Def Con Kazakhstan 2017

  

Def Con Kazakhstan, или Зачем ЦАРКА воспитывает новых хакеров

В годы работы над веб-проектами, порталами и мобильными приложениями, в том числе и для государственных учреждений, я часто сталкивался с несовершенством работы предыдущих исполнителей. И если вопросы юзабилити, дизайна и логичности структуры проекта —  очень важны, но не критичны, то вопросы уязвимостей, например, онлайн-банкинга или любой из государственных баз данных с услугами онлайн, порталов министерств —  это всегда остро и чревато. Мы в kaznetmedia силами отдела информбезопасности всегда проверяли свои проекты на это, так сказать, взламывали собственные проекты, чтобы устранить дыры ДО того, как проект выйдет на публику.


Не секрет, что в наших госорганах при создании веб-проектов руководствуются бумажными предписаниями. Как из называют в Центре анализа и расследований кибер-атак (ЦАРКА), «бумажники» разрабатывают бумажный свод правил и требований к безопасности IT-проектов, зачастую не имеющих ничего общего с реальностью.

Чтобы уметь защищаться и защищать, безопасник должен сначала сам стать хакером, уметь и понимать ту среду разработки, в которой обитает его проект, знать общеизвестные приемы и методы воздействия на IT-структуру и перекрыть их. Недаром в свое время лучшими безопасниками корпораций становились вчерашние бандиты или крепкие ребята из спецслужб. Защищать всегда проще, зная, от чего ты защищаешь.

Именно этому и была посвящена хакерская конференция Def Con, прошедшая в субботу, 1 июля в Астане, в стенах Евразийского Национального Университета имени Гумилева. Сократить пропасть между «бумажными» и формальными специалистами по информбезопасности и практиками —  именно так звучит одна из важнейших целей как Def Con’а, в частности, так и работы ЦАРКА в целом.

Сразу хочу сказать спасибо ребятам из ЦАРКА (некоторые из которых читали и любят мои «Кирпичи» :-) за приглашение на конференцию. Хочу отплатить им тем же, подробнее рассказав о том, что было на ДефКоне.

Это уже третий Def Con, проходивший в Казахстане. Вот выдержка из презентации Олжаса: «DEFCON группы были созданы на основе конференции по безопасности, ежегодно проходящей в США. Это место сбора специалистов, интересующихся альтернативными способами применения современных технологий или, проще говоря, хакингом. DC-группы предоставляют место для обсуждения вопросов информационной безопасности. Посещение встреч DC-групп открыто для всех, независимо от ваших навыков, места работы, возраста или пола. DC-группы были созданы для того, чтобы помочь изучить новое, познакомиться с новыми людьми, предоставить возможность научить других людей тому, что вы сами знаете и умеете, а также для того, чтобы сплотить людей, причастных к хакерской культуре. Во время DEFCON конференции традиционно действует негласное соглашение между сотрудниками ФБР и хакерами о том, что первые не будут арестовывать вторых, а вторые не будут мешать проведению конференции».

Во время конфы периодически звучали шутки о присутствующих майорах нацбезопасности, впрочем, эти шутки были похожи на правду. :-)

В Астану я прилетел в 8 утра, так и не поспав —  накануне до трех ночи я дописывал свежую главу своей книги. В самолете я встретил старого моего друга Володю Туреханова, президента Ассоциации робототехники, который так же летел на Def Con. Из аэропорта мы заехали позавтракать в легендарный для любого столичного жителя, работавшего на Левом, «Рафе», а оттуда выдвинулись на конфу.

На входе нас встретили и указали верный путь девочки в черных (естессно!) футболках с логотипами ЦАРКА и Def Con, а на стойке регистрации мы получили по большой пачке разных стикеров. Я сразу наклеил один из них на свою сумку, и сразу получил +10 к навыку хакерства.

Сразу отмечу —  участие в конференции было и всегда будет бесплатным, на конференции запрещены любая реклама и коммерческая деятельность, весь день нас опять же бесплатно поили и кормили (90 пицц от «Амиго» пришли вовремя и были расхватаны влет).

Темы докладов звучали очень сексуально (очень много про проникновения), а первые доклады (Олжаса и Макса, больше известного как slider) были в легкой и доступной форме, позволившей не заскучать даже многочисленным девушкам, сопровождавшим своих суровых парней-хакеров. Сразу хочу развеять миф о тщедушности и забитости этих ребят —  большинство из них следят за собой и хорошо выглядят —  никакой сутулости, засаленных волос и толстых линз. Слайдер —  так тот вообще фору Шварцу даст по объему бицухи.

Олжас Сатиев, директор ЦАРКА, в непринужденной манере рассказал кучу забавных историй и кейсов из последних достижений —  от взлома блога моего любимого комментатора Василия Уткина (это случилось после того, как Василий нелицеприятно выразился о нашей команде) до дефейса сайта одного из министерств с текстом «Привет, Даулет».

— Видимо, девушка Даулета не смогла до него дозвониться, — пошутил Олжас.

Вообще, шуток было очень много, и не только профессиональных. Смех периодически разрывал аудиторию, словно это не скучный для обывателя кодинг и хакинг, а стенд-ап-шоу.

Были продемонстрированы кейсы со взломами сайта Beeline (взлом позволял выводить средства с привязанных к балансам карт); сайта акимата Алматы (полный доступ), об уязвимости которого известно уже больше года (Олжас просил передать об этом акиму всех, кто знаком с господином Байбеком); портала электронного правительства eGov (взломщик использовал уязвимость, чтобы получать номера телефонов понраившихся девушек J); базы данных оценок студентов ВУЗов (автор хака внезапно стал отличником и был принят на грант).

В начале конфы выступил директор компании KazTechInnovations Таир Балбаев, рассказавший о гвозде конфы —  разработанных и собранных у нас «от и до» браслетах для заключенных. Вы такие, наверняка, видели в кино. Задачей участников было, используя всю доступную информацию, попробовать хоть как-то взломать этот браслет, чтобы позволить гипотетическому заключенному покинуть разрешенную зону обитания.

Таир рассказал, как они к этому пришли —  он опубликовал пост об этих браслетах и в комментариях получил язвительные сообщения о том, что все, что сделано в KZ не заслуживает доверия в плане устойчивости к взломам. И тогда ребята из KazTechInnovations, как говорится, не зассали и вышли на организаторов ДефКона с предложением. 

Было много реально крутых и интересных докладов, в том числе от приглашенных спикеров, таких, как например, Эльдар kyprizel Заитов, рассказавший о своем опыте взлома GitHub, nabooX, наглядно показавший, как взламываются и подменяются сим-карты, Леонид Кролле, показавший как в два клика уничтожить урожай марихуанны :-) —  на самом деле доклад был о невероятно, до миллиметров, точном геопозиционировании. Было очень интересно даже такому недогику, как я.

К вечеру были подведены итоги конкурса на взлом браслетов. Хакеры работали по одиночке и группами, пытаясь совершить взлом, на протяжении восьми часов, которые для них пролетели как пять минут —  настолько вошли в азарт. Никакие попытки взаимодействия с браслетом ни к чему не привели, к сожалению или к счастью, взломтаь систему так никому и не удалось. Тем не менее, по итогам две команды и один участник получили денежные призы —  за то, что молодцы, и двигались в почти верном направлении.

Это был отличный опыт, как для меня, так и для одного из героев моей книги. Еще раз спасибо организаторам за приглашение, столько интересного материала и клевых знакомств за столь короткое время я давно не получал. Категорически рекомендую всем, кто в этой сфере, посетить следующую конференцию, которая будет осенью в Алматы.

А вам спасибо, что дочитали. :-) Ставьте лайки, а то я сделаю это за вас!

Error

default userpic

Your reply will be screened

Your IP address will be recorded 

When you submit the form an invisible reCAPTCHA check will be performed.
You must follow the Privacy Policy and Google Terms of use.