23, май 2014  —  Грандиозный форум по практической безопасности PositiveHackDaysIV , сердце которого бьется в центре Москвы,прошагал по всей планете и подошел к своему финалу. Спасибо вам огромное! Два дня пролетели незаметно благодаря невероятной концентрации нестандартно мыслящих людей с разных уголков света. Определены победители международных соревнований CTF и множества других конкурсов, включая экстремальную «Наливайку», состоялисьдесятки важнейшихдокладов иувлекательных мастер-классов. Не менее интересные событияпроходили на 15 удаленных площадках PHDaysEverywhere в четырех странах мира. Обо всем этом читайте в наших репортажах и в твиттер е @ phdays .

Сегодня мы процитируем наиболеезапоминающиесятезисы, прозвучавшие22 мая во время центральных дискуссий.

Кто хозяин интернета?

Кому выгодна «глобальная слежка»? Где у интернетаслабые места?Кто и как регулирует жизнь Всемирной сети? Ведущие эксперты по информационной безопасности, лидеры интернет-отрасли, представители МИДа и Совета Федерации встретились во второй день международного форума по практической безопасности PositiveHackDays, чтобы принять участие в острой дискуссии «Государство и информационная безопасность» .

Представитель МИДа Борис Васильев подверг критике проект регулирования интернета, разработанный США для Совета Европы, так называемую Будапештскую конвенцию. В ней есть пункт Б статьи 32, где оговаривается возможность осуществлять мониторинг информационных систем, в том числе закрытых, без уведомления их владельцев. Все 35 стран, подписавшихконвенцию,фактически дали добро на слежку за собой и своими гражданами.

«Каждое государство имеет право на суверенитет всвоем информационном пространстве», —подчеркнул Борис Васильев. Россия является одним из разработчиков международного закона о защите персональных данных, где этот принцип должен быть реализован, однако у закона есть противники, которые выступают против передачи интернетапод международный контроль. По их мнению, интернет принадлежит одновременно всем и никому.

Ахиллесова пята

Андрей Колесников, директор Координационного центранационального домена сети Интернет, продолжил тему международного и российского регулирования, заявив, что сломать интернет очень трудно, но у него есть ахиллесова пята — там, где техническое регулирование сталкивается с информационной безопасностью. Он задал интересный вопрос аудитории: что произойдет синтернетом, если судебный пристав придет с ордером на отключение, допустим, домена Ирана — к инженерам компании Ver iSign , которая контролирует корневые интернет-серверы?..

Каких законов бояться

Самый острый вопрос— регулирование российского интернета и недавние законотворческие инициативы (запрет на зарубежный хостинг для государственных сайтов, требование регистрации блогеров-трехтысячников и др.) прокомментировала Людмила Бокова, член Совета Федерации, председатель временной комиссии по развитию информационного общества. Она отметила, что речь в законе идет о блогах,аудитория которых достигает 3 тыс. посетителей в сутки, и что это лишь один из критериев, позволяющих заносить блоги в реестр.Кроме того,предстоит еще определить порядок формированияподобногореестра.

По мнению Андрея Колесникова,опасатьсяследуетнезакона о трехтысячниках, который все-таки не коснется большинства пользователей, а недавно анонсированныхпредложений по введению для Рунета трехуровневоймодели, ограничениюколичества трансграничных переходов и переносу DNS-серверов на территорию Российской Федерации. По его словам, при такой конфигурации Россия окажется просто изолирована по информационному периметру.

Различия в гигиене

Леонид Филатов, глава OpenStat, поднял тему защиты персональных данных посетителей сайтов. Сегодня, по его словам, в России лишь 6 из 40 компаний, использующихинструменты для сбора данных о посетителях, имеют прописанную политику работыс персональными данными. Таким образом, подобные компании не принимают на себя никаких обязательств по обеспечению сохранности персональных данных. В Европе, чтобы «прицепить к пользователю кукис», у негокак минимум спрашивают на эторазрешение. «У нас в сети не работают элементарныесанитарно-гигиенические правила», — заявил Филатов.

Нечистоплотные персонажи могут воспользоваться дырами в законодательстве и недостатками онлайн-гигиены для продажи персональных данных, для слежки, нечестной предвыборной борьбы с использованием кибероружия… Данные о стоимости организации Ddo S и флуд-атак, взлома почты, внедрения «человека посередине»и других хакерских трюков привел Евгений Венедиктов, представитель пресс-службы московского отделения ЛДПР, —почерпнув их из «прейскуранта», который попал к нему в руки от одного из «специалистов», предлагающих подобные услуги.

В дискуссии прозвучали также тезисы о «форсайтах» и ликбезе граждан. Участники выразили надежду, что законотворцыбудут чаще сотрудничать с экспертами в области ИБ.

Прямая речь:

«Иногда создаетсявпечатление, что законодатели просто стесняются спросить специалистов, как работает интернет», — прозвучало в одном из комментариев.

Почему хакеру интересентелевизор?

Современные телевизоры часто оснащены веб-камерами и микрофонами. Аппаратами с функцией SmartTV пользуются уже очень многие, утверждаютЛуиджиАуриема и ДонатоФерранте , всемирно известные эксперты по информационной безопасности, — и масштаб атаки может быть очень широким. Атакующий может подслушивать и подглядывать, может взломать, к примеру,Smart TV в переговорной и подслушивать деловые встречи. К тому же двунаправленный канал позволяет проводить атаки типа«человекпосередине», внедряясобственныйконтент, чтобы повлиять на зрителей. Очевидная проблема смарт-телевизоров— недостаточно защищенный софт и относительно медленный выпуск обновлений безопасности. Если на компьютере уязвимость, скажем, браузера может быть устранена буквально в течение дня, то производители ТВ далеко не всегда столь оперативны.

Угрозы 3.0 и интернет вещей

Угрозыпрогнозировались и еще на одной секции . Участники дискуссии обсудили, какие новые информационные опасности несут бизнесу и простым пользователям «умные вещи», способные подключаться к интернету. Данные, собираемые холодильниками и тостерами, можно использовать не только во благо: новые модели автомобилей, подключенные к интернету, могутвыдавать свое местонахождение, а с помощью кондиционера, управляемого с телефона, можно «простудить» сотрудников конкурента. Данные о потреблении электричества расскажут о том, когда жильцы бывают дома.

Существует ли удобные и неуязвимые приложения?

Аналитик и специалист по антифрод-системам Анна Армарчук из «Яндекс.Денег»уверена, что конфликт эргономики и безопасности принципиально неразрешим и необходимоудерживать рискина приемлемом уровне, при котором бизнес приносит прибыль, а клиенты довольны сервисом. В ходе секции « AppSec: от почты до порталов госуслуг »она рассказала, как не стать жертвойкиберпреступников и что представляет собой хорошая антифрод-система.

Пострадавшие от мошенников пользователи сервиса Яндекс.Деньги, как правило, не использовали OTP и антивирусы, сами сообщали код из SMS , хранили ключи во взломанном аккаунте и теряли телефон. Для выявления инцидентов мошенничества хорошая антифрод-система должна вести запись новых данных, блокировать подозрительные транзакции и счета потенциальной жертвы. Яндекс.Деньгиучаствуют в общей программе поиска уязвимостей (баг-баунти)«Яндекса» и проводят регулярные нагрузочные тестирования.

Молоток против макбука

О баг-баунти говорил и Владимир Дубровин, руководитель группы тестирования Mail.Ru.Он рассказал о стартовавшей программе поиска уязвимостей hackerone . Com , цель которой помочь повысить безопасность множества собственных и партнерских проектов — от флэш-открытки со смеющимися котиками до электронной почты. На PHDaysIV компания Mail . Ru предложила приз для авторов поступающих репортов за лучшую найденную уязвимость ( MacBookAir ) и пообещала разбить его молотком, если реальных уязвимостей никто не найдет. Репортаж об этом душещипательном конфликте — уже скоро!

Красивые аббревиатуры и безопасная разработка

Во всем мире сейчас активно пропагандируются системы SecureSoftwareDevelopmentLifecycle ( SDDL ), которые помогают создавать безопасный код и обещают минимизировать самые разнообразные риски — от взлома приложений до восстания машин. Ведущий эксперт PositiveTechnologies Андрей Бершадский уверен, что всех проблем SDDL решить не может. «Нельзя взять из коробки, к примеру, систему документооборота — и внедрить ее в чистом виде. Необходимо создавать "кастомные" модули и адаптировать другиеэлементы, максимально приближая продукт к потребностям конкретного бизнеса;это заставляет компанию обращаться к разработчикам —своим или сторонним. Для них же безопасность, как правило, не является основным критерием: если о ней не позаботиться, это не отразиться на дедлайне и не приведет к срыву проекта. Во главе угла обычно стоит функциональность».

Что случается с «черными шляпами»

Илья Сачков, генеральный директор компании Group-IB, которая занимается расследованием киберпреступлений, рассказал о прецедентом аресте создателя Blackhole — популярнейшего набора утилит и сценариев для эксплуатации уязвимостей. Автор этой коллекции, как выяснили следователи, тратил на ее создание внушительные суммы, покупая отдельные эксплойты за сотни тысяч долларов.

Прямая речь:

«Возможно, поначалу черное хакерство кому-то кажется игрой, — отметил Илья Сачков.— Нопотом люди, отвечающие за экономическуючасть очередного «проекта», берут вас в оборот, возможно везут вас куда-нибудь в Дагестан, у вас ломается жизнь, психика, и запятнав себя, вы больше никогда не сможете выехать из страны, а будете либо всю жизньработать на бандитов, либо — если очень-очень повезет — на соответствующие госорганы».

Конкурентная разведка: солдаты киберудачи

« C ompetitive i ntelligenceпоявилась примерно 25 лет назад, отделившись от промышленного шпионажа», — так начал свое выступление « Жизнь после Сноудена. Современный инструментарий интернет-разведки » Андрей Масалович. Конкурентная разведка — это сбор и обработка информации из открытых источников — в рамках закона и этических норм. Она служит для поддержки и повышения конкурентоспособности коммерческой организации. Киберразведчик может зарабатывать 1000 евро в день,но должен при этом придерживаться жестких правил игры: ему противодействуют спецслужбы ведущих держав, которые борются за контроль над киберпространством. Андрей рассказал о практических методах анонимизации, позволяющих избавиться от основных идентификаторов, которых у обычного интернет-пользователя как минимум полсотни. Была рассмотрена, например,функция MultipeerConnectivityFramework в AppleiOS 7, позволяющая организовать беспроводную сеть формата WMN (когда интернет «протянут по цепочке» там, где нет сотовых вышек).

Записи всех выступлений второго дня PositiveHackDaysIV доступны по адресу: http://www.phdays.ru/broadcast/#2