Pull to refresh
0
Digital Security
Безопасность как искусство

Информационная безопасность в Австралии, и почему пентест там уже не торт

Reading time 7 min
Views 21K
Настало время написать про Австралию и мою поездку на конференцию AusCERT. На этом волшебном континенте мне предстояло провести три недели, начав с города Gold Coast. Ожидания, связанные с находящимся там отличным серф-спотом, были самыми приятными. В итоге, мой серф так и не изведал этого места, найдя еще более шикарные австралийские волны, после чего прямиком оттуда я попал в Сингапур, где выступил на культовой конференции RSA.



Итак, первое, что я увидел в Австралии, это – к-е-н-г-у-р-у, нет, не мертвый, как дельфин из прошлой истории, и это меня очень обрадовало. «Хороший знак», — подумалось мне. А дальше – провал, вызванный тяжелым перелётом, состоящим из 4 рейсов общей протяженностью 36 часов.



Конференция


Перед конференцией мне предстояло провести тренинг по безопасности SAP. Читать доклады уже не модно, теперь круто проводить тренинги. О нем рассказывать не буду, поскольку здесь либо все, либо ничего, а наш пост посвящен Австралии и AusCERT. Кратко: это был мощный мозговой штурм для местных пентестеров, поскольку пришлось запихнуть им дневной материал за 4 часа, но, в общем, все остались довольны. А я, утомленный джетлагом и тренингом, был совершенно свободен на конференции, что позволило мне лучше ознакомиться с местным рынком, докладчиками и вообще.
Итак, конференция: я был очень удивлен, что ивент этот проводится уже без малого 20 лет! Получается, что это чуть ли не старейшая секюрити-конференция, хотя правильнее называть ее выставкой или вендор-пати. На выставке было порядка 70 стендов, что, в общем, немного больше обычного. И снующие повсюду продавцы и маркетологи всего, что связано с инфобезопасностью. Просто постоять в очереди за кофе там не получится, не набрав листовок или не ответив на десяток анкет и вопросов про BYOD (кстати, что это такое, кто-нибудь в курсе?). Все обеды, перерывы и прочие ништяки щедро спонсированы, а про благодетелей навязчиво жужжат громкоговорители. В общем, обычная выставка вендоров, только очень уж “продажная”. Апогеем этой вакханалии стал завершающий салют нехилого размаха. На этом фоне очень отличились ребята из HackLabs со стендом на улице, фото которого в начале статьи.
Для завершения пафосности на конференции был еще и гольф. Перед конференцией, во время тренингов, проводились гольф-турнирчики. Рядом с отелем — огромная гольф-площадка. Ну пока другие спикеры дружески резались в гольф, я вел тренинг, так что это поле тоже пока не охвачено. Но ничего, я еще постучу по шарикам клюшкой, когда песок с меня начнет сыпаться на кресло Бентли.

Доклады


Итак, доклады. Несмотря на то, что конференция очень ориентирована на бизнес, организаторы постарались представить интересные технические доклады. Не прям технические-технические, как мы любим видеть на ZeroNights, а просто технические. На конференции было 4 трека, два с нормальными докладами, два — со спонсируемыми выступлениями от вендоров. Я побывал на трех докладах. Первый — спонсируемый доклад Евгения Касперского. По содержанию ничем не примечательный, про кибервойны и прочее, но сам Евгений крутой в принципе. Я давно хотел посмотреть на то, как выступает кто-нибудь из профессиональных русских докладчиков на английском, хотя, в общем-то, интересных спикеров мало. Выступил он отлично, явно давно это делает и с удовольствием, хотя от русского акцента никуда не деться. Бесспорно, достойно уважения то, что он вывел российскую компанию в четверку мировых Endpoint-решений, да и вообще первым начал продавать продукты по безопасности за границу в подобных масштабах, что бы там ни говорили про техническую сторону вопроса и маркетинговую политику.
Второй доклад был от HD Moore, автора Metasploit. Ничего сверхъестественного, но была представлена очень качественная аналитика результатов сканирования интернета от проекта InternetCensus.
Если вы не в курсе: один исследователь, пожелавший остаться неизвестным, выложил в интернет результаты сканирования всего интернета на наличие популярных открытых портов, а также собрал баннеры и провел ряд других исследований. Проект интересен тем, что сканирование проводилось не то чтоб легально, а с помощью бот-сети, состоявшей из похаканных простейших устройств типа домашних роутеров с дефолтовыми паролями на SSH. Статистика, проанализированная HDMoore, показала ряд интересных фактов относительно того, что можно сделать с уязвимыми сервисами и насколько вообще плохи дела. Очень рекомендую обратиться к первоисточнику. Мне проект этот был интересен, поскольку мы уже третий год анализируем открытые порты в интернете, только конкретно от SAP систем. Кстати, ждите скоро новый репорт за 2013 год.
Последний доклад, что я посетил, был от Barnaby Jack. Он рассказывал про атаки на медицинские девайсы, а презентация была оформлена в виде реального комикса — как всегда, все на высоте. После мы практически договорились с ним о выступлении на ZeroNights, но…. Вы, наверное, уже в курсе.
От себя могу сказать, что я познакомился с ним в Барселоне на конференции Source года 3 назад. Это была вторая или третья моя международная конференция, он как раз рассказывал про банкоматы и для демонстрации организовал конференц-связь со своим офисом, где стоял банкомат, который он удаленно ломал из Барселоны. Вечером на спикер-пати он травил всякие байки из жизни, отнюдь не только хакерской. Вообще, этот человек был и навсегда останется для меня иконой среди рисерчеров: он всегда искал новые, не исследованные ранее и очень крутые темы, а главное, умел их представить так, что его понимал самый далекий от техники человек, но в то же время, получал респекты от технарей. Балансировать на этой грани – истинное искусство. Покойся с миром, друг.

Дела-Отдых-Дела-Отдых


…После конференции я отправился в небольшой трип, совмещая отдых и работу. Первой остановкой был Байрон-Бей — шикарное место для серфинга, наполненное хиппи и всякими кафешками с Organic-едой и прочими прелестями, и даже детские площадки намекают на то, чем заняться по жизни.



Не Portland, конечно, но что-то есть. Мы были там с знакомым журналистом и HD Moore. Кстати, в местном баре, куда мы зашли послушать музыку, также засветился Евгений Касперский, буквально за час до моего прихода…


Итак, коли пост об информационной безопасности, то расскажу, как дела обстоят с этим в Австралии. В общем, если кратко, там очень популярны пентесты и пентестинг компаний, пентестеров хоть отбавляй, работы гора, конкуренция огромная. Работа само по себе не шибко интеллектуальная, потому что все поставлено на поток, масса коротких проектов а-ля комплаенс. Почему так? Ну, отчасти, из-за законов.

…… вообще, в Австралии много странных законов, позволю себе отвлечься еще на чуток. Например, про курение. Не страшно, что пачка табака стоит 30 баксов, но ее еще не так-то просто купить: в магазинах сигареты и табак открыто выставлять запрещено, есть только названия и цены на отдельном листике. Бренды почти все местные, а что из них сигареты и что табак — неясно, на вопросы ответить не могут, никаких рекомендаций не дают, короче – не способствуют, так как запрещено законом. Покупка табака поэтому — лотерея. Еще нелепые законы в барах Байрон-бея, где нельзя в барах заказывать шоты, двойные коктейли, два коктейля на одного, и еще что-то, крайне ограничивающее скорость прихода. Видимо, эта мера продиктована заботой о хиппи и других гражданах, несдержанных в потреблении алкоголя.

Итак, законы. Есть у них госучреждения, называемые council, что-то типа районных управлений. И вот, всех этих “управдомов” обязали делать пентест. А надо отдельно сказать, что управдомы там — все, они и мусор вывозят, и деревья пилят, простым смертным это делать запрещено. На любые работы граждане пишут заявки “управдому”, который любую бумажку за денежку уберет с тротуара. И всех этих “мусорщиков”, которых на всю страну тысячи, надо пентестить, причем не раз в году, а все четыре. Конечно, попадаются среди них конкретно не понимающие ничего и хотящие только бумажку, как некоторые наши компании, измученные обязательным соответствием PCIDSS, например. И весь этот большой и не особо грамотный в технических вопросах рынок окучивает большое число посредственных исполнителей, хотя, безусловно, есть и отличные команды.
Пентест тут оценивается по человеко-дням, и у пентестерских компаний есть определенные рейты на человеко-день пентестера, обычного и продвинутого. Зачастую, поскольку компании сильно тратиться не хотят на неведомую услугу, все происходит за 2-3 человеко-дня. «А если не успеют ничего найти?» — поинтересовался я. На это мне резонно заметили, что, мол, задача не разломать все вдребезги, как в России, копая, если надо, впятером месяц, а просто проверить, так сказать, наличие определенного уровня защищенности, равняющегося трем человеко-дням пентестера.

Вдобавок к этому «великолепию» на рынок стремительно выходят индийские компании с дневным рейтом чуть ли ни в 10 раз ниже. Естественно, некоторые клиенты выбирают их, о чем потом крайне жалеют: хитрые индусы не предупреждают заранее, что проект, скорее всего, затянется, а также о том, что их цена учитывает только работу пентестера, которому для работы обязательно нужны разные программы за дополнительные деньги. И несчастные клиенты покупают лицензии на метасплойт или нессус и т. д. В итоге, такая «экономия» обходится заказчикам очень дорого. Безусловно, стандарты и большой рынок – это, конечно, лучше, чем отсутствие рынка вообще, но и пентест в этом случае уже не торт.

Потом я немножко пообщался с партнерами, продал немножко ERPScan, и полетел в Сингапур — выступать на конференции RSA APAC.



Это, наверное, первая конфа, где среди спикеров не встретил я ни одного знакомого, все сплошь большие боссы крупных компаний несут баяны с умными личиками. И хотя мой доклад был самым нетехническим из всех моих докладов, он оказался самым технически-хардкорным на RSA. Ну а так, конечно, RSA – это статус, абы кого там выступать не берут, среди спикеров – только профессионалы, поэтому гостям, безусловно, полезно послушать аналитику и выжимку о том, что произошло за год. А технарям там делать нечего, это факт. Доклад если что, доступен для просмотра.



ЗЫ:

Напоследок я еще заглянул в Тасманию. Местные при упоминании о ней делают страшные глаза и рассказывают про двухголовых аборигенов и нереальный холод, ну примерно как у нас говорят о «замкадье». Там я искал тасманского дьявола, а нашел традиционно труп непонятного зверя (и я не имею ни малейшего понятия кто это, но это точно не ТАЗ). Чтобы не травмировать публику, на этот раз фото — по ссылке. Еще были кенгуру, коала, валаби и другая местная живность.

Тут, кстати, объявили конкурс за лучшие достижения в ИБ в России и прочие прелести, среди компаний и простых граждан. Бумажники уже наверняка проголосовали, а технари, скорее всего, не в курсе даже, так что будет справедливо, если я просто оставлю ссылку здесь, а вы уже решите, кто чего достоин.
Все, последний пост с некачественными фотками, ждите новый опять из ЮАР или из Америки. Пока не решил, что интереснее.
Tags:
Hubs:
+29
Comments 22
Comments Comments 22

Articles

Information

Website
dsec.ru
Registered
Founded
Employees
51–100 employees
Location
Россия