Содержание статьи
Забавно, что за время работы в ][ я так и не добрался до них. Да и в этот раз все время провел в бизнес‑холле, не имея возможности сходить ни на один технический доклад. Думаю, я еще поделюсь опытом о том, как делать стенд и вообще вести себя на западных бизнес‑выставках, но сейчас лучше передам слово тем, кто успел всецело насладиться Black Hat’ом и DEF CON’ом. Благо наших друзей, многие из которых были спикерами, там было очень даже немало.
P. S. Заранее приношу извинения тем, к кому не успел обратиться за отзывом, — время очень поджимало :).
Иван Новиков
Wallarm, CEO и Lead Security Expert
Впечатлений было по‑настоящему много. Дело в том, что последние десять лет эти две конференции были моей голубой мечтой. В подростковом возрасте они казались недостижимым идеалом — местом, где рождается идеология самого термина «хакинг».
Когда же я прилетел в Вегас, все оказалось куда более прозаично. Дело в том, что первой конференцией прошел Black Hat. Это очень хорошо организованная и дорогая конференция, которую сложно с чем‑то сравнивать. Просто очень много денег применяются очень грамотно и получается то, что получается. Техническая сторона докладов, откровенно говоря, не самая сильная. Вернее сказать, техническая сторона, как ее привыкли понимать русскоязычные исследователи.
Типичный популярный доклад на ВН — история взлома какого‑нибудь автомобиля без подробных деталей. В конце зажигательного рассказа исследователь отсылает страждущих слушателей на брендированный whitepaper объемом 150–200 листов. Получается тонкий content-marketing, ставящий целью заложить в голову слушателей простую мысль: «Вот такая‑то компания имеет в штате крутых хакеров, вот они поломали чего‑то там».
У меня был технический доклад, которому было место на дефконе (про инъекции в memcached, ][ опубликовал эту статью в прошлом номере одновременно с выступлением Ивана на Black Hat. — Прим. редакции), но понял я это уже на месте. Но не расстроился — тот же Дэн Камински два часа вещал про рандомы и не стеснялся вскрывать мозг :).
ВН был очень значимым для меня еще и потому, что это первая конференция, где мы представили наше решение для защиты веб‑приложений Wallarm. Получилось очень удачно, зону вендоров посещали очень активно, удалось получить много отзывов, показать live-demo и обменяться полезными контактами.
Дефкон проходил сразу после, а вернее, начался внахлест с последним днем ВН. Вот где сбылись мои представления о конференциях для хакеров. Впечатлила зона воркшопов, в которой программирование микроконтроллеров соседствует с выбриванием ирокезов посетителям. Вендорская зона Дефкона разительно отличалась от ВН. Тут не было ни CISCO, ни MS, ни других тузов корпоративной безопасности — зато были несколько производителей отмычек, сборщики всевозможных coin miner-ов, hak5 закатил грузовик, набитый гаджетами типа pineapple, ubertooth, rubber ducky и прочими вкусностями, на крыше которого красовался огромный ананас. В зоне вендоров можно было купить все, что было представлено. Ну, практически все.
Был еще прекрасный стенд электромобиля Tesla. Как оказалось, это был только show room, а не конкурс на взлом. Но понял я это только на последний день конференции, когда в очередной подход к машине был мило остановлен оргами, которые провели разъяснительную беседу на тему того, что не стоит пихать в USB этой машины все, что мне хочется. А ведь были классные векторы... Зато познакомились лично с «hacker princess» — Кристин Пейджет (Kristin Paget), которая (а ведь еще год назад был которЫЙ, кажется, Kris) сейчас является начальником продуктовой безопасности Tesla. В общем — мило пообщались, не последний раз, думаю, так как эта машинка меня действительно зацепила как объект для исследований. Немного жалею, что не удалось провести атаку получения дампов логов на флешку, — она всего‑то требовала обмотать весь автомобиль фольгой для изоляции GSM. Нам бы точно хватило дури такое сделать, но не в этот раз, к сожалению.
На Дефконе доклады исключительно технические, слайды строго изолированы от брендов в стандартном шаблоне конференции. Уровень докладов сильно выше, чем бывает у нас, отбор намного строже. Если ты хочешь почувствовать дух хакерства — тебе точно на Дефкон. Но отмечу, что, в отличие от ВН, Дефкон не оплачивает спикерам ни билеты, ни проживание. Это, разумеется, не должно остановить настоящих хакеров, так что зарабатывай на bug bounty 3000+ долларов (это, кстати, всего пара багов средней руки по нынешним ценам) и вперед, не пожалеешь!
Виталий Камлюк
Kaspersky Lab
Black Hat был весьма масштабным в этом году, но, к счастью, он проходил в большом отеле и места всем хватило, так что можно было попасть на любой доклад. Жаль, что послушать получалось не всех, так как было до десяти параллельных потоков. Зато мне, как докладчику, удалось пообщаться с несколькими сотоварищами в комнате для подготовки к выступлениям и узнать суть некоторых докладов заранее.
Безусловно, Black Hat — недешевая конференция, из‑за чего туда не попадают многие любители и просто независимые исследователи, если они не являются докладчиками. В этом смысле куда более привлекательным может показаться DEF CON, где царит атмосфера киберпанка, революционной борьбы за свободу Сети и доступа к информации. Присутствие на таком мероприятии, где собираются десятки тысяч хакеров, заряжает. Думаю, что каждому хакеру или всем, кому интересна область информационной безопасности, стоит хоть раз в жизни побывать на DEF CON. Попасть туда легче всего, если ты сделаешь хороший доклад и его примут на Black Hat. Организаторы оплатят тебе перелет, проживание, и ты еще получишь премиальные, которых хватит, чтобы остаться на DEF CON!
Резюмируя, хотелось отметить, что приятно было видеть доклады русскоговорящих исследователей как на Black Hat, так и на DEF CON. Я посетил выступления Никиты Тараканова, Ивана Новикова, Светланы Гайворонской и Ивана Петрова.
Светлана Гайворонская
Решилась в конце концов написать небольшой write-up о прошедших конференциях в Вегасе. К сожалению, в этот раз на доклады BH попасть мне не удалось, так что речь будет идти по большей части о DEF CON’е. Кроме того, я думаю, что постов с разборами докладов в ближайшие пару недель по интернету будет гулять много, так что ограничусь своими впечатлениями.
Сразу хочу оговориться, несмотря на достаточно противоречивые отзывы о конференции, для меня она будет самой любимой, пожалуй. И дело не в распиаренности, а в ощущении той самой неотъемлемой хакерской субкультуры. Это то самое место, где слово «фрик» может быть применено только к прилично одетым людям, вы вряд ли здесь найдете «галстуков» и «пиджаков». Это место, где живет ощущение свободы, драйва, увлеченности любимым делом, — и очень здорово смотреть, как старшие поколения передают его более молодым ребятам. Здесь напрочь отсутствует понятие формальности, что опять существенно отличает DC от всего, что я видела.
Доклады на DC — это либо глубокие технические презентации, либо шоу со спецэффектами — вы однозначно не найдете здесь вендорских толков. Очевидно, что организаторы и программный комитет стараются поддерживать заданную когда‑то планку. В отличие от других конференций, посещаемость докладов всегда высокая, даже в последний день. На моем докладе (а это был последний тайм‑слот, в последний день — воскресенье, когда люди уже по домам разлетаются) заполнена была половина внушительных размеров зала. И такая же ситуация по всем трекам. Правда, на мой взгляд, дело даже не столько в контенте, сколько в искусственно созданном ажиотаже — гигантское количество участников, получасовые очереди на доклады. Как‑то не очень здорово уходить из зала, когда ты потратил время, чтобы туда попасть, и непонятно, получится ли прорваться на следующий доклад или нет. В любом случае записи докладов, презентации, whitepaper’ы и другие материалы доступны почти сразу после завершения конференции — всегда можно наверстать упущенное.
Еще DC — это о разных активностях вне самой программы и докладов. Это всевозможные мастер‑классы, проходящие в режиме нон‑стоп, по локпикингу, взлому железа и куче разных других интересных вещей. В этом году, как ломать железки, объясняли даже совсем маленьким — видела детей 6–12 лет, с воодушевлением что‑то ковыряющих. Словом, если нет желания идти на доклады — скучно точно не будет, всегда можно найти чем заняться. Я, например, училась замки вскрывать. Кто‑то в это время нервировал представителей «Теслы» попытками ее похакать. Кто‑то не вылазил из зоны CTF. На конференции шикарная вендорская зона. Это не стенды с представителями компаний, рассказывающих о своих решениях, — это больше напоминает некую ярмарку, где можно обзавестись соответствующей литературой, отмычками, девайсами, а потом судорожно думать, как все это счастье везти через границу. В общем, молодцы ребята, все очень классно сделали.
Если говорить о минусах, то это, скорее, не совсем продуманная организация с точки зрения докладчиков и относительная «закрытость». Первое меня шокировало два года назад. Ты предоставлен сам себе практически до момента своего доклада. Если есть вопросы/проблемы/whatever, то попробуй сначала кого‑нибудь найти, а потом еще попробуй найти кого‑нибудь, кто сможет тебе это объяснить. Здесь надо держать в голове фразу «Don’t be shy to help yourself». Второе — это скорее наша проблема. DC достаточно старая конференция, со своими легендами, традициями. Тогда же, два года назад, замечательная Сэнди Кларк рассказывала, что это как «приехать домой к старым друзьям». Это все, конечно, классно, только мы там еще чужие. DEF CON гораздо менее интернациональное мероприятие, чем можно было бы подумать. По крайней мере, его «закулисная» часть.
Резюмируя, хотелось бы сказать, что это конференции, обязательные к посещению. Будет много классных докладов, людей, активностей. Я надеюсь, что и BH, и DC перестанут быть чем‑то из разряда «мечты» и «даже пробовать не буду» для наших ресерчеров. Все обязательно получится, и до встречи в Вегасе! 🙂
Антон Карпов
Яндекс, Chief Information Security Officer
Не могу назвать себя «ветераном Блек Хэта», в этом году я посетил конференцию всего третий раз. Однако достаточно пару раз побывать там, чтобы понять несколько простых вещей.
Во‑первых, Black Hat — это не про хакеров, хардкор и зиродеи. Black Hat — это большое бизнес‑мероприятие. Да, уровень докладов стараются держать на высоте, не допуская маркетингового буллшита или рассказов о том, что такое XSS. На ключевые доклады выбирают исследования чего‑нибудь нового, громкого, чтобы можно было пустить медиаволну до конференции. Но основную скрипку давно играют вендоры, а сам Black Hat воспринимается не как тусовка хакеров, а как выставка достижений и товаров огромной индустрии (буквально — ведь самый большой зал на Блекхате занимает так называемый vendor area со стендами компаний, то есть попросту выставка. Кстати, во многом из‑за нее в этом году Black Hat прошел на новом месте, где зал для конференций существенно больше по площади).
Во‑вторых, все самое интересное на Black Hat происходит не на докладах и даже не на выставке, а на вечеринках. Вечеринки бывают двух типов: открытые и закрытые. Чтобы поддерживать свой имидж на общем уровне, абсолютно все вечеринки называются private party, но на BH «private» на деле означает, что твоя вечеринка не анонсируется на огромном билборде рядом с отелем. Практически все вечеринки вендоров собирают людей по похожему сценарию: подходишь к стенду компании, что‑то спрашиваешь, и, если вендор видит, что ты ему хоть каплю чем‑то интересен, тебе говорят: «А, кстати, у нас сегодня вечеринка, приходите, вот вам инвайт». Без всякого сарказма — это самый быстрый и действенный способ свести потенциального клиента или партнера сразу с руководством компании, главными технарями, ввести в «свой круг», завязать контакты. Грех не воспользоваться тем, что в Вегасе в дни конференции собирается весь цвет маркетинга, технического и топ‑менеджмента множества вендоров.
Клинические случаи, впрочем, тоже бывают. Микрософт, вот уже много лет главный спонсор Black Hat, долго и небезуспешно исправляющий таким образом имидж дырявой компании, не заботящейся о безопасности (миф, теперь уже из девяностых, все еще силен во многих умах), приглашает на вечеринку со звучным названием VIP Researchers Appreciation Party буквально всех, надо только в очереди за инвайтами отстоять. Картина напоминает раздачу рюкзаков и бесплатных обедов в лучшие годы питерских SunTechDays, если кто‑то из читателей достаточно стар, чтобы о них помнить ;).
Закрытые вечеринки, впрочем, на Black Hat тоже есть. Закрытые по‑настоящему, со списками и приглашениями от топ‑менеджеров компаний. И это самое интересное, ради чего стоит вливаться в тусовку. На таких вечеринках собираются люди из одной индустрии, которым интересно пообщаться, завести новые полезные знакомства, обменяться опытом. Я во многом терплю Вегас только ради таких вечеринок (те, кто был в Лас‑Вегасе, поймут, что это не сарказм. Редкий человек не начнет испытывать раздражение к этому «Диснейленду для взрослых» после пары дней пребывания там, еще более редкому человеку там понравится). Как ни крути, а безопасники из крупнейших компаний твоей индустрии тусят именно на таких вечеринках, часто всей командой.
В‑третьих, на Black Hat можно и нужно выступать. Вне зависимости от того, какие цели кто преследует: продать себя, попиариться, поделиться опытом. У нас в России есть достаточное количество исследователей ИБ, как в вендорах, так и в службах безопасности больших компаний. Часто они не видят смысла тратить силы на поездку за океан или боятся, что их доклад будет не принят, как недостаточно хардкорный. Главный смысл на самом деле прост: когда работаешь на своем рынке, а тем более «внутри», в крупной компании, очень легко «забронзоветь» и отстать от реальности. Чтобы этого не произошло, надо регулярно «измерять свою температуру» в индустрии безопасности на крупнейшей тусовке, которой и является Black Hat.
Скажу еще пару слов про одно мероприятие, которое я посетил в рамках Black Hat. Это Executive Summit, однодневная конференция по приглашениям для топ‑менеджеров ИБ крупных компаний. Формат конференции представляет собой круглые столы по актуальным темам, на которых участники делятся своим опытом. В конце каждой сессии ведущий круглого стола зачитывает тезисы из обсуждения. Запрет на упоминание конкретных имен и компаний за рамками саммита предполагает довольно откровенную дискуссию. Как представитель defensive-стороны сцены ИБ, я идею подобного саммита горячо поддерживаю. Однако это новое мероприятие, организаторы экспериментируют с форматом, так что есть шанс, что в следующем году оно пройдет более эффективно, с учетом высказанных участниками замечаний и пожеланий.
Эльдар Заитов
@kyprizel
Когда три конференции проходят одна за другой, невозможно удержаться от сравнений. И если на Black Hat в этом году я попал впервые, то DEF CON был уже третий. В отличие от предыдущих поездок на DEF CON, которые пролетели как один миг в пылу CTF’ов, в этот раз было время посетить и доклады, и вечеринки и завести новые знакомства.
Итак, Black Hat — здесь не покидает чувство, что тебе постоянно пытаются что‑то продать, даже когда это совсем не так. Доклады очень разные, от хардкорной эксплуатации до простого озвучивания общеизвестных проблем. Эта конференция однозначно для тех, кто играет за blue team, для кого безопасность — это daily job.
DEF CON — здесь привычные очереди, пестрая околохакерская тусовка. Он однозначно демократичнее, и доклады здесь про другое: fun, взлом, протест. Но на DEF CON ездят не за докладами — это возможность не спеша встретиться с теми, кого читаешь в Twitter’е, снова увидеть тех, с кем из года в год пересекаешься на CTF’ах в разных концах мира. И да — с теми, кого не поймал на Black Hat.
Где‑то между этими двумя конференциями проходил Bsides — такой слегка неуклюжий клон DEF CON’а, со своими гунами, но без очередей. В этом году был странный принцип: кто первый проснулся, тому и бейдж. Бесплатно, при этом купить бейдж за деньги возможности не было. На доклады пришлось идти напролом (повторять не советую). Здесь, похоже, взяли всех, кто прислал заявки, — например, доклад о том, как развернуть Mersenne Twister, оказался рядом с докладом про криптоанализ хешей от Алекса Бирюкова.
Стоит ли ехать в Вегас? Один раз — точно. Стоит ли ехать снова — каждый решает сам.
Александр Матросов
@matrosov
Мне, как, наверное, и многим моим знакомым, конференции Black Hat и DEF CON казались чем‑то особенным, ведь именно на них исследователи со всего мира стремятся представить свои наиболее значимые достижения. Я хотел посетить обе эти конференции уже очень давно, но все как‑то не получалось. И вот в этом году я наконец доехал до Вегаса. Причем доехал в прямом смысле: ехал на машине аж от славного города Портленда штата Орегон :). Итак, сначала был BH, который поразил меня качеством докладов и отличной организацией мероприятия. Это, наверное, единственная конференция из тех, что мне удалось посетить (а посетил я их довольно много за последние несколько лет), на которой в программе я выделил для себя более 20% докладов для обязательного посещения. Конференция действительно очень масштабна, и успеть посмотреть все просто невозможно. Ведь здесь концентрация знакомых, с которыми хочется пообщаться или хотя бы успеть просто поздороваться, также зашкаливает невероятно. Отдельно, наверное, стоит заметить, что на BH есть традиция —вендоры устраивают различные вечеринки. Попасть на них можно только по приглашениям, которые либо раздаются всем подряд за предварительную регистрацию, либо рассылаются узкому кругу лиц. На этих самых вечеринках можно просто наслаждаться бесплатным алкоголем, как правило довольно хорошего уровня, а можно пообщаться в неформальной обстановке с интересными людьми и завести правильные знакомства. Black Hat — это, пожалуй, самая масштабная и качественная конференция для исследователей, на которой мне удалось побывать.
Но ведь сразу за BH проходит DEF CON! По количеству посетителей он превосходит BH, но от этого страдает организация. Поэтому часть посетителей BH разъезжается сразу после конференции, а самые стойкие остаются на продолжение банкета. Публика этих двух конференций довольно сильно отличается, так как DEF CON старается быть неформальным во всем, что иногда даже несколько раздражает. О DC складывается впечатление некоторого организованного хаоса: порой очень сложно найти даже место доклада, а для того, чтобы туда попасть, нужно отстоять тридцатиминутную очередь. Ну может, это мне так везло, и я ходил только на наиболее интересные доклады… Но эта давка у дверей меня действительно утомляла, и я решил не стоять в очередях и потом посмотреть все на видео. Атмосфера на конференции мне очень даже понравилась, я бы сказал, что это самый киберпанковский ивент из всех, что я видел. Тут есть все — от локпикинга до зала с паяльными станциями, где ты можешь модифицировать свой бейдж. Бейдж на Дефконе вообще заслуживает отдельной статьи, это, как правило, плата с CPU и открытой прошивкой, которую ты можешь модифицировать на свое усмотрение. В зоне вендоров ты не найдешь бесплатных футболок, как на BH, но зато тут можно купить кучу полезных железок и девайсов для хака всего и вся. Здесь царит неформальная, несколько расслабленная атмосфера, и в этом есть какой‑то особый колорит, которого не встретишь на BH.
Я рекомендую всем читателям ][ если не выступить на обоих этих мероприятиях, так хотя бы посетить их. Ведь это место обладает поразительной энергетикой, которая даст вам стимул к дальнейшей работе и исследованиям.