Новости
Конкурентная разведка на PHDays: шпионим через Интернет вещей
Автор: Ярослав Бабин, старший специалист отдела безопасности банковских систем Positive Technologies Онлайновый конкурс по конкурентной разведке проводится на конференции Positive Hack Days уже шестой год подряд - и наглядно показывает, как легко в современном мире получить различную ценную информацию о людях и компаниях. При этом обычно даже не нужно ничего взламывать: все секреты разбросаны в общедоступных сетях. В этом обзоре мы расскажем, какие были задания на «Конкурентной разведке» 2017 года, как их нужно было решать, и кто победил в конкурсе.
Хроники Противостояния: как взломать весь город за два дня
Давно известно, что битвы ИБ-специалистов с сетевыми злоумышленниками выглядят как красивые зрелища только в голливудском кино. А на деле и реальные атаки, и конкурсы по безопасности чаще напоминают математические олимпиады, красоту которых могут оценить лишь немногие. Тем не менее, в этом году организаторы «Противостояния», главного конкурса конференции Positive Hack Days VII, сделали все возможное, чтобы решить эту противоречивую задачу — сделать состязание максимально приближенным к реальности, но при этом достаточно понятным и интересным для всех остальных посетителей конференции. И нам кажется, это удалось. Всего за тридцать часов конкурса команды хакеров, состоящие из профессиональных пентестеров и этичных хакеров, продемонстрировали целый ряд успешных атак на объекты и инфраструктуры современного города, активно используя и беспроводную связь, и низкоуровневые уязвимости промышленных систем управления, и простые брутфорсы, и сложные многоступенчатые схемы вторжения. В данной статье мы попробуем восстановить хронологию основных событий, а также подвести некоторые итоги наших масштабных киберучений. Первый день: разведка и разминка 11:00 Участники «Противостояния» рассаживаются на свои места, изучают стенды. Команды атакующих начинают делать первые сканирования сетей. Команды защитников продолжают настраивать системы защиты и начинают изучать трафик. А защищать им нужно целый город, в котором функционируют телеком-оператор, два офиса компаний, ТЭЦ, электрическая подстанция, нефтяная и железнодорожная компании. Кроме того, в городе есть целый ряд устройств новомодного Интернета вещей. В соответствии с правилами «Противостояния», команды защитников распределили объекты между собой. 13:00 Одна из хакерских команд делает попытку захода в зону размещения защитников — и выходит из нее с материалами об инфраструктуре и топологии сети. В таких офлайновых атаках применяется социальный инжиниринг. Одна из команд использует поддельный пропуск организаторов, пытаясь получить данные от защитников. Представители другой команды под видом журналистов «социалят» самих организаторов «Противостояния». 14:00 Две команды отправляют на bug bounty первые некритические уязвимости. Одна из уязвимостей найдена в контроллере управления умными домами. 16:00 Пока состязание идет неторопливо: только во второй половине дня команды атакующих начинают набирать очки, в основном благодаря тому, что находят в цифровой инфраструктуре города учетные записи электронной почты и номера кредитных карт. Но награды за такие находки небольшие: от 100 до 500 публей за учетку. Публи — это не опечатка, а виртуальная валюта города. В рейтинге лидирует BIZone: они получили 100 000 за взлом беззащитного интернет-сайта одной из компаний. 17:00 Команда ЦАРКА находит учетные записи в TeamViewer, который используется для удаленного контроля системы управления транспортом в инфраструктуре города. Зайдя под этими учетными записями в диспетчерскую систему, хакеры переключают днем светофоры на ночной режим работы. Но движение транспорта при этом почти не изменяется, а спустя какое-то время все возвращается в нормальный режим работы. 19:00 ЦАРКА резко поднимается на первое место: хакерской группе из Казахстана удалось перехватить SMS самого мэра города. В этих секретных сообщениях обнаружился серьезный компромат, что позволило команде ЦАРКА получить сразу 150 000 публей. Как они это сделали? Прослушали радиоэфир, используя osmocom-телефон либо SDR (у них есть и то, и другое). 22:00 Команды ЦАРКА и BIZone начинают устраивать вылазки по стендам, пытаясь подключаться ко всему, что доступно. 00:00 Самая бдительная команда защитников — Jet Security Team — первой пресекает попытки установить в инфраструктуру городского телекома целый сервер и беспроводную точку доступа. Команда атакующих Vulners хотела поставить свою железку «в разрыв», чтобы получить возможность видеть трафик защитников и через точку доступа управлять ей. 02:00 Команда защитников Jet Security Team пресекает множественные попытки физического подключения к стендам промышленных систем города. Помимо уже упомянутых команд, в таких атаках замечена хакерская группа KanzasCityShuffle.
Победители конкурса киберпанка
Вечер первого дня конференции PHDays VII закончился традиционным выступлением культового проекта «Модель для сборки»: со сцены прочитали рассказы победителей конкурса «Взломанное будущее». На состоявшейся перед чтением церемонии награждения главный судья конкурса, известный российский фантаст Вадим Панов, объявил всех финалистов: 1-е место — Татьяна Руcуберг, рассказ «Вселенная для Дашки» 2-е место — Александр Матюхин, рассказ «Сердце» 3-е место — Ольга Цветкова, рассказ «Кому моя молитва» 4-е место поделили: Глеб Анисимов и Наяна Евка, рассказ «Кома. Вторжение»,Анна Дербенева, рассказ «Люди в стеклянном замке»,Мария Летюхина, рассказ «Первый киборг»,Евгения Райнеш, рассказ «Во всем виноват март» Жюри конкурса также отметило несколько рассказов, которые по сумме баллов были очень близки к попаданию в шорт-лист. Если на основе результатов конкурса вновь будет издаваться сборник, эти рассказы, скорее всего, тоже будут в него включены: «Восьменье» (Лев Шабанов), «Двери саванны» (Эдуард Шауров), «Патер ностер» (Роман Комаров), «Черри» (Юлия Федорищева). Напомним, что рассказы финалистов конкурса прошлых лет (2015 и 2016) опубликованы этой весной в сборнике «Взломанное будущее», который выпустило издательство «Снежный Ком М» в серии «Настоящая фантастика». Книгу можно купить, например, в магазине Ozon.ru — ссылка на книгу. Бизнес-партнер форума Positive Hack Days — MONT, партнеры форума — компании «Ростелеком», R-Vision, «Лаборатория Касперского», IBM, Microsoft, Solar Security, «ИнфоТеКС» и SAP; спонсоры форума — «Аксофт», Web Control, ГК ANGARA, Check Point, McAfee, Symantec; партнеры Противостояния — Palo Alto Networks, «ICL Системные технологии», Beyond Security; участники Противостояния — компании «Информзащита», «Перспективный мониторинг», «Инфосистемы Джет», «КРОК»; в числе технологических партнеров Cisco, CompTek, Acronis, Synack, ARinteg, Qrator Labs, Wallarm, Zecrion, «Актив», QIWI, PROSOFT и Advantech; генеральный информационный партнер Positive Hack Days — государственное информационное агентство ТАСС.
«Эволюция SOC – 2017: план развития»
«Эволюция SOC – 2017: план развития» 23 мая в 15:00 на форуме PHDays 7 состоится секция «Эволюция SOC – 2017: план развития», спонсором которой является компания IBM. В секции будут выступать лидеры рынка SOC – как в плане создания центров мониторинга или предоставления коммерческих сервисов, так и эксплуатации крупнейших в мире in-house SOC: Сбербанк, SAP, Лаборатория Касперского. Кроме того, ожидаются выступления идеологов запуска функций SOC как сервиса из компаний Solar Security и Ростелеком. Несколько докладов будут посвящены дальнейшим идеям развития и трансформации SOC. Так, например, IBM расскажет о когнитивных технологиях в SOC и о том, как обогащение контекстом помогает экспертам центров мониторинга в реагировании на инциденты, а технологии Deep Learning и Data Mining – в выполнении задач Threat Intelligence. Модерировать секцию будут Эльман Бейбутов (IBM), Алексей Качалин и Владимир Бенгин (Positive Technologies). Уже заготовлены непростые вопросы спикерам – так что приходите, будет интересно. Анонс участия IBM в «Противостоянии» Компания IBM в этом году в составе команды «On Rails!» будет защищать ИТ-инфраструктуру железной дороги уже знакомого многим виртуального города. В команду вошли практикующие эксперты из разных компаний – всего семь человек, каждый с многолетним опытом защиты активов как от внешних, так и внутренних угроз информационной безопасности. Команда была сформирована только в середине апреля, но по большому счету это оказалось не так важно – ведь доступ к инфраструктуре предоставили только за пару дней до «Противостояния», а вопрос налаживания коммуникаций внутри команды не стоял., Ее участники – давние друзья, а многие даже работали долгое время в одних компаниях. В «On Rails!” приняты следующие роли: CISO, Cyber CISO, архитектор, специалист по сетям, специалист по ИТ-сервисам, SOC-аналитик и администраторы ИБ. «Весь арсенал планируемых к использованию систем ИБ раскрывать не будем, но 70% функций защиты, контроля и мониторинга будут представлены решениями IBM. И никаких внешних SOC – все сами”, - говорит Эльман Бейбутов, координатор команды “On Rails!”. В этом году ожидается усиление хакерских группировок как в качестве, так и в количестве, но настрой в команде «On Rails!» конструктивный и оптимистичный. Будем вместе следить за результатами «Противостояния» и особенно за возможностью пользоваться железнодорожным сообщением в виртуальном городе.
Противостояние: хакерам скучать не придется
До Противостояния остались считанные часы: напряжение растет, времени на подготовку все меньше, хакеры уже предупредили, что настроены взять реванш и вовсю готовятся к бою. Однако защитники, судя по всему, готовы дать серьезный отпор: традиционно накануне старта кибербитвы мы пытаемся выяснить, что припасено в рукавах у обеих сторон. Участники команд защиты поделились с нами своими стратегическими планами.
R-Vision на PHDays 7: отличная возможность узнать о системе больше!
Компания R-Vision, партнер международного форума PHDays 7, о самых важных своих активностях на грядущем Форуме. Как не превратить построение своего SOCа в долгострой? Генеральный директор компании R-Vision Александр Бондаренко выступит в секции «Эволюция SOC 2017: план развития» (23 мая, 15.00-18.00, зал Валдай). Александр расскажет о том, что будет представлять собой SOC завтрашнего дня. Расскажет о последних тенденциях в SOCостроении: автоматизиации, оркестрации, аналитики. Даст советы по тому, как не превратить свой SOC в долгострой. Приходите! Приглашаем на закрытые демонстрации «От наблюдения к реагированию»Специалисты компании проведут ряд закрытых демонстраций в 12.00, 14.00 и 16.00. Участники познакомятся со сценариями оперативного и активного реагирования системы на инциденты: детектирование вирусного заражения, аномальная сетевая активность, замеченная SIEM, копирование информации на флэшке, отмеченное DLP. Эти мероприятия будут интересны всем, кто хочет познакомиться с работой системы R-Vision IRP или расширить свои навыки. Место проведения уточняйте на стенде компании. Специалисты компании R-Vision будут рады видеть вас на стенде, который располагается в фойе 2 этажа. https://www.phdays.ru/exhibition/
Противостояние: атакующие настроены на реванш
Совсем скоро стартует форум Positive Hack Days, а вместе с ним самая ожидаемая его часть — кибербитва между хакерами и безопасниками Противостояние. В прошлом году, как мы помним, хакерам не удалось захватить город полностью, поэтому один из самых насущных вопросов этого года, который волнует не только участников, но и посетителей форума — удастся ли им взять реванш? Мы побеседовали c командами атакующих, узнали их настрой, планы на игру и, конечно же, прогнозы. Действующие лица В этом году организаторы пересмотрели подход к выбору атакующих, склонившись в сторону профессиональных команд. «Главная наша задача в рамках хакерской части PHDays — максимально наглядно показать хакерский мир людям. Поэтому на роль атакующих были приглашены не только завсегдатаи CTF, но и пентестеры, обладающие богатейшим арсеналом техник по взлому, системным и в то же время весьма творческим подходом к делу», — рассказал член оргкомитета PHDays Михаил Левин. Львиная доля участников — в свободное от Positive Hack Days время :) — успешно трудится на ниве пентеста, и некоторые из них и в Противостоянии участвуют как представители той или иной компании. Итак, на стороне атакующих в Противостоянии версии 2017 года 9 команд: Antichat, Rdot.org, BIZone (БИЗон), PwC Cyber (PwC), Vulners (QIWI), KansasCityShuffle, True0xA3 (Информзащита), «ЦАРКА» (Царка, Казахстан), Hack.ERS (сборная мира). «Кто не умеет нападать, тот не умеет защищать» Некоторые команды серьезно готовились к Противостоянию и, конечно, имеют наполеоновские планы на игру. Команда Antichat, к примеру, обновила свой состав и, как в прошлом году, идет на Противостояние за абсолютной победой. Для команды Rdot.org, участие в соревнованиях — это своего рода традиция. Для команды BIZone, участники которой входят в состав CTF-команд BalaikaCr3w, EpicTeam, — возможность лишний раз поиграть. Поддерживает коллег по цеху и капитан команды Antichat, который считает PHDays неотъемлемым этапом становления и развития любой российской CTF-команды. Хотя планы на то, чтобы получить удовольствие от игры, окунуться в атмосферу и почувствовать дух соревнования, есть у всех (и не зря — уж эти-то планы точно выполнятся и даже перевыполнятся). Хотя для большинства команд участие в Противостоянии — это в первую очередь тренировка, возможность продемонстрировать и проверить свои силы. Не последнюю роль играет и интерес: в реальной жизни, в силу специфики работы, редко получается «пощупать» такую инфраструктуру, как воссоздается на PHDays. «Мы не первый год посещаем PHDays, и в основном участвовали в небольших конкурсах. В этом году мы поняли, что готовы к Противостоянию. Нам важно посмотреть, как ребята будут взаимодействовать друг с другом, наладить правильный процесс среди членов команды, узнать наши слабые и сильные стороны», — поделился участник команды «ЦАРКА» Олжас Сатиев. Рассказывает Павел Сорокин (True0xA3): «У нас большой опыт проведения различных тестов на проникновение, которые позволяют выявить ключевые недостатки в безопасности наших клиентов и предлагать им самые эффективные решения по исключению этих недостатков. PHDays — отличное мероприятие, которое позволяет отточить работу в команде, сплотить сотрудников, нарастить экспертизу при отработке практических кейсов. В этом году мы выступаем под девизом "Кто не умеет нападать, тот не умеет защищать"». C ним согласен и Игорь Булатенко, участник команды Vulners, который также считает, что хороший безопасник должен знать, какие методы и техники будут использоваться злоумышленниками для атаки на его инфраструктуру: «Противостояние позволит побывать в шкуре атакующей стороны, попытаться найти слабые места в хорошо выстроенной системе защиты. Этот опыт, возможно, поможет нам по-новому посмотреть на защиту своих серверов и что-то улучшить».
Lightning Talks: твои пять минут славы на PHDays VII
Lightning Talks: твои пять минут славы на PHDays VII Приглашаем всех принять участие в сессии пятиминутных выступлений на форуме PHDays — Lightning Talks. Идея проста: если вы придумали какую-то полезную тулзу (некоммерческую), ищете соратников в открытый проект или CTF-команду, у вас есть малоизвестный трик, который помогает вам в работе, или безумная идея, — расскажите об этом. Lightning Talks — самый демократичный формат выступлений: каждый может поделиться своими мыслями и получить фидбек. Для слушателей это возможность узнать что-то новое и записаться в интересный проект. В прошлом году на Lightning Talks выступили пять смельчаков, а остальные, похоже, застеснялись. План на этот год — пять застеснялись, а остальные выступили :) Если вы хотите принять участие, то вам нужно зарегистрироваться у организатора секции Андрея Петухова в зале «Селигер». Конференция состоится 23 и 24 мая 2017 года в Москве, в Центре международной торговли. Зарегистрироваться и купить билеты можно здесь. Бизнес-партнер форума Positive Hack Days — MONT, партнеры форума — компании «Ростелеком», R-Vision, IBM, Microsoft, Solar Security, «ИнфоТеКС» и SAP; спонсоры форума — «Аксофт», ГК ANGARA, «Лаборатория Касперского», Check Point, McAfee, Symantec; партнеры Противостояния — Palo Alto Networks, «ICL Системные технологии», Beyond Security; участники Противостояния — компании «Информзащита», «Перспективный мониторинг», «Инфосистемы Джет», «КРОК»; в числе технологических партнеров Cisco, CompTek, Synack, Qrator, Wallarm и QIWI; генеральный информационный партнер Positive Hack Days — государственное информационное агентство ТАСС.
Коротко об участии IBM в форуме PHDays VII
Коротко об участии IBM в форуме PHDays VII Эксперты и специалисты IBM примут участие в практической и сессионной частях форума Positive Hack Days. Они планируют выступить с докладами в профильной секции «Эволюция SOC 2017: план развития» и поделиться международным опытом построения центров оперативного реагирования на инциденты информационной безопасности с использованием возможностей искусственного интеллекта (когнитивных вычислений). Во второй день мероприятия обменяться мнениями с другими участниками форума на сессиях «Антипленарка» и «Практика защиты». Кроме того, специалисты IBM вновь примут участие в качестве защитников в «Противостоянии» в составе команды «On Rails!». Приглашаем посетить стенд IBM, на котором 23 и 24 мая можно будет погрузиться в тематику реагирования на инциденты кибербезопасности. На стенде будет представлена практическая реализация решений по автоматизации процесса реагирования на инциденты IRP (Incident Response Platform) и нового поколения средств защиты рабочих станций и серверов EDR (Endpoint Detect and Response).
PHDays VII ─ место для знакомства с новыми технологическими возможностями
PHDays VII ─ место для знакомства с новыми технологическими возможностями В последнее время количество киберугроз в корпоративном секторе возросло в десятки раз, а киберпреступность это уже давно хорошо организованный бизнес с миллиардными оборотами, использующий новейшие технологии для достижения своих целей. Международный форум по практической безопасности Positive Hack Days является отличной площадкой, на которой производители средств защиты могут поделиться с экспертами отрасли своими знаниями и технологиями по борьбе с киберпреступниками. Компания R-Vision с 2011 г. ведет разработку программных решений, которое позволяют эффективно противостоять современным кибератакам за счет максимальной реализации потенциала команды реагирования на инциденты, и на форуме PHDays мы планируем представить новые возможности системы R-Vision Incident Response Platform. Одним из ключевых аспектов, которому мы хотим в этом году уделить особое внимание, является автоматизация реагирования на инциденты ИБ. Ее основной смысл заключается в возможности предварительной настройки в системе заданных алгоритмов обработки инцидентов, включающих постановку задач, уведомление определенного персонала, выполнение автоматических действий (скриптов) и др. Что позволяет обеспечить практически мгновенную реакцию на обнаруженный инцидент и “тиражирование” уже накопленного опыта устранения последствий инцидентов. Скорость реакции в данном случае является ключевым фактором, так как именно она зачастую определяет масштаб последствий от реализации инцидента. На форуме PHDays будет представлен стенд с развернутой системой R-Vision IRP, где можно будет вживую посмотреть работу продукта. Также в течении дня в будет проходить демонстрация кейсов по автоматическому реагированию на инциденты, связанных с как проведение расследований, так и с автоматическими активными действиями. Мы с удовольствием продемонстрируем все возможности нашей системы, а также поделимся опытом решения актуальных задач на примерах реализованных нами проектов. Ждем на нашем стенде и будем рады пообщаться с вами на форуме. До встречи!