Информационная безопасность в Австралии, и почему пентест там уже не торт

    Настало время написать про Австралию и мою поездку на конференцию AusCERT. На этом волшебном континенте мне предстояло провести три недели, начав с города Gold Coast. Ожидания, связанные с находящимся там отличным серф-спотом, были самыми приятными. В итоге, мой серф так и не изведал этого места, найдя еще более шикарные австралийские волны, после чего прямиком оттуда я попал в Сингапур, где выступил на культовой конференции RSA.



    Итак, первое, что я увидел в Австралии, это – к-е-н-г-у-р-у, нет, не мертвый, как дельфин из прошлой истории, и это меня очень обрадовало. «Хороший знак», — подумалось мне. А дальше – провал, вызванный тяжелым перелётом, состоящим из 4 рейсов общей протяженностью 36 часов.



    Конференция


    Перед конференцией мне предстояло провести тренинг по безопасности SAP. Читать доклады уже не модно, теперь круто проводить тренинги. О нем рассказывать не буду, поскольку здесь либо все, либо ничего, а наш пост посвящен Австралии и AusCERT. Кратко: это был мощный мозговой штурм для местных пентестеров, поскольку пришлось запихнуть им дневной материал за 4 часа, но, в общем, все остались довольны. А я, утомленный джетлагом и тренингом, был совершенно свободен на конференции, что позволило мне лучше ознакомиться с местным рынком, докладчиками и вообще.
    Итак, конференция: я был очень удивлен, что ивент этот проводится уже без малого 20 лет! Получается, что это чуть ли не старейшая секюрити-конференция, хотя правильнее называть ее выставкой или вендор-пати. На выставке было порядка 70 стендов, что, в общем, немного больше обычного. И снующие повсюду продавцы и маркетологи всего, что связано с инфобезопасностью. Просто постоять в очереди за кофе там не получится, не набрав листовок или не ответив на десяток анкет и вопросов про BYOD (кстати, что это такое, кто-нибудь в курсе?). Все обеды, перерывы и прочие ништяки щедро спонсированы, а про благодетелей навязчиво жужжат громкоговорители. В общем, обычная выставка вендоров, только очень уж “продажная”. Апогеем этой вакханалии стал завершающий салют нехилого размаха. На этом фоне очень отличились ребята из HackLabs со стендом на улице, фото которого в начале статьи.
    Для завершения пафосности на конференции был еще и гольф. Перед конференцией, во время тренингов, проводились гольф-турнирчики. Рядом с отелем — огромная гольф-площадка. Ну пока другие спикеры дружески резались в гольф, я вел тренинг, так что это поле тоже пока не охвачено. Но ничего, я еще постучу по шарикам клюшкой, когда песок с меня начнет сыпаться на кресло Бентли.

    Доклады


    Итак, доклады. Несмотря на то, что конференция очень ориентирована на бизнес, организаторы постарались представить интересные технические доклады. Не прям технические-технические, как мы любим видеть на ZeroNights, а просто технические. На конференции было 4 трека, два с нормальными докладами, два — со спонсируемыми выступлениями от вендоров. Я побывал на трех докладах. Первый — спонсируемый доклад Евгения Касперского. По содержанию ничем не примечательный, про кибервойны и прочее, но сам Евгений крутой в принципе. Я давно хотел посмотреть на то, как выступает кто-нибудь из профессиональных русских докладчиков на английском, хотя, в общем-то, интересных спикеров мало. Выступил он отлично, явно давно это делает и с удовольствием, хотя от русского акцента никуда не деться. Бесспорно, достойно уважения то, что он вывел российскую компанию в четверку мировых Endpoint-решений, да и вообще первым начал продавать продукты по безопасности за границу в подобных масштабах, что бы там ни говорили про техническую сторону вопроса и маркетинговую политику.
    Второй доклад был от HD Moore, автора Metasploit. Ничего сверхъестественного, но была представлена очень качественная аналитика результатов сканирования интернета от проекта InternetCensus.
    Если вы не в курсе: один исследователь, пожелавший остаться неизвестным, выложил в интернет результаты сканирования всего интернета на наличие популярных открытых портов, а также собрал баннеры и провел ряд других исследований. Проект интересен тем, что сканирование проводилось не то чтоб легально, а с помощью бот-сети, состоявшей из похаканных простейших устройств типа домашних роутеров с дефолтовыми паролями на SSH. Статистика, проанализированная HDMoore, показала ряд интересных фактов относительно того, что можно сделать с уязвимыми сервисами и насколько вообще плохи дела. Очень рекомендую обратиться к первоисточнику. Мне проект этот был интересен, поскольку мы уже третий год анализируем открытые порты в интернете, только конкретно от SAP систем. Кстати, ждите скоро новый репорт за 2013 год.
    Последний доклад, что я посетил, был от Barnaby Jack. Он рассказывал про атаки на медицинские девайсы, а презентация была оформлена в виде реального комикса — как всегда, все на высоте. После мы практически договорились с ним о выступлении на ZeroNights, но…. Вы, наверное, уже в курсе.
    От себя могу сказать, что я познакомился с ним в Барселоне на конференции Source года 3 назад. Это была вторая или третья моя международная конференция, он как раз рассказывал про банкоматы и для демонстрации организовал конференц-связь со своим офисом, где стоял банкомат, который он удаленно ломал из Барселоны. Вечером на спикер-пати он травил всякие байки из жизни, отнюдь не только хакерской. Вообще, этот человек был и навсегда останется для меня иконой среди рисерчеров: он всегда искал новые, не исследованные ранее и очень крутые темы, а главное, умел их представить так, что его понимал самый далекий от техники человек, но в то же время, получал респекты от технарей. Балансировать на этой грани – истинное искусство. Покойся с миром, друг.

    Дела-Отдых-Дела-Отдых


    …После конференции я отправился в небольшой трип, совмещая отдых и работу. Первой остановкой был Байрон-Бей — шикарное место для серфинга, наполненное хиппи и всякими кафешками с Organic-едой и прочими прелестями, и даже детские площадки намекают на то, чем заняться по жизни.



    Не Portland, конечно, но что-то есть. Мы были там с знакомым журналистом и HD Moore. Кстати, в местном баре, куда мы зашли послушать музыку, также засветился Евгений Касперский, буквально за час до моего прихода…


    Итак, коли пост об информационной безопасности, то расскажу, как дела обстоят с этим в Австралии. В общем, если кратко, там очень популярны пентесты и пентестинг компаний, пентестеров хоть отбавляй, работы гора, конкуренция огромная. Работа само по себе не шибко интеллектуальная, потому что все поставлено на поток, масса коротких проектов а-ля комплаенс. Почему так? Ну, отчасти, из-за законов.

    …… вообще, в Австралии много странных законов, позволю себе отвлечься еще на чуток. Например, про курение. Не страшно, что пачка табака стоит 30 баксов, но ее еще не так-то просто купить: в магазинах сигареты и табак открыто выставлять запрещено, есть только названия и цены на отдельном листике. Бренды почти все местные, а что из них сигареты и что табак — неясно, на вопросы ответить не могут, никаких рекомендаций не дают, короче – не способствуют, так как запрещено законом. Покупка табака поэтому — лотерея. Еще нелепые законы в барах Байрон-бея, где нельзя в барах заказывать шоты, двойные коктейли, два коктейля на одного, и еще что-то, крайне ограничивающее скорость прихода. Видимо, эта мера продиктована заботой о хиппи и других гражданах, несдержанных в потреблении алкоголя.

    Итак, законы. Есть у них госучреждения, называемые council, что-то типа районных управлений. И вот, всех этих “управдомов” обязали делать пентест. А надо отдельно сказать, что управдомы там — все, они и мусор вывозят, и деревья пилят, простым смертным это делать запрещено. На любые работы граждане пишут заявки “управдому”, который любую бумажку за денежку уберет с тротуара. И всех этих “мусорщиков”, которых на всю страну тысячи, надо пентестить, причем не раз в году, а все четыре. Конечно, попадаются среди них конкретно не понимающие ничего и хотящие только бумажку, как некоторые наши компании, измученные обязательным соответствием PCIDSS, например. И весь этот большой и не особо грамотный в технических вопросах рынок окучивает большое число посредственных исполнителей, хотя, безусловно, есть и отличные команды.
    Пентест тут оценивается по человеко-дням, и у пентестерских компаний есть определенные рейты на человеко-день пентестера, обычного и продвинутого. Зачастую, поскольку компании сильно тратиться не хотят на неведомую услугу, все происходит за 2-3 человеко-дня. «А если не успеют ничего найти?» — поинтересовался я. На это мне резонно заметили, что, мол, задача не разломать все вдребезги, как в России, копая, если надо, впятером месяц, а просто проверить, так сказать, наличие определенного уровня защищенности, равняющегося трем человеко-дням пентестера.

    Вдобавок к этому «великолепию» на рынок стремительно выходят индийские компании с дневным рейтом чуть ли ни в 10 раз ниже. Естественно, некоторые клиенты выбирают их, о чем потом крайне жалеют: хитрые индусы не предупреждают заранее, что проект, скорее всего, затянется, а также о том, что их цена учитывает только работу пентестера, которому для работы обязательно нужны разные программы за дополнительные деньги. И несчастные клиенты покупают лицензии на метасплойт или нессус и т. д. В итоге, такая «экономия» обходится заказчикам очень дорого. Безусловно, стандарты и большой рынок – это, конечно, лучше, чем отсутствие рынка вообще, но и пентест в этом случае уже не торт.

    Потом я немножко пообщался с партнерами, продал немножко ERPScan, и полетел в Сингапур — выступать на конференции RSA APAC.



    Это, наверное, первая конфа, где среди спикеров не встретил я ни одного знакомого, все сплошь большие боссы крупных компаний несут баяны с умными личиками. И хотя мой доклад был самым нетехническим из всех моих докладов, он оказался самым технически-хардкорным на RSA. Ну а так, конечно, RSA – это статус, абы кого там выступать не берут, среди спикеров – только профессионалы, поэтому гостям, безусловно, полезно послушать аналитику и выжимку о том, что произошло за год. А технарям там делать нечего, это факт. Доклад если что, доступен для просмотра.



    ЗЫ:

    Напоследок я еще заглянул в Тасманию. Местные при упоминании о ней делают страшные глаза и рассказывают про двухголовых аборигенов и нереальный холод, ну примерно как у нас говорят о «замкадье». Там я искал тасманского дьявола, а нашел традиционно труп непонятного зверя (и я не имею ни малейшего понятия кто это, но это точно не ТАЗ). Чтобы не травмировать публику, на этот раз фото — по ссылке. Еще были кенгуру, коала, валаби и другая местная живность.

    Тут, кстати, объявили конкурс за лучшие достижения в ИБ в России и прочие прелести, среди компаний и простых граждан. Бумажники уже наверняка проголосовали, а технари, скорее всего, не в курсе даже, так что будет справедливо, если я просто оставлю ссылку здесь, а вы уже решите, кто чего достоин.
    Все, последний пост с некачественными фотками, ждите новый опять из ЮАР или из Америки. Пока не решил, что интереснее.
    Digital Security 182,91
    Безопасность как искусство
    Поделиться публикацией
    Комментарии 22
    • +2
      >BYOD (кстати, что это такое, кто-нибудь в курсе?)
      bring your own device.
      • +2
        Новая головная боль безопасников, придуманная бизнесом
        • +1
          Это был сарказм)
          • 0
            Уже можно с BYOD на COPE/MDM переключаться…

            А у тебя смотрю уже земной шарик закончился похоже :)
        • +1
          И почем австралийский пентестерский человеко-день?
          • 0
            1500-2500$
            • 0
              Норм прайс (для исполнителя), учитывая все вышесказанное про качество 8)
              • 0
                Т.е. каждый австралийский ЖЭК должен выделять от 12 000$ (2 х 1500 х 4) до 30 000$ (3 x 2500 x 4) в год только на пентесты?

                Как то с трудом в это вериться… (сколько ж у них коммуналка тогда? %))
                • +1
                  ЖЭК'и давольно крупные, тоесть это районное управление а не единичный дом. Причём как я уже писал это не только банальная комуналка а полный комплекс услуг в том числе и любая дополнительная прихоть которую обычно у нас делают своими руками как то посадить дерево, покрасить забор. Уровень жизни очень высокий и цены тоже. Тоесть 4000$ в месяц это нисшая грань существования соответствующая зарплате на должности типа «пади-подай»
                  • 0
                    > Тоесть 4000$ в месяц это нисшая грань существования соответствующая зарплате на должности типа «пади-подай»

                    Минималка, емнип, что-то около $2400 в месяц.
                  • 0
                    Коммуналка примерно $600-1200 в квартал. Сильно зависит от того, какой набор добра в здании — если в доме есть лифт, бассейн, спортзал и пр, будете платить больше (чтобы поддерживать это в рабочем состоянии, вне зависимости пользуетесь или нет).

                    Если с домом неприятности (например, построили хреново и надо заделывать/штукатурить/чинить или лифт накроется), то запросто по $2500 в квартал будете отдавать.
              • 0
                На это мне резонно заметили, что, мол, задача не разломать все вдребезги, как в России, копая, если надо, впятером месяц, а просто проверить, так сказать, наличие определённого уровня защищённости, равняющегося трём человеко-дням пентестера.


                Кстати это и в России так, если именно речь про пен-тест. То есть ты платишь сколько то бабла, за то, что такие-то ребята с такими-то скилами будут копаться в системе N дней ради цели T. И найдут что найдут. Главное что бы все понимали, за что они платят и что хотят получить от исполнителя, если нет понимания «чего хочешь получить», то пен-тест это «разводилово» и бесполезный проект.
                • +2
                  Труп зверя, полагаю, является вомбатом. Ну или был им.
                  • 0
                    Точно, спасибо! хотя он слишком исхудалый, я привык что вомбаты пухляки.
                    • 0
                      Хм. Для вомбата слишком длинные и острые когти и уж очень длинный хвост.
                      Если-бы я не видел морду, и тушка была не очень большая, то я сказал-бы, что это поссум. Он лазает по деревьям и у него есть и длинные когти и длинный хвост. Вот только поссумов такой окраски я не видел.
                      • 0
                        С длиной когтей проблем нет особо:

                        Image #1936843, 93.1 KB

                        А вот по поводу хвоста вы правы. Да и когти не так растут, как у этого зверя. Изначально я подумал на росомаху, но она не водится в Австралии, насколько я помню. (Шутки про Хью Джекмана можно не озвучивать, да). Для поссума он великоват, темноват и лохматоват, как мне кажется.
                    • 0
                      Все для защиты персональных данных. Совершенно логичный закон. Опять же работы будет чуть побольше, а то безопасность как обычно в 3ю очередь.
                      • 0
                        Вспоминается «Управдом — друг человека!». Теперь и они до этого дошли. :-)
                        • 0
                          А эти тесты не приводят к тому что на каждую уборку огрызка с тротуара надо заполнять тридцать три формы с копией паспорта и ещё сверху заверять нотариусом?
                          • 0
                            О чем эта статья? Никакой логической линии повествования не просматривается. Автор, вероятно, был так пресыщен впечатлениями, что писал вперемешку абсолютно все, что у него отложилось в голове после этой увлекательной поездки.
                            • 0
                              о ИБ в Австралии судя по конференции и пентестам, традиционно то что выделено курсивом, можно смело пропускать. Ещё в предыдущей статье из серии Infosectravel мы интересовались как вам такой формат и как уго сделать лучше. Фидбек приветствуется, но даже по голосам сравнивая разные отчёты мы делаем некие выводы. Так или иначе формат эксперементальный, но своего слушателя уже имеет.
                              ответить редактировать
                            • 0
                              о ИБ в Австралии судя по конференции и пентестам, традиционно то что выделено курсивом, можно смело пропускать. Ещё в предыдущей статье из серии Infosectravel мы интересовались как вам такой формат и как уго сделать лучше. Фидбек приветствуется, но даже по голосам сравнивая разные отчёты мы делаем некие выводы. Так или иначе формат эксперементальный, но своего слушателя уже имеет.

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                              Самое читаемое