Содержание статьи
В то самое время, когда я собирался по приглашению компании EMC отправиться на RSA Security 2015, на другом конце мира примерно тем же занимался сотрудник компании CheckPoint Николай Л. Разница была лишь в мелочах — например, ему не нужно было готовиться к пятнадцатичасовому перелету из Москвы в Сан-Франциско, поскольку уже несколько лет он живет и работает в США. И не был бы Николай достоин совершенно никакого упоминания в рамках этой статьи, если бы не один нюанс: десяткам тысяч наших читателей, вольных айтишников и просто сторонним личностям уже лет двадцать пять он известен под именем Криса Касперски.
Когда на мою почту упало письмо от Криса, который, несмотря на неослабевающий поток писем читателей, устранился от написания статей, я слегка удивился. А когда прочел сам текст письма и обнаружил там вопрос, не собираюсь ли я на конференцию, — еще и насторожился. Откуда информация, ведь я нечастый гость на международных конференциях и никаких публичных предпосылок к моему там появлению не было? Крис отломал мою почту? Ноосфера Вернадского? Интуиция? Так или иначе, но мы условились встретиться 20 апреля в Moscone center, Сан-Франциско, в трех огромных корпусах которого проходила выставка-конференция RSA Conference 2015, и тряхнуть теми двенадцатью годами, которые мы с ним провели в переписке и плодотворном сотрудничестве по журнальному ремеслу.
И вот, после пятнадцати часов перелета стыковочным рейсом через Амстердам, я в Сан-Франциско. Раньше я никогда не был на американском континенте и про С-Ф знал только из одноименной песни дуэта «Кар-мэн». До заселения в отель я успел прошвырнуться в западный корпус и получить там бейдж. Этот короткий визит в выставочный комплекс убедил меня: четыре дня будут горячими, а посетителей будет реально много (легко догадаться — если очередь в мужской туалет стоит от входа, значит, всяко не мало), а программа, судя по выданным мне бумагам, будет насыщенной.
Полная программа конференции занимает 216 страниц размером чуть меньше А4.
И все началось
Проснулся я в семь утра по местному, забросил в рот пару таблеток парацетамола — головная боль от смены часовых поясов не заставила себя ждать — и побрел завтракать. Приняв сомнительных размеров завтрак из круассана и фруктового салатика, я отправился в южный корпус выставочного центра. Официальная программа начиналась выступлением директора RSA, который сравнивал текущее положение вещей в секьюрити-индустрии со средневековьем и сетовал на то, что мы, как в древности, строим стены повыше и копаем рвы поглубже, но злоумышленников это не останавливает, более того, нередко они, украв идентификационные данные, появляются сразу за кольцом всех наших оборонительных редутов.
Выступления в зале ключевых моментов продолжались. Мужчина из Microsoft раскрыл тему безопасности облачных технологий, обратив внимание на то, что, передавая данные в облако, мы, с одной стороны, выводим их из-под своего контроля, но с другой — передаем их в руки крепким парням, которые уж всяко смогут их сохранить. Не хватает во всем этом лишь одного — прозрачности.
Далее следовало то, чего я ждал больше всего, — дискуссия специалистов по криптографии. Не то чтобы я хорошо шарил в криптографии и серьезно ею интересовался (выступления на этом уровне не содержали хардкорных технических подробностей), но встреча с живыми классиками мира криптографии, которых пофамильно и в лицо знает каждый хакер, дорогого стоит. Хорошо все-таки быть айтишником — все классики нашего дела более-менее живы. Лейтмотивом дискуссии можно считать фразу, произнесенную Шамиром: «Защищенных систем нет сейчас и не предвидится в обозримом будущем. Современную криптографию взломать невозможно. Ее можно обойти».
После лекции по «наступательной безопасности» (очень модная тема!) и двух больших чашек старбаксовского кофе (при том что две-то я махнул еще с утра) я пришел в состояние возбуждения и отправился исследовать помещения.
Первыми в поле зрения попались два зала с выставочными стендами вендоров. Известные и не очень в нашей стране представители капиталистического бизнеса, от Symantec до Trend Micro и от Cisco до Fortinet (последние прикатили в зал шикарный трейлер, похожий на грузовик из «Универсального солдата»), вовсю завлекали народ на свои стенды — лекциями, презентациями, сканировали бейджи для участия в конкурсах, наливали коктейли и раздавали мелкие ништяки. Немного посидев на их выступлениях и почувствовав свой цифровой мир в полной безопасности, а также получив пару фонариков и пластиковых сумок, я пошел на встречу с Крисом.
Немного потупив с местом встречи (главные выступления — keynotes — проходили в двух больших залах, в одном, вечно занятом, — очно, в другом — дистанционно), мы наконец-то объединились. Побеседовав о жизни и работе (результат ты можешь видеть на врезках), мы изучили наши планчики конференции (выдавались вместе с бейджем) и порознь отправились на выбранные лекции-сессии-презентации. Кстати, поскольку на одно время бывало запланировано более тридцати (!) интересных сессий, вопрос выбора вставал особенно остро. Поэтому сделаем так: я расскажу о том, что понравилось мне, а потом Крис изложит свои впечатления.
Помни о детях!
Привлеченный бесплатной раздачей наклеек и футболок с надписью «Yes, I’am in RU», я пришел в небольшой выставочный комплекс, расположенный в восточном корпусе. При детальном осмотре оказалось, что это мероприятие посвящено безопасности детей (5–17 лет) в интернете, а точнее их обучению безопасному и ответственному пользованию всемирной паутиной. Признаюсь, поскольку, когда я был маленький, это мне нужно было защищать компьютер (ПЭВМ «Микроша») от взрослых, тема обучения детей безопасности мне была как-то не близка. Рассказ девушки (девочки), которую хитрый педофил развел на встречу в реале, а потом запер в подвале и, прямо скажем, ничего общественно одобряемого с ней там не делал, не произвела на меня сильного впечатления: в конце концов, то, что тринадцатилетним девочкам не стоит встречаться со случайными дядями, — это правило еще офлайн-эпохи.
В целом же идея собирать волонтеров для того, чтобы учить детей правильно и безопасно пользоваться интернетом, выглядит здравой. В качестве волонтера я бы с удовольствием показал им файл, скачанный еще в середине девяностых с какой-то BBS’ки. Еще тогда было очевидно, что звонить на BBS надо с АнтиАОНа, а настоящие ФИО не указывать. Особенно это актуально в свете сообщений о кибербуллинге (онлайн-травле), с которым, по представленной статистике, сталкиваются 65% детей в возрасте от 8 до 14 лет.
Часть 1. Говорит и показывает Dr.
Очень много было сказано и показано про APT, безопасность мобильных приложений (традиционно отличился Android), безопасность облачных технологий (под влиянием момента я скачал полный CAIQ, и мой мозг вывернулся наизнанку), закон, порядок и расследование инцидентов. Кроме того, я посетил практически все keynotes. Ниже — выступления, которые мне особенно понравились.
Интересный случай произошел на лекции под названием «Шесть фактов про Wi-Fi, которые должен знать каждый безопасник». Двухсотместный зал был набит до отказа, но, когда лектор показала скрин с Wireshark, процентов пятнадцать из зала достали свои блокнотики и записали туда это ключевое слово, видимо чтобы впоследствии его загуглить :).
Безопасность бесконтактных платежных систем
Хорошее выступление, которое началось с самых основ базирующихся на NFC платежей (вплоть до пошаговой установки Google Wallet и Apple Pay) и завершилось советами по безопасности для пользователей бесконтактных платежей и для магазинов и, наконец, ответом на самый главный вопрос: может ли дядя с ридером-гиперболоидом из минивэна на улице скачать твои денежки.
Исследование недостатков мобильных приложений
Не единственное, но самое интересное выступление на тему. Парни проанализировали 62 000+ приложений! Мобильные программы зажигают: 48% приложений для Андроида содержат как минимум одну серьезную проблему с безопасностью, 40% отправляют данные в нешифрованном виде. Особенно порадовала уязвимость в программе, которая позволяет заказывать дубликаты физических (!) ключей по фото. Благодаря Improperly Validated SSL возможен перехват ее трафика — вместе с координатами пользователя и фотографией ключей от квартиры, где деньги лежат. Программа, подверженная удаленному исполнению кода, тоже порадовала — благодаря ее багам атакующий мог получить полный доступ к устройству, включая почту и фотографии.
Хаки, эксплойты и малварь 2014
Не так круто, как статья нашего Евгения Дроботуна (как не читал? Вот же она), но все равно достойно внимания. Малварь для MS Office — на коне и все изощреннее соблазняет пользователя разрешить макросы, а старый добрый CVE-2012-0158 — живее всех живых!
Как поломать SAP ASE, имея в активе только соединение с ней по интернету?
От соединения с СУБД с «пробным» логином до исполнения любых SQL/RPC-команд в шесть шагов — очень интересная презентация. Во второй части соответствующие почести возданы и многострадальной Java.
Уязвимости менеджеров паролей
Однажды наш краснознаменный Александр Ващило написал очень крутую статью про уязвимости менеджеров паролей. Оказалось, что он не один в этом мире, и Ли Чживэй (Zhiwei Li) в своей презентации показал нам результаты не менее крутого исследования. Начал он ее с фраз из рекламы разных менеджеров паролей и официальных рекомендаций использовать их для улучшения собственной безопасности. А закончилось все тем, что по четырем классам уязвимостей ни один из исследованных менеджеров не показал себя полностью защищенным. Спойлер: CSRF (LastPass, RoboForm, NeedMyPassword) и XSS (NeedMyPassword) все еще никто не отменял.
Часть 2. Взгляд Криса
Восточный блок Moscone-центра был заполнен меньше чем наполовину. Пускали туда только обладателей full pass, который, очевидно, был не у всех, ибо стоил 2100 долларов, а то и дороже. В северном и южном корпусах толпилась масса народу, тут же ютились будочки многочисленных компаний, демонстрирующих победоносно новые решения информационной безопасности. Здесь же выступали артисты (Алек Болдуин) и прочие медийные фигуры.
Мыщъха на конференцию никто не посылал. Все говорили, что это мероприятие не для технарей, а для бизнесменов и политиков. И правда, безопасности тут было совсем немного, но с учетом размаха конференции это «немного» представляло собой кое-что.
Встреча с Крисом Касперски
На правах постоянного читателя нашего журнала ты наверняка знаешь биографию Криса до 2012 года включительно. Именно в этом году он впервые встретился в США с Никитой Кислицыным, нашим бывшим главным редактором, и дал журналу интервью, в котором очень подробно рассказал о своей жизни и трудовой биографии. Со слов Криса, это интервью попало на стол к сотрудникам ФБР и они им очень заинтересовались (считаю, что это надо расценивать как комплимент, — надеюсь, они подписались на наш журнал, а не качают его в торрентах :). — Прим. ред.).
Затем Криса сократили из McAfee. «Впоследствии» не значит «вследствие того», и какую роль в этом сыграло предварительно согласованное с руководством интервью, остается только гадать, но если «Хакер» читают и в McAfee, то это, безусловно, стоит считать комплиментом в квадрате :).
После этой истории Крис замкнулся в себе и перестал обсуждать с журналистами интимные подробности своей работы.
При этом в реале он отнюдь не впал в уныние! Он жил полной жизнью, заинтересовался огнестрельным оружием и купил себе без малого десяток стволов (в его штате это легально), в том числе Spartan Rifle компании LWRC, которых в мире всего триста штук. Еще он попадал в интересные истории с полицейскими — «проститутками» под прикрытием (в его штате это нелегально) и угорал от души, показывая фокусы с наперстками в компании официанток.
Трудоустроился он в компании CheckPoint, где сейчас занимается любимой работой (какой — не скажет ;)), а в свободное время сжигает кучу патронов на стрельбище и в компании студентов паяет интересные девайсы. Кстати, он обещал написать нам пару статей на эту тему в рубрику «Фрикинг»!
Докладов была масса, доклады шли всю неделю в десятках (!) аудиторий одновременно, и потому мыщъх чувствовал себя буридановым ослом в гиперкубе. Первые дни ходил на выступления «звездных» участников, но затем научился их избегать: обнаружилось, что самое интересное — у ничем с виду не примечательных докладчиков. А интересного там было выше Фудзиямы. Мир оказался намного более уязвимым, чем представлялось. И это с учетом того, что мыщъх не хрен с горы, а эксперт по безопасности, но даже эксперту было сложно предположить, что свыше 70% роутеров уязвимы к удаленным атакам и что они никогда не будут залатаны по тем или иным причинам.
Огромное количество IoT (Internet of Things) типа CCTV-камер работают под управлением встроенного веб-сервера RomPager, сплоиты под который в выдаче гугла прочно удерживают первые позиции, и только затем идет официальный сайт разработчика этой редиски.
Терминалы оплаты (POS) защищены очень плохо, и на конференции демонстрировались различные способы их взлома. Цифровые валюты защищены еще хуже, поскольку остаются не признанными большинством мировых держав, и местами для атаки достаточно взломать дырявый PHP-скрипт, причем в отличие от пластиковых карт (имеющих трудности с обналичиванием украденного) цифровые валюты зачастую полностью анонимны, а на рынке работают десятки теневых контор, меняющих одну валюту на другую. Подводя итог: специалистам по информационной безопасности голод не грозит, напротив, потребность в них неуклонно растет. Кстати, о потребности...
Рынок труда в США
В понедельник (первый день) говорили все больше о рынке труда. Главным образом со стороны нанимателей. На конференции озвучили статистику: в 2013 году 37% компаний жаловались на то, что не могут найти специалистов, в 2015 году эта цифра достигла отметки в 45%. Разрыв между спросом и предложением стремительно растет. Компании уже подняли зарплату на 5% за последний год, но это не дало ожидаемого результата, и потому сейчас идет активный поиск среди… женщин. Нет, не так. Поиск среди женщин непрофильных специальностей. В частности, адвокатов. Им предлагают перейти в IT.
Разумеется, не просто так предлагают. Их переучивают и соблазняют высокими зарплатами. Насколько хорошо это работает, мы увидим через несколько лет, а пока что половина компаний испытывает кадровый голод.
Мыщъх и Руссинович, или в погоне за малварью
На второй день конференции, сразу после обеда, в неожиданно пустом зале западного корпуса, заполненного едва ли на треть, выступал Марк Руссинович и показательно гонял малварь. Да не один, а вдвоем с законом Мерфи (о возникших проблемах я еще расскажу). Марк был отмечен звездочкой (top-rated speaker), и мыщъх клюнул. Впрочем, на Руссиновича мыщъх сходил бы и без звездочки. Все-таки интересно посмотреть на создателя легендарных Sysinternals Tools, которые гораздо круче всех антивирусов, вместе взятых. С Марком мыщъх лично не знаком, но еще в 2009 году на конференции в Сеуле демонстрировал баги в его Process Explorer’е (это уже после того, как послал ему proof of concept двумя годами ранее, но Марк так и не ответил). Эти баги и сейчас там (мыщъх подошел к Марку после конференции и тихо сообщил, когда и при каких обстоятельствах у того случаются опаньки, но Марк торопился освободить зал для следующего оратора, а мыщъх торопился на следующую презентацию. Короче, так и не поговорили).
Кстати говоря, эпическое сафари на мамином компьютере описано в блоге Марка в далеком-далеком январе 2012 года и за неимением более свежих примеров наглядной агитации повторено на конференции RSA в апреле 2015-го. Для кого-то, бесспорно, это интересно (народ только успевал конспектировать), но мыщъх не вынес из доклада ничего нового. Ну, практически… Марк недавно зарелизил свежий билд ProcMon’а, и теперь ProcMon не только воспринимает фильтры через гуевый интерфейс, но и поддерживает импорт XML-файлов, которые можно набивать в своем любимом текстовом редакторе и таскать за собой. Теперь результаты тюнинга фильтров не пропадают при перезапуске/переустановке утилиты.
Попытка демонстрировать малвари харакири закончилась провалом. Марк объяснил, что если сделать зловредному процессу Kill, то с той или иной вероятностью процесс будет перезапущен другим зловредным процессом. Они следят друг за другом и перезапускают погибших товарищей. Техника, известная еще со времен Червя Морриса. Лучше делать процессу suspend. Это не гарантия успеха, но все-таки шансов будет намного больше. Впрочем, продемонстрировать перезапуск процесса из другого процесса у Марка так и не получилось. Процесс умирал по Kill и не воскрешался. Возможно, виною тому сырая версия Windows 10, которую Марк притащил на презентацию, а возможно, косяки в его коде.
Короче говоря, мыщъх остался разочарован. Вероятно, потому, что ожидал услышать что-то новое. Повторять собственный блог трехлетней давности — это, извините, выступление для галочки. С другой стороны, на слушателей это самое выступление произвело впечатление, так что не все однозначно.
Знаменитости на конференции
Уитфилд Диффи
Могучий седобородый волосач и бородач, известнейший американский криптограф, знаменитый своим основополагающим вкладом в криптографию с открытым ключом. Протокол Диффи — Хеллмана известен в IT-мире ничуть не меньше, чем закон Ломоносова — Лавуазье или уравнение Менделеева — Клапейрона в мире учеников средней школы :).
Рональд Линн Ривест
Не менее могучий лысач и бородач, автор симметричного алгоритма RC2, RC4, RC5, профессор. А еще он — это первая буква аббревиатуры RSA. Прям человек и пароход — и алгоритм асимметричного шифрования, и человек-конференция.
Ади Шамир
Профессор, криптоаналитик и вторая буква аббревиатуры RSA.
Брайан Кребс
...при звуках имени которого средний российский хакер тут же изображает троллфейс и по памяти цитирует известную в узких кругах после кое-какого скандала фразу с ключевыми словами «баян кребс, злая ломка, скинемся на героин». На самом деле он известный американский журналист и как бы эксперт по российским хакерам.
Марк Руссинович
Этот крутой хакер, знаток недокументированных возможностей Windows, уже давненько работает на Microsoft. Но в наших сердцах он навсегда остался как автор книг «Внутреннее устройство Microsoft Windows», программист Sysinternals и автор утилит, Process Explorer и Rootkit Revealer. Кстати,мы с ним делали интервью.
Брюс Шнайер
Знаменит созданием алгоритма Blowfish, сотрудничеством с Министерством обороны США в анамнезе и книгой «Прикладная криптография». В книжном киоске на конференции продавалась его книга «Schneier on Security: Data and Goliath», которую можно было подписать у автора.