понедельник, 24 октября 2011 г.

Отчет по Defcon Russia V

   20 числа был на 5-ом Defcon Russia (человек 50 пришло где-то) и кратко охарактеризовать мероприятие могу тремя словами: холодно (небольшой минус Яндексу), интересно и весело.
   Добраться до места оказалось совсем несложно, хотя и шел я с Фрунзенской, мероприятие началось с небольшим опозданием (минут на 10, кажется).

   Первым был доклад о участии в программах по продаже уязвимостей, где Алексей Синцов (Digital Security), Дмитрий Частухин (Digital Security) и Владимир Воронцов (ONSEC) рассказали кто покупает уязвимости (кстати, почему-то выпустили из виду iSIGHT Partners), какие именно, сколько за это платят, как и сколько идут деньги:) Честно говоря, я уже практически все знал, но вот сами уязвимости о которых рассказывали были довольно интересны (например уязвимость в Google Docs позволяющая получить НСД к данным в таблицах из форм опросов и сбора информации). Особенно хотелось бы отметить живую манеру выступления Алексея Синцова, которая чем-то похожая на манеру выступления Глеба Пахаренко из UISG (т.е. отличается большим количеством мягких шуток).
   Вторым был доклад Дмитрия Олексюка (eSage Lab, кстати, eSage Lab это такой себе бутик от технической ИБ, с высочайшей степенью профессионализма сотрудников, и думается мне, что любой из них мог бы хоть сейчас устроиться, например, аналитиком угроз в любого антивирусного вендора в англо-\русскоязычной стране, т.к. требования к таким аналитикам они более чем удовлетворяют), который рассказал где же брать вредоносы для исследований (тут я спрашивал почему не в качестве источника не упомянут ShadowServer, на что мне Александр Матросов из ESET ответил, что сия контора далеко не со всеми делится свежими семплами - впрочем, насколько я знаю получать свежие семплы можно, надо просто трудоустроить на интересные задачи у себя одного из авторитетных админов ShadowServer:) Честно говоря, нового тут для меня тоже было мало, я бы еще как минимум 7-8 мест назвал где взять вредоносы кроме приведенных Дмитрием. Откровением для меня стало то, что все таки на VirusTotal есть что-то относительно новое из вредоносов, ну и такая научная формальная модель отслеживания ботнет-контроллеров построенная Дмитрием мне тоже понравилась:)
   Между докладами был кофе-брейк минут на 10-15 - был кофе растворимый, кофемашина, печенюшки трех видов.
   Третьим был доклад Алексея Синцова, где он рассказал как проводя пентест писал эксплойт на Lotus. В общем, рассказал он не только об этом пентесте, и привел 3 уязвимости - уязвимость к декомпиляции (Java код не был обфусцирован) части Lotus, и 2 уязвимости класса replay attack - SMB relay и аутентификация по хэшу. Рассказал так же о известном сервисе для поиска серверов (в т.ч. уязвимых) SHODAN, где я заметил что искать уязвимые к атакам сервера там не нужно, там вообще есть куча серверов без паролей и похулиганив, назвал админов таких серверов "оленями".
   В общем все получилось классно, спасибо организаторам, докладчикам и участникам. Жалко только, что группа оказалась тут де факто из-за Russian Internet Week (где выступал как минимум Алексей Синцов), так что с повторением в Москве может быть сложно..ну да может и сами организуем, благо исследователи здесь есть:)

Комментариев нет:

Отправить комментарий