Конференция UISG и ISACA Kiev Chapter #6

По приглашению одного из друзей посетил сей замечательный ивент.
Теплое утро четверга. Метро. Лавра. Здание напротив. Третий этаж. Несколько ребят из r0 Crew заняли нам места. Так что сидели в центре зала. Спасибо им.
Как обычно на такого рода мероприятиях, на входе выдали бейджик и папку с раздаткой, блокнотом и ручкой. Что ж, будет на чем записать несколько строк о докладах. Запланировано было два потока: «Управление», «Мастерство». Мы все пошли на второй.
9:30. Открытие. Проводил Глеб Пахаренко. Поблагодарил всех за то, что пришли и т.д.
9:40 — 10:10. «Безопасность протокола IPv6. Прекрасное далеко?» Владимир Илибман начал свой доклад с описания стандарта RFC 2460. Перед тем как подойти к описанию структуры заголовка, в зале случился пожар. Внезапно. Вначале моргнул свет. Потом пошел дым и появился огонь в углу рядом с кофейными столиками. Часть слушателей сразу подскочила (и осталась стоять, что интересно), другие просто сидели и наблюдали, как огонь тушат. Через пару минут инцидент был исчерпан и доклад пошел своим чередом. Были рассмотрены сильные стороны IPv6:

  • Использование IPSec.
  • Увеличение размера сети — усложнение сетевого сканирования и разведки.

Отличием IPv4-сети от IPv6-сети есть то, что IPv6-сеть НЕ есть DHCP-ориентированной.
Выдача адресов происходит:

  • Stateless Address Configuration.
  • DHCPv6.

Какие могут быть атаки:

  • Поддельный маршрутизатор.
  • Атака на конфигурационный адрес.
  • Атака на Address Resolution.
  • Атака на выдачу адреса.
  • DoS.

Проблемы при миграции с IPv4 на IPv6:

  • Dual Stack c включенным IPv6 по умолчанию.
  • Тоннелирование IPv6 поверх IPv4.
    • Нет встроенной аутентификации.
    • Инжекция трафика подменив IPv4 или IPv6 адреса .

В целом, доклад был интересным и «почын» конференции удался.
10:10-10:35. Доклад на тему VoIP. Тема возможно и интересная, но вот докладчик (Андрей Логинов), увы, не очень удачно его подал. Для начала обсудили почему вообще VoIP пользуется популярностью:

  • Низкая стоимость телефонных разговоров.
  • Низкая стоимость внедрения.
  • Интеграция с традиционной телефонией.
  • Простота внедрения.

Потом перешли к примерам реализации. И на последок рассмотрели уязвимости:

  • Сигнальный стек (SIP):
    • Уязвимость номерного плана телефонной сети.
    • Атака системы аутентификации.
    • Отказ в обслуживании.
    • SPIT (Spam over IP telephony).
  • Медиапротокол RTP:
    • Прослушивание разговоров.
  • 10:35-11:00. «Применение Open Source средств безопасности». Доклад построен на прокси-сервере Squid,: его режимах работы (Reverse Proxy, Authentication Proxy, Transparent Proxy), настройке и т.д. На слайдах было уж очень много нагрузочной информации, так что подробно воспринимать их было непросто.
    11:00-11:20. Перерыв на кофе. Весьма кстати. А то постоянно сидеть надоедает.
    11:20-11:50. Доклад Олега Колесникова. Было мало слышно (с кофейного перерыва не все захотели возвращаться и шумели) и мало понятно. Из всего доклада я отметил только использование prezi.com, а не PowerPoint для создания презентации.
    11:50-12:20. «Защита цифровой личности». Доклад на все более актуальную тему. Все меньше людей, которые не пользуются социальными сетями. С детства всем внушали, что не надо незнакомым людям рассказывать, где Вы живете, сколько зарабатываете и т.д. А в соц. сетях получается обратное — люди с удовольствием выкладывают в открытый доступ свои данные, фото, видео и т.д. Как результат, человек может лишиться работы, если его начальник увидит что-либо, что порочит честь сотрудников, или же при трудоустройстве Ваш будущий руководитель просмотрит Ваши профили в соц. сетях и найдет там то, что ему видеть не надо, то не видать Вам этой работы. Еще может быть вариант, что с Вашего компьютера украдут личные данные (по словам докладчика такое часто бывает в сервис центрах, куда Вы относите свои ноутбуки, фотоаппараты и прочую технику). И куда эти данные потом пойдут — никому не известно. Кирилл для такого рекомендовал использовать надежные средства для шифрования хранимых данных. Весь доклад слушался на одном дыхании. Основная мысль — думать за себя надо самому, ибо, если за Вас подумают другие, то будет плохо. Если бы презентация была чуть качественнее, то это был бы лучший доклад из тех, что я услышал за сегодня.
    12:20-12:50. «Социальная инженерия для инженеров». Скажу сразу, этот доклад был признан нами лучшим (с большим отрывом от остальных). Тут была и отличная презентация, и понятный доклад и грамотная подача материала. Немного о самом докладе.
    Через что человеком можно манипулировать:

    • Отвлечение внимания.
    • Подчинение авторитету.
    • Эффект толпы или общее начало.
    • Боязнь попасться на лжи.
    • Успешный обман.
    • Наши Нужды и Желания.
    • Ощущение срочности.
    • Давление на жалость.

    Этапы манипулирования:

    • Планирование.
    • Обрамление.
    • Извлечение.
    • Манипуляция.

    Почему людьми можно манипулировать:

    • Людям свойственно доверять.
    • Люди склонны помогать.
    • Мозг не совершенен.
    • Люди, которые используют наши слабости, лучше подготовлены.

    Как можно использовать СИ во благо:

    • Воспитание и обучение.
    • Кризисные ситуации.
    • Руководство и переговоры.

    В конце Владимир порекомендовал список литературы для ознакомления.

    После его доклада была «спонсорская минутка». А дальше — обеденный перерыв.
    Увы, на «послеобеднюю» часть мне было не суждено попасть. Хотя очень хотелось. Но даже того, что я увидел и услышал, хватило на очень позитивные впечатления от мероприятия. Надеюсь, что смогу в будущем попасть на подобный ивент.

    UPD. В блоге команды r0 Crew так можно почитать о данном ивенте — ссылка.

    , , , ,

    1 comment
    1. ximera Said:

      Спасибо что не забыл о нас, более подробный отчет скоро можно будет прочитать в блоге r0 Crew.

    Оставить комментарий

    Top ↑ | Main page | Back