Головна Блог Враження від конференції з кібербезпеки UISGCON-15
Враження від конференції з кібербезпеки UISGCON-15

Враження від конференції з кібербезпеки UISGCON-15

Враження від конференції з кібербезпеки UISGCON-15 (лонгрід).

Я щиро не вірив, що п’ятнадцята конференція UISGCON відбудеться. Не може вийти нічого путнього з заходу, який починають готувати за два місяці до анонсованої дати проведення. От ніяк.

Виявилося, що таке можливо. Не знаю яка магія була задіяна, але конференція не тільки відбулася, але відбулася на досить пристойному рівні.
А тепер про все по порядку.

Локація.
Президент-готель, центр міста, професійний конференц-зал, все круто.
Кейтерінг: дуже правильний, як на мене. Начебто і не було шершелей з маршелями, але у будь-який час протягом дня можна було підгризти щось смачненьке: тістечко, бутерброд, бургер, печиво. Кава, вода та чай також були скрізь і безперервно. Ось так і треба робити – не більше, не менше, саме те.

На жаль, стріма конференції не було і запис виступів також не проводився. І це прикро. Це важливі елементи для конференцій найвищого рівня. Якщо цей статус досі важливий для UISGCON.

Колись один з UISGCONів вже проводили на майданчику Президент-готелю, і було дійсно тіснувати. Цього разу тісно точно не було, було цілком комфортно, і при цьому – не пусто, аж ніяк. Так, цього разу людей прийшло менше, ніж минулі рази, і це, очевидно, провтик організаторів з рекламною кампанією.

Контент.
Честь виступити першим на UISGCON-15 випала мені, тому протягом перших 45 хвилин конференції я розказував наївну та трохи сумну історію з картинками про невдалу спробу розворушити напівмертву тушу галузі кібербезпеки в Україні. Слайди виступу ось тут: https://tinyurl.com/ry4eze8

На питання було ще 5 хвилин, серед яких був вже традиційний монолог Сергія Дяченка у формі нібито-питання.

6 грудня в Україні відзначається також як день Збройних сил України, які усі ми любимо та поважаємо, тому багато спікерів та організаторів також вітали з цим справді народним святом, і Сергій отримував привітань більше за інших. Ще раз скажу: слава ЗСУ, слава волонтерам, слава назламному українському народові, слава Україні та її героям.

Особливо цікавих питань не пам’ятаю, тому розказую далі про інші виступи.

Виступу Миколи Коваля завжди викликають інтерес, і цей раз не став виключенням. Традиційно, Микола розбирав практичні кейси конкретних інцидентів, як їх виявляли, аналізували, шукали сліди злочинців та намагалися ідентифікувати. Ще Коля розказав про 14 найвідоміших злочинних кібер-груп, давно відомі SmokeLoader та Zeus, був також кейс про атаку на Міністерство оборони України і як злочинці витягли складний пароль довжиною 40-50 символів.

Потім я пішов у малу залу на дискусію про критичну інфраструктуру. Та і взагалі я вирішив цього разу якомого більше часу провести саме у малій залі. І не пожалкував про це, тому що саме у цій залі того дня відбувалося усе найцікавіше.

Одразу скажу, що (як потім з’ясувалося), модератор дискусію Vladimir Ilibman трохи мене підставив. Я не планував брати участь у якості експерта, хотів просто послухати та (можливо) поставити питання. Але Володя вказав мені не стілець на «сцені» і я на нього всівся. А зліва від мене всівся чинний керівник ДЦКБ (CERT-UA) Худинцев. А поряд з ним всівся колишній керівник ДЦКБ Боярчук. А ще далі всівся керівник департаменту кіберзахисту (чи якось так) Держспецзв’язку Циплинський. Бльо. Якби знав, що доведеться знаходитися на одній сцені разом з такими персонажами – навряд чи погодився б.

Трохи нівелювало незручну ситуацію те, що справа від мене сиділи нормальні люди: Ihor Malchenyuk з Метінвесту, Владлен Басистий з iFES та керівник якогось кібер-підрозділу з Укренерго.

Сидіти поряд та позиціонуватися на одному рівні зі скомпрометованими некомпетентністю та корупцією чиновниками було вкрай неприємно, але покидати дискусію було вже якось запізно. Тому не став вже шокувати присутніх демонстраційними жестами, і обмежився лише ігноруванням існування ділетантів-імітаторів з Держспецзв’язку.

Але було і дещо цікаве на цій дискусії, що мене реально здивувало.

Модератор ставив питання, і кожен із запрошених учасників на них відповідав. Так ось, одне з питань звучало приблизно так: «як Ви вважаєте, який орган повинен відповідати за кібербезпеку країни?». Представник Укренерго чомусь одразу назвав Держспецзв’язку, без варіантів. Мальченюк пояснив про некоректність постановки питання таким чином, оскільки за безпеку мереж відповідає їх власник, а держава чи окремий орган може лише координувати співпрацю з питань кібербезпеки, видавати якусь розумну регуляторку, тощо. І відповідь Ігоря була «жоден з існуючих». Точно те саме, що хотів сказати я. За що я і подякував Ігореві, бо після нього мені нема було чого сказати.

Але на диво, відповідь «жоден з існуючих» також прозвучала з ротових отворів псевдо-експертів Держспецзв’язку. Мені реально начхати що там собі думають низькокваліфіковані дилетанти-розпильщики, але реально здивувало, що вони самі не бачать у своїй конторі функції національного координатора з питань кібербезпеки. Не впевнений, що вони дійсно так вважають, мабуть Петров накрутив хвоста та погнав підсрачниками на конференцію. Але факт мав місце і тепер зафіксоаний. Чекаємо нових публічних камінг-аутів.

Потім я заскочив на виступ представників ДКІБ СБУ, які розповідали практичні та невідомі раніше кейси кібер-розслідувань. Це вже стає хорошою традицією і я радо її вітаю.

До речі, у кулуарах конференції жваво обговорювалося вчорашнє зняття з посади керівника ДКІБ Миколи Кулешова. Усі пліткарі одноголосно зійшлися на тому, що тепер ДКІБ чекають важкі часи та розпад. Я також десь такої думки. Власне, розвиток та досягнення Департаменту тримаються на ентузіазмі однієї людини, яка дійсно любить свою справу та живе нею. Пан Микола зібрав потужну команду, вибив для них пристойні зарплати, тримає команду докупи, ініціював НАТОвський грант на побудову ситуаційного кібер-центр, активно співпрацює з кібер-спільнотою, намагається розвивати кібер-законодавство, його підлеглі ось навіть виступають на заходах. До пана Кулєшова є деякі питання, але людина була однозначно на своєму місці, тому прикро було взнати, що його вигнали тупо на мороз. Кібер-Демедюк хоча б пішов типу на підвищення, в РНБО, але ось Кулешова, який зробив дуже багато для підвищення кібер-можливостей Служби Божої, просто «попросили на вихід». Неправильно це якось, і несправедливо, імхо. Ще побачимо кого призначать замість нього. І я маю з цього приводу негарні передчуття.

Потім зайшов на короткий виступ Олексія Барановського, але встиг буквально на останні хвилини, щось там про Cyber Range. Традиційно, Олексій цікаво та корисно розповідає про технології та методи навчання кібербепеці. Підходила до мене пізніше молода пара з проханням підказати як, де і чому навчатися, і чи є в нашій компанії програма стажування. Програми стажування у нас немає, як і у багатьох інших компаніях. Тому порадив запитати про це на стендах (сказали, що вже), або звернутися до Барановського, який знає про це досить багато. Я мало знаю про навчання кібербезпеці, але знаю, що Барановський знає про це дуже багато.

Як зазвичай, на конференції було багато спілкування з різними цікавими людьми, тому коли я знов зайшов у малу залу, там закінчив свій виступ Олександр Межерицький з ЗСУ, а на сцені віщав Сергій Дяченко зі своїми вічними армійськими байками про патчкорд та лейтенанта на вузлі зв’язку, wireless та знання англійської у війську.

Записав собі цікаві вирази з тої сесії: «…на тих примітивних дерев’яних комп’ютерах…» та «кажуть, що риба гниє з голови, а відновлення йде з хвоста».

А після того відбулася нагарячіша сесія UISGCON-15. Про неї розкажу розлогіше.

Називалося то формально “круглий стіл, присвячений модернізації нормативно-правової бази кібербезпеки” та, зокрема, КСЗІ та чи варто від неї відмовлятися. А якщо відмовлятися то на користь чого?

У якості експертів були запрошені Igor Kozachenko з ROMAD, Данило Мялковський з Держспецзв’язку, Yurii Kozlov з ДП «Національні інформаційні системи» Міністерства юстиції та Олександр Федієнко , народний депутат від партії «Слуга народу».

Спочатку модератор Віктор Жора (Vic Zh) поставив питання «які недоліки та переваги КСЗІ та чи є йому альтернатива». Одразу зауважу, що жоден зі спікерів не відповів на це питання однозначно. Я тягнув-тягнув руку, щоб в кінці запитати «так а все-ж таки яке ваше ставлення до КСЗІ?», але там почалося таке, що мене просто ніхто не помічав.

Здається, Юра Козлов сказав щось про необхідність переходу з КСЗІ на нові стандарти. І у цю мить я відчув, як за спиною хвилюється повітря від швидкого руху штурмової групи у складі Андрей Перевезий, Alexandr Galushchenko, Tim Karpinsky, яка стрімко влетіла до зали і приземлилася на першому ряду, просто перед очима спікерів. Галущенко почав атаку ще при вході до зали: «А яким чином здійснити перехід??». Модератору вдалося відбиту першу хвилю штурму перенесенням сесії питання-відповіді на кінець дискусії; але це була єдина вдала спроба керувати ходом подальшого батлу. Далі події розгорталися стрімко: практично після кожної заяви спікера лунали контр-аргументи від атакуючої групи. Градус наростав, тон підвищувався, обличчя червоніли. Кульмінацією стала заява Козлова: «Ви з вашим #FRD вже усіх задовбали, ніхто на нього вже не звертає уваги. Вам треба робити це з більшою повагою», «змініть тон, вас сприймають як толпу тролів». Ааааа, Юра, не рви мені серце. Ось від кого не очікував такого почути. Повне нерозуміння смислу, принципів та завдань #FRD. Ну от як так.

І поки ми з Tim Karpinsky шукали на підлозі свої щелепи, підключився Андрей Перевезий: «а ви знаєте, що у рамках акції #паравозикоблачко було опубліковано 128 вразливостей у комерційних структур, з яких майже миттєво було закрито більше 90?». Натомість державні структури, замість закривати безкоштовно знайдені вразливості, пишуть заяви до поліції, морозяться, називають активістів наволоччю, заказушнками, провокаторами, тощо. Уявляєте, який хай піднявся після такої заяви? Зал гудів фейспалмами.

Ще одна битва розгорнулася якраз стосовно КСЗІ, ЦВК та виборів.

Було повідомлено, що вартість проведення експертизи на відповідінсть стандарту ISO2700х коштує від 23-30 тисяч доларів, а побудова СУІБ згідно стандарту – від 100 тисяч. І що побудова КСЗІ коштує вдесятеро дешевше.

Igor Kozachenko та Віктор Жора розказали, що системи ЦВК були зламані росіянами за два дні до перевеедння системи у «бойовий режим». Потім прозвучала дивна фраза (чи може запитання з залу?), що аттестат відповідності КСЗІ ЦВК було видано для системи з вже існуючими вразливостями та бекдорами. Тому словесний батл розгорівся навколо питання «так а нахіба таке КЗСІ, якщо це тупо фікція?». На що інша сторона аргументувала типу «ну якщо автомобіль технічно справний, і на це є документ, а водій якось порушив правила – це ж не привід відміняти технічний огляд авта?». Рівень питань-відповідей підвисився до рівня «крик».

Ще зазначу кілька цікавих та/або скандальних заяв.

Федієнко: «з точку зору захисту, КСЗІ – це лише два папірці, я особисто пройшов увесь цей шлях»; «в усіх галузях (не тільки ІТ та кібер) європейці вимагають нас рухатися у свій цифровий ринок та витрачати на ньому гроші».

Федієнко – Корсуну: ви з вашими пропозиціями не в ті двері стукаєтеся, скільки ви відправили письмових звернень?

Andrii Pertsiukh: секундочку, я відправив письмові звернення туди, туди і туди, у відповідь – відписки, питання не вирішене.

Федієнко: а ставте мене у копію, я сам буду розносити ваші листи.
Козаченко: співпрацюйте з CERT-UA, повідомляйте їм про інциденти. Зал заржав, але ніхто так і не не зрозумів, серйозно це було сказано, чи Ігор так тонко пожартував.

Думаю, усі зрозуміли, що кіпіш вийшов що треба, якісний, яскравий та емоційний. Публіка отримала справжню насолоду від перформансу з елементами інтерактива.

Якби організатори дали собі труд повідомити завчасно про що буде дискусія та хто запрошений у якості спікерів – круглі столи були б ще активнішими та жвавішими.

Взагалі-то можна подумати над ідеєю проведення регулярного чемпіонату України з кібер-питань за участю команд державного та приватного сектору. Звісно, приватний сектор більш професійний та кваліфікований, але державний сектор також вже навчився плести мереживо начебто правильних та незрозумілих слів по мотивам реальних проблем, тому передбачити переможця у таких двобоях буде досить непросто. Навіть якщо приватний сектор перемагатиме цифрами та фактами, аргументами та логікою, державний сектор завжди може піти з козирів а-ля «кібербезпека не така вже важлива», «та ви просто толпа тролів», «ваші пропозиції не читабельні», «ми вас почули, але ідіть у сраку». І, судячи з поточного стану національної кібербезпеки, державний сектор поки що перемагає з великим рахунком.

Далі я завітав ще на одну цікаву сесію. Віталій Сусукайло та Євгеній Курій розповідали про те, як безпечно писати додатки у відповідності до вимог GDPR. Тобто якщо у твою галеру приходить клієнт і просить написати додаток з урахуванням вимог захисту персональних даних згідно GDPR.

Класно розказували, розбили вимоги на кілька розділів (як в GDPR) і пояснили досить зрозуміло. Щоправда, вживали забагато англомовних термінів, що є популярною практикою серед молодих і недосвідчених спікерів. Один приклад з виступу хлопців: «Ви повинні нотифікувати користувача…». Я перепрошую, а чому не сказати просто «повідомити користувача»? Розказуйте якоюсь однією мовою, або англійською, або українською, цей мікс сильно ріже вухо.

Але сам виступ сподобався.

Показали на слайді напис John Smith і запитали: “це є персональними даними»? Думаю, так. А вони кажуть «ні». Джонів Смітів багато у Світі.

А потім на слайді з’являється John Smith, Networks and Services LLC, CEO. Ну це точно вже персональні дані.

Потім показали фото дівчини: «а це персоналньні дані?»

А фото Авраама Лінкольна є персданими? А взагалі офіційне фото Президента України є персданими?

Ще було багато рекомендацій на кшталт «не збирати зайву інформацію», «не тримати інформацію на центральному сервері без нагальної потреби», «шифрувати логи», «ховати персдані», «шифрувати їх під час передачі», «максимально спростити пояснення користувачу на що він дає свою згоду, а не незрозумілою юридичною мовою», тощо.

Ще кілька цікавих моментів: згідно GDPR, security questions для відновлення паролю є поганою ідеєю, крім згоди користувача існує ще 5 підстав для обробки персональних даних (я не знав).

Поки слухав хлопців, прийшла купа думкок: а чи в курсі про усі ці чудові практики розробники додатку ДіЯ, який ось-ось має бути офіційно випущений у якості основного засобу надання багатьох державних послуг онлайн, інструмент так званою диджіталізації. Чи використовують розробники ДіЯ практики безпечного кодування за OWASP Top-10? Чи, можливо, жижиталізаторам просто передадуть готовий додаток якісь естонці? Чи, може, розробку додатку замовили в якійсь з українських галер, що вже давно працюють згідно вимог GDPR та мають у штаті кількох кібербезпечників? Усі ці питання я не став тримати у собі та вивалив на бідненьких Віталія та Євгена, які не були ні в чому винні насправді. Звісно, вони не можуть на них відповісти. Звісно, навіть не чули про ДіЯ та жижиталізацію (хоча слово таке чули, звісно). Виступ хлопців прийшло послухати всього 4 чи 5 людей, але своїми питаннями трохи я підняв рівень самооцінки спікерів, сподіваюся.

Але на цьому історія не закінчилася.

Вийшовши з малої зали, я пішов ділитися враженнями з Сашою Галущенком (а насправді Сашко пригощав віскі) та розказав йому про неоднозначні твердження стосовно зображення обличчя дівчини, імені та прізвища, чи є ІР-адреса персданими і таке інше. Сашко почав сперечатися і тут повз нас якраз проходили спікери Віталій та Євген, тому я їх запросив приєднатися до дискусії. Вона тривала досить довго і пізніше Галущенко назвав її чи не найкориснішим спілкування за всю конференцію. Супер, ящитайю.

Потім було закриття конференції, багато оплесків організаторам та волонтерам, чомусь мене також витягли на сцену (хоча я жодним чином не мав стосунку до організації UISGCON-15), оголосили де буде афтепаті і подякували усім, хто прийшов на черговий UISGCON. Чи буде наступний – не сказали. Я потім приватно питав і відповідь була розмитою: давай запитай про це після нового року. Тобто все як завжди.

Ілібман придумав мені титул «кібер-баши» (від титулу президента Туркменістану)і запропонував призначити пожиттєвим «весільним генералом» на кіберконференціях, принаймні на UISGCONах.

Вітя Жора придумав відповідь слогану іншої кібер-конференції Content matters – People matter.

Один зі спонсорів UISGCON-15 приніс на конференцію купу кульок чорного кольору, на кожній з яких було написана назва якоїсь відомої малварі. Щоправда, найвідомішу назву написали з помилкою: Peta.A. Посміхнуло. Після закриття конференції грона тих чорних кульок ловили довгими палками з-під стелі конференц-холу, фоталися з ними та несли додому.

Про афтепаті розказувати вже не буду – пальці вже болять писати.

Скажу лише кілька загальних висновків.

Так, UISGCON відбувся, хоча у це мало хто вірив.
Але людей було менше звичайно, відео не писалося, бюджет був скромніший, іноземних спікерів було менше. Дехто казав мені про не таку високу якість виступів, але я такого не помітив. Те, що чув я – мені сподобалося, цікаво та корисно. Тим більше, що я теж був одним зі спікерів. А у мене хороший контент, правда.

Звісно, якщо конфу роблять три людини та десяток волонтерів і починають підготовку за два місяці до дати конференції – не слід очікувати найвищої якості підготовки заходу.

Але менше з тим, по ключових параметрах це був той самий добрий старий UISGCON – атмосферний, комфортний, неформальний та доброзичливий. Ніша UISGCONу залишається поки ніким не зайнятою: мікс. І суто технічні питання, і законодавчі, і хакери, і чиновники, CISO-CIO та інженери з безпеки, вендори, інтегратори та консультанти, студенти, науковці, силовики, дика хакота – все перемішано, все в кучі, неможливо визначити аудиторію та класифікувати загальну спрямованість конференції. Це є фішкою UISGCON і за це його люблять. Ті 200-300 людей, які прийшли на нього цього року, без всякої реклами, є стабільними прихильниками найвідомішої та найстаршої української кібер-конференції. А якби ще й реклама було –прийшли б ті самі 600 чи навіть більше.

Моя подяка та повага органіазторам UISGCON-15: Alice Miller, Vic Zh, Oleg Bondarenko, Andrey Loginov

Тому бажаю конференції UISGCON довгих років життя. Сподіваюся, криза вже минула та конференція повернеться до статусу лідера українського кібер-конференц-руху, а прапор організації UISGCON підхоплять молоді енергійні люди, з новими ідеями, новими форматами і зроблять навіть краще, ніж робили попередні покоління кібербезпечників.

Нагадю, що UISGCON відноситься до найкрутіших кібер-конференцій України та її відвідування має статус must have.

Наступні події цього ж класу: CISO DX Day 2020 (колишня IDC Security Roadshow) 20 лютого 20120 та NonNameCon 21-22 травня 2020. Про київський BSides поки не чув, розклад київського мітапу OWASP не пам’ятаю, має бути у першому кварталі 2020.

Тобто можна вважати, що UISGCON закрив конференц-сезон-2019, тому до нових зустрічей у новому сезоні!

Бережімося.

 

 

Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.