На фото троянские лошадки вживую (да, они голые) HackIT — это не просто призыв к действию (hack it), а ежегодное мероприятие, посвященное всем вопросам информационной безопасности, которое проводится в Харькове уже второй раз.

 

Каждый в этой стране должен научиться программировать, потому что это научит думать

— Steve Jobs Если развивать мысль создателя Apple, то хакинг научит не просто думать, а мыслить на порядок выше большинства программистов. Так сложилось, что Харьков — это историческое обиталище хакеров, а Украина, по мнению зарубежных журналистов, вообще — cybercrime heaven.

 

 

Даже переводчик, который занимался локализацией NeverHood в лохматых 2000-ых, знал это.

 

Наша задача, как организаторов, это развитие индустрии ИБ в Украине и повышение осведомленности людей о методах и последствиях информационных войн. А самое главное — передать опыт и понимание в сжатые сроки — 8 часов. Поэтому постарались преподнести аспекты такой сложной и технической темы как информационная безопасность, простым и понятным языком, дополнив нашу речь показательными шоу и визуальными эффектами, чтобы донести понимание актуальности и близости опасностей в сегодняшней ситуации в мире. Поэтому этот пост не просто фото-отчет, а небольшая экскурсия. В зале на 500+ человек первыми, кто взял микрофон, это группа «Гражданин Топинамбур» с песней «Войти в Айти», которая была выбрана не случайно.

 

 

Пока ребята допевали куплеты:

 

Нам сказали в передаче: “Проживете, мол, на сдачу”, Вот такой вот поворот, Обнищал вокруг народ. А я хочу наоборот, Чтобы лето круглый год, Чтобы белый пароход, И писать свой джавакод.

 

в зал вошла группа людей в камуфляже и автоматами, как это иногда случается с IT-компаниями в Украине и стала заниматься задержанием лиц, выступающих в роли спикеров.

 

 

Мне даже позвонило пару друзей с вопросом «У вас там все в порядке?». Это получило небольшой резонанс в местном медиа, собственно как и каждый обыск, проходивший в 2016 и 2015-ом годах. Но на самом деле это были ребята с местного пейтнболл-клуба, поэтому они не представляли никакой опасности. А вот правоохранительным органам мы хотим лишь донести одну простую мысль:

 

не нужно «убивать» IT-бизнес, в который все стремятся «войти», там работают головой, а не руками.

 

Тогда, возможно, будет диалог между представителями власти и бизнеса, как и отображено на фотографии, в виде жеста открытости — рукопожатия.

 

 

И это не пафосные слова, в этом направлении нам удалось приблизиться к кое-каким результатам, об этом свидетельствуют люди в форме, которых можно увидеть в фото-отчете, а также утвердительный ответ на пригласительное письмо от Киберполиции Украины.

 

 

Ведь в соседних странах сотрудничество частных компаний с государственными — это норма, живым доказательством послужил Ник Белогорский, один из хедлайнеров конференции, который сотрудничает с правительством США и является создателем антивируса нового поколения. Особо параноидальным личностям, мы с сарказмом говорили: товарищ майор тоже будет присутствовать…

 

 

Сама конференция состояла из 3-ех потоков лекций и практических докладов (workshop) Из зарубежных приглашенных спикеров были: Andrew Auernheimer — хакер из США, который отсидел в тюрьме 12 месяцев за взлом AT&T и Amazon с докладом Hacktivism — за славу и деньги. Alfonso De Gregorio — эксперт Евросоюза по информационной безопасности, раскрывший этическую дилемму продажи уязвимостей нулевого дня. Andrei Avadanei — основатель Defcamp, Румыния, с интересными методами, которые позволяют не только обезопасить систему, а еще и деанонимизировать злоумышленника по принципу honeypot. Кроме области IT, был представитель профессии, которую в странах постсоветского пространства слышно только в анекдотах и насмешках, а именно физик-ядерщик Andrew Dodson, с оригинальной темой: «Умные сети — глупая идея».

 

 

С другими, не менее интересными личностями, вы можете заочно познакомиться на сайте HackIT, посмотреть их презентации и видео выступлений. Темы украинских докладчиков были злободневные и практические. Директор кибер-лаборатории раскрыл каждый шаг, сделанный хакерами при взломе Закарпатской энергостанции, инженер из CERT-UA рассказал о секрете изготовления флешки из сериала mrRobot, которая способна «воспламенить» ваш компьютер. В соседнем зале все пытались разглядеть, где же спрятана миниатюрная камера и воочию узрели как и куда «просверливаются» спецслужбы со своими индукционными микрофонами размером с блоху. Были представлены также увлекательнейшие исследования теневого рынка adware на Google Play Market, векторы угона автомобилей и анализ рынка web-shell’ов методом бекдора в бекдоре.

 

 

Озвученные темы затрагивали самые разные и не пересекающиеся между собой области безопасности, от сетей, железа и веб-сайтов до энергостанций, машин и геополитики.

 

 

Форум проходил не только познавательно, но и развлекательно. Вне залов, где делились знаниями, присутствовали увеселительные зоны, где каждый мог вспомнить молодость или познать историю, сыграть на приставках Dandy и SEGA. Мы специально для развлечения привезли мадагарскарских тараканов, размером с большой палец, которые грозно шипели на тех, кто их хотел погладить, но были приручены багхантерами, исследователями уязвимостей, которые умеют находить баги в компьютерных системах и с удовольствием предавшихся азарту(без ставок) соревнования тараканов на скорость. Чем крупнее был «баг», тем он был медленней.

 

 

В общем, кто не смог поприсутствовать, могут это сделать виртуально. Включите видео, откиньтесь на спинку стула и крутите мышкой в ту сторону, которую хотите посмотреть.

 

 

00:00 Offline CTF
26:50 Открытие мероприятия
40:45 Andrew Auernheimer
1:02:00 Alfonso De Gregorio
1:23:00 Алексей Ясинский

 

Помимо форума и замечательных спикеров, мы отобрали 10-ку лучших команд хакеров и исследователей из зарегистрированных 1062 команд на отборочном туре, в каждой из которых было от 2-ух до 5-ти человек.

 

 

Финальный scoreboard Всего участвовало более 5000 участников из 93-ех стран мира. Топ стран:

  1. США, 886 участников
  2. Украина, 695 участников
  3. Россия, 682 участников

 

За все время соревнования только 458 команд смогли решить хоть 1 задачу. Всеми командами было успешно сдано 8096 ФЛАГОВ и 35 000 ошибочных попыток сдачи. О том, как мы поднимали сервер (64Gb RAM) палками и костылями на протяжении первой ночи, как проводили оптимизацию узких мест платформы для проведения CTF и другие подробности, имеет смысл описать отдельным постом. И конечно же будет немного об offline части CTF.

 

 

И к концу форума мы всех наградили ценными подарками и, чтобы ребята не использовали свои навыки во вред, мы их «обелили», как именно, узнаете в следующей статье.

P.S. не обошлось и без серии after-party, after-after-party, и т.д., но это уже другая история…