Враження від конференції з кібербезпеки No Name Conference-2020, NNC

Враження від конференції з кібербезпеки No Name Conference-2020, NNC

Враження від конференції з кібербезпеки No Name Conference-2020, NNC. Про це повідомляє Upmp.news з посиланням на офіційний блог Голови Ради Громадської організації “Українська група інформаційної безпеки”, директора компанії з кібербезпеки Berezha Security Костянтина Корсуна.

День перший.

3-го вересня 2020 все ж почалася найбільша та найавторитетніша на даний час українська конференція з кібербезпеки NoNameCon.
Але відбулася з двома радикальними змінами:
-абсолютно усе відбувалося онлайн, з трансляцією у Zoom та на Yuotube
– переважна більшість виступів були англійською, у тому числі від українських спікерів

Особисто я дуже чекав як воно взагалі буде, особливо в онлайн-форматі.
Те, що конференція стає англомовною – цілком природнє явище, оскільки вже час виходити з суто містечкового формату ближче до Великого світу та міжнародної ком’юніті. Лише у Європі існує кілька десятків великих та відомих кібер-конференцій, на яких основна мова – англійська. У тій же Молдові вже переходять на англомовний формат.
Загалом, багато кому у Світі інколи цікаво що відбувається всередині України, але мовний бар’єр стає на заваді. Але їм не настільки то цікаво, щоб вчити українську чи замовляти переклад.
Зрозуміло, що далеко не всі відвідувачі українських кібер-конференцій володіють англійською на достатньо рівні, щоб розуміти про шо говорять спікери. Але тут питання таке: change or die.
Вчить англійську, коротше.
До речі, моя доповідь якраз і була розрахована на poor English-аудиторію, під час якої я намагався говорити повільно та розділяючи слова, хоча і так не усім було зрозуміло 😉

Під час вітального слова Volodymyr Styran сказав, що my name is not important, що цілком гармоніювало з назвою конференції)

Першим був мій виступ, який я записав ще на початку серпня, хоча дещо побоювався, що за місяць деякі речі стануть вже не актуальними. Але обійшлося, все залишилося так само сумно.
Тому що мова йшла про стан національної кібербезпеки в Україні.
Найкращим питанням, як на мене, було «чи можливо підтримувати ринкові зарплати для державних кібер-фахівців» від Oleksandr Derkach. За це я подякую пану Олександру у наступному відео з циклу «Кіберзахист від держави». Якщо не забуду)

Після мене виступав Mikheil Basilaia з Грузії, який працює у приватній компанії CyberHouse.Ge
Розказував Міхеїл про кібер-атаки проти Грузії, за якими стояли – о, який сюрприз – російські спецслужби. І начебто якийсь стосунок до них мав відомий в Україні політик Міхеїл Саакашвілі.
Загалом ситуація у Грузії доволі схожа на нашу: майже нічого не захищено, зламати все досить просто, росіянські кібер-війська почуваються вільно, розрив у зарплатах приватного сектору та державного – великий, на національному рівні координації теж все сумно.

Потім були дебати.
Ну як дебати: запросили Вячеслав Нехороших, Sergiy Rekun, Volodymyr Styran та мене подебатувати про щось.
Про шо – ніхто із запрошених не знав. А знав лише хост (ведучий) – Сергій Короленко .
По факту говорили про кібербезпеку бізнесу та розумні інвестиції в неї, кіберполіцію, і навіть про останні (закреслено) ламерські заяви міні-цифри про ступінь розвитку в Україні ІТ-технологій та безготівкових платежів.
Дебати – тобто відстоювання протилежних точок зору – відбулися лише з одного питання. В усіх інших думки були здебільшого схожі.
І я не бачу у цьому великої проблеми, хоча такий формат точніше було б назвати «Спитаємо експерта».
В цілому все було досить пристойно та інколи навіть інформативно, особливо для тих, хто вперше на кібер-конференції.
І це була одна з двох україномовних сесій цього дня.

Після дебатів виступав Alex “Jay” Balan, головний безпековий дослідник та спікер відомої компанії Bitdefender. Я так зрозумів під час виступу, що його локація – Іспанія.
Презентація Алекса було присвячена IoT (Інтернет речей) – давньої проблеми, яка ще не скоро буде вирішена.
Спочатку спікер розказав про головні прогалині у безпеці IoT, які, загалом, усім давно відомі: використання один тих самих логінів-паролів та приватних ключей на аналогічних девайсах, серійний інтерфейс на них, тощо.
Але далі Алекс розказав як можна використати хмари для хакінгу IoT-девайсів, і зокрема показав інструменти та протоколи.
Порадив розробникам IoT-девайсів регулярно проводити пентести, запускати Bug Bounty програми та якнайчастіше випускати оновлення.
Питання також були цікавими. Наприклад, запитали чи користується сам спікер IoT-девайсами і якими. Відповів, що користується Google Home і деякими камерами. І пояснив, що Google має певні проблеми з приватністю, але з безпекою у них все ок, тому він приймає цей ризик.
Цікаве було питання що він думає про сертифікацію IoT-девайсів. Відповів, що кожна країна має дуже різні підходи до сертифікації, і це майже завжди корупція. А порадив краще сертифікувати програми управління ризиками у компаніях-виробниках таких девайсів.

Наступний виступ Карлоса Полопа була присвячена суто технічним аспектам «чудових наборів скриптів підвищення привілеїв», тому немає сенсу переказувати цю презентацію, зрозумілу лише кваліфікованим хакерам.
Якщо ви не пентестер – навряд чи вам буде цікаво, хоча після виступу Карлоса просто засипали дуже конкретними питаннями.
Серед найбільш простих було питання Кирило Гобреняк: які сертифікації з інформаційної безпеки Ви могли б порадити для майбутніх пентестерів?
Відповідь було досить проста: OSCP. Цього цілком достатньо, і Карлос наразі не бачить для себе необхідності отримувати якісь нові сертифікати.

Наступний виступ: Том Ван Готем, дослідник та кандидат наук (PhD) Університету Левена, Бельгія:
«Help, my browser is leaking! Exploring XSLeaks attacks and defenses»
Ми відвідуємо не лише сайти захищених банків, але і сайти з котиками. І ці сайти можуть містити каку, яка може вкрасти вашу інформацію, ідентифікувати юзера, позичити ваш логін-пароль, або викачати чутливу приватну інформацію.
Як саме це роблять хакери-злочинці – про це і розказував Том.
Питання: який браузер Ви б порекомендували?
Довго ухилявся від прямої відповіді, радячи використовувати різні браузери для різних завдань, але в кінці я почув: Firefox та Tor-browser.

І нарешті головна подія дня: інтерв’ю з Брюсом Шнаєром.
Джон Леннон та Майкл Джексон в одному флаконі, живий напів-бог світової кібербезпеки.
Небожитель, який написав кілька епохальних книжок, більшість з яких є підручниками для початківців-криптографів та і взагалі кібербезпечників. І не тільки для початківців. Першу книгу «Прикладна криптографія» написав у 1994 році, коли більшість з нас ще нічого не знала про кібербезпеку, та і слова такого ще не існувало.
І ось ця світова супер-стар прийшов на українську кібер-конференцію, про що ніхто не міг навіть мріяти до коронавірусу.
Авторитет № 1 особисто для мене.
Про що розказував пан Шнаєр?
З чого він починав свій шлях, які тоді були комп’ютерні журнали, про кольори обкладинок його книжок, які книги рекомендує почитати, що думає про створення національних шифрів, його думки про стандарти, про Московію, про АНБ, про маніпуляції, про децентралізацію, і ще багато про що.

Окремо зазначу позицію Брюса_Нашевсе_Шнаєра про е-голосування.
Якщо коротко: absolute disaster (абсолютне лихо).
Якщо детальніше: наразі не існує систем, які не можна хакнути, тому ми не можемо довіряти е-виборам.
Про блокчейн на е-виборах: Huge Disaster (величезне лихо), а ще “найдурніша ідея».
Цитата: «…я не знаю систем/додатків, де блокчейн забезпечив би безпеку».

Про критичну інфраструктуру і чи потрібно регулювати її кібербезпеку: тяжке питання. Передусім що є критичною інфраструктурою? Як щодо доменних реєстраторів? А соціальні мережі? А Інтернет як такий?
Питання: «Чи не забагато ми інколи приділяємо уваги кібербезпеці?»
Відповідь: так, буває. Але здебільшого, головною загрозою є доступність інформації.

Після години захопливого інтерв’ю з Брюсом Шнаєром був тематичний квіз – таке собі Що? Де? Коли? для людей, обізнаних у інформаційній та кібербезпеці з відповідними специфічними питаннями.
Запитав своїх хлопців: яку у нас команда? А вони мені – так а ми не граємо цього року, попередні два рази виграли, то, мабуть вже досить поки що. Ну ок, із задоволенням спостерігав за грою, це завжди корисно для мозку. А мозок у нашій професії ой як потрібен.
Всього було 16 команд.
І там одна команда назвала себе «38 мільйонів». Г-г-г, тонко аданака. Вітаю ваше почуття гумору, пані та панове.

Ось такий був насичений перший день. Закінчили аж на чверть на дев’яту.
Звісно, не вистачало кулуарів, особистого спілкування, специфічної атмосфери, бейджів, посмішок, звуків та запахів, хакерських віледжів, стендів, нових знайомств та неймовірного відчуття ком’юніті, яке на онлайн-трансляції майже не відчувається. Бачиш лише кількість глядачів Zoom та YouTube. До речі, більше 200 одночасно було майже весь день. І аплодисментів не було, а як же ж, аплодисментів. І спільних фоточок.

Зате був Сам Брюс Шнаєр.
Можна було дивитися свій виступ у записі і не турбуватися що забудеш важливі слова під час презентації.
Можна було бачити хто саме поставив яке питання і коли.
Можна було слухати у власному кріслі у шортах та капцях з будь-яким напоєм у руках – все одно тебе ніхто не бачить. Мене це не зовсім стосувалося, але менше з тим.
Тобто є і плюси і мінуси.

Але я все ж більше прихильник офлайн-спілкування.
Усіма силами натякав організаторам, що я готови прийти на локацію «вживу», але мене так і не запросили.
Нуштош, значить так треба. Здоровіше буду, кхе-кхе.
Завтра не певен, що матиму змогу прослухати усі виступи, але намагатимуся.
Але то вже як вийде.
До завтра.

P.S.: І дякую команді організаторів за цей унікальний захід. З першим млинцем вас, пані та панове!