Возможно ли устроить блэкаут в мегаполисе размером с Москву или Нью-Йорк? Многие исследователи информационной безопасности уверены, что им хватит нескольких дней для такой диверсии. На киберполигоне The Standoff можно проверить эти утверждения. В ходе шестидневного марафона хакеры ищут слабые места в энергосистеме цифровой копии города, пытаются пустить под откос поезд или нарушать работу аэропорта.
Треть мероприятия уже завершилась. Атакующие повредили технологические системы нефтяного месторождения, нефтехимического завода, аэропорта и делового центра. Параллельно эксперты по информационной безопасности выступали с докладами, рассказывая, как взломать смартфон зажигалкой, установить игру на торговый терминал и др.
Апокалипсис онлайн
Через 2 часа и 50 минут после начала противостояния команда back2oaz уже проникла в сеть нефтехимического завода компании Nuft (на нее приходилось 60% всех атак в первый день), получила доступ к компьютеру главы нефтяного департамента и похитила файлы с информацией о тендерах. Команда защиты ThreatShelter отмечает, что атаки на их объекты защиты проводили очень сильные команды. «Мы видим по логам, что они используют массовые автоматизированные инструменты. При этом нам удалось собрать действительно хороший набор “следов”, которые оставили красные. Это прекрасная база для изучения и выработки стратегии действий в реальных условиях для минимизации таких атак. Кроме того, атаки в очередной раз показали, что использование устаревших операционных систем несет в себе реальные угрозы для компаний. Важно своевременно обновлять инфраструктуру до актуальных релизов», ― комментирует представитель команды ThreatShelter, защищающей Nuft.
Другой вооруженный клавиатурами коллектив, DeteAct, смог нарушить работу системы продажи билетов в аэропорту вымышленного города, и теперь никто не может купить билеты через сайт. Также атакующие вызвали сбои в системе регистрации — пассажиры, у которых уже есть билет, не могут пройти регистрацию на рейс из личного кабинета на сайте.
В ночь с четверга на пятницу деловой центр города был атакован дважды. Команды SpbCTF и n0x с разницей в два часа смогли получить доступ к базе данных городского портала и удалить информацию о штрафах и задолженностях граждан.
«Классические CTF не решают больших проблем, с которыми мы сталкиваемся в повседневной жизни, это теория в чистом виде. The Standoff дает возможность посмотреть на настоящие вопросы, висящие в воздухе, например на сбой в медицинском оборудовании или на нефтеналивной станции, что, конечно, имеет более крепкую связь с реальностью», — заявил генеральный директор Hack In The Box Диллон Эндрю Каннабхиран.
«The Standoff — не просто киберучения, а среда, которая позволяет моделировать ключевые IT-процессы. На такую площадку можно принести часть своей IT-инфраструктуры, позвать экспертов по ИБ со всего мира, и они помогут найти и исправить ее недостатки раньше, чем они «рванут» в реальной жизни и разрушат бизнес», — отметил Андрей Бершадский, директор центра компетенции Positive Technologies.
Хардкор: змейка на POS-терминале и взлом смартфона зажигалкой
Устройства вокруг работают на старых и опасных операционных системах. Это касается и POS-терминалов, с помощью которых мы ежедневно оплачиваем покупки в магазинах. Независимый исследователь Данила Парнищев рассказал о проблемах безопасности в оборудовании Verifone на базе операционной системы Verix. Автор подключился к терминалу по кабелю HDMI и подгрузил свое игровое приложение с эксплойтом, получив возможность сыграть в «змейку». На месте игры могло быть вредоносное ПО.
Тему недостатков «железа» продолжил исследователь безопасности интернета вещей Арун Магеш из Индии, который рассказал о технике электромагнитного внесения неисправностей для взлома MDM-системы Android-устройств. Политика MDM накладывает ограничения на режим разработчика, заводские параметры заблокированы, режимы Recovery и Bootloader — все это заблокировано. С помощью газовой зажигалки за полтора доллара Арун реализовал различные электромагнитные эффекты (лестница Иакова, «глушилка») и нацелился на модуль памяти своего тестового устройства. После нескольких попыток исследователь добился сбоя ядра и вошел в режимы, которые позволили ему установить другую прошивку и считать содержимое eMMC.
На мероприятии выступал и старший исследователь безопасности ESET Роберт Липовский, обнаруживший опаснейшую уязвимость Kr00k, которая повлияла на миллиарды Wi-Fi-устройств. Его исследование началось с того, что некоторые версии популярных устройств Amazon Echo и Kindle оказались уязвимы для атак с переустановкой ключа (KRACK). Но позже выяснилось, что проблема не в программном, а в аппаратном обеспечении — самих чипсетах Wi-Fi. И проблема гораздо шире, она затрагивает устройства Apple, Samsung и других производителей, которые используют уязвимые чипсеты.
Много внимания получила также тема угроз в области больших данных. Илья Шумайлов, PhD-кандидат из Кембриджского университета, напомнил об атаках на нейронные сети. Для их работы нужна энергия, и это можно использовать в корыстных целях. Докладчик рассказал, как создавать вредоносные входные параметры (sponges, «губки»), предназначенные для увеличения потребления энергии. Илья продемонстрировал, насколько современные системы машинного обучения уязвимы для подобных атак.
Хакеры давно ищут способы стать невидимыми для машины. Хайрам Андерсон, главный архитектор Azure Trustworthy Machine Learning в Microsoft, рассказал об атаках уклонения на системы компьютерного зрения. Несмотря на то, что базовые принципы таких атак остались прежними, их тактика всего лишь за один год эволюционировала от ручного обхода до автоматических методов обучения. В моделях машинного обучения есть слепые зоны, которые можно эксплуатировать. Например, хакеры могут использовать их, чтобы заставить модель перепутать изображение машины со страусом.
Мишенями злоумышленников становятся и рекламные сети. Исследователи ВПО из компании Security Scorecard Дойна Косован и Каталин Валерью Лита представили анализ рисков безопасности, которые могут возникнуть при перенаправлении рекламного трафика в «воронку». Эксперты показали, что киберпреступники могут легко проникнуть в рекламную инфраструктуру в мобильном сегменте для атак на пользователей определенных рекламодателей. Например, с помощью зловредных SDK злоумышленники могут собирать данные о пользователях мобильных устройств и продавать их на черном рынке.
Влияние COVID-19 на бизнес и ИБ, советы для сообщества и меры по улучшению процессов
Участник пресс-брифинга «Цифровой мир и актуальность киберучений» Артем Синицын, руководитель программ информационной безопасности Microsoft в странах Центральной и Восточной Европы, отметил важный эффект для бизнеса от пандемии COVID-2019 — бурное увеличение скорости бизнес-процессов.
«Организации за два месяца были вынуждены выполнить такой скачок в рамках цифровой трансформации, который при иных условиях занял бы два года. Такая скорость не может не отразиться на уровне защищенности. Между тем злоумышленники получили возможность использовать страх и неопределенность в умах жертв, эксплуатируя новостную повестку. Наиболее значимые вехи в развитии пандемии совпадали со значительным ростом числа атак. Злоумышленники восхитительно быстро реагируют на новостную повестку: пока мы читаем ленту, уже появляются примеры эксплуатации данной тематики в реальных атаках по миру. Фишинговых атак стало значительно больше, фокус сместился именно на них», — заключил он.
В свою очередь Алексей Новиков, директор экспертного центра безопасности (PT Expert Security Center) Positive Technologies, подтвердил, что число киберинцидентов растет из года в год и говорить о нисходящем тренде мы еще очень долго не сможем. По его словам, «по мере развития цифровизации количество инцидентов становится все больше и больше, поэтому необходимо, чтобы информационная безопасность успевала за развитием информационных технологий».
«На текущий момент, по нашим данным, в 97% компаний злоумышленник может проникнуть извне за четыре дня. А иногда это происходит и за 30 минут. Это показывает, с какой скоростью должны реагировать службы IT и ИБ для обнаружения этого злоумышленника», — подчеркнул Новиков.
Страшилки уже не работают. Эффективнее повышать уровень ИБ, давая пользователям возможность самим контролировать свою безопасность, уверен генеральный директор компании Net-Square Саумил Шах. По мнению эксперта, примеры такого подхода уже есть — в WhatsApp нет паролей, а Gmail предоставляет логи всех авторизаций в аккаунт из любых локаций. Это как банковская выписка: банк сообщает клиенту обо всех транзакциях по его счету, в которых тот легко найдет подозрительные и сможет что-то предпринять. Так завоевывается доверие.
Целый план по поэтапному улучшению процессов ИБ в компаниях представил Клинт Гиблер, возглавляющий группу исследования безопасности стартапа r2c. Гиблер считает, что с простыми ошибками справятся автоматизированные инструменты. С помощью программы bug bounty можно закрыть многие уязвимости малой и средней степени риска. Для сложных проблем лучше использовать пентесты, а мониторинг работоспособности позволит узнавать о багах, которые трудно найти.
Большие компании, такие как Microsoft, обращают внимание на огромное число забытых сайтов, которые могут использоваться для атак. Ситуацию с «висячими» DNS-записями в интернете рассмотрел ведущий инженер по безопасности Microsoft Андрей Беленко, который помогает обеспечить защищенность продуктов Microsoft 365 и клиентских приложений Microsoft Teams. Надо помнить, что у доменов может быть множество поддоменов, которые имеют перекрестные ссылки друг на друга. Как только какой-либо домен становится ненужным организации, им могут завладеть другие люди и использовать доверие пользователей, посещающих соседние ресурсы. Red teams в организациях должны обеспечивать высокий уровень прозрачности активов и помнить, что при использовании более одного облачного провайдера уровень запутанности резко повышается. Андрей отметил серьезность проблемы: ее например, рассматривали ранее специалисты Starbucks.
Двигателем отрасли ИБ часто являются сообщества независимых профессионалов. Антон Кутепов, старший специалист отдела экспертных сервисов и развития Positive Technologies, рассказал об инициативе Open Security Collaboration Development. В докладе шла речь о группе энтузиастов, которые решили устроить двухнедельные спринты, в частности по написанию правил для проекта Sigma, который создан ради выработки единого формата описания правил для SIEM-систем и поддерживается более чем 140 участниками. Все результаты можно свободно скачать и использовать. «Инициатива OSCD показывает, что мы можем по чуть-чуть вносить свою лепту и делать мир безопаснее», — сказал Антон.
Борис Савков, один из основателей сообщества RUSCADASEC, отметил, что комьюнити становится важным источником знаний, когда их начинает не хватать при обучении в вузе: именно в этот момент на помощь могут прийти неравнодушные, увлеченные вопросами кибербезопасности люди. А основатель хакерского сообщества Defcon Russia Алексей Синцов подчеркнул, что в комьюнити важно быть активным, взаимодействовать с членами сообщества: это сказывается и на связях, и на получаемом опыте.
Обращаясь к новичкам, присоединившимся к комьюнити, Диллон Эндрю Каннабхиран из Hack In The Box призвал помнить, что хакер никогда не должен сдаваться, всегда должен идти до конца в поисках решения проблемы, что многие готовы бросить сложную задачу ради простой и к тому же сулящей быструю награду. «Хакерство — это склад ума, особый подход, духовное состояние, способность двигаться вперед не спеша и при этом не переставая учиться: как использовать инструменты, техники, как работать с SOC и многому другому», — сказал он.
На мероприятии обсуждали причины низкого уровня информационной безопасности в большинстве крупных компаний. В ходе круглого стола «Выбор коммерческого SOC 2.0: SOC, который ловит» Антон Юдаков, операционный директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар», заметил, что если в крупной компании спросить у IT-специалистов и других ответственных сотрудников «сколько у вас Windows-хостов?» — ответы будут сильно разниться, никто точно не знает. «Разделение зон ответственности по принципу семи нянек — страшная штука, — согласился Алексей Новиков, директор экспертного центра безопасности (PT Expert Security Center) Positive Technologies. — В нашей практике бывали случаи, когда отдел маркетинга договаривается с подрядчиками о создании сайтов, которые делаются на популярных движках. Об этих ресурсах, которые мы нередко находим в ходе расследований, забывают, и со временем они кишат уязвимостями. И это лишь одна из слепых зон».
Алексей Мальнев, руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT, отметил, что SOC можно сравнить с заводом, в котором главную роль играет конвейер. Автоматизация рабочего процесса в SOC может осуществляться c помощью платформ IRP и SOAR, а источниками информации SOC могут являться SIEM-системы, инструменты threat intelligence, threat hunting, OSINT. Собеседники затронули и тренд на перемещение корпоративных сегментов в облако. Алексей Новиков отметил, что при выборе облачной инфраструктуры сегодня компаниям нужно учитывать возможности провайдера по обеспечению безопасности и его готовность подключить средства защиты и мониторинга в нужной конфигурации.
Алексей Новиков, директор экспертного центра безопасности (PT Expert Security Center) Positive Technologies, представил промежуточные результаты The Standoff с точки зрения SOC. В первые сутки противостояния команды защитников выявили 28 инцидентов. Больше всего атак обнаружили защитники офисов Tube, Heavy Ship Logistics и 25 Hours. Каждый третий выявленный инцидент — это атака на веб-приложение, каждый пятый — успешная попытка подбора учетных данных. Появились и результаты первого расследования реализации риска в деловом центре. Четыре часа потребовалось защитникам CT&MM, чтобы провести расследование и отправить отчет жюри. В рамках bug bounty две трети всех найденных уязвимостей были обнаружены в офисах Nuft и Big Bro Group. Команды атакующих тем временем реализовали четыре бизнес-риска в инфраструктуре города: от их действий пострадали нефтяное месторождение, нефтехимический завод, аэропорт и деловой центр.
Кибербитва The Standoff завершится 17 ноября. Все оставшиеся дни продолжится поток выступлений экспертов по ИБ, за которыми можно наблюдать на сайте standoff365.com или в соцсетях (Twitter, Telegram, Facebook, YouTube). Оставайтесь с нами!
В России мероприятие поддерживают «Ростелеком-Солар» (генеральный партнер), Microsoft, «Инфосистемы Джет», RBK.money, Gigamon, Qurator Labs (технологические партнеры), MONT (бизнес-партнер), Fortinet, StaffCop, «Телеком Интеграция», Axoft (спонсоры). Медиапартнеры: «Коммерсантъ», Anti-Malware, PLUS, «Хакер», Information Security, «Информационная безопасность банков», CISO Club, «Банковское обозрение», «Банковские технологии», D-Russia, «ПроБизнес ТВ», JetInfo, SecurityLab.ru, британское издание Infosecurity Magazine, а также телеграм-каналы Social Engineering, Sys-Admin, SecAtor, RED, Cybershit, «Эксплойт», Antichat, Cyber Security, Codeby, «Вебинары и события #поИБ», ATT&CK Russia, CyberSecurity Technologies, white2hack, RUSCADASEC.
