Защита от sql-инъекций

Информационная безопасность в Австралии

наличие популярных

Информационная безопасность в Австралии


Итак, первое, что я увидел в Австралии, это абориген.

Хороший знак, подумалось мне - человеческий фактор в обеспечении безопасности А дальше провал, вызванный тяжелым перелётом, состоящим из 4 рейсов общей протяженностью 36 часов.


Перед конференцией мне предстояло провести тренинг по безопасности SAP. Читать доклады уже не модно, теперь круто проводить тренинги. О нем рассказывать не буду, поскольку здесь либо все, либо ничего, а наш пост посвящен Австралии и AusCERT.

Кратко: это был мощный мозговой штурм для местных пентестеров, поскольку пришлось запихнуть им дневной материал за 4 часа, но, в общем, все остались довольны.

А я, утомленный джетлагом и тренингом, был совершенно свободен на конференции, что позволило мне лучше ознакомиться с местным рынком, докладчиками и вообще.


Итак, конференция: я был очень удивлен, что ивент этот проводится уже без малого 20 лет! Получается, что это чуть ли не старейшая секюрити-конференция, хотя правильнее называть ее выставкой или вендор-пати.

На выставке было порядка 70 стендов, что, в общем, немного больше обычного. И снующие повсюду продавцы и маркетологи всего, что связано с инфобезопасностью.

Просто постоять в очереди за кофе там не получится, не набрав листовок или не ответив на десяток анкет и вопросов про BYOD (кстати, что это такое, кто-нибудь в курсе?). Все обеды, перерывы и прочие ништяки щедро спонсированы, а про благодетелей навязчиво жужжат громкоговорители. проверить безопасность В общем, обычная выставка вендоров, только очень уж “продажная”. Апогеем этой вакханалии стал завершающий салют нехилого размаха.

На этом фоне очень отличились ребята из HackLabs со стендом на улице, фото которого в начале статьи.
Для завершения пафосности на конференции был еще и гольф. Перед конференцией, во время тренингов, проводились гольф-турнирчики. Рядом с отелем огромная гольф-площадка. сканирование в linux Ну пока другие спикеры дружески резались в гольф, я вел тренинг, так что это поле тоже пока не охвачено.

Но ничего, я еще постучу по шарикам клюшкой, когда песок с меня начнет сыпаться на кресло Бентли.
Итак, доклады. Несмотря на то, что конференция очень ориентирована на бизнес, организаторы постарались представить интересные технические доклады. Не прям технические-технические, как мы любим видеть на ZeroNights, а просто технические.

На конференции было 4 трека, два с нормальными докладами, два со спонсируемыми выступлениями от вендоров.

Я побывал на трех докладах. Первый спонсируемый доклад Евгения Касперского. По содержанию ничем не примечательный, про кибервойны и прочее, но сам Евгений крутой в принципе.

Я давно хотел посмотреть на то, как выступает кто-нибудь из профессиональных русских докладчиков на английском, хотя, в общем-то, интересных спикеров мало. Выступил он отлично, явно давно это делает и с удовольствием, хотя от русского акцента никуда не деться.

Бесспорно, достойно уважения то, что он вывел российскую компанию в четверку мировых Endpoint-решений, да и вообще первым начал продавать продукты по безопасности за границу в подобных масштабах, что бы там ни говорили про техническую сторону вопроса и маркетинговую политику.


Второй доклад был от HD Moore, автора Metasploit. Ничего сверхъестественного, но была представлена очень качественная аналитика результатов сканирования интернета от проекта InternetCensus.
Если вы не в курсе: один исследователь, пожелавший остаться неизвестным, выложил в интернет результаты сканирования всего интернета на наличие популярных открытых портов, а также собрал баннеры и провел ряд других исследований. Проект интересен тем, что сканирование проводилось не то чтоб легально, а с помощью бот-сети, состоявшей из похаканных простейших устройств типа домашних роутеров с дефолтовыми паролями на SSH. облачные технологии и защита информации Статистика, проанализированная HDMoore, показала ряд интересных фактов относительно того, что можно сделать с уязвимыми сервисами и насколько вообще плохи дела.

Очень рекомендую обратиться к первоисточнику. Мне проект этот был интересен, поскольку мы уже третий год анализируем открытые порты в интернете, только конкретно от SAP систем.

Кстати, ждите скоро новый репорт за 2013 год.
Последний доклад, что я посетил, был от Barnaby Jack. Он рассказывал про атаки на медицинские девайсы, а презентация была оформлена в виде реального комикса как всегда, все на высоте. аудит безопасность После мы практически договорились с ним о выступлении на ZeroNights, но. Вы, наверное, уже в курсе.


От себя могу сказать, что я познакомился с ним в Барселоне на конференции Source года 3 назад. Это была вторая или третья моя международная конференция, он как раз рассказывал про банкоматы и для демонстрации организовал конференц-связь со своим офисом, где стоял банкомат, который он удаленно ломал из Барселоны.

Вечером на спикер-пати он травил всякие байки из жизни, отнюдь не только хакерской. Вообще, этот человек был и навсегда останется для меня иконой среди рисерчеров: он всегда искал новые, не исследованные ранее и очень крутые темы, а главное, умел их представить так, что его понимал самый далекий от техники человек, но в то же время, получал респекты от технарей.

Балансировать на этой грани истинное искусство. Покойся с миром, друг.
После конференции я отправился в небольшой трип, совмещая отдых и работу. Первой остановкой был Байрон-Бей шикарное место для серфинга, наполненное хиппи и всякими кафешками с Organic-едой и прочими прелестями, и даже детские площадки намекают на то, чем заняться по жизни.
Не Portland, конечно, но что-то есть. безопасность сайта Мы были там с знакомым журналистом и HD Moore. Кстати, в местном баре, куда мы зашли послушать музыку, также засветился Евгений Касперский, буквально за час до моего прихода
Итак, коли пост об информационной безопасности, то расскажу, как дела обстоят с этим в Австралии. В общем, если кратко, там очень популярны пентесты и пентестинг компаний, пентестеров хоть отбавляй, работы гора, конкуренция огромная.

Работа само по себе не шибко интеллектуальная, потому что все поставлено на поток, масса коротких проектов а-ля комплаенс. Почему так?

Ну, отчасти, из-за законов.
вообще, в Австралии много странных законов, позволю себе отвлечься еще на чуток. Например, про курение. Не страшно, что пачка табака стоит 30 баксов, но ее еще не так-то просто купить: в магазинах сигареты и табак открыто выставлять запрещено, есть только названия и цены на отдельном листике. маршрутизация данных в сети Бренды почти все местные, а что из них сигареты и что табак неясно, на вопросы ответить не могут, никаких рекомендаций не дают, короче не способствуют, так как запрещено законом.

Покупка табака поэтому лотерея. Еще нелепые законы в барах Байрон-бея, где нельзя в барах заказывать шоты, двойные коктейли, два коктейля на одного, и еще что-то, крайне ограничивающее скорость прихода.

Видимо, эта мера продиктована заботой о хиппи и других гражданах, несдержанных в потреблении алкоголя.
Итак, законы. Есть у них госучреждения, называемые council, что-то типа районных управлений. И вот, всех этих “управдомов” обязали делать пентест.

А надо отдельно сказать, что управдомы там все, они и мусор вывозят, и деревья пилят, простым смертным это делать запрещено.

На любые работы граждане пишут заявки “управдому”, который любую бумажку за денежку уберет с тротуара. И всех этих “мусорщиков”, которых на всю страну тысячи, надо пентестить, причем не раз в году, а все четыре. Конечно, попадаются среди них конкретно не понимающие ничего и хотящие только бумажку, как некоторые наши компании, измученные обязательным соответствием PCIDSS, например.

И весь этот большой и не особо грамотный в технических вопросах рынок окучивает большое число посредственных исполнителей, хотя, безусловно, есть и отличные команды.
Пентест тут оценивается по человеко-дням, и у пентестерских компаний есть определенные рейты на человеко-день пентестера, обычного и продвинутого. Зачастую, поскольку компании сильно тратиться не хотят на неведомую услугу, все происходит за 2-3 человеко-дня. А если не успеют ничего найти? поинтересовался я. На это мне резонно заметили, что, мол, задача не разломать все вдребезги, как в России, копая, если надо, впятером месяц, а просто проверить, так сказать, наличие определенного уровня защищенности, равняющегося трем человеко-дням пентестера.


Вдобавок к этому великолепию на рынок стремительно выходят индийские компании с дневным рейтом чуть ли ни в 10 раз ниже. Естественно, некоторые клиенты выбирают их, о чем потом крайне жалеют: хитрые индусы не предупреждают заранее, что проект, скорее всего, затянется, а также о том, что их цена учитывает только работу пентестера, которому для работы обязательно нужны разные программы за дополнительные деньги.

И несчастные клиенты покупают лицензии на метасплойт или нессус и т. д.

В итоге, такая экономия обходится заказчикам очень дорого. Безусловно, стандарты и большой рынок это, конечно, лучше, чем отсутствие рынка вообще, но и пентест в этом случае уже не торт.
Потом я немножко пообщался с партнерами, продал немножко ERPScan, и полетел в Сингапур выступать на конференции RSA APAC.


Это, наверное, первая конфа, где среди спикеров не встретил я ни одного знакомого, все сплошь большие боссы крупных компаний несут баяны с умными личиками. И хотя мой доклад был самым нетехническим из всех моих докладов, он оказался самым технически-хардкорным на RSA. безопасность веб сервера Ну а так, конечно, RSA это статус, абы кого там выступать не берут, среди спикеров только профессионалы, поэтому гостям, безусловно, полезно послушать аналитику и выжимку о том, что произошло за год. А технарям там делать нечего, это факт.



Похожие статьи Pentest

информационная безопасность