Новости
The Standoff на PHDays: участвуйте в юбилейной битве хакеров и защитников
Уже в пятый раз на Positive Hack Days состоится The Standoff — соревнование между специалистами по компьютерному взлому и защите. Рассказываем о правилах кибербитвы этого года и способах принять в ней участие. Как выглядит поле боя Хорошо знакомый посетителям предыдущих PHDays макет города опять увеличился в размерах. Его инфраструктура повторяет реальный город: здесь есть офисы, заводы, банки, светофоры... И как в реальной жизни — местные компании подвержены рискам информационной безопасности.
The Standoff. Итоги жаркого противостояния на неделе кибербезопасности HITB+CyberWeek 2019
В середине октября в солнечном Абу-Даби разгорелось противостояние специалистов в области кибербезопасности. На протяжении трех дней атакующие (red teams) и защитники (blue teams) сражались в битве The Standoff за цифровое пространство виртуального города, который построила компания Positive Technologies специально для недели кибербезопасности HITB+CyberWeek 2019. The Standoff («Противостояние») — уже успевшее полюбиться сообществу специалистов в области ИБ киберсоревнование, которое компания Positive Technologies ежегодно проводит на международном форуме по практической безопасности . О том, как прошел дебют The Standoff вдали от родины, мы расскажем в этой статье. Напомним, предыдущее Противостояние было в мае на девятом PHDays. Тем, кто не знаком с подробностями, советуем прочитать , где мы разбирали действия команд. Умный город в Абу-Даби Специалисты Positive Technologies развернули на игровой площадке макет индустриального города Kabaka площадью около 17 квадратных метров с несколькими тысячами различных фигурок. На городские коммуникации потребовалось более 100 метров миниатюрных рельсов и более 500 метров проводов. Уменьшенная копия города была призвана наглядно демонстрировать участникам конференции последствия кибератак на критически важную инфраструктуру.
Станьте докладчиком Positive Hack Days 10. Начался Call For Papers
Стартует прием заявок на участие в юбилейном международном форуме по практической безопасности Positive Hack Days. Мы ждем как признанных экспертов, так и молодых специалистов. Лучшие доклады выберет международный программный комитет, в который входят независимые исследователи и ведущие эксперты IT-индустрии. Все желающие выступить c докладом должны отправить заявку до 31 марта. Главная тема PHDays 10 — «Начало». Мы предлагаем всем желающим принять участие в совместной разработке концепции информационной безопасности будущего. Мы ожидаем более 10 000 гостей и участников, среди которых не только хакеры и специалисты по ИБ, но и крупные бизнесмены, известные политики. Нам интересны практика и оригинальные исследования в различных направлениях безопасности: поиск уязвимостей и методы их эксплуатации; средства противодействия атакам; архитектурные проблемы современных вычислительных систем; практика выявления инцидентов, атак и их расследования; threat intelligence и threat hunting; OSINT; расследование действий кибергруппировок; практика построения процессов защиты информационных инфраструктур; методы и приемы разработки защищенного программного обеспечения — безсерверных и облачных приложений, микросервисных архитектур, систем ИИ; формальные модели безопасности приложений; управление рисками безопасности в процессах разработки ПО; безопасность BIOS/UEFI и другого firmware; методы оценки информационных рисков для бизнеса; методы выявления «болевых точек» в бизнес-процессах; методы разработки стратегии информационной безопасности бизнеса. Мы традиционно уделим внимание теме безопасности встраиваемых систем, бытового и промышленного IoT, телекоммуникационных сетей, умного дома и видеонаблюдения (CCTV), безопасности финансовых технологий и инструментов, веб- и бизнес-приложений, а также поговорим о недостатках и уязвимостях блокчейна, об обратной разработке, прикладной криптографии, машинном обучении, вредоносном ПО и разработке эксплойтов. Принять участие в конференции можно в одном из форматов: доклад (50 минут), Fast Track (15 минут) и Hands-on Lab (до 4 часов). Для участия в конференции заполните заявку на странице: .
Открыта продажа билетов на Positive Hack Days 10
Открыта продажа билетов на Positive Hack Days 10 Стартует продажа билетов на юбилейный международный форум по практической безопасности PHDays. Зарегистрироваться и купить билеты можно по этой ссылке начиная с 5 декабря. Как и в предыдущие годы, действует скидка Early Birds: при покупке билетов до 31 января стоимость участия в двух днях форума составит 9600 рублей. Начиная с 1 февраля билет на два дня форума будет стоить 14 400 рублей, а на один день — 9600 рублей. Другие способы попасть на PHDays Есть несколько, в том числе бесплатных, способов оказаться среди участников Positive Hack Days. Один из них — выступить с докладом. Представить результаты своих исследований могут как признанные эксперты, так и начинающие специалисты. Call For Papers скоро стартует – следите за новостями! Помимо этого, получить инвайт на PHDays смогут победители специализированных хакерских конкурсов и участники команд The Standoff. Следите за анонсами — мы представим подробности обо всем этом позже!
Стартует подготовка юбилейного форума «Positive Hack Days 10: Начало»
Стартует подготовка юбилейного форума «Positive Hack Days 10: Начало» Первый известный вирус для персональных компьютеров появился в 1981 году, уже через семь лет сетевой вирус привел к убыткам в 96 млн $, а сегодня мы живем в эру ботнетов, целенаправленных атак и кибероружия. Компьютерная эпоха началась как-то неправильно. Хотите вместе с нами исправить ошибки и построить безопасный мир высоких технологий? Превратить бег по кругу в настоящее развитие? Ждем вас на юбилейном форуме PHDays, который состоится 13–14 мая 2020 года в «Экспоцентре» на Красной Пресне. Мы не только будем говорить о защите и нападении, но и попробуем перезапустить историю. Представляя десятый международный форум по практической безопасности Positive Hack Days, мы предлагаем всем желающим принять участие в совместной разработке концепции информационной безопасности будущего. Мы ожидаем более 10 000 гостей и участников, среди которых не только хакеры и специалисты по ИБ, но и крупные бизнесмены, известные политики. В выставочном зале мы установим десятки стендов, оборудуем тематические зоны по интересам, обеспечим качественную связь и вычислительные мощности для проведения демонстраций систем защиты и взлома. Программа форума включает в себя лекции, конкурсы, соревнования и, конечно, живое общение и обучение в режиме реального времени. Уже в пятый раз на PHDays состоится The Standoff. Это кибербитва между командами атакующих, защитников и экспертных центров безопасности (SOC), хорошо известная гостям форума. На соревнование приглашаются команды крупнейших российских и международных компаний, центры безопасности используют наиболее привычные им средства защиты, а атакующие — самые актуальные техники и методы нападения. За ходом соревнований наблюдает независимый SOC организаторов, развернутый на базе продуктов Positive Technologies — MaxPatrol SIEM, PT Network Attack Discovery, PT Application Firewall, PT MultiScanner, PT Industrial Security Incident Manager — и позволяющий видеть всю карту сражения в режиме онлайн. Неотъемлемая часть The Standoff — киберполигон, на котором эксперты Positive Technologies воссоздают инфраструктуру современного города. Это цифровая среда, включающая корпоративные системы крупных компаний, промышленные предприятия, другую критическую инфраструктуру. На полигоне используются реальные системы АСУ ТП, SCADA и PLC ведущих отечественных и иностранных производителей. Формат киберучений, в котором проводится соревнование, позволяет специалистам по информационной безопасности, представителям госсектора и бизнеса, разработчикам и журналистам понять реальные угрозы сегодняшнего дня. Для компаний-участников это уникальная возможность отработать защиту инфраструктуры в сложных условиях настоящего прессинга со стороны хакеров. Встречаемся 13 и 14 мая в «Экспоцентре» на Красной Пресне на «Positive Hack Days 10: Начало»!
В Абу-Даби состоялся The Standoff: киберсражение за город вышло на международную арену
Турнир прошел на одной из самых известных международных конференций по кибербезопасности HITB⁺ CyberWeek¹, лучшими стали специалисты из России В Объединенных Арабских Эмиратах была построена реалистичная модель цифрового мегаполиса для проведения трехдневного турнира The Standoff («Противостояние»), в котором приняли участие более 60 специалистов по ИБ из разных стран. Атакующие команды (red teams) пытались украсть деньги из банка, спровоцировать разлив нефти, парализовать железнодорожное сообщение, устроить транспортный коллапс и свести с ума уличное освещение виртуального города. Им противостояли группы специалистов по безопасности (blue teams). The Standoff — не просто одна из игр типа capture the flag. В отличие от классического CTF, на площадке присутствуют не только атакующие, но и защитники. Инфраструктура города Kabakas представлена в виде большого макета площадью около 17 квадратных метров, который дает зрителям возможность наблюдать последствия атак. Для управления объектами используются современные системы и оборудование (АСУ ТП, ДБО, автоматизация зданий). Это позволяет профессионалам моделировать реальные ситуации, оттачивая навыки защиты информации и мониторинга безопасности. Соревнование впервые прошло на форуме по практической безопасности PHDays в 2016 году в Москве, организатором которого является Positive Technologies. От колеса обозрения до химического завода В The Standoff приняли участие три команды защитников и 9 команд атакующих. Защитники обеспечивали безопасность трех городских предприятий — нефтехимического, транспортного и энергетического. Среди объектов были завод по производству аммиака и электрическая подстанция, нефтехранилище и транспортный узел для перевозки нефтепродуктов, железная дорога, системы управления светофорами и уличным освещением, системы отопления и кондиционирования — и даже колесо обозрения. В городе также был свой банк. «Многие команды, привыкшие к классическому сбору флагов CTF, не сразу разобрались, как действовать наиболее эффективно, — отметил один из организаторов The Standoff Михаил Левин. — Как и в реальной жизни, на The Standoff можно было использовать практически все излюбленные хакерские техники. И даже больше: только умелая их комбинация позволит победить в Противостоянии. Специалисты, игравшие "за плохих парней", могли осуществлять настоящие APT-атаки или даже диверсии, такие как разлив нефти, отключение городского освещения или аварии на железной дороге. Подобные угрозы интернациональны, и подготовка к ним должна вестись не только в теории. В реальной жизни службы ИБ, как правило, имеют ограниченный набор средств защиты, поэтому у наших защитников были лишь системы NGFW и WAF, которые тем не менее очень сильно осложняли жизнь хакерам. Все атаки в лоб автоматически блокировались этими средствами, так что атакующим приходилось маскироваться и видоизменять стандартные инструменты. Мы смогли экспортировать конкурс, придуманный на PHDays, на одну из крупнейших хакерских площадок мира, и теперь гораздо больше специалистов по всему миру смогут стать участниками хакерских баталий в этом реалистичном формате». Хронология атак Атакующие могли получать игровую валюту, похищая деньги с банковских счетов, добывая криптовалюту на взломанных хостах и участвуя в программе bug bounty. Но большая часть денег добывалась за счет выполнения заданий. В первый день большинство атакующих команд вели разведку на основе открытых источников (OSINT): обнаружив корпоративные почтовые адреса всех трех компаний, они успешно продали их спамерам. Несколько команд сообщили о незначительных уязвимостях через программу bug bounty, но не смогли использовать их для повышения привилегий в инфраструктуре компаний. По итогам дня защитники не сообщали об инцидентах. Во второй день атакующие команды продолжили находить ценную информацию (адреса электронной почты и телефоны) на корпоративных веб-сайтах и продавать ее спамерам. Однако две команды продвинулись немного дальше. Команда True0xA3 из российской «Информзащиты», ранее выигравшая аналогичное «Противостояние» на PHDays 9, попала в корпоративную сеть нефтяной компании, где нашла конфиденциальные письма и информацию о зарплатах руководителей. За это она получила 500 000 баллов. Также очень эффективно работала объединенная команда Team 404, собранная из серебряных и бронзовых призеров CTF Cyber Battle of the Emirates, проходившего на том же форуме HITB. Они получили доступ к банковским счетам трети населения города (50 из 150 счетов, на каждом из счетов было 13 500 единиц игровой валюты) и сумели автоматизировать перевод денег в офшорный банк. К концу дня команда получила 660 843 балла. Кроме того, в ходе второго дня защитники энергетической компании из команды Short Notice (ОАЭ) заметили вредоносную активность (использование уязвимостей и загрузку вредоносного шелл-кода) на границе своей сети, провели расследование и сообщили о действиях хакеров. В результате хакеры были заблокированы и устранены из сети компании. Уязвимости, которыми они воспользовались, были исправлены. На третий день команда True0xA3 попала в технологическую сеть нефтяной компании и смогла нарушить штатный техпроцесс, перекрыв клапан, в результате чего нефть не могла поступать дальше по трубам. Кроме того команда решила второе задание — изменила максимальные значения уровня нефти в цистерне, в результате чего нефть переполнила резервуар, что привело к разливу нефти. Результаты В нападении победителем The Standoff стала команда True0xA3. Только они (помимо команды n0x) нашли способ «майнить» криптовалюту и получили доступ к хостам в инфраструктуре компаний. Это позволило им выполнить два дорогостоящих задания и вырвать победу у Team 404. Объединенная команда Team 404 заняла второе место; они выяснили, как получить деньги с банковских счетов. Лучшей командой защитников (best blue team) стала Short Notice. Ее участники наиболее корректно обеспечивали доступность защищаемых сервисов и регулярно отчитывались об инцидентах, в частности об установленных в инфраструктуре майнерах, скомпрометированных учетных записях; сообщили о выявлении stager (небольшого payload-модуля, цель которого внедриться и «втащить» за собой в систему остальную полезную нагрузку). «В дальнейших планах — достижение договоренностей с крупнейшими конференциями по информационной безопасности и постепенное превращение The Standoff в стандарт де-факто для соревнований в области ИБ, — отметил Михаил Левин. — Параллельно мы будем стремиться к тому, чтобы The Standoff работал в режиме 24/7/365, чтобы команды из различных компаний могли дистанционно участвовать в конкурсе и тренировать свои навыки. Два или три дня — объективно мало для проведения многоступенчатых атак на незнакомый объект или освоения сложных техник выявления угроз. Круглогодичная доступность позволит всем извлечь из этого формата гораздо больше пользы». Hack In The Box
Итоги кибербитвы The Standoff, или Как PT Expert Security Center следил за атакующими
На Positive Hack Days уже в четвертый раз проводилось соревнование The Standoff: это кибербитва между командами атакующих, защитников и экспертных центров безопасности (SOC) за контроль над инфраструктурой виртуального города F. Перед атакующими стояли те же цели, к которым обычно стремятся киберпреступники, — украсть деньги из банка, похитить конфиденциальные данные, устроить технологическую аварию. Они старались выполнить задания, а команды защитников совместно с командами SOC обеспечивали безопасность своих предприятий и были готовы оперативно отражать атаки противников. Также в этом году к соревнованию присоединились команды разработчиков: в рамках The Standoff проводился хакатон, о его результатах мы уже рассказывали в предыдущей статье. За ходом The Standoff наблюдал экспертный центр безопасности Positive Technologies (PT Expert Security Center). Наши спецы проанализировали события, которые были зафиксированы средствами защиты Positive Technologies — MaxPatrol SIEM, PT Network Attack Discovery, PT Application Firewall, PT MultiScanner, PT ISIM. С их помощью была восстановлена полная картина противостояния. В этой статье мы расскажем о том, что происходило на площадке и как действовали команды при атаках на различные предприятия и на инфраструктуру города. Для тех, кому лень читать лонгриды, есть сокращенная версия отчета на Anti-Malware. Инфраструктура города F Город F стал значительно больше, чем раньше. По сюжету это был современный цифровой мегаполис. Основные промышленные предприятия города — ТЭЦ, нефтеперерабатывающий и химический заводы, которыми управлял холдинг Big Bro Group. Все производственные процессы контролировались современными АСУ ТП. В городе F функционировали аэропорт, морской порт и железная дорога. Здесь же располагался офис авиакомпании Hedgehog Airlines и штаб-квартира морского перевозчика Heavy Ship Logistics. Городская инфраструктура включала в себя многочисленные офисы: IT-компанию Future Electronics, страховую компанию Behealthy, медиахолдинг City-F Media Group и даже футбольный клуб Voshod. На улицах было оживленное автомобильное движение, а управление светофорами, освещение дорог — полностью автоматизированы. В городе проживало многочисленное население: люди работали в офисах и на производстве, жили в современных домах и пользовались всеми благами цифровых технологий — сервисами банка E-Coin Bank и услугами сотовой связи и доступа в интернет от национального телеком-оператор Future TeleCom.
По следам Industrial Ninja: как взламывали ПЛК на PHDays 9
На прошедшем PHDays 9 мы проводили соревнование по взлому завода по перекачке газа — конкурс Industrial Ninja. На площадке было три стенда с различными параметрами безопасности (No Security, Low Security, High Security), эмулирующих одинаковый индустриальный процесс: в воздушный шар закачивался (а потом спускался) воздух под давлением. Несмотря на разные параметры безопасности, аппаратный состав стендов был одинаков: ПЛК Siemens Simatic серии S7-300; кнопка аварийного сдува и прибор измерения давления (подсоединены к цифровым входам ПЛК (DI)); клапаны, работающие на накачку и спуск воздуха (подсоединены к цифровым выходам ПЛК (DO)) — см. рисунок ниже.
Как проходил первый хакатон на The Standoff
На PHDays 9 впервые в рамках кибербитвы The Standoff состоялся хакатон для разработчиков. Пока защитники и атакующие в течение двух дней боролись за контроль над городом, разработчики должны были обновлять заранее написанные и развернутые приложения, а также обеспечивать их бесперебойную работу под шквалом атак. Рассказываем, что из этого получилось. К участию в хакатоне принимались только некоммерческие проекты, представленные их авторами. Мы получили заявки от четырех проектов, но отбор прошел только один — bitaps (bitaps.com). Команда занимается аналитикой блокчейна биткойна, эфириума и других альтернативных криптовалют, осуществляет процессинг платежей и разрабатывает криптовалютный кошелек. За несколько дней до начала соревнования участники получили удаленный доступ в игровую инфраструктуру для инсталляции своего приложения (оно было размещено в незащищенном сегменте). На The Standoff нападающие, помимо объектов инфраструктуры виртуального города, должны были атаковать приложение и писать отчеты bug bounty на найденные уязвимости. После того как организаторы подтверждали наличие ошибок, разработчики по желанию могли их исправить. За все подтвержденные уязвимости команда атакующих получала вознаграждение в публях (игровая валюта The Standoff), а команда разработки штрафовалась. Также по условиям соревнования организаторы могли ставить участникам задачи по доработке приложения: при этом важно было реализовать новую функциональность, не допустив ошибок, влияющих на безопасность сервиса. За каждую минуту корректной работы приложения и за реализацию доработок разработчикам начислялись драгоценные публи. Если в проекте была найдена уязвимость, а также за каждую минуту простоя или некорректной работы приложения — они списывались. За этим внимательно следили наши роботы: если они обнаруживали проблему, мы сообщали об этом команде bitaps, давая им шанс устранить проблему. Если она не устранялась — это приводило к убыткам. Все как в жизни! В первый день соревнования атакующие прощупывали сервис. К концу дня мы получили всего несколько отчетов о незначительных уязвимостях в приложении, которые ребята из bitaps оперативно исправили. Где-то в 23 часа, когда участники уже собрались заскучать, они получили от нас предложение по доработке ПО. Задача была непростой. Нужно было на основе имеющегося в приложении процессинга платежей реализовать сервис, который позволял бы переводить токены между двумя кошельками по ссылке. Отправитель платежа — пользователь сервиса — на специальной странице должен ввести сумму и указать пароль к этому переводу. Система должна сгенерировать уникальную ссылку, которая отправляется получателю платежа. Получатель открывает ссылку, вводит пароль к переводу и указывает свой кошелек для получения суммы. Получив задание, ребята оживились, и уже к 4 часам утра сервис по переводу токенов по ссылке был готов. Атакующие не заставили себя ждать и уже через несколько часов обнаружили незначительную XSS-уязвимость в созданном сервисе и сообщили о ней нам. Мы проверили и подтвердили ее наличие. Команда разработки успешно ее устранила. Во второй день хакеры сконцентрировали свое внимание на офисном сегменте виртуального города, поэтому больше атак на приложение не было, и разработчики наконец-то могли отдохнуть от бессонной ночи.
Конкурс IDS Bypass на PHDays
На международном форуме Positive Hack Days 2019 впервые проходил конкурс IDS Bypass. Участникам надо было исследовать сегмент сети из пяти узлов, дальше либо эксплуатировать уязвимость сервиса, либо выполнить заданное условие (например, послать определенный HTTP-ответ) и таким образом добыть флаг. Найти эксплойт было легко, но задачу усложняла IDS: система стояла между участниками и узлами и проверяла каждый сетевой пакет. Атакующие видели на дашборде, если сигнатура блокировала их соединение. Ниже я расскажу подробно о самих заданиях и разберу их решение.