Статьи

ZERONIGHTS-2013 – 3-Й ГОД ХАРДКОРА

19.11.2013

/

7 и 8 ноября 2013 года в Москве, в центре «Коворкинг 2.0», по адресу: Варшавское шоссе, д. 28 А, что рядом с метро Нагатинская, проходила третья по счёту международная конференция по практической безопасности, Zeronights-2013 (http://2013.zeronights.ru/). Как и прошлый, 2012 год, данное мероприятие проходило в Москве в отличие от самой первой ZN-2011 в Петербурге. Специалисты ООО «РосИнтеграция» регулярно посещают все конференции Zeronights и подготовили краткий обзор того, что приготовил для публики мир практической информационной безопасности в 2013 году.

Перед тем, как перейти к содержанию конференции, стоит рассказать об её организационной части. На входе всех гостей встречали администраторы, которые выдавали пропуски, талоны на обед, информационные материалы и пр. Стоит отметить, что обед оплачивался отдельно, организаторы учли, что многие реальные безопасники попросту не успевают обедать на подобных конференциях, поэтому добавили гибкости в систему бронирования, что пошло конференции только на пользу.

В большом зале у входа расположились различные вендоры, спонсоры, столики с чаем и кофе. Место нашлось и зоне отдыха, состоящей из мягких кресел, разбросанных по полу рядом со специальными станциями для зарядки электроники. Удивительно, какая это простая, но необходимая вещь на IT-конференции.



Запомнился стенд ресурса www.itmozg.ru, выполненный в стилистике «Звёздных войн». У стенда на проекторе два дня показывали шесть эпизодов инопланетной саги, там был настоящий джедайский меч, шлем Дарта Вейдера, по полу были разбросаны кресла-груши. Наверное, это был самый атмосферный уголок всей конференции, который вызывал отклик в сердцах настоящих IT-джедаев.



Со временем выявились некоторые трудности, касающиеся wi-fi. Беспроводная сеть просто не справлялась с большим потоком людей, так что в большинстве случаев приходилось довольствоваться интернетом от сотового оператора. Надеюсь, организаторы учтут этот момент и в следующий раз с этим проблем возникать не будет.

В середине дня, между докладами, был запланирован обед, в главном зале регулярно появлялись легкие закуски, всегда были чай, кофе и печенье. Некоторую сложность создали очереди, но, возможно, организаторы просто оказались не готовы к такому большому наплыву людей, поэтому и не успели подготовить запасные пути.



Как и любая конференция по практической безопасности, Zeronights-2013 рассчитана на подготовленного зрителя. Параллельно на конференции шли две секции докладов и «лабораторные» практические занятия по различным темам, так что каждый мог выбрать себе занятие по вкусу. Иногда даже возникал непростой выбор, на какой доклад из двух одновременно идущих тем стоит идти. Один человек просто физически не смог бы всё охватить, благо, что организаторы после конференции выложили некоторые материалы на официальном сайте: http://2013.zeronights.ru/materials. Отдельно стоит отметить несколько запоминающихся докладов, которые воплощали настоящий дух хакерства.

Первый из них – доклад исследователя Adrian Furtuna, «Практическая эксплуатация уязвимостей округления в приложениях для интернет-банкинга». Суть его состояла в следующем: некоторые системы онлайн-банкинга позволяют совершать валютные переводы, конвертируя одну валюту на счете клиента в другую. Так вот Adrian нашел несколько уязвимых систем, которые позволяли пользователю конверировать очень маленькие суммы денежных средств в другую валюту таким образом, что банк при этом округлял получившуюся сумму в большую сторону. Таким образом, совершив, например, несколько тысяч транзакций пользователь «зарабатывал» определенную сумму из воздуха. Стоит отметить, что системы российских банков еще не подвержены такой атаке, так как в абсолютном большинстве не позволяют проводить удаленные валютные-обменные операции.



Adrian даже сумел автоматизировать весь процесс так, чтобы зарабатывать в день около ста долларов. В конце своего выступления, как и полагает настоящему исследователю, он предложил способы, как банкам защититься от таких операций.

Следующим интересным докладом Glenn Wilkinson, «Машины, обманувшие доверие». Внимание всех зрителей было приковано к квадрокоптеру рядом с докладчиком. «Будет ли он летать или нет», - такой вопрос был у многих в головах. Идея Glenn’а была проста, но эффективна: слушать радиоэфир, записывать данные и анализировать их. Главная мысль заключалась в том, что практически все мобильные устройства что-то излучают в окружающее пространство. Например, смартфоны с определенной периодичностью посылают сигнал о поиске сохраненной в их памяти wi-fi точке доступа. Если точка доступа поблизости, то смартфон к ней подключается. Так вот Glenn подумал над тем, чтобы разместить по городу множество дронов, сканирующих радиоэфир и передающих данные на центральным сервер для обработки.

Возможности, которые открываются перед такой схемой поражают воображение, ведь смартфон передает в эфир название точки доступа, которое нередко бывает уникальным и которое иногда позволяет определить, где пользователь был: в кафе, на работе, в публичном месте. Смартфон передает также и свой mac-адрес, то есть практически уникальный идентификатор. Таким образом можно сравнить два дампа радиоэфира двух смартфонов и определить, имеют ли они одинаковые сохраненные точки доступа, что значит, бывали ли их обладатели в одних и тех же местах.



Ещё одной концепцией «большого брата» является возможность слежки за смартфоном с помощью дронов, расположенных по всему городу. Дроны будут анализировать эфир, отслеживать запросы wi-fi точек с уникальным mac-адресом смартфона и отслеживать его владельца с точностью до нескольких десятков метров. Glenn даже написал специальную библиотеку, Snooppy, которая автоматизирует весь процесс.

Простым, но интересным докладом оказался доклад специалиста Inbar Raz, «Физическая (не)безопасность: не ТОЛЬКО „кибер“». Исследователь взломал множество различных «некомпьютерных» устройств, например, автоматы для печати билетов в кино, медиа-системы в больницах и другие, при этом получил с их помощью множество конфиденциальных данных, как например, ключи шифрования, реквизиты платежных карт населения и другие данные. Ему удалось даже загрузить больничный медиа-центр со своей флешки и запустить там свою операционную систему: Backtrack.



Причем всё это он делал, обладая простейшим инструментарием: клавиатурой, мышкой и открытым программным обеспечением. Inbar Raz включал свой мозг и находил уязвимости в физической защите исследуемых устройств: открытые сетевые порты, незапертый платежный терминал в людном месте и пр. Inbar подтверждает мысль, что хакерство – это не грустная история про нейронные сети и пространные размышления о вечном. Это образ мышления, образ жизни, поиск новых, нестандартных решений, идей. Zeronights объединяет всё это в одном месте.

Были на конференции и более узкоспециализированные доклады, например, традиционный взлома SAP и enterprise-приложений от Digital Security, которые, тем не менее были выполнены с долей юмора и оставили после себя хорошее впечатление.

Стоит отметить, что по сравнению с прошлым конференциями, ZN-2013 был более «строг». Места не нашлось видеоиграм, которые так здорово разбавляли прошлый ZN-2012. Не было и практики по физическому взлому замков, который всегда так притягивает аудиторию. Конкурсов было совсем немного, при этом информация о них была крайне скудной. Зато у входа стоял целый стол энергетических напитков, которые быстро разошлись среди посетителей конференции.

Приятной деталью ZN-2013 было то, что конференция стала местом встречи людей, начинавших вместе свой профессиональный путь, которых жизнь разбросала по самым разным организациям и ведомствам. И это действительно важно. Спасибо организаторам за усилия, вы реально молодцы! Надеюсь, недочеты этого года будут исправлены, и следующий ZN-2014 будет по-настоящему крут!


В статье использованы фотографии с фотоальбома Zeronights-2013: https://picasaweb.google.com/106780973074407646953/ZeroNights2013?authkey=Gv1sRgCPGe4e7A-_ffxgE