В Москве прошел форум по практической информационной безопасности PHDays III: итоги

Безопасность Конференции Стратегия безопасности
мобильная версия
, Текст: Татьяна Короткова

Форум по практической информационной безопасности PHDays III привлек более 2 тыс. участников из Германии, Индии, Испании, Италии, Кореи, Нидерландов, ОАЭ, США, Японии и других стран: ведущих ИБ-экспертов, хакеров, блоггеров, журналистов, политиков, а также представителей государственных структур и институтов. На площадке международного форума, состоявшегося 23 и 24 мая, обсуждали технологии защиты и нападения, нормативные документы и законодательные инициативы, соревновались в поиске уязвимостей банкомата, систем ДБО и АСУ ТП, проводили мастер-классы и хакерские сражения.

Профессионалы в области ИБ необходимы и государству, и бизнесу. Этот тезис стал основным итогом круглого стола, посвященного проблемам молодых специалистов.

Георгий Грицай, заместитель начальника департамента регулирования радиочастот и сетей связи Минкомсвязи, подчеркнул, что по состоянию на 2012 г. в России есть колоссальная потребность в специалистах по ИБ. Руслан Гаттаров, представлявший на встрече Совет Федерации, отметил, что президент России обращает пристальное внимание на отрасль: в январе вышел указ президента № 31с, который сделает информационную безопасность вопросом государственной важности.

На форуме прошли более десяти бизнес-секций, посвященных кибервойне и киберпреступности, безопасности АСУ ТП, инспекционным проверкам регуляторов, защите банковских приложений и другим темам. Большой интерес вызвала откровенная дискуссия с участием представителей ФСТЭК, «Ростелекома», Positive Technologies и других компаний, в ходе которой обсуждались недостатки современной системы сертификации средств защиты. Начальник управления ФСТЭК Виталий Лютиков заявил, что регулирующий орган разрабатывает целый ряд современных нормативов: руководящие документы по анализу защищенности, доверенной загрузке и ряду классов средств защиты, а также ГОСТ по организации жизненного цикла разработки защищенных информационных систем. Активно готовятся и долгожданные рекомендации по организации процесса обновления сертифицированных средств защиты, так как до сих пор установка исправлений лишала систему сертификата. По словам Лютикова, ФСТЭК всячески приветствует участие экспертов в разработке нормативных актов и продолжит практику публичного обсуждения проектов документов.

На PHDays III прозвучали десятки докладов и было затронуто множество тем — от способов обхода современных WAF в исполнении Владимира Воронцова до нестандартных методов определения источников атак в изложении Александра Гостева. Также говорилось о десятках уязвимостей компонентов современных АСУ ТП, обнаруженных группой экспертов исследовательского центра Positive Technologies.

Знаменитый немецкий исследователь и разработчик Марк Хойзе, также известный как van Hauser, подчеркнул важность взаимодействия каждой из сторон, заинтересованных в развитии индустрии информационной безопасности: «Мы являемся частью единого целого. Надо не бояться хакеров, а учитывать специфику их работы. Хорошие хакеры — это бунтовщики по природе, им сложно вписываться в стандартную корпоративную или государственную структуру, где принято говорить: наш продукт самый лучший, наши системы защищены на 100%, вы в полной безопасности. Они говорят: “Я не верю”, и находят неприятные многим ошибки и уязвимости. Необходимо пытаться работать всем вместе, понимать друг друга, учить друг друга. Другого пути нет».

Докладчики PHDays III в очередной раз смогли немного удивить мир: именно здесь показали опаснейшие уязвимости, обнаруженные в сотнях тысячах камер наблюдения по всему миру, ошибки безопасности автомобильных видеорегистраторов, проблемы защищенности системы доступа к интернету на самолетах American Airlines.

Эксперты продемонстрировали новые векторы атаки на банкомат, в том числе получение доступа к сервисной зоне ATM с помощью проволоки. Они также переключили банкомат в сервисный режим, используя обычную канцелярскую скрепку.

Несмотря на участие в форуме хакеров со всего мира, в конкурсах вновь лучше других выступали российские студенты. К примеру, пятикурснику Анатолию Катюшину удалось использовать уязвимости в системе дистанционного банковского обслуживания (ДБО), а первокурснику Михаилу Елизарову покорилась не только система АСУ ТП, управляющая железной дорогой, но и конкурсный банкомат.

Впервые в рамках мероприятия была организована специальная выставка, на которой российские и зарубежные компании отрасли («Элвис-Плюс», Stonesoft Corporation, «Лаборатория Касперского», корпорация ЕМС, «Астерос», ICL и др.) показали свои свежие разработки. Организатор форума, Positive Technologies, представил два новых продукта: PT Application Inspector — систему контроля защищенности приложений, комбинирующую возможности статического, динамического и интерактивного анализа исходного кода, а также PT Application Firewall — межсетевой экран, сочетающий традиционные методы черного и белого списков с новейшими возможностями самообучения.

Форум PHDays III стал площадкой как для начинающих исследователей, так и для молодых стартап-компаний — ONsec, ЦОР, Fairwaves, SolidLab, Seclab@MSU. Они смогли рассказать о своей деятельности перед широкой экспертной аудиторией и получить ценные отзывы. По словам организаторов форума, отрасль может развиваться лишь в том случае, если оригинальные и перспективные идеи не остаются на бумаге, а реализуются на практике, помогая обеспечивать реальную безопасность.

«Два дня абсолютного позитива с пользой для ума — таково краткое резюме по итогам форума. Масса интересных докладов на злобу дня и, уже традиционно, информационная безопасность в действии. В этом году мы обратили особое внимание на то, как PHDays решает задачу подготовки будущего поколения специалистов в области информационной безопасности. Не секрет, что эта проблема стоит крайне остро как для ИБ-отрасли, так и для рынка информационных технологий в целом, — подвел итоги форума Сергей Коношенко, руководитель технической дирекции «Астерос Информационная безопасность». — Перспективные идеи, основательный подход, понимание современного мира ИБ — все это я увидел в работах молодых ученых конкурса Young School. Практическая сторона безопасности тоже не осталась без внимания организаторов — многочисленные конкурсы полностью отражают реалии и тенденции рынка ИБ. Я искренне горд, что российская компания организует мероприятия такого уровня и масштаба, и желаю коллегам из Positive Technologies — так держать».