РусКрипто’2010

Прошла неделя с нашего с Денисом выезда в пансионат «Солнечная Поляна». Выехали в 4 часа в четверг, потому до места назначения (перед глазами встают картинки из одноименного фильма :)) доехали быстрее, чем порой едешь на работу по Москве. Мысли об относительности мигом настраивали на научный лад.
Вечером организаторы устроили вечеринку с целью дегустации шашлыков с пивом знакомства участников. Там мы познакомились со многими интересными людьми, в том числе со стремительным Сергеем Гордейчиком, которому предстояло, ловко маневрируя, судить соревнование RusCrypto CTF и модерировать нашу секцию .
Следующий день запомнился выигранной битой от Александра Матросова и секциями «Расследование инцидентов. Механизмы, технологии, проблемы, опыт» и «Правда и вымысел о технологиях информационной безопасности». Уровень первой из них заметно вырос за прошедший год. Вторая секция, видимо, задумывалась организаторами специально для поднятия энтропии в конце дня, когда многие уже начинали думать о приближающемся банкете. Особенно весело получилось на докладе Владимира Иванова («Чем закончится DLP hype?»). Некоторые аргументы как со стороны Владимира, так и со стороны представителя InfoWatch были спорными, однако это можно списать на спонтанность дискуссии…
Следующий доклад, от которого ждали обсуждения, а оно (обсуждение) так и постеснялось поднять свою хитрую многоголосую голову, был про Пентесты. К этому докладу я бы хотел высказать свои комментарии. Основной вывод, который делает Василий, что Пентест — это не самостоятельный инструмент, а дополнение к аудиту (см. слайд 11). Возникает закономерный вопрос: что если организация (см. малый и средний бизнес) не хочет тратить кучу бабла на создание и поддержку «правильной» программы обеспечения ИБ? Такие предприятия могут с удовольствием воспользоваться Risk-based подходом (да не нужна им полнота!) и поставить вопрос, например, так:
«Вот у меня есть веб-приложение, работает на хостинге. Основные риски для меня связаны с эксплуатацией уязвимостей типа SQLI, XSS и CSRF (да, мы заботимся о наших клиентах). Я считаю, что основные угрозы для меня — это направленные (или неправленные угрозы) от конкурентов (соответственно, любителей острых ощущений), которые согласны на поиск и эксплуатацию уязвимостей потратить X ресурсов (время, деньги и т.д.)«.
Я рассматриваю пентест именно как инструмент для ответа на этот вопрос. Можно ли реализовать заданную угрозу, имея в наличии исполнителя заданной квалификации и заданное количество времени. Вопросы по формализации квалификации исполнителя решаются так же, как и во всех других областях :)

И тут наступил второй день. Приехали наши ребята (Bushwhackers) для участия в CTF, одновременно стартовала наша секция «Интернет и информационная безопасность». Сергей сделал очень правильный (именно это слово) доклад про WASC. На мой взгляд, сейчас Россия сильно оторвана от мировых сообществ ИБ (WASC, OWASP) и это надо исправлять. В конце немного поговорили о синергии и дуализме OWASP и WASC :)
Потом выступал я. Вроде получилось живенько, да и вопросы были очень правильные: мол, мы боремся за автоматизацию, а по факту получается, что продвинутые технологии (см. AJAX) плохо автоматизируются в нашем средстве. Потом уже я понял, что надо было сместить акцент выступления не на автоматизацию, а на контроль полноты тестирования… Надеюсь раздобыть видео выступления, которое (вроде) записывал Александр Матросов. После обеда присутствовал на секции «Защита информации в распределенных компьютерных системах», на которой выступал Денис со своими докладами. Секция запомнилась вопросом «Какую задачу Вы решаете?», который стабильно звучал после некоторых докладов (Денису повезло, его не спросили :))

Но самое интересное проходило параллельно внизу: 6 команд яростно вонзались во имя старика Энцо. Хотелось после каждого доклада бежать вниз смотреть на онлайн табло игры (предложение к организаторам — устроить стойку с пивом, перед ней широкий экран с онлайном (отличная легенда игры позволяет) и всех пригласить болеть :)) В общем, организаторам большой респект. И если в первый раз получилось так здорово, можно только гадать, что же будет в следующий раз (ведь будет?)…
Подробно о соревнованиях можно почитать у Дениса, Гоши и Федора (участники нашей команды), Димы Евтеева и Сергея Гордейчика (организаторы), а видео можно найти тут (опять спасибо Александру).
В итоге наши взяли бронзу, опередив на последних минутах Сибирских Медведов на одно очко :)

А конец вечера запомнился Rump-Up Session и особенно выступлением Дарьи Жуковой (CTF-команда CIT). Отдельно хочется поблагодарить организаторов конференции и CTF, особенно Викторию Огурцову и Сергея Гордейчика. В общем, выражаясь словами Квартета-И, «все здесь молодцы».