Пришло время написать об Австралии и моей поездке на конференцию AusCERT. Мне пришлось провести три недели на этом волшебном континенте, начиная с города Голд-Кост. Ожидания, связанные с расположенным там прекрасным местом для серфинга, были самыми приятными.
В результате мой серфер так и не исследовал это место, найдя еще более великолепные австралийские волны, после чего я отправился прямиком оттуда в Сингапур, где выступил на культовой конференции RSA. 
Итак, первое, что я увидел в Австралии, было — к-е-н-г-у-ру, нет, не мертвый, как дельфин из прошлая история , и это меня очень обрадовало.
«Хороший знак», — подумал я.
А дальше – авария, вызванная сложным полетом, состоящим из 4 полетов общей продолжительностью 36 часов.
Конференция
Перед конференцией мне пришлось провести тренинг по безопасности SAP. Читать отчеты уже не модно; сейчас круто проводить тренинги.Я не буду об этом говорить, потому что либо всё, либо ничего, а наш пост посвящён Австралии и AusCERT. Кратко: это был мощный мозговой штурм для местных пентестеров, так как материал дня нам пришлось впихнуть в них за 4 часа, но, в целом, все остались довольны.
А я, уставший от смены часовых поясов и тренировок, был совершенно свободен на конференции, что позволило мне лучше познакомиться с местным рынком, спикерами и вообще.
Итак, конференция: Я был очень удивлён, что это мероприятие проводится уже почти 20 лет! Оказывается, это чуть ли не старейшая конференция по безопасности, хотя правильнее было бы назвать ее выставкой или вечеринкой поставщиков.
На выставке было около 70 стендов, что в целом немного больше обычного.
А продавцы и маркетологи всего, что связано с информационной безопасностью, снуют повсюду.
Вы не сможете просто стоять там в очереди за кофе, не распечатав листовки и не ответив на десяток анкет и вопросов о BYOD (кстати, что это такое, кто-нибудь знает?).
Все обеды, перерывы и прочие вкусности щедро спонсируются, а громкоговорители навязчиво гудят о благотворителях.
В общем, обычная вендорская выставка, только очень «распродажная».
Апогеем этой вакханалии стал финальный фейерверк довольно масштабного масштаба.
На этом фоне очень отличились ребята из HackLabs со стендом на улице, фото которого есть в начале статьи.
В довершение пафоса на конференции присутствовал и гольф.
Перед конференцией, во время тренировок, прошли турниры по гольфу.
Рядом с отелем огромное поле для гольфа.
Ну а пока другие спикеры дружно играли в гольф, я проводил тренировку, так что и это поле еще не охвачено.
Но ничего страшного, я еще буду бить клюшкой по мячу, когда песок с меня начнет сываться на кресло «Бентли».
Отчеты
Итак, отчеты.Несмотря на то, что конференция очень бизнес-ориентирована, организаторы постарались представить интересные технические доклады.
Не только технико-технические, как нам нравится видеть на Нулевые ночи , а просто технический.
На конференции было 4 трека: два с обычными презентациями, два со спонсируемыми презентациями вендоров.
Я присутствовал на трёх беседах.
Первый — спонсируемый доклад Евгения Касперского.
Контент ничем не примечательный, про кибервойны и так далее, но сам Евгений в принципе крут. Давно хотел посмотреть, как кто-нибудь из профессиональных русскоязычных говорит по-английски, хотя, в целом, интересных ораторов мало.
Он выступил превосходно, явно занимается этим давно и с удовольствием, хотя от русского акцента никуда не деться.
Несомненно, достойно уважения то, что он вывел российскую компанию в четверку мировых лидеров Endpoint-решений, и вообще первым начал продавать продукты безопасности за рубежом в подобных масштабах, что бы там ни говорили о технической стороне вопроса.
и маркетинговая политика.
Второй отчет был от HD Moore, автора Metasploit. Ничего сверхъестественного, но была представлена очень качественная аналитика результатов интернет-сканирования проекта.
Если вы не в курсе: один исследователь, пожелавший остаться анонимным, выложил в Интернет результаты сканирования всего Интернета на наличие популярных открытых портов, а также собрал баннеры и провел ряд других исследований.
Проект интересен тем, что сканирование проводилось не только легально, но и с помощью ботнета, состоящего из взломанных простых устройств типа домашних роутеров с SSH-паролями по умолчанию.
Статистика, проанализированная HDMoore, выявила несколько интересных фактов о том, что можно сделать с уязвимыми сервисами и насколько плохи дела на самом деле.
Я настоятельно рекомендую обратиться к первоисточнику.
Мне этот проект был интересен, так как мы уже три года анализируем открытые порты в Интернете, только конкретно из SAP-систем.
Кстати, скоро ждите новый отчет за 2013 год. Последнее выступление, которое я посетил, было от Барнаби Джека.
Он рассказал об атаках на медицинские приборы, а презентация была оформлена в виде настоящего комикса – как всегда все было превосходно.
Потом мы с ним практически договорились выступить на ZeroNights, но.
Вы, наверное, уже знаете.
От себя могу сказать, что познакомился с ним в Барселоне на конференции Source около 3 лет назад. Это была моя вторая или третья международная конференция, он как раз рассказывал о банкоматах и для демонстрации организовал конференц-связь со своим офисом, где стоял банкомат, который он удаленно взломал из Барселоны.
Вечером на спикер-вечеринке он рассказывал всякие истории из жизни, не только хакерской.
В общем, этот человек был и навсегда останется для меня иконой среди исследователей: он всегда искал новые, неизведанные ранее и очень крутые темы, а главное, умел преподнести их так, чтобы человек, наиболее далекий от техника могла понять его, но в то же время получала уважение со стороны технарей.
Балансировать на этой грани – настоящее искусство.
Покойся с миром, друг.
Дела-отдых-до-дос-отдых
.После конференции я отправился в небольшое путешествие, совмещая отдых и работу.
Первой остановкой стал Байрон-Бей — шикарное место для серфинга, наполненное хиппи и всевозможными кафе с органической едой и прочими изысками, и даже детские площадки намекают, чем заняться в жизни.
Не Портленд, конечно, но что-то там есть.
Мы были там с другом-журналистом и Х.
Д.
Муром.
Кстати, в местном баре, куда мы пошли слушать музыку, буквально за час до моего приезда появился и Евгений Касперский.
Итак, если пост про информационную безопасность, то я расскажу, как с этим обстоят дела в Австралии.
Вообще, если коротко, пентесты и пентестирование компаний там очень популярны, пентестеров хоть отбавляй, работы масса, конкуренция огромная.
Сама работа не очень интеллектуальная, потому что все поставлено на поток, много коротких проектов а-ля комплаенс.
Почему это? Ну, отчасти из-за законов.
.
вообще в Австралии очень много странных законов, позвольте мне еще немного отвлечься.
Например, о курении.
Не страшно, что пачка табака стоит 30 баксов, но купить его все равно не так-то просто: сигареты и табак в магазинах открыто не выставляются, на отдельном листе указаны только названия и цены.
Марки почти все местные, но какие из них сигареты, а какие табак непонятно, на вопросы ответить не могут, рекомендаций не дают, короче, не способствуют, так как это запрещено законом.
Поэтому покупка табака – это лотерея.
В барах Байрон-Бей также действуют нелепые законы, согласно которым нельзя заказывать шоты, двойные коктейли, два коктейля на одного и еще что-то, что крайне ограничивает скорость прибытия.
Судя по всему, эта мера была продиктована заботой о хиппи и других гражданах, страдающих недержанием в употреблении алкоголя.
Итак, законы.
У них есть государственные учреждения, называемые советами, что-то вроде районных администраций.
И вот всем этим «управляющим» пришлось пройти пентест. Но надо отдельно сказать, что управляющие зданиями там все есть, они вывозят мусор и рубят деревья, простым смертным это делать запрещено.
На любую работу граждане пишут заявления «управдому», который за деньги уберет любую бумажку с тротуара.
И всех этих «мусорщиков», которых тысячи по всей стране, надо проходить пентестирование не один раз в год, а все четыре.
Конечно, среди них есть те, кто ничего не понимает и просто хочет бумажку, как некоторые наши компании, измученные обязательным соблюдением PCIDSS, например.
И весь этот большой и не особо технически грамотный рынок переполнен большим количеством посредственных исполнителей, хотя, конечно, есть и отличные команды.
Пентестирование здесь оценивается в человеко-днях, и пентестинговые компании имеют определенные ставки за человеко-день пентестера, обычного и продвинутого.
Зачастую, поскольку компании не хотят тратить много денег на незнакомую услугу, все происходит за 2-3 человеко-дня.
«А что, если у них не будет времени что-либо найтиЭ» - Я спросил.
В ответ на это мне резонно указали, что, мол, задача не разбить все на куски, как в России, копать, если надо, на пять человек за месяц, а просто проверить, так сказать , наличие определенного уровня безопасности, равного трем человеко-дням пентестера.
Помимо этого «великолепия», на рынок стремительно выходят индийские компании с дневными ставками почти в 10 раз ниже.
Естественно, некоторые клиенты выбирают именно их, о чем потом крайне сожалеют: хитрые индусы заранее не предупреждают, что проект, скорее всего, затянется, а также что в их цене учтена только работа пентестера, которому обязательно нужны разные программы для работы.
дополнительные деньги на работу.
А несчастные клиенты покупают лицензии на метасплоит или нессус и т. д. В результате такая «экономия» обходится клиентам очень дорого.
Конечно, стандарты и большой рынок — это, конечно, лучше, чем отсутствие рынка вообще, но пентест в данном случае — это уже не пирог.
Потом я немного пообщался с партнерами, продал немного ERPScan и полетел в Сингапур, чтобы выступить на конференции RSA APAC. 
Это, наверное, первая конференция, где я не встретил среди спикеров ни одного знакомого, все они были большими начальниками крупных компаний, носящими баян с умными лицами.
И хотя мой доклад был самым нетехническим из всех моих выступлений, он оказался самым технически хардкорным в RSA. Ну и конечно RSA – это статус, кого бы там ни приглашали выступить, среди спикеров только профессионалы, поэтому гостям наверняка полезно послушать аналитику и подведение итогов того, что произошло за год. Но технарям там делать нечего, это факт. Отчет доступен для просмотра при необходимости.
ПС:
Наконец, я также посмотрел на Тасманию.Когда местные жители упоминают об этом, они строят страшные глаза и говорят о двуголовых аборигенах и нереальном холоде, точно так же, как мы говорим о «замке».
Там я искал тасманца дьявол , но я по традиции нашел труп непонятного животного (и не имею ни малейшего представления кто это, но это точно не ТАЗ).
Чтобы не травмировать публику, на этот раз фото связь .
Были также кенгуру , коала , валлаби и другие местные животные.
Кстати, об этом было объявлено здесь.
конкурс за лучшие достижения в области информационной безопасности в России и другие радости среди компаний и простых граждан.
Люди с кошельками, вероятно, уже проголосовали, а технари, вероятно, даже не знают, поэтому будет справедливо, если я просто оставлю ссылку здесь, и вы сможете решить, кто чего заслуживает. Всё, последний пост с некачественными фото, ждите снова новый из ЮАР или Америки.
Я еще не решил, что интереснее.
Теги: #информационная безопасность #безопасность #sap #пентест #путешествие
-
Роботы Тянутся К Звездам
19 Oct, 24 -
Иногда Это Не Срабатывает
19 Oct, 24
