habrahabr

Hack in Paris 2014. Европейские приключения хакеров в Диснейленде

  • воскресенье, 24 августа 2014 г. в 03:11:10
http://habrahabr.ru/post/234299/

Прочитал статью Dor1s о DEF CON CTF 22 и захотелось рассказать о своих летних приключениях на Hack in Paris. Думаю хабражителям будет интересно прочитать отчет об этом событие, тем более некоторые из нас на нем даже выступали. Занесло меня на HIP2014 совершенно случайно. Возвращаясь через Париж из деловой поездки, у меня образовался какой-то странный зазор перед отпуском. Стал гуглить, что серьезного проходит поблизости, и неожиданно наткнулся на эту конференцию. Увидел в списке участников парней вроде Винна Шварту (Winn Schwartau) и решил рвануть на этот европейский DEFCON. Билеты стоили довольно дорого, но не смертельно. Примерно 700€.

Я, конечно, ожидал, что Диснейленд будет очень близко, но на самом деле от Hotel New York, где проходило мероприятие, до входа в этот пылесос для карманов родителей со всего мира было всего 4 минуты пешком.

Забавно с серьезными специалистами кушать стейки с кровью и наблюдать, как в это время, напротив, очередная обоятельная девочка добивает уже сдавшуюся маму купить Микки-Мауса, больше ее (мамы) роста.

Основные мысли из докладов…



1. Уровень защиты сетей и контроллеров в производственном секторе нулевой (ICS/SCADA). То есть системы на серьезнейших предприятиях защищены так, что не могут быть вызовом даже для 12 летних детей с нормально работающей головой.
2. Скоро даже утюги и кофеварки будут иметь широкополосный доступ в интернет. Именно тогда-то и начнется настоящий хаос. После этого у обычных пользователей появится значительно больше неприятностей. «Ваш холодильник заблокирован. Хотите утренний рассол — отправьте смс на короткий номер».
3.Хотите более безопасной связи — доставайте бабушкины Nokia зари 90х.
4.В Китае на черном рынке можно купить все, что угодно. Чертежи и технологии любой техники, производящейся на планете.
5.Криптография эволюционирует, и на смену шифрованию приходят устойчивые алгоритмы нового типа.

Ниже обо всем этом развернуто и подробно.

Само мероприятие состояло из 3 частей. Неделя обучающих семинаров, два дня выступлений и сутки соревнований. День и ночь соревнований называются Nuit du Hack. Остальное — Hack in Paris.

Выглядело все достаточно солидно. Выступали директора из огромных компаний, таких как Baidu.

Было море культовых персонажей, с которыми можно было легко пообщаться и попить пивка. Были интереснейшие воркшопы с демонстрационными стендами, которые учили взламывать все от Android телефонов до беспилотников и заводов.



Самые яркие выступления на мой вкус


1. Вот и начинается интересное. Выступление дорогого Альваро Алехандро Сото (Alvaro Alexander Soto), в котором он рассказывает о самых современных технологиях восстановления данных, крупнейшей аппаратной уязвимости наших дней, а также о строительстве своей лаборатории для проведения экспертиз. Частотный анализ? Ага, а клетку Фарадея и разминирование микробомб, заложенных в сервере не хотите?

Я думаю, что для специалистов по безопасности тут будет лишь пару новых моментов, а вот для CEO и технических директоров выступление будет просветляющим. И им сразу захочется еще что-нибудь вложить в безопасность компании. Для этого видео и стоит использовать.

2. А тут блестящий Томас Ванг (Thomas Wang) из Baidu. Китайской компании с количеством юзеров больше, чем в Google. Прямо из самого пекла современного мобильного malware­строительства. Мне его выступление показалось важным, потому что он дает интересное видение одной из новых угроз в области пользовательской безопасности. Рассказывает о том, как они останавливают огромные эпидемии и всячески сыплет примерами из бурной личной жизни. В общем смотреть надо.

Кстати, во время приватного разговора с ним, на одной закрытой коктейльной вечеринке, пришли к выводу, что львиную долю проблем можно решить прикрыв компании, которые предоставляют услуги процессинга платежей мошенникам. Я не буду тыкать пальцем. Мы и так их всех знаем.

Тем не менее, в Китае все гораздо хитрее. Его лекция дает почувствовать вкус происходящего там беспредела.

3. И, наконец, Паул Коггин про ICS/SCADA. Там про то, насколько уязвимы современные системы, работающие в промышленности. Общее ощущение, что уровень безопасности в этой области равносилен защите доверчивых дронтов, которых съели в XVIII веке.

Была интереснейшая история со швейцарской компанией Equivalence AG. Они бросили вызов участвовавшем в конференции хакерам и раздавали всем флаеры в виде 500€, с предложением вскрыть их архив.

В какой-то момент мероприятие де-факто остановилось. Огромный зал вместе со спикерами уткнулся в свои ноутбуки, пытаясь разгадать секрет. Но их так никто и не взломал.

Технология, по их словам, основна на новом принципе, который раньше не использовался. И они не используют шифрование.
Я знаю парни во время Nui du Hack нашли и распотрошили патенты Equivalence AG, но и это не дало никаких результатов.



Я уверен, что мероприятие не дотягивает по масштабу до DEFCON и DERBYCON, но было здорово. Еще понравилось, что всем дирижировала маленькая хрупкая мм… афрофранцуженка по имени Лайла. Не смотря на то, что мероприятие организовывали парни из Sysdreams, реальным руководителем мероприятия была она. Она просто носилась по огромному отелю из конца в конец, на бегу целуя кого-нибудь или отдавая поручения.


Слева Джесс. (Jayson E. Street). Справа Лайла.

В итоге я классно провел 4 дня. Научился вскрывать дверные замки на скорость. И пилотировал квадракоптер до ближайшей стены. Французская кухня и прекрасный местный воздух этому способствовали.

Кстати, что вы думаете про ситуацию со SCADA?