С 1 по 4 апреля 2010 года в двенадцатый раз в Подмосковье прошла международная конференция «РусКрипто», организаторами которой выступили одноименная ассоциация и Академия информационных систем. Расположенный неподалеку от Звенигорода пансионат «Солнечная поляна» предложил ее участникам комфортные условия проживания, специально подготовленные конференц-залы и аудитории и чудесные места для неформального общения, что было весьма необходимо для столь специализированного события с насыщенным планом мероприятий. Журналу посчастливилось быть приглашенным на «РусКрипто'2010», и далее мы предлагаем вашему вниманию обзор конференции, какой ее увидели мы.
По мнению постоянных его участников, формат, предложенный организаторами, по сути, превратил «РусКрипто-2010» в совсем другую конференцию по сравнению с тем, какой мы ее знали раньше. Более серьезную, если можно так выразиться, прошедшую при участии регуляторов, в том числе ФСБ России. Конечно, на предыдущих конференциях также были технические и прикладные секции, но эта была еще и интересным зрелищем, не в последнюю очередь благодаря первому в истории конференции открытому соревнованию по защите информации между студенческими командами «РусКрипто CTF». В полном соответствии со своим названием соревнование проводилось по принципам CTF (Capture the flag), согласно которым противоборствующим сторонам необходимо обнаружить и устранить уязвимости собственной сети, одновременно успев воспользоваться уязвимостями чужих для захвата «флагов» команд- соперников.
Программа «РусКрипто-2010» была более чем серьезной: теория и практика криптологии, криптографии и стеганографии, вопросы инженерного анализа криптографических средств защиты информации, смежные вопросы защиты информации, в том числе защита персональных данных, обнаружение вторжений, защита от вредоносного кода, реверсинг и пр. Неудивительно, что ежегодно конференция собирает широкий круг профессионалов - разработчиков, ученых и бизнесменов, так или иначе заинтересованных в использовании возможностей технологий и средств защиты информации. При этом визитной карточкой «РусКрипто'2010» стала уникальная возможность обмена опытом между перечисленными выше категориями участников и чиновниками.
Среди первых - профессора, преподаватели и студенты ведущих вузов страны (МГТУ им. Баумана, МЭИ, СПбГУ ИТМО, НГУ, МИФИ, ТТИ ЮФУ и др.).
Ну и, конечно же, как всегда, с докладами о новых разработках выступили представители ведущих компаний российского ИТ- и ИБ-рынков: «КриптоПро», «Актив», «ИнфоТеКС», МТС, Академия Информационных Систем, Cisco, McAfee, «Ан- кад», Group-IB и др.
В целом в работе двенадцатой конференции «РусКрипто» приняло участие более 200 человек. География участников была представлена как российскими городами (Москва, Санкт-Петербург, Новосибирск, Таганрог, Курск, Пермь, Сургут, Нальчик и пр.), так и гражданами Белоруссии.
Организаторы подготовили подробную брошюру с программой конференции, а также немало другой бумажной и электронной информации. И тем не менее весь этот «инструментарий участника» лишь вкратце смог описать то великое множество событий, которое непрерывной чередой следовало одно за другим (а то и одновременно) с утра до вечера все дни работы конференции.
К сожалению, как хорошо известно со слов классика, нельзя объять необъятное, поэтому ввиду параллельного проведения мероприятий конференции на разных площадках охватить их все физически не представлялось возможным. Но это и понятно, ведь мероприятие было предназначено для тех, кто знает, что им нужно. Нам были интересны, прежде всего, ключевые презентации (keynote), проводимые экспертами в области защиты информации и интересными специалистами, доклады научной общественности, а также интервью с организаторами конференции в неформальной обстановке после деловой части.
Конференцию торжественно открыл директор Ассоциации «РусКрипто», доцент МГТУ им. Баумана А. Е. Жуков. Он кратко охарактеризовал произошедшие изменения формата мероприятия, и в том числе, обратил внимание присутствующих на «омоложение» директората. Конференция из сугубо криптографической постепенно превращается в широкомасштабное мероприятие, значимое для отрасли информационной безопасности в целом, на котором происходит обмен опытом по всем основным проблемам информационной безопасности Деловую часть конференции открыл круглый стол «Состояние российского рынка информационной безопасности», на который были приглашены известные эксперты отрасли: Г. В. Емельянов, Ассоциация защиты информации, А. В. Соколов, Ассоциация АП КИТ, А. С. Кузьмин, ФСБ РФ, В. О. Попов, компания «Крипто-Про», Д. Л. Горелов, «Актив»; В. Минин, Ассоциация защиты информации. В ходе завязавшейся дискуссии были озвучены ответы на некоторые актуальные вопросы сегодняшнего дня: что изменилось в отрасли за кризисный 2009 год, какие прогнозы сбылись, чего ждать и чего опасаться в 2010 году?
Практически все сошлись во мнении, что 2009 год (и возможно 2010 год) стал годом защиты персональных данных. Компании первой десятки на фоне общего экономического кризиса зафиксировали рост прибыли на 5-10 %, в связи с чем участники круглого стола выразили сдержанный оптимизм по поводу перспектив развития рынка защиты информации на 2010-2011 годах.
Далее после короткого перерыва в конференц-зале главного корпуса начала работу классическая секция «Использование криптографических средств в системах электронного документооборота и для защиты персональных данных». На ней были озвучены технические, организационные и юридические аспекты использования криптографических средств в государственных органах и коммерческих организациях, требования регуляторов и практика использования. Ю. Маслов, коммерческий директор, ООО «Крип- то-Про» в своем докладе «Использование СКЗИ в системах электронного документооборота и для защиты персональных данных» сообщил об основных особенностях применения систем криптографической защиты информации на практике. В частности, докладчик обратил внимание, что в соответствии со ст. 17 Федерального закона от 08.12.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности», деятельность по разработке, производству защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем подлежит обязательному лицензированию. В этой связи разработчику ИС необходима лицензия на встраивание СКЗИ. При этом если ИС с СКЗИ создается собственными сотрудниками, то лицензия на встраивание СКЗИ не нужна. Также было обращено внимание, что документация на ИС должна содержать (в том числе):
• описание модели нарушителя, модели угроз и методов защиты от угроз;
• требования к компонентам ИС, на которых эксплуатируется СКЗИ;
• описание установки и настройки СКЗИ для каждого компонента ИС;
• порядок работы с ключами (создание, получение, уничтожение);
• описание всех действий пользователей с СКЗИ.
Поэтому заказчикам необходимо требовать перечисленную документацию у разработчика ИС, или, в противном случае, придется разрабатывать соответствующую ОРД самим.
Д. Гусев, заместитель генерального директора «ИнфоТеКС» в своем докладе «Некоторые аспекты использования криптографических средств при предоставлении государственных электронных услуг» представил взгляд российской компании-разработчика СКЗИ на то, в каком ключе должен развиваться рынок СКЗИ для массовых государственных проектов. Он попытался разобраться, что этому мешает и что может дать толчок более быстрому развитию этого сегмента рынка информационной безопасности.
Интересную тему затронул Д. Горелов, коммерческий директор, компания «Актив» в своем докладе «Технологии ЭЦП и шифрования для средних и мелких проектов. Как сделать сложное простым?» Он выделил причины, по которым технологии ЭЦП внедряются на практике медленно или не внедряются совсем. И предложил соответствующие решения для среднего и малого бизнеса, учитывая распределенный характер обработки информации в ИС.
Очень интересный обзорный доклад «Последние инициативы NIST в области криптографии» представил А. Е. Жуков. Также следует отметить доклады А. С. Кузьмина и проректора Академии Информационных Систем И. Е. Хайрова, посвященные перспективам появления и применения квантовых компьютеров в криптографии.
В завершение первого дня конференции на секции «Правда и вымысел о технологиях информационной безопасности» в малой аудитории бизнес-центра тон задали сотрудники Cisco Systems. Ведущий специалист компании В. Томилин в докладе «Заказной тест на проникновение - механизм обеспечения ИБ?» рассказал о пентестах и их роли в обеспечении информационной безопасности. В частности, он отметил, что результаты такого однократного тестирования, безусловно, могут послужить базой для продажи услуг ИБ, для получения нового заказчика или в качестве элемента конкурентной борьбы. В то же время сам по себе факт проникновения едва ли позволит повысить уровень защищенности ИТ-инфраструктуры организации.
В докладе бизнес-консультанта по безопасности Cisco Systems А. Лукацкого «Заблуждения банковской безопасности» был дан сравнительный анализ надежности и эффективности таких широко используемых механизмов банковской безопасности, как виртуальные клавиатуры, одноразовые коды для осуществления транзакций, SMS-аутентификация, USB-токены с неизвлекаемыми криптоключами и пр.
Второй день конференции открылся работой двух секций. На первой - «Интернет и информационная безопасность» - обсуждались вопросы безопасного использования сетевых технологий. Были рассмотрены сетевые атаки на рабочие станции и серверы приложений, современные механизмы защиты интернет-систем, защита корпоративных и интернет-систем, использующих web- технологии. С. Гордейчик, технический директор Positive Technologies, член совета директоров Web Application Security Consortium (WASC), поведал о перспективах развития консорциума WASC - международной организации, объединяющей профессионалов в области безопасности web-приложений, деятельность которой направлена на консолидацию и распространение передового опыта в области безопасности прикладных систем, использующих web-технологии. В рамках доклада был приведен обзор текущих и перспективных проектов WASC, анализ примеров использования разработанных документов и таксономий в реальных проектах.
В. Лепихин, заведующий лабораторией сетевой безопасности компании «Информзащита», провел анализ эффективности средств защиты на примере систем обнаружения атак. В его докладе были приведены результаты сравнения систем обнаружения атак на основе оригинальной методики, позволяющей оценить эффективность выполнения целевой функции продуктами данного класса.
На круглом столе «Технологии безопасности электронных площадок» Илия Димитров, исполнительный директор Ассоциации электронных торговых площадок, затронул тему безопасности электронных торгов, подчеркнув, что в этом году все государственные закупки будут осуществляться в электронной форме. Участники круглого стола, а это были главным образом представители крупнейших электронных торговых площадок и ряда удостоверяющих центров, обсудили технологии обеспечения безопасности и нюансы использования криптографии в данной области.
После обеденного перерыва на секции «Защита информации в распределенных компьютерных системах» были подняты вопросы построения перспективных механизмов и средств защиты информации в компьютерных сетях, в том числе адаптивные механизмы защиты информации, моделирование атак и механизмов защиты, идентификация и аутентификация, интеллектуальный анализ данных и биологические подходы для защиты информации, обнаружение атак и вредоносного программного обеспечения, обманные системы и ловушки, защита от внутренних злоумышленников, защита информации на основе репутации и классификации объектов в Интернете и др. Ведущим секции выступал заведующий научно-исследовательской лабораторией проблем компьютерной безопасности, СПИИРАН И. В. Котенко.
Здесь интересные сообщения были сделаны Д. Гамаюновым, сотрудником МГУ им. М. В. Ломоносова. В первом своем докладе «Раннее обнаружение эпидемий сетевых червей в высокоскоростных каналах передачи данных» им был рассмотрен новый метод раннего обнаружения эпидемий сетевых червей на основе анализа частоты встречаемости участков вредоносного исполняемого кода в сетевом трафике. Идея метода заключается в выявлении таких участков исполняемого кода архитектуры x86, частота встречаемости которых в наблюдаемом канале изменяется в соответствии с простой эпидемиологической моделью. Докладчик показал, что предлагаемый метод обладает линейной вычислительной сложностью, а экспериментальные исследования на программном прототипе демонстрируют пропускную способность порядка 1 Гбит/с на типовом оборудовании.
В совместном с Ф. Сахаровым докладе была рассмотрена задача автоматического контроля безопасного выполнения приложений под управлением операционной системы Linux с целью раннего обнаружения атак, изменяющих поток выполнения программы или поток данных. В качестве решения данной задачи был предложен комбинированный подход с использованием Security Enhanced Linux (SELinux) и механизма отслеживания контрольных точек в исполняемом коде приложений.
В параллельной секции «Реверсинг. Анализ исполняемого кода и технологии защиты» прозвучало два интересных сообщения сотрудников Института системного программирования РАН. В первом - «Методика восстановления формата данных» - А. Гетьман и В. Падарян рассмотрели методику автоматизированного восстановления формата данных на основе динамического анализа бинарного кода. Описанный подход позволяет восстановить иерархическую структуру изучаемых данных и выявлять определенную семантику полей. Важной особенностью подхода является его применимость к анализу защищенных приложений. В докладе «Моделирование семантики машинных инструкций» В. Падарян продемонстрировал систему моделирования операционной семантики машинных инструкций. Основной областью применения системы является динамический анализ бинарного кода с целью восстановления алгоритмов. Система включает в себя алгоритмы построения моделей отдельных машинных инструкций на основе спецификаций целевых машин и поддерживает интерпретацию операционной семантики, выраженной в этих моделях.
Второй насыщенный день конференции был завершен работой двух практических секций «Общие вопросы информационной безопасности» и «Penetration testing internals». В последней (ведущий - С. Размахнин, департамент информационной безопасности МТС) были рассмотрены технологии современных сетевых атак, методы тестирования на проникновение и некоторые другие «экстремальные» методы для оценивания защищенности информационных систем.
В этот же день состоялось уже упоминавшееся выше соревнование «РусКрипто CTF 2010», в котором приняли участие студенческие команды «ХакерДом» (УГУ им. А. М. Горького, Екатеринбург), CIT (ИТМО, Санкт-Петербург), SiBears (Томский государственный университет), Bushwhackers (МГУ, Москва), «[Censored]» (РГУ им И. Канта, Калининград), Huge Ego Team (МИФИ, Москва).
Поначалу дела у студенческих команд шли ни шатко, ни валко, потом команда из Санкт-Петербурга вырвалась вперед, ее преследовали HackerDom и SiBears. Затем к тройке лидеров приблизилась команда Bushwhackers. Ближе к концу игры, длившейся, между прочим, восемь часов, команда из Петербурга разогналась до второй космической и резко ушла в отрыв, взяв сначала планку в 300, а потом и в 400 очков. В условиях столь значительного преимущества лидера уделом остальных команд стала битва за второе и третье места. Обстановка была накалена до предела. Это было видно по реакции как самих участников соревнования, так и судей (в частности, видны были переживания С. Гордейчи- ка - идейного вдохновителя «РусКрипто CTF 2010»). На момент завершения соревнования на первом месте оказалась команда CIT с 486 баллами, на втором - «ХакерДом» с 376 баллами, на третьем - Bushwhackers с 324 и на четвертом - SiBears с 323. После окончательного подсчета баллов были объявлены и торжественно награждены победители и участники соревнования. Не вошедшая с минимальным отставанием в призовую тройку томская команда заслужила максимальное количество призов в специальных номинациях, получив почетные дипломы «Лучшим пентестерам», «Защитникам Всемирной паутины» и «За бюрократию». Специальный приз от компании «1С-Битрикс» был вручен капитану команды «[Censored]» за защиту web-приложения, работающего на платформе 1С-Битрикс.
Последние часы работы конференции были посвящены свободному общению организаторов и участников, награждению лучших докладчиков, обсуждению перспектив развития мероприятия, в ходе которого были высказаны новые интересные идеи по планированию мероприятий в рамках конференции 2011 года.
Подводя итог, хочется сказать огромное спасибо организаторам, спонсорам, докладчикам и участникам данного мероприятия. Следует отметить, что в России наблюдается явный дефицит конференций не маркетинговой направленности, которые были бы посвящены действительно насущным научно-практическим аспектам информационной безопасности. Чаще всего подобные мероприятия преследуют сугубо коммерческий интерес. В этом плане конференции «РусКрипто» выгодно отличаются от своих собратьев насыщенностью и разнообразием программы, злободневностью поднимаемых проблем, чем и привлекают как начинающих, так и опытных специалистов.
Убедиться в истинности этих слов могут все желающие, скачав материалы конференции на сайте ассоциации «РусКрипто». Там же доступен список лучших (по мнению организаторов и участников) докладов конференции, всевозможные фото- и видеоматериалы.
Защита информации. INSIDE № 3'2010