30-31 мая в Москве прошел международный форум по практической безопасности PHDays.

Хочу поделиться впечатлениями, пока они еще свежи в моей несвежей голове…

Прежде всего, для меня PHDays – это общение с людьми, многих из которых видел ровно год назад. 29го прилетел Артур Геркис и небольшая культ-программа этого дня стала для меня, фактически, первым днем форума.

Площадка

Digital October, много места, центр города. Антураж и декорации – на пятерку: чисто, аккуратно и очень красиво. В таких помещениях одно удовольствие общаться.

Главный зал просто отлиный – большой и просторный, первый зал (в нем я выступал) меньше, но тоже большой и удобный. Особо хочется отметить прекрасные LCD панели в этих залах – яркие слайды даже при дневном свете гораздо удобнее, чем отраженный свет проектора. Были еще три зала по-меньше, на интересные доклады в них было много народу. Но тут ничего не поделаешь – если достойный спикер читает интересный доклад зал всегда будет переполнен, сколько бы людей он ни вмещал. По-другому никогда не видел, значит это невозможно.

Синхронисты! В первом зале был просто отличный мужик, он потом вел и церемонию награждения. Передавал не только смысл, но и интонации. Что самое главное – не пытался переводить терминологию, понимал как адаптировать фразы на английский и русский. Личный вклад этого человека во все доклады первого зала трудно переоценить.

Экраны, много экранов, трансляция докладчиков велась профессиональными операторами (это важно, как оказалось, какой план выбрать и когда переключаться между спикером и слайдами). Экраны в баре, в CTF зоне, разве что в туалете не было экранов.

Если придираться, то можно пожелать на будущий год микрофоны-прищепки (как сказал Тревис – “я был похож на олимпийца с факелом”) и прогон слайдов на LCD панелях перед началом выступления (стыки панелей при неудачном стечении обстоятельств закрывали текст слайдов).

Организация

Не знаю, как это было сделано, но со стороны все выглядело более чем отлично. Наблюдал за огранизаторами недолго, но в каждый момент времени было видно – каждый делает свою часть большой работы. Непредвзятым взглядом, проблем обнаружить не удалось. Хотя я не очень внимательный по-жизни и мог что-то пропустить :)

Доклады

Докладов было много, из того, что удалось посетить в основном технические работы, то есть практика. Хочу отметить (в порядке следования на сайте мероприятия), те доклады, которые мне понравились:

Трэвис Гудспид:	Эксплуатация радиопомех при помощи технологии Packets-in-Packets
Александр (Solar Designer) Песляк:	Парольная защита: прошлое, настоящее, будущее
Владимир Кочетков:	Взломать сайт на ASP.NET? Сложно, но можно!
Сергей Щербель:	Не все PHP одинаково полезны
Мирослав Штампар:	Утечки данных через DNS: использование sqlmap
Александр Матросов, Евгений Родионов:	Уязвимости смарт-карт с точки зрения современных банковских вредоносных программ
Маркус Нимиц:	Перехват пользовательского интерфейса в Android
Дмитрий Евдокимов:	Средства анализа кода: светлая и темная сторона
Александр Михайлович Поляков:	Небезопасность SAP: новое и лучшее

Жаль, что не смог послушать про naxsi (дайте слайды и запись!!!) – просто не обратил внимание на этот доклад. И еще на мастер-классы не ходил, как-то не смог организовать время.

Приятно удивило, что на мой доклад в 9 утра второго дня (самое нелетное время) пришло больше полного зала слушателей. За что все получили PostreSQL 0day за этот подвиг :)

Конкурсы

Достоверно могу сказать только про два конкурса – наливайка и взлом WAF.

WAF bypass организовывали мы, обходился он очень просто – все что за 1024 байтом не проверялось. Победитель нашел альтернативный и более правильный с способ обхода – исследовал весовую модель, сделал верное предположение об функции рассчета и разбавил запрос легитимными констркуциями “and true”. На следующий день и еще сегодня участники нашли более простые вектора, основанные на выходе за 1024 символ запроса. Конкурс был простой, но на смекалку.

Победитель – студент ВМиК Георгий Носеевич заслуженно получил новый iPad (РСТ, первая партия).

Наливайка такая наливайка… Как обычно, взял не свой ноутбук, так как ethernet забыл дома. Первый ноут был убит пролитой текилой – клавиатура перестала работать. Второй чужой ноут прожил до конца конкурса. Сами задания были несложные, до эксплуатации уязвимостей даже не добрался, взял бонусные флаги, причем не додумался даже до robots.txt. Был чуть быстрее и выиграл из-за этого. Кубок “маринованные мозги” остался у меня :)

CTF был, как говорят, удачным, победили наши ребята из LeetMore, с чем их и поздравляю. Прошлогодние победители – РРР вроде 5е, хотя могу ошибаться.

Подводя итог – это было круто! Ждем нового ZeroNights.