Противостояние: атакующие настроены на реванш
19.05.2017
Совсем скоро стартует форум Positive Hack Days, а вместе с ним самая ожидаемая его часть — кибербитва между хакерами и безопасниками Противостояние. В прошлом году, как мы помним, хакерам не удалось захватить город полностью, поэтому один из самых насущных вопросов этого года, который волнует не только участников, но и посетителей форума — удастся ли им взять реванш? Мы побеседовали c командами атакующих, узнали их настрой, планы на игру и, конечно же, прогнозы.
Действующие лица
В этом году организаторы пересмотрели подход к выбору атакующих, склонившись в сторону профессиональных команд. «Главная наша задача в рамках хакерской части PHDays — максимально наглядно показать хакерский мир людям. Поэтому на роль атакующих были приглашены не только завсегдатаи CTF, но и пентестеры, обладающие богатейшим арсеналом техник по взлому, системным и в то же время весьма творческим подходом к делу», — рассказал член оргкомитета PHDays Михаил Левин.
Львиная доля участников — в свободное от Positive Hack Days время :) — успешно трудится на ниве пентеста, и некоторые из них и в Противостоянии участвуют как представители той или иной компании. Итак, на стороне атакующих в Противостоянии версии 2017 года 9 команд:
- Antichat,
- Rdot.org,
- BIZone (БИЗон),
- PwC Cyber (PwC),
- Vulners (QIWI),
- KansasCityShuffle,
- True0xA3 (Информзащита),
- «ЦАРКА» (Царка, Казахстан),
- Hack.ERS (сборная мира).
«Кто не умеет нападать, тот не умеет защищать»
Некоторые команды серьезно готовились к Противостоянию и, конечно, имеют наполеоновские планы на игру. Команда Antichat, к примеру, обновила свой состав и, как в прошлом году, идет на Противостояние за абсолютной победой. Для команды Rdot.org, участие в соревнованиях — это своего рода традиция. Для команды BIZone, участники которой входят в состав CTF-команд BalaikaCr3w, EpicTeam, — возможность лишний раз поиграть. Поддерживает коллег по цеху и капитан команды Antichat, который считает PHDays неотъемлемым этапом становления и развития любой российской CTF-команды. Хотя планы на то, чтобы получить удовольствие от игры, окунуться в атмосферу и почувствовать дух соревнования, есть у всех (и не зря — уж эти-то планы точно выполнятся и даже перевыполнятся).
Хотя для большинства команд участие в Противостоянии — это в первую очередь тренировка, возможность продемонстрировать и проверить свои силы. Не последнюю роль играет и интерес: в реальной жизни, в силу специфики работы, редко получается «пощупать» такую инфраструктуру, как воссоздается на PHDays. «Мы не первый год посещаем PHDays, и в основном участвовали в небольших конкурсах. В этом году мы поняли, что готовы к Противостоянию. Нам важно посмотреть, как ребята будут взаимодействовать друг с другом, наладить правильный процесс среди членов команды, узнать наши слабые и сильные стороны», — поделился участник команды «ЦАРКА» Олжас Сатиев.
Рассказывает Павел Сорокин (True0xA3): «У нас большой опыт проведения различных тестов на проникновение, которые позволяют выявить ключевые недостатки в безопасности наших клиентов и предлагать им самые эффективные решения по исключению этих недостатков. PHDays — отличное мероприятие, которое позволяет отточить работу в команде, сплотить сотрудников, нарастить экспертизу при отработке практических кейсов. В этом году мы выступаем под девизом "Кто не умеет нападать, тот не умеет защищать"».
C ним согласен и Игорь Булатенко, участник команды Vulners, который также считает, что хороший безопасник должен знать, какие методы и техники будут использоваться злоумышленниками для атаки на его инфраструктуру: «Противостояние позволит побывать в шкуре атакующей стороны, попытаться найти слабые места в хорошо выстроенной системе защиты. Этот опыт, возможно, поможет нам по-новому посмотреть на защиту своих серверов и что-то улучшить».
Будем атаковать всё
А потренироваться участникам будет на чем. Знакомый по прошлому PHDays город значительно вырос, как в размерах, так и по населению. На этот раз организаторы решили дать хакерам и защитникам не отдельные объекты, а целый город — со светофорами, машинами, домами, сотнями жителей. Все объекты взаимосвязаны друг с другом и технически мало чем отличаются от реального города.
Какие объекты инфраструктуры будут атаковать хакеры? Конечно, никто из них не спешит раскрывать все тайны, но нам все-таки удалось кое-что разузнать. В основном команды ориентируются на собственный реальный опыт. Команда Antichat планирует атаковать объекты с веб-интерфейсом, так как в этой области у них больше всего специалистов, и возможно они даже реализуют несколько сценариев социальных атак. По словам Никиты Вдовушкина, участника команды BIZone, они с удовольствием бы попробовали сразу же попасть в банковскую или офисную инфраструктуры, так как в реальной жизни их компания «БИЗон» специализируется на банковском секторе.
Также команды поделились своими мыслями о предполагаемых уязвимостях. Команда Vulners ожидает классических ошибок misconfiguration, стандартных учеток, забытых сервисов и классических веб-уязвимостей. Один из участников команды BIZone предположил, что будет много интересных и сложных для эксплуатации бинарных уязвимостей. Павел Сорокин: «Нам интересно, как организаторы обыграют слив ShadowBrokers. Будут ли уязвимости под эти эксплойты на Противостоянии? И интересно, как защитники будут от них защищаться».
В целом у участников позитивные ожидания от игры. Они рассчитывают на сложные и интересные векторы, хардкор, четкие правила и прозрачную систему скоринга как для нападающих, так и для защитников. И конечно, надеются на правильный баланс сил. Игорь Булатенко: «В прошлом году, как мне кажется, силы были не на стороне атакующих. Надеюсь, что в этом году организаторы смогут решить эту проблему и привнести больше реализма в жизнь города».
Хакерский арсенал
В прошлом году хакеры ринулись в бой почти что с голыми руками. Участники решили не повторять прошлых ошибок и подготовили целый арсенал. На этот раз в ход пойдут стандартные инструменты анализа защищенности — джентельменский набор пентестера и реверсера, а также тулзы, накопленные в ходе проведения реальных пентестов и участия в CTF.
Команда Antichat обещает использовать широкоизвестные дистрибутивы Linux специально разработанные для проведения тестирования на проникновение: BlackArch, Kali. А если говорить о конкретном ПО, то незаменимыми средствами, по словам команды, являются Burpsuite, Metasploit Framework, а также Radare2.
Больше всего впечатлила команда Rdot.org. Вот неполный (!) список их инструментов: диверсионное ПО для заражения АСУ ТП, 0day-эксплойты под браузеры и веб-приложения, фемтосоты и фреймворки для OTA-эксплуатации, радары и усилители радиосигнала, скиммеры и RFID-программаторы для подделки смарт-карт и банковских карт, атомно-силовые микроскопы и химическая лаборатория для анализа чипов, IoT-ботнеты для организации DDoS-атак, приборы ночного видения и телескопы для наблюдения за мониторами соперников, сертифицированное forensic-оборудование для DMA-атак, побитового копирования жестких дисков и восстановления данных, EFI-бэкдоры для заражения устройств соперников и инфраструктуры, оборудование для обнаружения и декодирования побочного электро-магнитного излучения и снятия информации по акустическим каналам, ASIC- и GPU-фермы для атак по перебору хеш-сумм, кластер машин на Amazon для организации фаззинга по исходникам и без и для массового сканирования, резисторы и мультиметры для атак класса differential power analysis, а также различные трояны и программно-аппаратные средства по их доставке, такие как связки эксплойтов, вредоносные устройства USB и PCI-E.
Похоже, пощады не будет :)
Шансы — 50 на 50
В целом в стане атакующих настроения более чем решительные. Причем чувствуется некоторая конкуренция между самими нападающими. Старички Antichat, к примеру, уверены, что «шансы есть у всех хакеров», однако отмечают, что им конкуренцию могут составить лишь LC↯BC, а они не планируют участвовать в данном соревновании.
Олжас Сатиев: «Некоторые команды участвует не в первый раз, следовательно, и опыта у них больше. Да, мы новички, но со свежим взглядом :) — и приложим все силы для того, чтобы достичь поставленных целей».
А вот о соперниках атакующие в большинстве случаев высказываются сдержанно. Никита Вдовушкин (briskly) полагает, что «в реальном мире защитникам довольно сложно оперативно реагировать на атаки и закрывать уязвимости с сохранением доступности сервисов, так как сервисы могут достигать огромных размеров в несколько тысяч строк кода. «Мы считаем, — говорит он, — что успех защитников во многом зависит от того, как организаторам удастся отразить в соревновании этот аспект реального мира».
Павел Сорокин делает ставку на опыт и хорошо выполненную подготовку: «Мы будем стремиться к победе! Мы готовимся к Противостоянию и надеемся, что наши заготовки помогут нам добиться цели». Ну а Antichat и вовсе не оставляет защитникам никаких шансов.
***
Чем ответит на этот вызов защита? Ответ на этот вопрос в нашем следующем материале. Следите за новостями!
Напоминаем, что форум состоится 23—24 мая 2017 года в московском Центре международной торговли. Билеты на Positive Hack Days можно купить здесь.
Бизнес-партнер форума Positive Hack Days — MONT, партнеры форума ─ компании «Ростелеком», R-Vision, «Лаборатория Касперского», IBM, Microsoft, Solar Security, «ИнфоТеКС» и SAP; спонсоры форума — «Аксофт», Web Control, ГК ANGARA, Check Point, McAfee, Symantec; партнеры Противостояния — Palo Alto Networks, «ICL Системные технологии», Beyond Security; участники Противостояния — компании «Информзащита», «Перспективный мониторинг», «Инфосистемы Джет», «КРОК»; технологические партнеры — Cisco, CompTek, Acronis, Synack, ARinteg, Qrator, Wallarm, Zecrion, «Актив», QIWI, PROSOFT и Advantech; генеральный информационный партнер Positive Hack Days — государственное информационное агентство ТАСС.