szukaj

26.11.2013 | 22:38

avatar

Adam Haertle

Relacja z konferencji ATAK I OBRONA 2013 DDoS / APT

Mieliśmy przyjemność uczestniczyć dzisiaj w konferencji ATAK I OBRONA, poświęconej dwóm zagadnieniom – atakom typu DDoS oraz APT. Konferencja na polskiej scenie nowa, zatem uznaliśmy, ze warto podzielić się naszymi wrażeniami.

Konferencję organizowała Fundacja Bezpieczna Cyberprzestrzeń oraz firma Evention. Impreza miała miejsce w Warszawie, w przyjemnym lokalu Loft44. To jednak szczegóły – bo najważniejsza była zawartość merytoryczna. Konferencję otworzyła prezentacja Davida Monniera z Team Cymru, organizacji zajmującej się monitoringiem botnetów i ataków DDoS/APT. David bez wątpienia mógłby długo opowiadać o tajnikach swojej pracy, ale tu musiał zmieścić się w 45 minutach. Dowiedzieliśmy się m. in. że mniej niż 1% ataków APT używa błędów typu 0day, atakujący pracują (tak, pracują) w godzinach 8-12 i 14-18 czasu chińskiego (i tylko w dni robocze, co widać wyraźnie w statystykach), a żadne mechanizmy ochronne nie pomogą zapobiec atakowi – nawet, jeśli zbudujemy bardzo wysoką ścianę, to ktoś przyjdzie z dłuższą drabiną lub wykona podkop. Można jedynie intruza szybko wykryć w swoim systemie i się go pozbyć.

Drugi wykład autorstwa Karla Froggeta z Citi trudno nam opisać, bo nic z niego nie pamiętamy. Karl mówił o atakach Anonymous na banki na całym świecie, ale nie zauważyliśmy, by powiedział coś ciekawego. Przeciwieństwem jego prezentacji była kolejna pozycja programu, czyli opowieść Jakuba Masłowskiego z Allegro o tym, jak serwis ten poradził sobie z kwietniowymi atakami DDoS. Jakub opisał 6 dni cierpienia zarówno serwisu, jak i zespołu odpowiedzialnego za jego prawidłowe funkcjonowanie, wraz z rozwiązaniami, które zostały wdrożone, by uniemożliwić atakującym wyłączenie strony. Ataki o przepustowości do 15 GB/s kierowane były na różnych warstwach w bardzo różne miejsca infrastruktury, a atakujący regularnie i sprawnie zmieniał taktykę, nie dając chwili odpoczynku zespołowi obrońców. Pomogła dopiero kombinacja blackholingu (częściowo po stronie niektórych dostawców, częściowo wewnętrznego), rekonfiguracja serwerów DNS, wdrożenie systemu Wanguard i dostosowanie tych wszystkich mechanizmów do zróżnicowanego charakteru usług grupy Allegro. Praktyczne doświadczenia i otwartość w komunikacji sprawił, że była to chyba najlepsza prezentacja tego dnia. Sesję poświęconą atakom DDoS zamykała prezentacja Orange wraz z firmą Integrated Solutions. Model pokazu sprzedawca + klient był oryginalny, jednak sprzedawca pozostawał sprzedawcą, przez co połowa prezentacji była mniej ciekawa. Artur Barankiewicz z Orange pokazał kilka ciekawych statystyk, jednak mowa była raczej o ogólnych danych, a nie konkretnych przypadkach ataków.

Rik Fergusson na konferencji ATAK I OBRONA

Rik Fergusson na konferencji ATAK I OBRONA

Druga część konferencji skupiała się na atakach typu APT. Otworzył ją Rik Fergusson z firmy Trend Micro. Rik opowiadał ciekawie, przytaczał zarówno sporo statystyk (91% ataków APT zaczyna się od wiadomości poczty elektronicznej z załącznikiem), jak i opisywał konkretne przypadki, z którymi miała do czynienia jego firma. Po Riku wystąpił duet Michała Sajdaka (Sekurak.pl) z przedstawicielem firmy SourceFire i znowu tylko połowa prezentacji była interesująca. My co prawda widzieliśmy już demonstrację odkryć Michała na żywo przy innej okazji, ale bez wątpienia Michał jest jedną z niewielu osób w Polsce, które nie boją się na dużej konferencji pokazywać demonstracji na żywym organizmie, zamiast puszczać wcześniej nagrane filmy i za to należą mu się ogromne brawa. Jego sztuczki z ruterem TP-Link były najciekawszym momentem drugiej części konferencji.

Niestety nie mieliśmy już okazji zobaczyć Borysa Łąckiego ani wziąć udziału w afterparty, ale może uda się to za rok. Podsumowując wydarzenie cieszymy się, że obok SECURE, SEMAFORa i CONFidence pojawiła się nowa konferencja, która jest nie tylko profesjonalnie zorganizowana (nie mówiąc już o kanapach, z których dużo wygodniej słucha się wykładów), ale także nie jest upstrzona slajdami sprzedażowymi. Oby tak dalej.

Powrót

Komentarze

  • avatar
    2013.11.26 22:54 grab1a

    W prezentacji Orange – IS, kto wg Redakcji byl tam klientem a kto sprzedawca??? Przeciez IS to sprzedazowe ramie Orange…

    Odpowiedz
    • avatar
      2013.11.26 22:58 Adam

      W trakcie prezentacji Orange występował w roli klienta.

      Odpowiedz
  • avatar
    2013.11.26 23:09 grab1a

    Sprytne! ;)

    Odpowiedz
  • avatar
    2013.11.27 07:35 Michal

    No nie bardzo.IS jest spolka corka Orange.Panowie opowiadali o wspolnym rozwiazaniu czyli DDoS Protection, ktore sprzedaje IS a ktorym dzieki SOC zarzadza Orange.Nikt tam nie wystepowal w roli klienta. Zgadzam sie ze prezentacje Allegro + Rika b. Ciekawe.

    Odpowiedz
  • avatar
    2014.09.15 12:20 Zdzich

    Przydałby się (może w ramach weekendowej lektury) jakiś link do testów sprzętu (router/firewall/IPS/…) różnych producentów (najlepiej porównanie) pozwalającego zabezpieczyć się przez atakami APT …

    Odpowiedz
    • avatar
      2014.09.15 13:07 Adam

      Przed APT to nic nie zabezpieczy. taka prawda.

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Relacja z konferencji ATAK I OBRONA 2013 DDoS / APT

Komentarze