Враження від відвідування BSides Kharkiv
Враження від відвідування BSides Kharkiv. Таки да, лонгрід.
8 червня 2019 відбулася конференція з кібербезпеки BSides Kharkiv.
Як зрозуміло з назви, проводилося те все у Харкові. І вже вдруге. І я там теж вдруге. Тобто я відвідав 100% усіх конференцій BSides Kharkiv за всю їх історію.
Про минулорічні враження я писав десь отут: https://bit.ly/31kbW4C
UPD: в коментах мене поправили – це був вже третій BSides Kharkiv, тоді я відвідав 100% літніх BSides Kharkiv.
Як тільки організатори оголосили CFP, я одразу подався.
По-перше, тому мав вже готову презентацію, які тепло зустріли 550 відвідувачів NoNameCone, а після того подивилося на ТиТруба майже 700 людей.
По-друге, мені сподобався минулорічний BSides Kharkiv.
По-третє, конференція проводиться у суботу, а потяг з/до Харкова досить зручний: зайшов до вагону, заснув, проснувся – вже на місці. Витрати часу мінімальні, і ще залишається один вихідний день.
Організатори швидко затвердили моя заявку і поставили виступати першим, що також приємно.
І ось о 6 ранку 8 червня, я на Південному вокзалі Харкова, мене та ще трьох колег зустрічає джип організаторів і везе до кав’ярні, де ми пили каву-чай, спілкувалися та чекали на відкриття вень’ю.
Харків знов здивував якоюсь охайністю, чистотою, навіть естетичністю. Гуляючи з хлопцями околицями місця проведення BSides Kharkiv, натрапили на цікаві біленькі моделі архітектурних об’єктів міста біля ст.м. Архітектора Бекетова.
А коли, всупереч усім прогнозам, пішла злива і ми вимушені були втікати до найближчого Макдонадльдса, я неочікувано зустрів колегу Максим Кобрин, який випадково зайшов з дружиною поснідати. Але то все було не випадково: користуючись нагодою, хвилин 20 обговорювали бізнесові питання і добре порозумілися.
Конференція почалася після 11 години, що не зовсім звичайний час. Але ж субота, хочеться поспати. Мабуть, тому почали трохи пізніше стандартного часу початку конференцій. Хоча, можливо, це стандартний час для суботніх заходів?
За традицією, спочатку трохи розкажу про організацію заходу.
BSides Kharkiv проводився у приміщенні школи англійської мови, від метро – метрів 50. Надзвичайно зручно.
Головна зала мала височенний прозорий скляний дах. Виглядає дуже класно, але був у цьому і мінус: такий тип освітлення шикарний та корисний, але його не можливо вимкнути. Тому на екрані проектора деякі тексти і навіть слайди інколи не читалися, через низку контрастність.
Таймніг організатори дотримувалися суворо, тому виступи відбувалися у запланований час. Для мене це високий показник якості організації конференції.
Після кожного виступу спікер визначав найкраще питання з залу, і тому, хто його поставив, презентували фірмову чашку. Боюся помилитися, але, здається, це спільна традиція BSides Kharkiv та BSides Kyiv. Чудова штука, продовжуйте.
Ще частували обідом, який входив до вартості квитка. За 250 гривень ще й обід – круто, чо. Кава-брейки – само собою.
Стріму та відеозапису не проводилося. Не коментую, тому що з цього питання існує кілька діаметральних поглядів, і кожен з них має власну аргументацію. Не було – то й не було, не біда.
Тепер до суті: до виступів.
Першим виступав я, і розказував те ж саме, що і на NoNameCon: про унікальну (для всього Світу) українську волонтерську кібер-ініціативу #FRD.
Відео мого виступу на NoNameCon ось туточки: https://bit.ly/2KcMEjJ
Загалом склалося враження, що близько половини слухачів BSides Kharkiv – початківці у кібербезпеці або студенти. Враження суто суб’єктивне, тому не певен у його відповідності дійсності.
Питань після виступу було чимало, але кращим визнав таке: «А чому я шукаю у Google «#FRD Україна», але геть нічого не знаходжу?» Відповісти я не зміг, хоча проблема зацікавила. Не виключено, що винні чергові зміни у гугловий порядок ранжування та індексації видачі. Не знаю. Але хлопець слухав презу і одночасно гуглив на цю ж тему – спікеру таке завжди приємно.
Після мене виступав Вадим Чакрян, «Три випадки з життя security-інженера»
На перший випадок я запізнився, тому що відповідав на питання після мого виступу.
Другий випадок був про те, що робити, якщо існують сотні серверів з сотнями власників, які треба регулярно перевіряти (сервери) на вразливості та повідомляти про знахідки власників. Трохи перетинається з темою мого виступу в частині Responsible Disclosure.
Вадим розказав, як вони це роблять: сканер сканить, потім скрипт складає звіти, які віправляються поштою власникам. У мене одразу виникло питання стосовно того, чи власники знають про такі сканування і чи вони не проти. Хотів про це спитати, але хтось мене випередив і спікер повідомив, що все ок: усі сервери входять до складу однієї компанії. Хоча залишилося питання – так а хто ж тоді справжній власник і чому «власників серверів» так багато. Думаю, цьому є розумне пояснення, просто не було часу спитати та розказати. Друге питання у мене було «а чи достатньо безпечно передавати таку критичну інформацію звичайною поштою», але, напевне, в рамках однієї організації можна використати PGP чи щось подібне, тому теж не суть.
Другий кейс був про досить простий і більше схожий на best practices, а стосувався використання EDR (Endpoint Detection and Response): детектування інцидентів, блокування IP/URL/домену, інші базові дії. Я так зрозумів, йшлося про найпростіші технічні реалізації виявлення та реагування на інциденти.
Спікер запропонував ставити питання не після всього виступу, а після кожного кейсу. І це суттєво затягло весь виступ, довелося в кінці сильно скорочувати, не рекомендував би так робити.
В ході презентації поставали злободенні питання “як примусити девелоперів фіксити баги”, “як примусити власника ресурсу випралвяти хоча б найкритичніші вразливості”, “у нас дедлайн по релізу, ідіть у сраку” та інші широко відомі проблеми безпечників.
Загальні рекомендації від Вадима Чакряна: необхідний постійний діалог з користувачами та гарні стосунки з менеджментом. З тими, кому підрозділ безпеки ускладнює життя.
Тези не нові, але не зайве їх повторити ще раз. І ще раз. І ще раз. А потім ще сто раз.
На наступний виступ про тестування на проникнення з PowerShell я не потрапив, тому що мав серйозну розмову з потенційним клієнтом. А до того ж, суто технічні виступи мені, як правило, менш цікаві. Тому сорян.
Потім був обід. І тут хочу поділитися моїми позитивними емоціями.
По-перше, на конференції була спеціальна кімната для спікерів та оргкомітету.
По-друге, частували спікерів прямо у спікерський.
По-третє, годували просто бомбезними пирогами, явно промислового виробництва, в поліетіленовому пакуванні. Як на мене, на 80% пироги складалися з начинки, були ще теплі і надзвичайно смачні. Я так налупився, що до кінця дня навіть не міг думати про їжу.
По-четверте, чарівники-організатори викотили три пляшки Jack Daniels (дві звичайні, одна медова), і півтори з них вже не пережили того обіду.
Загалом, обід «пройшов у теплій невимушеній атмосфері».
Після обіду пішов слухати Олексій Барановський “Безперервна освіта у кібербезпеці»
Почав записувати за ним практично одразу, тому наводжу тезіси:
«В Україні 45 вишів, які готують по спеціальності 125 «Кібербезпека»
«Міністерство освіти та науки регламентує лише загальні вимоги, тому у кожному виші такий курс суттєво різний, як і назва курсу.»
«Студент 3 курсу (2 семестр) спеціальності «Кібербезпека» запитав «а що таке http?» – «це протокол» – «а що таке протокол?». Тобто мережевим технологіям слід навчати з самого початку.
Олексій запитав у зала «як часто змінюються реалії кібербезпеки?». «Не рідше раза на тиждень» (це я з першого ряду умнічав). «Воооот, а МОН затверджує програму на рік вперед». Пічаль-тоска.
«Вирішення попередньої проблеми – самоосвіта», тим більше, що джерел більш, ніж вдосталь: веб, безкоштовні курси, сертифікації. Далі Олексій розказував детальніше по можливостям самоосвіти, але мене мене залишало питання: «А навіщо тоді навчатися у виші, якщо можна здобути необхідні знання самому?»
Але все ж таки, для читачів, які лише починають (або планують) свій шлях в кібербезпеці, перекажу корисну інформацію від пана Барановського:
Частково безкоштовні курси: Udemy (курс коштує близько $200, але цілком реально купити за $10, тому продається їх багато, але закінчують їх лише 5%); Cybrary (стандартний базовий матеріал), Hacking Lab, Hack the Box.
Є також курси від вендорів. Для них, крім якості курсів, є важлива характеристика: locked-in, тобто наскільки сильно курс прив’язаний до обладнання та рішень вендора, наскільки курс універсальний. Так от, курси від Cisco: locked-in на ~3%, тобто майже не прив’язані до заліза та софта Cisco. А от показник locked-in у курсах від IBM – близько 50%.
Але цікавинка в курсах IBM полягає у тому, що вони самі не знають що у них є. Наприклад, якщо покопирсатися у навчальних ресурсах ІВС, то можна нарити безкоштовний доступ до лабораторних робіт. А український офіс ІВМ про таку фічу навіть не знає))
Також Льоша коротко пройшовся по професійних сертифікаціях, окремо наголосивши, що у більшості випадків сертифікацію не слід розглядати як навчальний процес, вона лише фіксує наявний рівень знань та навичок.
Надкоротка характеристика популярних сертифікацій:
SANS (fucking expensive, і це свята правда, 8-10 тисяч доларів), OSCP, OSCE, OSWP – круто, але їх девізом є try harder, EC-Council – популярна, mile2 відома більше в США, але є і в Україні, ISACA – чиста теорія, ніякої практики, ISC2 – дуже важко здати тест, eLearnSecurity – чисто онлайновий курс, кращий баланс між теорією та практикою.
А ще пан Олексій дуже рекомендував торент learnflakes.com, інвайт до якого можна знайти всього лише за $20.
Питань, звісно, було багато, враховуючи склад аудиторії. Але оригінальних не запам’ятав.
Наступним виступав Євген Кулик. «Як заробити гроші в ІТ-security бльше, ніж є.»
По-перше, людина розказує спокійно і, водночас, цікаво. Специфічна манера.
По-друге, шкірою відчуваєш наскільки глибоко дядько в матеріалі, це помітно по непримітним деталям та окремим словам зі сленгу.
Не з усіма висновками в його виступі погоджуюсь, але розкажу по порядку.
Спочатку Євген навів офіційні статистичні дані: ІТ індустрія заробила у 2016 році 1,6 млрд дол., у 2017 – 1.7 млрд дол., у 2018 – 2,04 млрд дол. Тобто начебто заробляє більше.
Але ж і більше стає людей в індустрії: 100 000, 126 000 та 184 000 відповідно. Зрозуміло, що люди рахувалися умовно, по кодам КВЕД та кількості зареєстрований співробітників. Але в середньому, кожен працівник ІТ кожного року заробляє все менше.
Згідно пана Євгена Кулика, «ІТ в тінь не йде», але є цікавий аспект про джунів: їх стає сильно більше, а платять їм сильно менше, і це впливає на загальну статистику по галузі. Їх багато, платять як джунам (інколи не більше $700), а вимагають набагато більше.
Яку пораду дає пан Кулик: не йдіть працювати джуном, навчайтеся та ставайте мідлом. Я після виступу запитав – я як стати мідлом, коли ти джун, багато знаєш та вмієш, але вакансії мідла немає, а підвищувати тебе не хотять/не можуть? Євген відповідає: «А ти сам собі напиши в резюме, що ти мідл.» – «Емм, так це ж легко перевірити HR-ам» – «Та хто там коли перевіряє, все ж видно на співбесіді» – «Так а до співбесіди ще треба дійти, після вивчення та перевірок ейчарами резюме» – «Та ну, так не буває». Не переконав, коротше.
Далі вже пішло про безпеку: «джунів в безпеку на наймають». Теж досить спірне твердження. Принаймні, є немало виключень. Можливо, малося на увазі, що за відсутності будь-кого з кібербезпеки в організації, навряд чи візьмуть одного-єдиного джуна. У такий трактовці готовий погодилися. Але я особисто знаю кілька безпекових компаній, які постійно шукають собі джунів.
Ще кілька цікавих тверджень від Євгена Кулика:
«Ціни (тобто зарплати) на dou.ua нижче реальних, а не навпаки, як багато хто вважає»
«Стартап все одно працює «на дядю» – на інвестора, на партнера, на користувача, тощо»
«З 1098 стартапів лише 10 стали успішними»
«Стартапів по кібербезпеці в Україні практично немає, їх мало хто знає, хоча у Світі їх набагато більше»
«Росту попиту на ІТ-безпеку в Україні немає, а розвитку не спостерігається» – Ось тут категорично не погоджуюсь, принаймні стосовно росту попиту. Фахівців, особливо рівня мідл-сіньор катастрофічно не вистачає, їх переманюють з компанії в компанію, але більше їх не стає. Чомусь. Люди, ставайте мідлам та сіньорами, попит на вас буде просто шалений.
«Що робити молодому фахівцю, кажете? Від’їжджати.» – Оуу, це взагалі якийсь песимістичний треш у стилі «ми всі помремо». Кінцівка зовсім зіпсувала загальне позитивне враження від виступу.
Потім виступав Alexander Adamov з «Двома історіями про криптолокери»
Спочатку Олександр розказав про загальні тенденції у розповсюдженні шифрувальників-вимагачів (рансомварь).
Останні тенденції – акцент на майнери, хоча з січня 2019 зафіксовано кілька кейсів успішних теготованих рансом-атак.
Одна з такий кампаній нібито заробили за 2 останніх роки близько 2,5 млрд. доларів. Шось забагато якось, як на мене.
Ще спостерігається тенденція відходу від масованих до таргетованих атак. За малоцінну інформацію на звичайних комп’ютерах платять мало та неохоче. А ось корпоративний сектор – платить.
У якості прикладу Олександр навів випадок у Лос-Анджелесі, де злочинці зашифрували госпіталь та поліцейський відділок. Приїхали ФБРівців, подивилися і порадили заплатити викуп. Тобто шанси розшифрувати надзвичайно низькі.
Чому стають можливими подібні атаки?
Часто через сертифікати, випущені на фейкові компанії. Найбільше таких сертифікатів випустив Comodo. Антивіруси починають детектувати рансомварь лише після відзиву сертифікату.
Далі було багато суто технічних подробиць, наприклад: кожна версія шифрувальника LockerGoga має свій власний сертифікат. Отак.
І останнім виступав Andrey Loginov, який ще під час обіду у спікерський майже розказав нам усію свою презентацію.
Але є я все одно пішов і послухав, бо мені надзвичайно цікавить його тема: «Страх і ненависть в домені gov.ua”
По суті, ця тема є відгалуженням теми #FRD, такий собі окремий випадок #FRD.
Андрій з колегами-волонтерами провели дослідження що ж відбувається в домені gov.ua, з результатами якого поділилися з відвідувачами BSides Kharkiv.
Для мене – нічого неочікуваного, але факти були наведені шокуючі.
Нещодавно було опубліковано 1,5 Тb злитих дампів публічних сервісів.
Серед них Андрій & Co знайшли 24 564 унікальних записів які мають у назві gov.ua., з яких 156 є живими email з Верховної Ради, НБУ, Укренерго, Енергоатому, Укразалізниці, Фонду державного майна, МНС, Мінфіну, Мінекономіки. Деякі навіть використовувалися для реєстрації на ресурсах типу порнхаб ))
Тобто 156 імейлів gov.ua з паролями, більшість – досі живі і працюють.
Далі – ще цікавіше.
Перевірили 793 домени gov.ua на наявність https – половина (!) на такий запит не відповідає, лише у 70% тих, що відповідають – валідний сертифікат, у 10% сертифікат не оновлений.
Детальніша інформація по дослідженню тут: https://insecure.com.ua/uk/passwordgate/
І ще там було багато шокуючих одкровень, просто не встигав записувати.
Неочікуване питання з залу: чи нормально якщо сайт на WordPress? Відповідь: Вордпрес само по собі не страшно, важливо слідкувати за оновленнями.
Друге питання: «нафіга ви все це робите, якщо державні службовці навіть не зрозуміють суті дослідження, якщо ви їм надасте ці матеріали?!»
Ггг, я б навіть не одразу придумав що сказати, так багато всього можна відповісти.
Але Андрій був досить спокійний та прагматичний: подібні проекти існують в Англії або США і ними опікуються величезні компанії типу Virizon або AT&T. В Україні – ніхто не опікується. А сам проект потрібен для того, щоб точно визначити масштаб біди, та, відповідно, прикинути кількість ресурсів для виправлення ситуації.
Загалом Андрію поставили близько 10 запитань. Тобто аудиторію тема теж заціпила.
Потім було закриття конференції та вручення призів переможцям CTF – традиційно.
З незвичного: усім трьом переможцям вручили сертифікати на авторські курси Олексія Барановського.
Зі зрозумілих причин я не потрапив на воркшопи, які проводили такі відомі експерти як Vitaly Balashov чи Тарас Бобало. Ну просто неможливо одночасно бути у різних місцях.
Потім була вечірка, яка проходила за 50 метрів від вень’ю, де були чудові напої, багато сміху, змучених (спочатку) очей організаторів, раптових одкровень, плітки, бізнес -питання, коротше – як завжди на п’янках. Інтрига вечора та світського життя кібер-бомонду: Alice Miller голосно назвала ім’я свого бой-френда, але їй ніхто не повірив, включаючи проголошену особу.
А ще я взнав про існування гіпер-популярної у Світі соціальної мережі «для підлітків» TikTok.
Загалом спілкування під час конференції, так і після неї, було багато: бізнес-контакти, плітки, смішні історії, приколи та трошки політики. Власне, заради ось такого спілкування і проводяться ось такі заходи.
І я категорично раджу людям нашої професії ходити на семінари, мітапи, конференції, навіть на зустрічі в пабах. Навіть якщо раз сходив і не сподобалося. Значить, просто ще не знайшов правильні івенти та правильних людей. Не усі конференції однаково корисні, між нами кажучи. Від деяких, типу Пущі-Озерної від ДСС331 здоровим людям краще триматися якнайдалі.
Але мені черговий BSIdes Kharkiv сподобався.
Він став більше, він став цікавіше, хоча ще є куди зростати. Це UISGCONу вже нікуди зростати, хоча і то ще не факт.
Спікерів з Києва було чи не більше, ніж місцевих. Хоча це як рахувати: Логін живе у Лондоні, Тарас – з Тернопільщини, хтось живе переважно в літаках, і таке інше.
З побутовими питаннями конференції все було ок, не знаю до чого доколупатися.
Моя дяка та повага організаторам Вікторія Пащенко aka Vik Pas та Anna Andronnikova, які разом з командою та волонтерами влаштували нам цей корисний та цікавий день.
У вас гарно виходить, не зупиняйтеся.
Тому до зустрічі на наступних кібер-подіях, яких в Україні цього року очікується ще декілька.
Бережімося.