Relacja z konferencji ATAK I OBRONA 2013 DDoS / APT

Mieliśmy przyjemność uczestniczyć dzisiaj w konferencji ATAK I OBRONA, poświęconej dwóm zagadnieniom – atakom typu DDoS oraz APT. Konferencja na polskiej scenie nowa, zatem uznaliśmy, ze warto podzielić się naszymi wrażeniami.

Konferencję organizowała Fundacja Bezpieczna Cyberprzestrzeń oraz firma Evention. Impreza miała miejsce w Warszawie, w przyjemnym lokalu Loft44. To jednak szczegóły – bo najważniejsza była zawartość merytoryczna. Konferencję otworzyła prezentacja Davida Monniera z Team Cymru, organizacji zajmującej się monitoringiem botnetów i ataków DDoS/APT. David bez wątpienia mógłby długo opowiadać o tajnikach swojej pracy, ale tu musiał zmieścić się w 45 minutach. Dowiedzieliśmy się m. in. że mniej niż 1% ataków APT używa błędów typu 0day, atakujący pracują (tak, pracują) w godzinach 8-12 i 14-18 czasu chińskiego (i tylko w dni robocze, co widać wyraźnie w statystykach), a żadne mechanizmy ochronne nie pomogą zapobiec atakowi – nawet, jeśli zbudujemy bardzo wysoką ścianę, to ktoś przyjdzie z dłuższą drabiną lub wykona podkop. Można jedynie intruza szybko wykryć w swoim systemie i się go pozbyć.

Drugi wykład autorstwa Karla Froggeta z Citi trudno nam opisać, bo nic z niego nie pamiętamy. Karl mówił o atakach Anonymous na banki na całym świecie, ale nie zauważyliśmy, by powiedział coś ciekawego. Przeciwieństwem jego prezentacji była kolejna pozycja programu, czyli opowieść Jakuba Masłowskiego z Allegro o tym, jak serwis ten poradził sobie z kwietniowymi atakami DDoS. Jakub opisał 6 dni cierpienia zarówno serwisu, jak i zespołu odpowiedzialnego za jego prawidłowe funkcjonowanie, wraz z rozwiązaniami, które zostały wdrożone, by uniemożliwić atakującym wyłączenie strony. Ataki o przepustowości do 15 GB/s kierowane były na różnych warstwach w bardzo różne miejsca infrastruktury, a atakujący regularnie i sprawnie zmieniał taktykę, nie dając chwili odpoczynku zespołowi obrońców. Pomogła dopiero kombinacja blackholingu (częściowo po stronie niektórych dostawców, częściowo wewnętrznego), rekonfiguracja serwerów DNS, wdrożenie systemu Wanguard i dostosowanie tych wszystkich mechanizmów do zróżnicowanego charakteru usług grupy Allegro. Praktyczne doświadczenia i otwartość w komunikacji sprawił, że była to chyba najlepsza prezentacja tego dnia. Sesję poświęconą atakom DDoS zamykała prezentacja Orange wraz z firmą Integrated Solutions. Model pokazu sprzedawca + klient był oryginalny, jednak sprzedawca pozostawał sprzedawcą, przez co połowa prezentacji była mniej ciekawa. Artur Barankiewicz z Orange pokazał kilka ciekawych statystyk, jednak mowa była raczej o ogólnych danych, a nie konkretnych przypadkach ataków.

Rik Fergusson na konferencji ATAK I OBRONA

Druga część konferencji skupiała się na atakach typu APT. Otworzył ją Rik Fergusson z firmy Trend Micro. Rik opowiadał ciekawie, przytaczał zarówno sporo statystyk (91% ataków APT zaczyna się od wiadomości poczty elektronicznej z załącznikiem), jak i opisywał konkretne przypadki, z którymi miała do czynienia jego firma. Po Riku wystąpił duet Michała Sajdaka (Sekurak.pl) z przedstawicielem firmy SourceFire i znowu tylko połowa prezentacji była interesująca. My co prawda widzieliśmy już demonstrację odkryć Michała na żywo przy innej okazji, ale bez wątpienia Michał jest jedną z niewielu osób w Polsce, które nie boją się na dużej konferencji pokazywać demonstracji na żywym organizmie, zamiast puszczać wcześniej nagrane filmy i za to należą mu się ogromne brawa. Jego sztuczki z ruterem TP-Link były najciekawszym momentem drugiej części konferencji.

Niestety nie mieliśmy już okazji zobaczyć Borysa Łąckiego ani wziąć udziału w afterparty, ale może uda się to za rok. Podsumowując wydarzenie cieszymy się, że obok SECURE, SEMAFORa i CONFidence pojawiła się nowa konferencja, która jest nie tylko profesjonalnie zorganizowana (nie mówiąc już o kanapach, z których dużo wygodniej słucha się wykładów), ale także nie jest upstrzona slajdami sprzedażowymi. Oby tak dalej.