20 февраля, 2012
Дятлосаммит-2012.
Как уже рассказывалось – центральным событием нашего недавнего тройного канкунского мероприятия был Security Analyst Summit (SAS). Или, по-простому, — верховный съезд самых выдающихся вирусных аналитиков (дятлов) с приглашением внешних экспертов по секюрити для похвальбы достижениями, обмена опытом, мнениями и, разумеется, неформального нетворкинга.
Идея таких «дятлосаммитов» с бородой. В первый раз мы решили плюнуть на текучку, обнулиться и в незнакомой, но комфортной обстановке обсудить наши технологические прорывы в 1997г. в Праге. Тогда-то и родился в общих чертах наш антивирусный движок имени чешской столицы.
Потом был большой перерыв, но в 2004 традиция возобновилась и такие микро-конфы (участвовали только наши сотрудники) стали проводиться иногда по нескольку раз в год. С тех пор их состоялось аж 15 штук.
А в 2009 г. у нас случилась новая традиция – проводить ежегодные большие, расширенные «дятлосаммиты» с участием «внешних» экспертов где-нибудь в тёплых краях с далеко идущим намерением сделать их (дятлосаммиты) центральным событием индустриального масштаба. И наш свежий (четвёртый по счёту) опыт в Канкуне, где было 100+ участников из 14 стран — действительно серьёзная заявка на этот статус.
Подробнее о SAS 2012 в отчёте нашего старшего вирусного аналитика Ю.Н.:
—->8—-
Сегодня я хотел бы поведать вам всю правду о таком ивенте, как Security Analyst Summit. Это молодая конфа, организуемая «Лабораторией Касперского» в четвертый раз… ну или в пятнадцатый — смотря как считать.
Неизменной фишкой конфы является общение экспертов в области компьютерной безопасности в неформальной обстановке: не просто без галстуков, а прямо в пляжных тапочках, шортах и гавайках. В этом году мы решили провести мероприятие зимой и с пляжными тапочками, от которых никто не хотел отказываться, появилась проблема. Поэтому было принято решение лететь ближе к экватору, и выбор пал на полуостров Юкатан. Кстати, он был раннее населен как раз теми самыми индейцами с уязвимым календарем: в декабре этого года произошел buffer overflow, однако вселенная не упала, и даже не зависла, что не может не радовать.
Кстати, он был раннее населен как раз теми самыми индейцами с уязвимым календарем: в декабре этого года произошел buffer overflow, однако вселенная не упала, и даже не зависла, что не может не радовать.
Приветственная речь от начальника на бортике фонтана
По прилету нас ждало теплое лазурное море, белый искрящийся песок, кондиционированный конференц-зал и три дня конфы. Как вы понимаете, выбор участников, готовых работать в таких нечеловеческих условиях — дело не простое. В этом году были специалисты из дюжины компаний, среди которых Adobe, Boeing, CrySyS Lab (ребята, нашедшие Duqu), Kaspersky Lab (ну куда уж без нас;)), Microsoft, Team Cymru, а также киберполицейские из Interpol’а, Германии, Голландии, Румынии и независимые рисерчеры.
Зал с участниками. Многие, кстати твитили: ищите хэш-тег #SAS2012
Вот уже четвертый раз мы приглашаем на конфу внешних людей, а в этом году помимо ЛК спонсорами стали Adobe, Barracuda и ThreatPost. Интерес к конфе постепенно растет и, надеюсь, в обозримом будущем мы дорастем до уровня Industry Events. Точнее, если честно, то уже доросли — уровень докладов и докладчиков сказал сам за себя.
Теперь о мясе презах. Для затравки скажу, что они было сочнее представленных на опопсовевших в последнее время AVAR-ах и VB. Выступления были реально интересными и реально зажигательными с реальными фактами на основе реальных ресерчей, инцидентов и оперативных мероприятий, в случае киберполицейских.
Кстати, выступающим было мега-весело: каждая преза заканчивалась не только бурными аплодисментами, но и шотом текилы, а каждый блок еще одним шотом. Модераторам длинных сессий было конечно тяжелее всех, однако мы выбрали наиболее тренированных спецов, закаливших свою волю еще на предыдущих саммитах:
Ну и в довесок каждому докладчику доставался бочонок текилы, выпиваемый с компанией свежих знакомых вечерком. Во второй день, когда мы получили достаточно бочонков текилы и смогли вынести часть на столы перед конференц-залом, кофебрейки стали еще веселее:
Кофебрейк — Kaspersky style ;)
Самые зачетные выступления были от Голландской киберполиции: про закрытие Bredolaba, вычисление и, что самое сложное, сбор доказательств на хозяина, борьбу с детской порнографией в сети; Interpol про организацию киберинтерпола (Наконец! Каспер об этом уже все уши прожужжал за десять лет).
Питер Цинн (голландская полиция) отвечает на вопросы из зала
Интересный рисерч провела команда независимых исследователей из США, сумевшая разработать и провести тестовую атаку с использованием эксплойта для SCADA, который позволяет получить полный контроль над всей системой управления отдельно взятой тюрьмой: от дверей в камеры, до защиты периметра. Оказалось, что интернет в тюрьме как суслик: ты его не видишь, а он есть!
План таких учреждений естественно не подразумевает никаких Ethernet-ов, а тем более вай-фаев. Однако идет время, и в тюрьмы тоже тянут провода, и подключают-таки критически важные компы к паутине. А что делают охранники по ночам за этими компами, я не буду вам рассказывать ;). Эксплойт, кстати, написали к SCADA от Siemens, но в принципе ничто не мешает это сделать и для другого поставщика. Весь рисерч обошелся в $2500 – согласитесь, несерьезная сумма для желающего выйти из тюрьмы «досрочно».
Еще запомнились доклады про малвару, атакующую POS-терминалы (те, которые стоят в каждом магазине), лечение легальных сайтов (вебмастера лишь в 3% случаев откликаются на сообщения, что у них зараженный сайт), «вся правда про Duqu», выявление фейковых фейсбучных аккаунтов, анализ свежих APT, про борьбу с эксплойтами в Adobe и малвару по почте (в прямом смысле этого слова, т.е. передаваемую по Почте России:).
Брэд Аркин из Adobe про баги (видно, немаленькие)
Леви Гундерт из Team Cymru вещает про анализ DDoS-атаки в 60 Gbit/s
Тем, кто хорошо работает, еще и полагается и хорошо отдыхать. Закрепление новых знакомств и командного духа борцов с вирусами и троянами происходило в обстановке диких джунглей и пирамид майя на третий день. На общем консилиуме приняли решение никого в жертву не приносить… ну почти ;). Внезапно оказалось, что в компании работают разные виды дятлов: летающие, бегающие и даже дятлы-водолазы:
Хотя некоторые представители даже в джунглях говорили о работе:
SAS вырос в полезное, интересное и, что немаловажно, очень позитивное мероприятие. Да, споры борцов за privacy, экспертов и киберполицейских были иногда ну очень жаркими, однако разрядить обстановку и найти общий язык, а заодно и истину, помогла отличная атмосфера (ну, и бочонки с огненной водой). Основной посыл конференции: «Возьмем быка за рога» — то бишь, все интересные рассказы должны быть подкреплены делом: детектом малвар, лечением сайтов и поимкой преступников. Ждем следующего года!
——8<——
В общем, всем очень понравилось, было интересно и волшебно.
Фотки с прошедшего мероприятия здесь. Кое-какие раритеты с прошлых SAS’ов здесь.