В рамках традиционного форума по практической безопасности PHDays 9 российского производителя средств защиты Positive Technologies 21 и 22 мая были проведены хакерская игра CTF, множество мастер-классов, заслушаны технические доклады. В этом году в форуме приняли участие более 8 тыс. человек. Причем, по словам Бориса Симиса, заместителя генерального директора Positive Technologies по развитию бизнеса, около 7 тыс. человек – это «специалисты, которые могут взломать все, что демонстрируется». А демонстрировалось на форуме многое – от POS-терминалов до специально построенной модели города, получившего название F.
Хроники города F
Кибербитва в городе развернулась нешуточная – в первый день через полчаса после начала игры команде атакующих True0xA3 удалось проникнуть в незащищенный офис промышленной компании с помощью эксплуатации простейшей уязвимости и получить привилегии администратора домена. Чуть позже команда выкрала финансовый отчет с компьютера главного бухгалтера местного медиахолдинга. После этого команда True0xA3 успела самостоятельно закрыть уязвимости завоеванного офиса, чтобы другие атакующие не смогли в него проникнуть. Так как именно этот офис управляет всей АСУ ТП, команда начала распространяться по другим объектам города. Все атакующие прощупывали почву и старались расширить свое присутствие в инфраструктуре, однако серьезных инцидентов в первый день так и не случилось.
Ближе к вечеру участники узнали, что в городе есть криптовалюта, и начали устанавливать майнеры на все доступные машины. Куш сорвала все та же команда True0xA3. Ночь, как известно, время темных дел. В городе F произошла дуэль между командами True0xA3 и «ЦАРКА». Яблоком раздора стал взломанный True0xA3 офис промышленной компании. После нескольких часов борьбы за контроль над офисом победила дружба, команды решили не мешать друг другу и работать параллельно. Такая тактика привела к тому, что утром в городе произошло несколько инцидентов с участием этих команд. Команда True0xA3 устроила цветомузыку на улицах города – включала и выключала освещение, а потом спровоцировала разлив нефти на нефтехранилище. Команда «ЦАРКА» взломала две SCADA-системы на нефтяном заводе.
Ближе к концу второго дня случилась глобальная утечка данных из сторонних источников. Команда защитников STS обнаружила, что произошла полная компрометация офиса страховой компании. Атакующие провели анализ публичных источников и нашли конфиденциальную информацию – доменные учетные записи. Часть команд защитников увидела эту активность и блокировала ее, другие заметили не так быстро. В итоге True0x3A воспользовались полученной информацией, проникли во внутреннюю сеть с помощью корпоративного VPN и повысили свои привилегии. Они смогли получить права администратора домена всего за 7 минут! Команда STS придумала тактику реагирования на инцидент, но не успела реализовать ее за игровое время. В итоге первое место среди атакующих заняла команда True0xA3 (3 023 264 балла), второе и третье места заняли «ЦАРКА» (1 261 019 баллов) и hack.ERS (125 500 баллов), а среди защитников лидером стала команда Jet Security Team (44 040 600 баллов).
Конкурсы
В течение двух дней на площадке прошло множество конкурсов. На стенде Network Village эксперты по безопасности рассказывали о сетевом фаззинге, SSL-пиннинге, MITM-атаках, атаках на веб-приложения и USB-устройства и многом другом. Участники узнали о видах и векторах атак и тут же отрабатывали полученные знания в конкурсе E&E Exploit Express, где участникам нужно было пройтись по нескольким уязвимым сервисам и собрать флаги. В конкурсе IDS Bypass участники должны были взломать пять уязвимых узлов и добыть с них флаги, но сделать это в обход системы обнаружения вторжений. Одна из новинок 2019 г. – конкурс по расследованию инцидентов ESCalation Story: Spin-Off.
За звание «промышленного ниндзя» в конкурсе по взлому завода по перекачке газа Industrial Ninja поборолись 40 человек. В распоряжении участников было три стенда, эмулирующих индустриальный процесс. Легенда следующая: в воздушный шар закачивается «смертельно опасный пестицидный газ» (на самом деле – воздух). Нужно было сломать систему управления промышленным процессом и увеличить давление в шарике, чтобы он лопнул или, наоборот, полностью сдулся. Каждый стенд имел свой уровень сложности по степени защиты: «новичок», «бывалый» и «ниндзя». Организаторы поделились интересной статистикой: за два дня были решены пять из шести задач; участник, занявший первое место, заработал 233 балла – он потратил на подготовку к конкурсу неделю.
В ходе конференции также проводилось соревнование AI CTF с целью ознакомить специалистов в области ИБ с применением различных ML-техник в игровых CTF-сервисах, а специалистам по машинному обучению продемонстрировать, каким образом такие сервисы могут оказаться уязвимыми. Конкурсная программа традиционно завершилась конкурсом «Наливайка». Подробный разбор конкурсов организаторы обещали предоставить позже.
Аналитика
В рамках PHDays компания Positive Technologies традиционно представляет результаты аналитических отчетов. В этом году был представлен анализ киберугроз первого квартала текущего года. В нем отмечается, что тенденция увеличения стоимости майнинга криптовалют заставляет злоумышленников переходить с методов скрытого майнинга на шифровальщики с выкупом за криптовалюту. Так, доля скрытого майнинга уменьшилась с прошлого квартала с 9 до 7%, в то время как доля шифровальщиков увеличилась с 9 до 24% за тот же период. При этом криптомайнеры все чаще снабжаются функциями шпионского ПО для воровства ценной информации, которую также можно продать на черном рынке.
Впрочем, и шифровальщики не всегда используются для выкупа. Иногда ими прикрывают воровство коммерческой тайны, медицинских секретов и персональных данных. В частности, в числе лидеров по количеству атак шифровальщиков – медицинские учреждения и промышленные компании. Целью более половины атак (54%) в соответствии с отчетом является доступ к секретам, еще около 30% – получение финансовой выгоды. На хактивизм и кибервойны приходится всего 16% инцидентов. Из данных воров больше всего привлекают персональные (28%) и учетные (25%). Еще 16% случаев воровства информации связаны с реквизитами пластиковых карт, по 9% – с медицинской информацией и коммерческими секретами.
Основная цель более половины атак (58%) – инфраструктура. Это говорит о том, что она по-прежнему требует серьезной защиты, несмотря на давление регуляторов. Еще два популярных вектора атак – веб-ресурсы (18%) и рабочие места сотрудников (13%). Атак на банкоматы, POS-терминалы и другие IoT-устройства зафиксировано всего 4%. Наиболее популярным инструментом проникновения является вредоносное ПО (56%), хотя примерно в третьей части случаев (36%) используется социальная инженерия, которая вообще не требует технических ухищрений. Причем от социальной инженерии не могут защитить ни антивирусы, ни средства обнаружения вторжений и ни большинство межсетевых экранов.
Специалисты Positive Technologies опубликовали исследование 29 APT-группировок, которые оценили стоимость инструментов для организации целенаправленных атак. Данные были получены в процессе расследования реальных инцидентов, хотя точно определить расходы группировки на создание индивидуальных инструментов хакеров не всегда возможно. В результате специалисты Positive Technologies оценили расходы на проведение фишинговой атаки с уникальным вредоносом в 2 тыс. долл., на разработку инструментов для проведения атак для кражи денег из банка – около 55 тыс. долл., а для кибершпионской компании – 500 тыс. долл.
Рынок ИБ
На форуме обсуждались и общие проблемы рынка информационной безопасности в России. На нем отмечаются два основных направления – тотальное регулирование, которое пропагандировал заместитель директора Главного вычислительного центра Гаральд Бандурин, и свобода в ИБ, мнение сторонников которой которых было представлено заведующим кафедрой информационной безопасности НИУ ВШЭ Александром Барановым. Последователи регулирования утверждают, что необходимо разработать глобальную модель информационной безопасности РФ, назначить для ее реализации главного конструктора и инженера и постепенно реализовывать запланированные меры безопасности.
Последователи свободы рынка предлагают другой сценарий: ввести ответственность не за несоблюдение требований регулятора, а за инциденты, как это сделано в большинстве западных стран. Как только первые жертвы понесут серьезные убытки от инцидентов, все владельцы информационных систем самостоятельно научатся применять адекватные меры безопасности. Такой подход, возможно, имеет право на существование, однако большинство наиболее ценных информационных активов находится в руках государственных компаний и ведомств, где рыночные механизмы работают плохо, а вот регулирование с помощью генеральных конструкторов – вполне привычно.
В то же время коммерческим разработчикам средств защиты уже становится тесновато на российском рынке. Чтобы быть конкурентоспособным, производителям необходимо постоянно разрабатывать новые функции. Однако,по словам Бориса Симиса, 10% нового функционала требует вдвое больших затрат на разработку. Российский рынок – достаточно узкий, он не позволяет окупить подобные расходы, поэтому компаниям приходится выходить на международные рынки и предлагать свои разработки в азиатские, ближневосточные, латиноамериканские страны. Такую экспансию логично совершать через партнеров, с наиболее простыми и массовыми продуктами.
Валерий Коржов
