При чем здесь радость?
Первое, что встречает каждого нашего сотрудника при входе во второй корпус бизнес-центра, — большая красная надпись «На работу — с радостью!». Многим из нас она кажется довольно ироничной, но в делах кибербезопасников без самоиронии никуда. Так что у вывески свой шарм для нас.
Переговорные с именами знаменитых криптографов
Кибербезопасность прочно связана с криптографией. Поэтому названия наших переговорок — это пасхалки в виде фамилий светил этой сферы.
Например, самая большая комната называется Hellman — в честь Мартина Хеллмана, одного из создателей алгоритма Диффи — Хеллмана. Это алгоритм, решающий проблему распределения ключей в незащищенном канале. Про второго автора мы тоже не забыли. Переговорка имени Уитфилда Диффи — напротив.
ElGamal, Rivest, Shannon, Bernstein и другие «криптографические» пространства мы используем не только для обсуждения рабочих вопросов, но и для развлечений после. Там рубимся в настолки, смотрим аниме и проводим мастер-классы.
Лаборатория
В нашей лабе эксперты занимаются исследованием безопасности программно-аппаратных комплексов (ПАК), банкоматов (АТМ) и биометрических систем. Сюда же на изучение попадают всякие встраиваемые системы (IoT) в виде умных устройств для дома, электронные замки, POS-терминалы, камеры и многое другое. Само это железо и его софт (в основном низкоуровневый) здесь анализируют, чтобы найти программные и физические уязвимости. И все это, конечно, приправлено реверс-инжинирингом.
Вот что интересного из лабы можем показать.
Обход биометрических систем
Основная задача работающих здесь — найти способ обмануть биометрическую систему распознавания лиц. Для этого могут использоваться как подручные средства (фото, видео, распечатанные изображения и прочее), так и крутые маски, изготовленные по 3D-моделям лица человека. Такие маски очень реалистичны, и мы часто слышим, что они выглядят пугающе. Неудивительно.
Для биометрической системы распознавания лиц наиболее реальной оказывается гипсовая маска, сделанная с помощью технологии фотограмметрии и копирующая лицо конкретного человека. Этот вариант точнее всего передает геометрию лица, на основе которой происходит распознавание. Однако незаметно для живого прототипа сделать такую маску очень сложно.
Кроме гипсовых, в арсенале лаборатории есть целый набор пластиковых и силиконовых масок.
Железо с деньгами
Одно из направлений работы лаборатории — физическая и программная безопасность банкоматов. Сюда же относятся и другие устройства, которые связаны с хранением, обработкой и выдачей денег. Эксперты пытаются вскрыть такие девайсы, обмануть, вывести из строя и любым доступным способом достать оттуда деньги. На таких проектах проводится исследование физической безопасности устройств, особенностей работы валидаторов и диспенсеров банкнот, включая проверки на уязвимости в софте.
IoT
Прежде чем умные устройства для дома от наших партнеров попадут на рынок, их тщательно исследуют эксперты лаборатории. Фокус — на защите пользовательских данных, появляющихся на девайсе. Еще нужно исключить возможность перепрошивки оборудования (это делают, чтобы не платить за сервисы). Ну и пофиксить уязвимости. Для этого устройства анализируют от и до: проверяют электрические схемы, платы, внешние протоколы, прошивки, механизмы загрузки и обновления.
Оборудование для исследований
Тут и море программаторов для всех популярных ядерных архитектур, и коллекция программаторов микросхем памяти, и всевозможные паяльные принадлежности, и сами паяльные станции, и много чего еще. Помимо измерительно-паяльно-ремонтного оборудования, у наших экспертов есть ряд специфических устройств для проведения DMA-атак, различных сайдченнелов и фолтинжекшенов. Это сложные атаки, но в случае успеха могут оказаться и наиболее эффективными. Подробности читайте в нашем материале об атаках на встраиваемые системы.
В общем, коллеги из лабы — мастера на все руки. Порой мы сами приносим им свои неработающие диспенсеры (но, увы, не с банкнотами, а те, которые для мыла) и умные девайсы (как материал для изучения прошивки, конечно же).
А еще ни одно мероприятие компании не обходится без помощи этих людей. Например, для OFFZONE ребята проектируют и разрабатывают интерактивные бейджи, которые стали неотъемлемой визитной карточкой конференции. А еще организуют одну из самых популярных активностей конференции — зону пайки aka Craft.Zone.
Конференц-зал
В нем каждый месяц проходят мероприятия, причем самые разные. Например, в феврале мы сделали MEPhI CTF Meetup — митап для всех неравнодушных к CTF-соревнованиям.
Хотя чаще всего конференц-зал используем для внутренних мероприятий. Поводов собраться у нас действительно много: от культового ежемесячного митапа пентестеров и форензиков до бэкенд- и фронтенд-встреч. Здесь наши эксперты делятся последними новостями, выступают с докладами и просто проводят время вместе. Все это сопровождается пивком, сидром и вкусной едой.
Еще тут собираются поиграть в настолки, спортивную мафию и даже остаются на все выходные катать в DEF CON CTF.
Геймзона
Она пользуется большой популярностью. Сюда мы приходим, чтобы расслабиться после трудовых будней или отвлечься от сложных задач. В нашей коллекции много игр — от Trackmania до Guitar Hero. Есть и кикер для тех, кто предпочитает аналоговые развлечения.
Здесь же стоят боксмены и многофункциональный турник. Если вы думаете, что они тут просто для красоты, — ошибаетесь. В течение дня кто-нибудь обязательно заглядывает выпустить пар или просто размяться.
Летние веранды
А теперь пойдем на свежий воздух, тем более что веранд для этого целых две. Большая — сердце нашего офиса в теплое время года. Сначала она была единственной, но не так давно в наше распоряжение перешла еще одна: небольшая, но уютная. Там летом проводим мероприятия и расслабляемся после рабочего дня.
Открытие веранд в начале теплого сезона — ежегодное масштабное событие, которое коллеги всегда ждут с особым нетерпением. В этом году мы организовали настоящий концерт. На нем выступала группа BI.ZONE Rock Club (кстати, она целиком состоит из наших сотрудников). Не обошлось без сосисок и овощей на гриле, сидра, коктейлей с аперолем, а также виски для любителей покрепче. А еще у нас в компании очень любят кальяны, поэтому без них не обойдется ни одно большое мероприятие на веранде.
Но главное — было много-много общения с коллегами. На маленькой веранде полночи играли в крокодила, а на большой кутили до утра.
Скоро мы закроем веранды: зима близко. Но и весна не за горами, так что с первым теплом откроем сезон офисных активностей на свежем воздухе.
Заключение
Мы воспринимаем офис не только как пространство для работы, а еще и как место, где рождаются приятные воспоминания. В каждой локации — свои фишки, и почти со всеми связаны какие-то традиции компании. Их у нас становится все больше, но это уже тема для отдельной статьи ?
Глоссарий
DMA-атака (direct memory access) — это атака, при которой злоумышленник получает возможность загружать данные напрямую в память устройства и считывать их оттуда через высокоскоростные порты
Side-channel attack — cпособ взлома криптографического алгоритма, основанный на анализе работы вспомогательных систем, участвующих в шифровании. В отличие от классического способа декодирования, который фокусируется на математической модели ключа, атака по сторонним каналам использует для этой цели косвенные данные
Electromagnetic fault injection — инъекция электромагнитного сбоя. Проводя эту атаку, условный злоумышленник может выполнить произвольный код и воздействовать на функциональность аппаратных частей устройств