Открыть список
Как стать автором
Обновить
140,22
Рейтинг
Digital Security
Безопасность как искусство

Информационная безопасность в Австралии, и почему пентест там уже не торт

Блог компании Digital SecurityИнформационная безопасность
Настало время написать про Австралию и мою поездку на конференцию AusCERT. На этом волшебном континенте мне предстояло провести три недели, начав с города Gold Coast. Ожидания, связанные с находящимся там отличным серф-спотом, были самыми приятными. В итоге, мой серф так и не изведал этого места, найдя еще более шикарные австралийские волны, после чего прямиком оттуда я попал в Сингапур, где выступил на культовой конференции RSA.



Итак, первое, что я увидел в Австралии, это – к-е-н-г-у-р-у, нет, не мертвый, как дельфин из прошлой истории, и это меня очень обрадовало. «Хороший знак», — подумалось мне. А дальше – провал, вызванный тяжелым перелётом, состоящим из 4 рейсов общей протяженностью 36 часов.



Конференция


Перед конференцией мне предстояло провести тренинг по безопасности SAP. Читать доклады уже не модно, теперь круто проводить тренинги. О нем рассказывать не буду, поскольку здесь либо все, либо ничего, а наш пост посвящен Австралии и AusCERT. Кратко: это был мощный мозговой штурм для местных пентестеров, поскольку пришлось запихнуть им дневной материал за 4 часа, но, в общем, все остались довольны. А я, утомленный джетлагом и тренингом, был совершенно свободен на конференции, что позволило мне лучше ознакомиться с местным рынком, докладчиками и вообще.
Итак, конференция: я был очень удивлен, что ивент этот проводится уже без малого 20 лет! Получается, что это чуть ли не старейшая секюрити-конференция, хотя правильнее называть ее выставкой или вендор-пати. На выставке было порядка 70 стендов, что, в общем, немного больше обычного. И снующие повсюду продавцы и маркетологи всего, что связано с инфобезопасностью. Просто постоять в очереди за кофе там не получится, не набрав листовок или не ответив на десяток анкет и вопросов про BYOD (кстати, что это такое, кто-нибудь в курсе?). Все обеды, перерывы и прочие ништяки щедро спонсированы, а про благодетелей навязчиво жужжат громкоговорители. В общем, обычная выставка вендоров, только очень уж “продажная”. Апогеем этой вакханалии стал завершающий салют нехилого размаха. На этом фоне очень отличились ребята из HackLabs со стендом на улице, фото которого в начале статьи.
Для завершения пафосности на конференции был еще и гольф. Перед конференцией, во время тренингов, проводились гольф-турнирчики. Рядом с отелем — огромная гольф-площадка. Ну пока другие спикеры дружески резались в гольф, я вел тренинг, так что это поле тоже пока не охвачено. Но ничего, я еще постучу по шарикам клюшкой, когда песок с меня начнет сыпаться на кресло Бентли.

Доклады


Итак, доклады. Несмотря на то, что конференция очень ориентирована на бизнес, организаторы постарались представить интересные технические доклады. Не прям технические-технические, как мы любим видеть на ZeroNights, а просто технические. На конференции было 4 трека, два с нормальными докладами, два — со спонсируемыми выступлениями от вендоров. Я побывал на трех докладах. Первый — спонсируемый доклад Евгения Касперского. По содержанию ничем не примечательный, про кибервойны и прочее, но сам Евгений крутой в принципе. Я давно хотел посмотреть на то, как выступает кто-нибудь из профессиональных русских докладчиков на английском, хотя, в общем-то, интересных спикеров мало. Выступил он отлично, явно давно это делает и с удовольствием, хотя от русского акцента никуда не деться. Бесспорно, достойно уважения то, что он вывел российскую компанию в четверку мировых Endpoint-решений, да и вообще первым начал продавать продукты по безопасности за границу в подобных масштабах, что бы там ни говорили про техническую сторону вопроса и маркетинговую политику.
Второй доклад был от HD Moore, автора Metasploit. Ничего сверхъестественного, но была представлена очень качественная аналитика результатов сканирования интернета от проекта InternetCensus.
Если вы не в курсе: один исследователь, пожелавший остаться неизвестным, выложил в интернет результаты сканирования всего интернета на наличие популярных открытых портов, а также собрал баннеры и провел ряд других исследований. Проект интересен тем, что сканирование проводилось не то чтоб легально, а с помощью бот-сети, состоявшей из похаканных простейших устройств типа домашних роутеров с дефолтовыми паролями на SSH. Статистика, проанализированная HDMoore, показала ряд интересных фактов относительно того, что можно сделать с уязвимыми сервисами и насколько вообще плохи дела. Очень рекомендую обратиться к первоисточнику. Мне проект этот был интересен, поскольку мы уже третий год анализируем открытые порты в интернете, только конкретно от SAP систем. Кстати, ждите скоро новый репорт за 2013 год.
Последний доклад, что я посетил, был от Barnaby Jack. Он рассказывал про атаки на медицинские девайсы, а презентация была оформлена в виде реального комикса — как всегда, все на высоте. После мы практически договорились с ним о выступлении на ZeroNights, но…. Вы, наверное, уже в курсе.
От себя могу сказать, что я познакомился с ним в Барселоне на конференции Source года 3 назад. Это была вторая или третья моя международная конференция, он как раз рассказывал про банкоматы и для демонстрации организовал конференц-связь со своим офисом, где стоял банкомат, который он удаленно ломал из Барселоны. Вечером на спикер-пати он травил всякие байки из жизни, отнюдь не только хакерской. Вообще, этот человек был и навсегда останется для меня иконой среди рисерчеров: он всегда искал новые, не исследованные ранее и очень крутые темы, а главное, умел их представить так, что его понимал самый далекий от техники человек, но в то же время, получал респекты от технарей. Балансировать на этой грани – истинное искусство. Покойся с миром, друг.

Дела-Отдых-Дела-Отдых


…После конференции я отправился в небольшой трип, совмещая отдых и работу. Первой остановкой был Байрон-Бей — шикарное место для серфинга, наполненное хиппи и всякими кафешками с Organic-едой и прочими прелестями, и даже детские площадки намекают на то, чем заняться по жизни.



Не Portland, конечно, но что-то есть. Мы были там с знакомым журналистом и HD Moore. Кстати, в местном баре, куда мы зашли послушать музыку, также засветился Евгений Касперский, буквально за час до моего прихода…


Итак, коли пост об информационной безопасности, то расскажу, как дела обстоят с этим в Австралии. В общем, если кратко, там очень популярны пентесты и пентестинг компаний, пентестеров хоть отбавляй, работы гора, конкуренция огромная. Работа само по себе не шибко интеллектуальная, потому что все поставлено на поток, масса коротких проектов а-ля комплаенс. Почему так? Ну, отчасти, из-за законов.

…… вообще, в Австралии много странных законов, позволю себе отвлечься еще на чуток. Например, про курение. Не страшно, что пачка табака стоит 30 баксов, но ее еще не так-то просто купить: в магазинах сигареты и табак открыто выставлять запрещено, есть только названия и цены на отдельном листике. Бренды почти все местные, а что из них сигареты и что табак — неясно, на вопросы ответить не могут, никаких рекомендаций не дают, короче – не способствуют, так как запрещено законом. Покупка табака поэтому — лотерея. Еще нелепые законы в барах Байрон-бея, где нельзя в барах заказывать шоты, двойные коктейли, два коктейля на одного, и еще что-то, крайне ограничивающее скорость прихода. Видимо, эта мера продиктована заботой о хиппи и других гражданах, несдержанных в потреблении алкоголя.

Итак, законы. Есть у них госучреждения, называемые council, что-то типа районных управлений. И вот, всех этих “управдомов” обязали делать пентест. А надо отдельно сказать, что управдомы там — все, они и мусор вывозят, и деревья пилят, простым смертным это делать запрещено. На любые работы граждане пишут заявки “управдому”, который любую бумажку за денежку уберет с тротуара. И всех этих “мусорщиков”, которых на всю страну тысячи, надо пентестить, причем не раз в году, а все четыре. Конечно, попадаются среди них конкретно не понимающие ничего и хотящие только бумажку, как некоторые наши компании, измученные обязательным соответствием PCIDSS, например. И весь этот большой и не особо грамотный в технических вопросах рынок окучивает большое число посредственных исполнителей, хотя, безусловно, есть и отличные команды.
Пентест тут оценивается по человеко-дням, и у пентестерских компаний есть определенные рейты на человеко-день пентестера, обычного и продвинутого. Зачастую, поскольку компании сильно тратиться не хотят на неведомую услугу, все происходит за 2-3 человеко-дня. «А если не успеют ничего найти?» — поинтересовался я. На это мне резонно заметили, что, мол, задача не разломать все вдребезги, как в России, копая, если надо, впятером месяц, а просто проверить, так сказать, наличие определенного уровня защищенности, равняющегося трем человеко-дням пентестера.

Вдобавок к этому «великолепию» на рынок стремительно выходят индийские компании с дневным рейтом чуть ли ни в 10 раз ниже. Естественно, некоторые клиенты выбирают их, о чем потом крайне жалеют: хитрые индусы не предупреждают заранее, что проект, скорее всего, затянется, а также о том, что их цена учитывает только работу пентестера, которому для работы обязательно нужны разные программы за дополнительные деньги. И несчастные клиенты покупают лицензии на метасплойт или нессус и т. д. В итоге, такая «экономия» обходится заказчикам очень дорого. Безусловно, стандарты и большой рынок – это, конечно, лучше, чем отсутствие рынка вообще, но и пентест в этом случае уже не торт.

Потом я немножко пообщался с партнерами, продал немножко ERPScan, и полетел в Сингапур — выступать на конференции RSA APAC.



Это, наверное, первая конфа, где среди спикеров не встретил я ни одного знакомого, все сплошь большие боссы крупных компаний несут баяны с умными личиками. И хотя мой доклад был самым нетехническим из всех моих докладов, он оказался самым технически-хардкорным на RSA. Ну а так, конечно, RSA – это статус, абы кого там выступать не берут, среди спикеров – только профессионалы, поэтому гостям, безусловно, полезно послушать аналитику и выжимку о том, что произошло за год. А технарям там делать нечего, это факт. Доклад если что, доступен для просмотра.



ЗЫ:

Напоследок я еще заглянул в Тасманию. Местные при упоминании о ней делают страшные глаза и рассказывают про двухголовых аборигенов и нереальный холод, ну примерно как у нас говорят о «замкадье». Там я искал тасманского дьявола, а нашел традиционно труп непонятного зверя (и я не имею ни малейшего понятия кто это, но это точно не ТАЗ). Чтобы не травмировать публику, на этот раз фото — по ссылке. Еще были кенгуру, коала, валаби и другая местная живность.

Тут, кстати, объявили конкурс за лучшие достижения в ИБ в России и прочие прелести, среди компаний и простых граждан. Бумажники уже наверняка проголосовали, а технари, скорее всего, не в курсе даже, так что будет справедливо, если я просто оставлю ссылку здесь, а вы уже решите, кто чего достоин.
Все, последний пост с некачественными фотками, ждите новый опять из ЮАР или из Америки. Пока не решил, что интереснее.
Теги:путешествияsecuritysappentest
Хабы: Блог компании Digital Security Информационная безопасность
Всего голосов 37: ↑33 и ↓4 +29
Просмотры20.4K

Комментарии 22

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Похожие публикации

Лучшие публикации за сутки

Информация

Дата основания
Местоположение
Россия
Сайт
dsec.ru
Численность
51–100 человек
Дата регистрации

Блог на Хабре