воскресенье, 3 июня 2012 г.

PHDays 2012 - мои впечатления

"Итак, как чувствуете вы себя? Как прошел этот утомительный бал? — Потрясающе! — затрещал Коровьев. — Все очарованы, влюблены, раздавлены, сколько такта, сколько умения, обаяния и шарма!" (C) М. Булгаков, "Мастер и Маргарита"

Продолжу уже наметившуюся тенденцию и опишу свои собственные впечатления от прошедшего форума PHDays 2012. На объективность можете даже не рассчитывать, буду субъективен настолько, насколько это возможно :) Так получилось, что этот форум был первым мероприятием подобного рода, в котором я не то, что принял участие, но и вообще - посетил, как таковое. То есть, я не знал, какой должна быть труъ-хакерская конференция, что там должно быть и на каком уровне это все должно быть организовано. Теперь я это знаю. Собственно, на этом можно было бы и закончить, но так как остальные отметившиеся описали свои впечатления чуть более подробно, последую их примеру... Честно говоря, для меня PHDays начался почти сразу после прихода в команду Positive Technologies, то есть, примерно в марте, если говорить об участии в его подготовке. Если же говорить о моем присутствии на площадке, то попал я туда вечером 29 мая, прямо из аэропорта, не приходя в сознание не заезжая в гостиницу, и сразу же окунулся в атмосферу кипящей работы по подготовке к форуму. Палить приваты не буду, поэтому оставим за кадром все проблемы, факапы и недоразумения, возникавшие в тот вечер, порой на ровном месте. Скажу лишь, что впервые увидев в тот вечер всю PT, как одну большую команду, я нахожусь под впечатлением до сих пор и искренне рад тому, что являюсь ее частью.

День первый

Как и положено, в первый день я умудрился опоздать более, чем на час (с учетом того, что жил через дорогу от Digital October), поэтому первым выступлением, на которое я попал, стал один из докладов на тему фрода в телекоме. Честно говоря, как человек, проработавший в отрасли связи более 10 лет, я не вполне понимаю, как можно было растянуть на час с лишним фразу "народ, у нас ровным счетом ничего не поменялось, все по-прежнему" и сделать из этого целый доклад. Но у того парня это удалось более чем, снимаю шляпу - я так не умею. Это был первый и последний пиджачный доклад, который я посетил на PHDays, слава всевышнему. Зачем меня туда понесло - до сих пор не могу понять, видимо сработали какие-то безусловные рефлексы, выработанные за годы работы в Билайне. В дальнейшем, я был осмотрительнее и обходил все доклады пиджаков стороной.

Далее, я краем уха послушал о легковесной криптографии, но так как ни черта не смыслю в схемотехнике, ушел не дослушав выступление до конца. Доклад был, судя по всему, интересным, но для тех, кто в теме. Затем, все слушали Брюса Шнайера. На мой взгляд, вопросы, поднятые им на ключевом докладе, были гораздо глубже, чем их восприняло подавляющее большинство, по крайней мере, стоявших рядом со мной слушателей. Я серьезно, это речь, которую нужно прослушать несколько раз и несколько раз переосмысливать, для того, чтобы прочувствовать все, что он хотел ей донести. Первое впечатление, которое у меня вызвал Брюс - умнейший человек, с необычайно глубокой философией и настолько же грустными глазами, которого хочется взять за руку и отвести в ближайшее кафе, чтобы хорошенько накормить. Не знаю почему, но примерно так.

После этого, заряженный энергетикой выступления телекомовца и в глубоких раздумьях по поводу сказанного Брюсом, я двинул на лабу к Андресу Рьянчо. Андрес рассказывал, показывал и давал попробовать все возможные уязвимости, возникающее на клиент-сайде в условиях HTML5. Пожалуй, это было одно из самых интересных для меня выступлений, хотя я и был знаком примерно с двумя третями материала, который он давал. А еще, он раздавал аргентинские печеньки (cookies) за интересные вопросы и ответы. Благодаря ему, я также узнал, что "Hello world" по ихнему будет "Hola mundo", что с понятием same-origin-policy было знакомо около трети аудитории, что он не жалует зарвавшихся разработчиков и что с крайним пренебрежением относится ко всему от Microsoft. Но в целом - очень юморной и прикольный парень, сумевший поддерживать интерес всех, кто его слушал на протяжении 4 часов.

Очень сильное впечатление на меня произвели переводчики, осуществлявшие синхронную трансляцию русских докладов на английский и наоборот. Учитывая, что сами они не являлись профессионалами в нашей области, тот небольшой процент ляпов с терминологией, который имел место, говорит сам за себя. Одного из них, кто-то из наших разговорил на предмет того, откуда он владеет всеми общепринятыми сокращениями, сленгом и т.п., на что тот просто ответил, что читает специальную литературу и статьи, имеющие отношение к данной предметной области.

Где-то посередине лабы Андреса, я отлучился на полчаса, чтобы послушать своего коллегу Сергея Щербеля, который рассказывал об альтернативных реализациях PHP. В первую очередь, этот доклад был интересен для меня тем, что наглядно демонстрировал последствия переноса динамического языка в чужеродную среду в лице проекта Phalanger, о чем я собирался упомянуть в своем докладе. Черновую версию презентации Сергея я конечно уже видел ранее, но тем не менее, доклад был хоть и короткий, но весьма интересный и показательный. Оставим темным пятном в моей биографии, чем я занимался после окончания первого дня форума, до глубокой ночи и перейдем сразу ко второму дню :)

День второй

Второй день PHDays начался для меня с выступления Владимира Воронцова aka d0znpp об атаках на web-клиенты Microsoft. По крайней мере, именно так я думал, когда пришел на его доклад. Как оказалось, тема была внезапно изменена, о чем однако не пришлось пожалеть ни на грамм. Чтобы не портить сюрприз тем, кто не присутствовал на этом докладе, просто оставлю здесь ссылку на слайды презентации (http://www.slideshare.net/d0znpp/onsec-phdays-2012-xxe-incapsulated-report) и видео выступления (см. ссылку в конце поста). Впрочем, про web-клиенты позднее, он-таки рассказал на фасттреке (судя по всему, т.к. я это дело пропустил, но слайды есть тут: http://www.slideshare.net/d0znpp/phdays-2012-fasttrack-attacks-on-ms-webclients). Выступление Владимира дало богатую пищу для размышлений на предмет того, насколько интересной является тема XXE в частности и техник, связанных с XML в целом.

Затем, я снова оказался на докладе моего коллеги Алексея Москвина об использовании врапперов PHP. Черновую версию этого доклада я видел даже дважды, однако было интересно посмотреть демки с примерами уявзимостей во-первых и, в течении предыдущего дня, я оказывал докладчику техническую поддержку в подготовке доклада во-вторых, соответственно, не прийти на него не мог :) К сожалению, большая часть аудитории похоже не прочувствовала всю серьезность темы и возможностей, которые предоставляют врапперы PHP при проведении ряда атак. Я крайне рекомендую всем, даже слушавшим доклад онсайт, посмотреть его еще раз с упором на демки практического применения врапперов в атаках на реальные системы.

После доклада Алексея, я остался послушать Ульриха Флека об одеях и аптах. Больше всего, мне было интересно, о каком одее в ASP.NET он собирается рассказать. Честно говоря, причем тут апт я так и не понял, подозреваю что Ульрих просто поддался искушению добавить баззворд туда, где он был совершенно не к месту. Сам доклад состоял из демок с, судя по всему, баянами многомесячной давности, но лично мне было интересно, т.к. я не был в курсе про все, кроме баги в ASP.NET и, тем более, не видел живых демок с ними. В конце выступления, один из сидевших по соседству со мной парней, задал вопрос о том, влияет ли использование индексов в БД по полю имени пользователя на возможность эксплуатации бага с аутентификацией в ASP.NET. Тут время Ульриха закончилось и его попросили, поэтому отвечу таинственному незнакомцу за него: нет, совершенно не влияет. Готов расписать подробнее, почему так, если нужно.

После этого, я надолго засел в подсобном помещении, готовясь к своему выступлению - очень сильно волновался, т.к. перед таким количеством людей еще ни разу ни о чем не вещал. По этой причине, а также из-за необходимости периодически отлучаться по рабочим вопросам, на многие из интересных докладов я просто не попал, поэтому запланировал себе просмотр всех записей в ближайшие несколько дней.

Совершенно случайно, услышав рекомендацию "там какой-то фантомас про sqlmap рассказывает" я забрел к Мирославу Штампару на доклад об использовании DNS-запросов, как транспорта для извлечения информации из таблиц БД при эксплуатации слепых скулей и реализации этого дела в sqlmap'е (слайды: http://www.slideshare.net/stamparm/dns-exfiltration-using-sqlmap-13163281). Очень сильный и интересный доклад. Вообще говоря, растущая из года в год сложность проведения атак несколько пугает. Но еще сильнее пугает все большее покрытие этой сложности полностью автоматизированными средствами, справится с которыми сможет любой старшеклассник. Забавно, что при такой явной тенденции, на технических докладах присутствовал крайне малый процент пиджаков. Странные люди - они готовы часами плакаться о превратностях судьбы на фоне полиморфного ФЗ 152, троллить друг-друга на тему гостайны и важно прохаживаться по холлу, но послушать о том, как и чем их системы будут надламывать в очередной раз, им недосуг. Видимо, они сознательно игнорируют подобные выступления, чтобы потом был повод лишний раз покричать об APT и выбить под это дело лишний нолик в своем бюджете. Ну ок, Шнайер им судья.

Последним посещенным мной докладом был, как не странно, мой собственный. Впечатления от него остались крайне смешанные. С одной стороны, мне определенно удалось справиться с волнением куда лучше, чем я на это рассчитывал. Аудитория при этом не особо скучала, слушали с интересом, задавали вопросы по делу. С другой, попытка совместить в одном материале то, что было бы интересно и пентестерам и разработчикам, похоже не вполне удалась. Пентестеры слегка скучали, когда я показывал код, а разработчики не вполне понимали, зачем уделять столько внимания природе уязвимостей и конкретным способам и особенностям их эксплуатации. Хотя те отзывы, которые я успел получить, говорят о том, что в целом доклад получился интересный, он мог быть определенно лучше и интереснее, если бы ориентировался на более однородную аудиторию. Но в любом случае, общее впечатление от собственного выступления у меня осталось скорее положительное. Кроме того, я укрепился в мысли о том, что необходимо налаживать взаимодействие исследователей безопасности с разработчиками. Если посмотреть программы ближайших прошедших и предстоящих конференций, так или иначе связанных с разработкой, то докладов, посвященных безопасному коду на них представлено крайне мало. Что-то пытаются организовывать парни из Microsoft, за что им респект и уважуха, но думаю понятно, о чьих технологиях и инструментах там идет речь. На остальных мероприятиях, ничего серьезного в этом плане я не нашел и мне кажется, что нужно развивать эту тему и готовить материалы, предназначенные именно для программеров, с учетом всей специфики их предметной области, приоритетов, знаний в области информационной безопасности и т.п.

Потом было окончание CTF, наливайка, hack2own, еще конкурсы, награждение победителей, концерт... Почти все это время я провел общаясь со своими бывшими коллегами из Билайна и друзьями, с которыми удалось пересечься на конференции, а также с теми, с кем познакомился прямо там. Обсудили все, что касается клиент-сайда (я устроил небольшую демонстрацию возможностей и последствий таких атак, прямо в холле, на своем ноуте), долбанного апта, музыки и результатов CTF, отбивался от какого-то CTF-ника в кепке, который что-то говорил про дружбу народов и лез обниматься (я не против дружбы народов, но накидаться текилой до такой же степени как и он, на тот момент еще не успел, так как в наливайке не участвовал). Был еще и третий день - afterparty на корабле с командами CTF и позитивным народом, где все просто общались друг с другом, обсуждали PHDays, строили планы на будущее и т.п. Когда мы сошли с корабля и отправились на поиски паба, способного вместить под сотню человек, я внезапно подумал, что местные власти вполне могут принять шествие всей этой толпы (из которой не менее трети, включая меня, были в подозрительно красных футболках) за несанкционированный митинг коммунистов, но все обошлось.

В целом, это было просто замечательное мероприятие, с неповторимой атмосферой, интереснейшими людьми и здоровской программой. Единственное, чего точно не хватило - это времени на перерывах, чтобы без ущерба посещения какого-либо доклада или конкурса, спокойно пообщаться с теми, с кем завязывался разговор. По-моему, стоило бы добавить, какое-нибудь окно, в течении которого участники бы могли просто потрепаться друг с другом в неформальной обстановке, обменяться наработками и т.п. Впрочем, все в наших руках, разве нет? ;)

P.S: Да, чуть не забыл. Видео всех выступлений можно посмотреть тут: http://digitaloctober.ru/event/positive_hack_days/

Комментариев нет:

Отправить комментарий

Пожалуйста, будьте вежливы к автору и остальным посетителям этого блога