Результаты японской конференции PacSec

Одна из известнейших в Японии конференций по информационной безопасности PacSec состоялась 12 и 13 ноября в Токио. По западным меркам PacSec невелика: в этом году она собрала меньше 200 человек, что тяжело сравнивать с посещаемостью того же PHDays IV, где участвовало 2500.

Среди новых исследований в первую очередь стоит обратить внимание на презентацию о выявлении аномальных анонсов в протоколе BGP — одном из фундаментальных сервисов интернета (Detecting BGP Hijacks in 2014), подготовленную Гийомом Валадоном и Николя Виве.

Отметим и доклад об уязвимостях ARM TrustZone — одной из технологий безопасности, встроенных в распространенные мобильные платформы. Качественная работа, выявившая множество ошибок управления памятью, которые ставят под удар системы Android, BlackBerry и Windows Phone. Рисерч называется «An Infestation of Dragons: Exploring Vulnerabilities in the ARM TrustZone Architecture».

Харри Хурсти (Harri Hursti) и Маргарет Макалпайн (Margaret MacAlpine) рассказали о недостатках систем эстонской ID-карты и электронного правительства Эстонии, особенно актуальных, по их мнению, в связи с массированными кибератаками на избирательную систему Украины. Судя по удивленным лицам слушателей, доклады мало кого оставили равнодушными. Это лишнее напоминание: при создании системы электронного правительства надо думать на десятки лет вперед, поскольку «ставить патчи» на электронный паспорт не так уж и просто.

На конференции в Токио выступили и отечественные эксперты. Сергей Гордейчик и Александр Зайцев показали, как с помощью специальных SMS-сообщений можно звонить с чужого номера, получить доступ к порталу самообслуживания, перехватывать 4G-трафик и даже устанавливать буткит на компьютер, к которому подключается USB-модем.