О важности информационной безопасности — отчет о конференции HackIT 2016
На фото троянские лошадки вживую (да, они голые и их можно было «потроянить»)
HackIT — это не просто призыв к действию (hack it), а ежегодное мероприятие, посвященное всем вопросам информационной безопасности, которое проводится в Харькове уже второй раз.
Каждый в этой стране должен научиться программировать, потому что это научит думать
— Steve Jobs
Если развивать мысль создателя Apple, то хакинг научит не просто думать, а мыслить на порядок выше большинства программистов.
Так сложилось, что Харьков — это историческое обиталище хакеров, а Украина, по мнению зарубежных журналистов, вообще — cybercrime heaven.
Даже хабраюзер savex, который занимался локализацией NeverHood в лохматых 2000-ых, знал это.
Наша задача, как организаторов, это развитие индустрии ИБ в Украине и повышение осведомленности людей о методах и последствиях информационных войн.
А самое главное — передать опыт и понимание в сжатые сроки — 8 часов. Поэтому постарались преподнести аспекты такой сложной и технической темы как информационная безопасность, простым и понятным языком, дополнив нашу речь показательными шоу и визуальными эффектами, чтобы донести понимание актуальности и близости опасностей в сегодняшней ситуации в мире.
Поэтому этот пост не просто фото-отчет, а небольшая экскурсия.
В зале на 500+ человек первыми, кто взял микрофон, это группа «Гражданин Топинамбур» с песней «Войти в Айти», которая была выбрана не случайно.
Пока ребята допевали куплеты:
Нам сказали в передаче:
«Проживете, мол, на сдачу»,
Вот такой вот поворот,
Обнищал вокруг народ.
А я хочу наоборот,
Чтобы лето круглый год,
Чтобы белый пароход,
И писать свой джавакод.
в зал вошла группа людей в камуфляже и автоматами, как это иногда случается с IT-компаниями в Украине и стала заниматься задержанием лиц, выступающих в роли спикеров.
Мне даже позвонило пару друзей с вопросом «У вас там все в порядке?». Это получило небольшой резонанс в местном медиа, собственно как и каждый обыск, проходивший в 2016 и 2015-ом годах. Но на самом деле это были ребята с местного пейтнболл-клуба, поэтому они не представляли никакой опасности. А вот правоохранительным органам мы хотим лишь донести одну простую мысль:
не нужно «убивать» IT-бизнес, в который все стремятся «войти», там работают головой, а не руками.
Тогда, возможно, будет диалог между представителями власти и бизнеса, как и отображено на фотографии, в виде жеста открытости — рукопожатия.
И это не пафосные слова, в этом направлении нам удалось приблизиться к кое-каким результатам, об этом свидетельствуют люди в форме, которых можно увидеть в фото-отчете, а также утвердительный ответ на пригласительное письмо от Киберполиции Украины.
Ведь в соседних странах сотрудничество частных компаний с государственными — это норма, живым доказательством послужил Ник Белогорский, один из хедлайнеров конференции, который сотрудничает с правительством США и является создателем антивируса нового поколения.
Особо параноидальным личностям, мы с сарказмом говорили: товарищ майор тоже будет присутствовать…
Сама конференция состояла из 3-ех потоков лекций и практических докладов (workshop)
Из зарубежных приглашенных спикеров были:
Andrew Auernheimer — хакер из США, который отсидел в тюрьме 12 месяцев за взлом AT&T и Amazon с докладом Hacktivism — за славу и деньги.
Alfonso De Gregorio — эксперт Евросоюза по информационной безопасности, раскрывший этическую дилемму продажи уязвимостей нулевого дня.
Andrei Avadanei — основатель Defcamp, Румыния, с интересными методами, которые позволяют не только обезопасить систему, а еще и деанонимизировать злоумышленника по принципу honeypot.
Кроме области IT, был представитель профессии, которую в странах постсоветского пространства слышно только в анекдотах и насмешках, а именно физик-ядерщик Andrew Dodson, с оригинальной темой: «Умные сети — глупая идея».
С другими, не менее интересными личностями, вы можете заочно познакомиться на сайте HackIT, посмотреть их презентации и видео выступлений.
Темы украинских докладчиков были злободневные и практические. Директор кибер-лаборатории раскрыл каждый шаг, сделанный хакерами при взломе Закарпатской энергостанции, инженер из CERT-UA рассказал о секрете изготовления флешки из сериала mrRobot, которая способна «воспламенить» ваш компьютер. В соседнем зале все пытались разглядеть, где же спрятана миниатюрная камера и воочию узрели как и куда «просверливаются» спецслужбы со своими индукционными микрофонами размером с блоху.
Были представлены также увлекательнейшие исследования теневого рынка adware на Google Play Market, векторы угона автомобилей и анализ рынка web-shell’ов методом бекдора в бекдоре.
Озвученные темы затрагивали самые разные и не пересекающиеся между собой области безопасности, от сетей, железа и веб-сайтов до энергостанций, машин и геополитики.
Форум проходил не только познавательно, но и развлекательно. Вне залов, где делились знаниями, присутствовали увеселительные зоны, где каждый мог вспомнить молодость или познать историю, сыграть на приставках Dandy и SEGA.
Мы специально для развлечения привезли мадагарскарских тараканов, размером с большой палец, которые грозно шипели на тех, кто их хотел погладить, но были приручены багхантерами, исследователями уязвимостей, которые умеют находить баги в компьютерных системах и с удовольствием предавшихся азарту (без ставок) соревнования тараканов на скорость. Чем крупнее был «баг», тем он был медленней.
В общем, кто не смог поприсутствовать, могут это сделать виртуально. Включите видео, откиньтесь на спинку стула и крутите мышкой в ту сторону, которую хотите посмотреть.
00:00 Offline CTF
26:50 Открытие мероприятия
40:45 Andrew Auernheimer
1:02:00 Alfonso De Gregorio
1:23:00 Алексей Ясинский
Помимо форума и замечательных спикеров, мы отобрали 10-ку лучших команд хакеров и исследователей из зарегистрированных 1062 команд на отборочном туре, в каждой из которых было от 2-ух до 5-ти человек.
Финальный scoreboard
Всего участвовало более 5000 участников из 93-ех стран мира. Топ стран:
- США, 886 участников
- Украина, 695 участников
- Россия, 682 участников
За все время соревнования только 458 команд смогли решить хоть 1 задачу. Всеми командами было успешно сдано 8096 ФЛАГОВ и 35 000 ошибочных попыток сдачи.
О том, как мы поднимали сервер (64Gb RAM) палками и костылями на протяжении первой ночи, как проводили оптимизацию узких мест платформы для проведения CTF и другие подробности, имеет смысл описать отдельным постом. И конечно же будет немного об offline части CTF.
И к концу форума мы всех наградили ценными подарками и, чтобы ребята не использовали свои навыки во вред, мы их «обелили», как именно, узнаете в следующей статье.
P.S. не обошлось и без серии after-party, after-after-party, и т.д., но это уже другая история…