та ком­муника­тив­ным скил­лом 🙂 и хорошей отра­бот­кой выс­тупле­ния, а Артём Шумилов — серь­езным, «бауман­ским» под­ходом к изло­жению сво­ей работы.

Сергей Шпак докладывает
Сер­гей Шпак док­ладыва­ет

Круглый стол

По резуль­татам обще­ния с сот­рудни­ками ЛК и приг­лашен­ными экспер­тами могу тебя порадо­вать: важ­ность вузов­ско­го обра­зова­ния рас­тет с каж­дым годом, но устро­ить­ся в дос­той­ную ком­панию без про­филь­ного обра­зова­ния сей­час, в 2014 году, все еще мож­но ;). Глав­ное — моз­ги, а не «короч­ки».

Лекции: что понравилось

Дэ­вид Яко­би, сот­рудник «Лабора­тории Кас­пер­ско­го» (Global Research & Analysis team), рас­ска­зал о занима­тель­ном пен­тесте, который он про­водил для одно­го швед­ско­го учрежде­ния. Получить дос­туп к внут­ренней сети учрежде­ния у него получи­лось за десять минут от момен­та начала задания — без аген­турной работы, спец­средств и фаль­шивых докумен­тов. На вхо­де в зда­ние про­веря­ют про­пус­ка? Дэвид про­ходит туда не через глав­ный вход, а через кафете­рий. Най­ти ком­нату с плот­терами и ска­нера­ми, получить физичес­кий дос­туп к сви­чам и компь­юте­ру, пред­ста­вить­ся сот­рудни­ком тех­поддер­жки, зай­ти под чужим акка­унтом, инстал­лировать фей­кобэк­дор — и дело сде­лано!

В про­цес­се пен­теста Дэвид выявил сле­дующие кри­тичес­кие проб­лемы: пло­хая сег­мента­ция сети, пароли без сро­ка дей­ствия на трех сот­нях акка­унтов, уста­рев­шее и уяз­вимое ПО, пароли на клей­ких бумаж­ках.

*Из вто­рой лек­ции Дэвида Яко­би: *

Са­мые час­тые уяз­вимос­ти ПО, исполь­зуемые при взло­ме в наше вре­мя, отно­сят­ся к 2002 (!) и 2012 годам. Что ста­рые вер­сии прог­рамм — ста­биль­но сущес­тву­ющая проб­лема, вро­де бы и так ясно, но что­бы 2002 год...

Де­мо от Вячес­лава Закор­жев­ско­го: watering hole attack

Ес­ли в водо­еме, который посеща­ет мно­го живот­ных, заводит­ся холер­ный виб­рион, все они заболе­вают поносом. Если в роли водо­ема будет выс­тупать популяр­ный заражен­ный сайт, а в роли живот­ных — компь­юте­ры, получит­ся эта ата­ка. Модель не нова, но показа­тель­на пре­зен­тация. Все как на ладони: поль­зователь заходит на заражен­ный сайт, запус­кает­ся Java вер­сии, под­вержен­ной CVE-2012-1723, Java ска­чива­ет Zeus, а Гро­мовер­жец кача­ет кон­фиги и перех­ватыва­ет фор­мы в IE. Как говорит­ся, про­фит!

Ма­рия Аль­верас (Maria Alveras Love), Швед­ская наци­ональ­ная сис­тема реак­ции на компь­ютер­ные угро­зы, показа­ла нам, что такое соци­ализм (в хорошем смыс­ле) в области компь­ютер­ной безопас­ности в стра­не с населе­нием мень­ше одной нашей Мос­квы (9,66 мил­лиона человек). Если у тебя есть проб­лемы — поз­вони дежур­ному офи­церу, доложи ситу­ацию, и они этим зай­мут­ся. Бес­плат­но!

Так­же уди­вило, что 25–30% детей в дет­ских садах Шве­ции ежед­невно поль­зуют­ся интерне­том. Инте­рес­но, что они там дела­ют?

Если бы ты встретил ее в Икее, ты бы никогда не догадался, что она и есть Мария Альверас из Шведской национальной системы реакции на компьютерные угрозы. Конспирация!
Ес­ли бы ты встре­тил ее в Икее, ты бы никог­да не догадал­ся, что она и есть Мария Аль­верас из Швед­ской наци­ональ­ной сис­темы реак­ции на компь­ютер­ные угро­зы. Кон­спи­рация!

Зато про Стокгольм

Кон­ферен­ция кон­ферен­цией, а раз­вле­катель­ная прог­рамма по рас­писанию. Я мог бы тебе рас­ска­зать про величес­твен­ные цер­кви, огромный корабль из Vasa Museum и поеда­ние олень­их сер­дец в аутен­тичном рес­торане, но вмес­то это­го рас­ска­жу про велоси­педы :). На пра­вах злос­тно­го круг­логодич­ного мос­ков­ско­го ситибай­кера я тут же взял в мес­тном авто­мати­зиро­ван­ном про­кате велоси­педик. Три дня без­лимит­ного про­ката — все­го 1350 наших руб­лей! Конеч­но, тех­ника слег­ка пос­кри­пыва­ла, но у любого хакера всег­да при себе дол­жен быть WD-40 для тех хре­ней, которые не дви­гают­ся, хотя дол­жны, и хороший метал­лизиро­ван­ный скотч для тех хре­ней, которые дви­гают­ся, хотя дол­жны быть непод­вижны :).

Сток­гольм со сто­роны велоси­педис­та прек­расен. Велодо­рож­ки вез­де, велоси­педис­тов боль­ше, чем авто­моби­лис­тов, и то, как они рез­ко гоня­ют на сво­их уша­тан­ных ситибай­ках по мес­тным подъ­емам, зас­тавило меня позави­довать.

Участники, студенты, программный комитет, журналисты и все-все-все. Кстати, некоторым девушкам очень идет платье, а крайний справа — это я
Учас­тни­ки, сту­ден­ты, прог­рам­мный комитет, жур­налис­ты и все‑все‑все. Кста­ти, некото­рым девуш­кам очень идет платье, а край­ний спра­ва — это я
 

Заключение

Че­тыре дня мероп­риятия прош­ли незамет­но. Сидя на кон­ферен­ции, я подумал, что в наше вре­мя быть айтиш­ником — любым вме­няемым IT-спе­циалис­том: прог­раммис­том, адми­ном, безопас­ником — не прос­то кру­то, а чрез­вычай­но кру­то. Пот­ребность в спе­циалис­тах нас­толь­ко велика, что перед ними не прос­то откры­ты все две­ри — их еще и засасы­вает в эти две­ри име­ющим­ся там отри­цатель­ным дав­лени­ем :). В нашей динамич­ной отрасли никого не уди­вишь 22-лет­ним началь­ником отде­ла из двад­цати человек, поэто­му заин­тересо­ван­ность в сту­ден­чес­тве у пред­ста­вите­лей IT-ком­паний более чем обос­нован­на.

Не теряй­ся, и да пре­будет с тобой Сила :).

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии