Новости
Стартует подготовка юбилейного форума «Positive Hack Days 10: Начало»
Стартует подготовка юбилейного форума «Positive Hack Days 10: Начало» Первый известный вирус для персональных компьютеров появился в 1981 году, уже через семь лет сетевой вирус привел к убыткам в 96 млн $, а сегодня мы живем в эру ботнетов, целенаправленных атак и кибероружия. Компьютерная эпоха началась как-то неправильно. Хотите вместе с нами исправить ошибки и построить безопасный мир высоких технологий? Превратить бег по кругу в настоящее развитие? Ждем вас на юбилейном форуме PHDays, который состоится 13–14 мая 2020 года в «Экспоцентре» на Красной Пресне. Мы не только будем говорить о защите и нападении, но и попробуем перезапустить историю. Представляя десятый международный форум по практической безопасности Positive Hack Days, мы предлагаем всем желающим принять участие в совместной разработке концепции информационной безопасности будущего. Мы ожидаем более 10 000 гостей и участников, среди которых не только хакеры и специалисты по ИБ, но и крупные бизнесмены, известные политики. В выставочном зале мы установим десятки стендов, оборудуем тематические зоны по интересам, обеспечим качественную связь и вычислительные мощности для проведения демонстраций систем защиты и взлома. Программа форума включает в себя лекции, конкурсы, соревнования и, конечно, живое общение и обучение в режиме реального времени. Уже в пятый раз на PHDays состоится The Standoff. Это кибербитва между командами атакующих, защитников и экспертных центров безопасности (SOC), хорошо известная гостям форума. На соревнование приглашаются команды крупнейших российских и международных компаний, центры безопасности используют наиболее привычные им средства защиты, а атакующие — самые актуальные техники и методы нападения. За ходом соревнований наблюдает независимый SOC организаторов, развернутый на базе продуктов Positive Technologies — MaxPatrol SIEM, PT Network Attack Discovery, PT Application Firewall, PT MultiScanner, PT Industrial Security Incident Manager — и позволяющий видеть всю карту сражения в режиме онлайн. Неотъемлемая часть The Standoff — киберполигон, на котором эксперты Positive Technologies воссоздают инфраструктуру современного города. Это цифровая среда, включающая корпоративные системы крупных компаний, промышленные предприятия, другую критическую инфраструктуру. На полигоне используются реальные системы АСУ ТП, SCADA и PLC ведущих отечественных и иностранных производителей. Формат киберучений, в котором проводится соревнование, позволяет специалистам по информационной безопасности, представителям госсектора и бизнеса, разработчикам и журналистам понять реальные угрозы сегодняшнего дня. Для компаний-участников это уникальная возможность отработать защиту инфраструктуры в сложных условиях настоящего прессинга со стороны хакеров. Встречаемся 13 и 14 мая в «Экспоцентре» на Красной Пресне на «Positive Hack Days 10: Начало»!
В Абу-Даби состоялся The Standoff: киберсражение за город вышло на международную арену
Турнир прошел на одной из самых известных международных конференций по кибербезопасности HITB⁺ CyberWeek¹, лучшими стали специалисты из России В Объединенных Арабских Эмиратах была построена реалистичная модель цифрового мегаполиса для проведения трехдневного турнира The Standoff («Противостояние»), в котором приняли участие более 60 специалистов по ИБ из разных стран. Атакующие команды (red teams) пытались украсть деньги из банка, спровоцировать разлив нефти, парализовать железнодорожное сообщение, устроить транспортный коллапс и свести с ума уличное освещение виртуального города. Им противостояли группы специалистов по безопасности (blue teams). The Standoff — не просто одна из игр типа capture the flag. В отличие от классического CTF, на площадке присутствуют не только атакующие, но и защитники. Инфраструктура города Kabakas представлена в виде большого макета площадью около 17 квадратных метров, который дает зрителям возможность наблюдать последствия атак. Для управления объектами используются современные системы и оборудование (АСУ ТП, ДБО, автоматизация зданий). Это позволяет профессионалам моделировать реальные ситуации, оттачивая навыки защиты информации и мониторинга безопасности. Соревнование впервые прошло на форуме по практической безопасности PHDays в 2016 году в Москве, организатором которого является Positive Technologies. От колеса обозрения до химического завода В The Standoff приняли участие три команды защитников и 9 команд атакующих. Защитники обеспечивали безопасность трех городских предприятий — нефтехимического, транспортного и энергетического. Среди объектов были завод по производству аммиака и электрическая подстанция, нефтехранилище и транспортный узел для перевозки нефтепродуктов, железная дорога, системы управления светофорами и уличным освещением, системы отопления и кондиционирования — и даже колесо обозрения. В городе также был свой банк. «Многие команды, привыкшие к классическому сбору флагов CTF, не сразу разобрались, как действовать наиболее эффективно, — отметил один из организаторов The Standoff Михаил Левин. — Как и в реальной жизни, на The Standoff можно было использовать практически все излюбленные хакерские техники. И даже больше: только умелая их комбинация позволит победить в Противостоянии. Специалисты, игравшие "за плохих парней", могли осуществлять настоящие APT-атаки или даже диверсии, такие как разлив нефти, отключение городского освещения или аварии на железной дороге. Подобные угрозы интернациональны, и подготовка к ним должна вестись не только в теории. В реальной жизни службы ИБ, как правило, имеют ограниченный набор средств защиты, поэтому у наших защитников были лишь системы NGFW и WAF, которые тем не менее очень сильно осложняли жизнь хакерам. Все атаки в лоб автоматически блокировались этими средствами, так что атакующим приходилось маскироваться и видоизменять стандартные инструменты. Мы смогли экспортировать конкурс, придуманный на PHDays, на одну из крупнейших хакерских площадок мира, и теперь гораздо больше специалистов по всему миру смогут стать участниками хакерских баталий в этом реалистичном формате». Хронология атак Атакующие могли получать игровую валюту, похищая деньги с банковских счетов, добывая криптовалюту на взломанных хостах и участвуя в программе bug bounty. Но большая часть денег добывалась за счет выполнения заданий. В первый день большинство атакующих команд вели разведку на основе открытых источников (OSINT): обнаружив корпоративные почтовые адреса всех трех компаний, они успешно продали их спамерам. Несколько команд сообщили о незначительных уязвимостях через программу bug bounty, но не смогли использовать их для повышения привилегий в инфраструктуре компаний. По итогам дня защитники не сообщали об инцидентах. Во второй день атакующие команды продолжили находить ценную информацию (адреса электронной почты и телефоны) на корпоративных веб-сайтах и продавать ее спамерам. Однако две команды продвинулись немного дальше. Команда True0xA3 из российской «Информзащиты», ранее выигравшая аналогичное «Противостояние» на PHDays 9, попала в корпоративную сеть нефтяной компании, где нашла конфиденциальные письма и информацию о зарплатах руководителей. За это она получила 500 000 баллов. Также очень эффективно работала объединенная команда Team 404, собранная из серебряных и бронзовых призеров CTF Cyber Battle of the Emirates, проходившего на том же форуме HITB. Они получили доступ к банковским счетам трети населения города (50 из 150 счетов, на каждом из счетов было 13 500 единиц игровой валюты) и сумели автоматизировать перевод денег в офшорный банк. К концу дня команда получила 660 843 балла. Кроме того, в ходе второго дня защитники энергетической компании из команды Short Notice (ОАЭ) заметили вредоносную активность (использование уязвимостей и загрузку вредоносного шелл-кода) на границе своей сети, провели расследование и сообщили о действиях хакеров. В результате хакеры были заблокированы и устранены из сети компании. Уязвимости, которыми они воспользовались, были исправлены. На третий день команда True0xA3 попала в технологическую сеть нефтяной компании и смогла нарушить штатный техпроцесс, перекрыв клапан, в результате чего нефть не могла поступать дальше по трубам. Кроме того команда решила второе задание — изменила максимальные значения уровня нефти в цистерне, в результате чего нефть переполнила резервуар, что привело к разливу нефти. Результаты В нападении победителем The Standoff стала команда True0xA3. Только они (помимо команды n0x) нашли способ «майнить» криптовалюту и получили доступ к хостам в инфраструктуре компаний. Это позволило им выполнить два дорогостоящих задания и вырвать победу у Team 404. Объединенная команда Team 404 заняла второе место; они выяснили, как получить деньги с банковских счетов. Лучшей командой защитников (best blue team) стала Short Notice. Ее участники наиболее корректно обеспечивали доступность защищаемых сервисов и регулярно отчитывались об инцидентах, в частности об установленных в инфраструктуре майнерах, скомпрометированных учетных записях; сообщили о выявлении stager (небольшого payload-модуля, цель которого внедриться и «втащить» за собой в систему остальную полезную нагрузку). «В дальнейших планах — достижение договоренностей с крупнейшими конференциями по информационной безопасности и постепенное превращение The Standoff в стандарт де-факто для соревнований в области ИБ, — отметил Михаил Левин. — Параллельно мы будем стремиться к тому, чтобы The Standoff работал в режиме 24/7/365, чтобы команды из различных компаний могли дистанционно участвовать в конкурсе и тренировать свои навыки. Два или три дня — объективно мало для проведения многоступенчатых атак на незнакомый объект или освоения сложных техник выявления угроз. Круглогодичная доступность позволит всем извлечь из этого формата гораздо больше пользы». Hack In The Box
Итоги кибербитвы The Standoff, или Как PT Expert Security Center следил за атакующими
На Positive Hack Days уже в четвертый раз проводилось соревнование The Standoff: это кибербитва между командами атакующих, защитников и экспертных центров безопасности (SOC) за контроль над инфраструктурой виртуального города F. Перед атакующими стояли те же цели, к которым обычно стремятся киберпреступники, — украсть деньги из банка, похитить конфиденциальные данные, устроить технологическую аварию. Они старались выполнить задания, а команды защитников совместно с командами SOC обеспечивали безопасность своих предприятий и были готовы оперативно отражать атаки противников. Также в этом году к соревнованию присоединились команды разработчиков: в рамках The Standoff проводился хакатон, о его результатах мы уже рассказывали в предыдущей статье. За ходом The Standoff наблюдал экспертный центр безопасности Positive Technologies (PT Expert Security Center). Наши спецы проанализировали события, которые были зафиксированы средствами защиты Positive Technologies — MaxPatrol SIEM, PT Network Attack Discovery, PT Application Firewall, PT MultiScanner, PT ISIM. С их помощью была восстановлена полная картина противостояния. В этой статье мы расскажем о том, что происходило на площадке и как действовали команды при атаках на различные предприятия и на инфраструктуру города. Для тех, кому лень читать лонгриды, есть сокращенная версия отчета на Anti-Malware. Инфраструктура города F Город F стал значительно больше, чем раньше. По сюжету это был современный цифровой мегаполис. Основные промышленные предприятия города — ТЭЦ, нефтеперерабатывающий и химический заводы, которыми управлял холдинг Big Bro Group. Все производственные процессы контролировались современными АСУ ТП. В городе F функционировали аэропорт, морской порт и железная дорога. Здесь же располагался офис авиакомпании Hedgehog Airlines и штаб-квартира морского перевозчика Heavy Ship Logistics. Городская инфраструктура включала в себя многочисленные офисы: IT-компанию Future Electronics, страховую компанию Behealthy, медиахолдинг City-F Media Group и даже футбольный клуб Voshod. На улицах было оживленное автомобильное движение, а управление светофорами, освещение дорог — полностью автоматизированы. В городе проживало многочисленное население: люди работали в офисах и на производстве, жили в современных домах и пользовались всеми благами цифровых технологий — сервисами банка E-Coin Bank и услугами сотовой связи и доступа в интернет от национального телеком-оператор Future TeleCom.
По следам Industrial Ninja: как взламывали ПЛК на PHDays 9
На прошедшем PHDays 9 мы проводили соревнование по взлому завода по перекачке газа — конкурс Industrial Ninja. На площадке было три стенда с различными параметрами безопасности (No Security, Low Security, High Security), эмулирующих одинаковый индустриальный процесс: в воздушный шар закачивался (а потом спускался) воздух под давлением. Несмотря на разные параметры безопасности, аппаратный состав стендов был одинаков: ПЛК Siemens Simatic серии S7-300; кнопка аварийного сдува и прибор измерения давления (подсоединены к цифровым входам ПЛК (DI)); клапаны, работающие на накачку и спуск воздуха (подсоединены к цифровым выходам ПЛК (DO)) — см. рисунок ниже.
Как проходил первый хакатон на The Standoff
На PHDays 9 впервые в рамках кибербитвы The Standoff состоялся хакатон для разработчиков. Пока защитники и атакующие в течение двух дней боролись за контроль над городом, разработчики должны были обновлять заранее написанные и развернутые приложения, а также обеспечивать их бесперебойную работу под шквалом атак. Рассказываем, что из этого получилось. К участию в хакатоне принимались только некоммерческие проекты, представленные их авторами. Мы получили заявки от четырех проектов, но отбор прошел только один — bitaps (bitaps.com). Команда занимается аналитикой блокчейна биткойна, эфириума и других альтернативных криптовалют, осуществляет процессинг платежей и разрабатывает криптовалютный кошелек. За несколько дней до начала соревнования участники получили удаленный доступ в игровую инфраструктуру для инсталляции своего приложения (оно было размещено в незащищенном сегменте). На The Standoff нападающие, помимо объектов инфраструктуры виртуального города, должны были атаковать приложение и писать отчеты bug bounty на найденные уязвимости. После того как организаторы подтверждали наличие ошибок, разработчики по желанию могли их исправить. За все подтвержденные уязвимости команда атакующих получала вознаграждение в публях (игровая валюта The Standoff), а команда разработки штрафовалась. Также по условиям соревнования организаторы могли ставить участникам задачи по доработке приложения: при этом важно было реализовать новую функциональность, не допустив ошибок, влияющих на безопасность сервиса. За каждую минуту корректной работы приложения и за реализацию доработок разработчикам начислялись драгоценные публи. Если в проекте была найдена уязвимость, а также за каждую минуту простоя или некорректной работы приложения — они списывались. За этим внимательно следили наши роботы: если они обнаруживали проблему, мы сообщали об этом команде bitaps, давая им шанс устранить проблему. Если она не устранялась — это приводило к убыткам. Все как в жизни! В первый день соревнования атакующие прощупывали сервис. К концу дня мы получили всего несколько отчетов о незначительных уязвимостях в приложении, которые ребята из bitaps оперативно исправили. Где-то в 23 часа, когда участники уже собрались заскучать, они получили от нас предложение по доработке ПО. Задача была непростой. Нужно было на основе имеющегося в приложении процессинга платежей реализовать сервис, который позволял бы переводить токены между двумя кошельками по ссылке. Отправитель платежа — пользователь сервиса — на специальной странице должен ввести сумму и указать пароль к этому переводу. Система должна сгенерировать уникальную ссылку, которая отправляется получателю платежа. Получатель открывает ссылку, вводит пароль к переводу и указывает свой кошелек для получения суммы. Получив задание, ребята оживились, и уже к 4 часам утра сервис по переводу токенов по ссылке был готов. Атакующие не заставили себя ждать и уже через несколько часов обнаружили незначительную XSS-уязвимость в созданном сервисе и сообщили о ней нам. Мы проверили и подтвердили ее наличие. Команда разработки успешно ее устранила. Во второй день хакеры сконцентрировали свое внимание на офисном сегменте виртуального города, поэтому больше атак на приложение не было, и разработчики наконец-то могли отдохнуть от бессонной ночи.
Конкурс IDS Bypass на PHDays
На международном форуме Positive Hack Days 2019 впервые проходил конкурс IDS Bypass. Участникам надо было исследовать сегмент сети из пяти узлов, дальше либо эксплуатировать уязвимость сервиса, либо выполнить заданное условие (например, послать определенный HTTP-ответ) и таким образом добыть флаг. Найти эксплойт было легко, но задачу усложняла IDS: система стояла между участниками и узлами и проверяла каждый сетевой пакет. Атакующие видели на дашборде, если сигнатура блокировала их соединение. Ниже я расскажу подробно о самих заданиях и разберу их решение.
Разбор заданий конкурса AI CTF
На PHDays 9 мы решили рассмотреть с практической стороны модную сегодня тему безопасности машинного обучения. Для этого мы создали онлайн-конкурс AI CTF (capture the flag) формата task-based, с заданиями, посвященными безопасности применения техник искусственного интеллекта.
Разбор конкурса «Конкурентная разведка» на PHDays 9
Восьмой год традиционный конкурс «Конкурентная разведка» предлагает участникам попробовать свои силы в поиске информации и между делом изучить новые техники OSINT. В этом году все задания были сосредоточены вокруг вымышленной ИБ-компании, позиционирующей себя как компанию — эксперта одной уязвимости. Участники конкурса должны были найти информацию о людях, связанных с этой организацией, не прибегая ко взлому, а полагаясь исключительно на помощь различных источников с просторов сети и на собственную смекалку. Конкурс включал 19 заданий, за каждое из которых начислялось определенное количество баллов по степени сложности: Company real name IDOR specialist username IDOR specialist location IDOR specialist work e-mail IDOR specialist personal e-mail Secret employee mobile phone Secret employee username Secret employee birthday Secret employee university Nightly programmer private username What the flag? Second employee IM username IP used in PoC Alexander's real lastname Peter's primary e-mail Peter's secondary e-mail Peter's password Donation wallet number Software which was downloaded from IP 77.71.34.171 В этой статье мы разберем, как можно было решить каждое задание. Company real name — 10 В начале соревнования участники получили описание некоторой компании: nfsg64ttmvrxk4tjor4q. Для решения первого задания необходимо было воспользоваться поиском Google. На запрос выдавалась информация о домене компании:
Победители кибербитвы The Standoff на PHDays автоматически прошли квалификацию на HITB CyberWeek
Победители кибербитвы The Standoff на PHDays автоматически прошли квалификацию на HITB CyberWeek С 12 по 17 октября на конференции HITB CyberWeek в Абу-Даби 25 лучших CTF-команд мира поборются за приз в 100 000 долларов США. Лучшие атакующие коллективы The Standoff с последних двух Positive Hack Days (True0xA3 и Hack.ERS) получили приглашение участвовать в финале соревнования в ОАЭ. «Организуемая с 2002 года на общественных началах конференция Hack in The Box — одно из важнейших событий в информационной безопасности во всем мире. А HITB CyberWeek можно назвать финалом чемпионата мира среди хакерских команд. Включение в решающую стадию этого CTF-соревнования победителей последних двух The Standoff без конкурса является признанием высокого уровня соревнования на PHDays», — рассказывает Михаил Левин, заместитель директора экспертного центра безопасности Positive Technologies, член оргкомитета PHDays и организатор The Standoff. Напомним, что в 2018 году команда Hack.ERS (Deloitte) вырвала победу на последних минутах кибербитвы. За час до конца соревнования защитники города решили отказаться от системы антифрода, чем воспользовалась команда Hack.ERS, которой удалось опустошить конкурсный банк. Это позволило ей подняться из подвала турнирной таблицы на первое место, сместив команду «ЦАРКА» (победителей 2017 года) на второе место. «Мы очень рады, что PHDays держит высокий уровень, получает признание за рубежом, а победители The Standoff имеют возможность попробовать свои силы против лучших активных CTF-команд мира. Мы позитивно относимся к любой возможности, которая позволяет укрепить командный дух, отработать взаимодействие во время соревнования и ощутить причастность к международному ИБ-комьюнити», — говорит Иван Нагорнов, капитан команды Hack.ERS. В 2019 году True0xA3 («Информзащита») с самого начала соревнования и до конца второго дня не упускали лидерских позиций, показав максимальную диверсификацию используемых техник. Команда выиграла прямое противостояние с другими командами за объекты инфраструктуры и безраздельно владела ими все два дня соревнования. «До сих пор не верится, что мы отправимся в ОАЭ и будем сражаться с такими командами, как PPP и Eat Sleep Pwn Repeat. Победа, конечно, воодушевила каждого из нас на решение более глобальных задач. Тот факт, что победители кибербитвы The Standoff квалифицируются на одну из крупнейших в мире конференций по безопасности Hack In The Box и поедут туда бесплатно, безусловно, не может не радовать, — комментирует Виталий Малкин, начальник отдела анализа защищенности компании "Информзащита", капитан команды True0xA3. — Быть сильнейшей командой в СНГ, конечно, приятно. Но хотелось бы также показать все, что умеем, и в мировом масштабе, а также обменяться опытом». «The Standoff по праву может считаться одним из самых увлекательных конкурсов защитников и атакующих. Команды соревнуются в поиске реальных уязвимостей и имитируют действия хакеров — что может быть интереснее? Мы крайне рады, что победители PHDays 2019 и 2018 присоединятся к нам на CyberWeek PRO CTF. Конкурс пройдет в октябре и станет местом встречи самых ярких и талантливых игроков CTF», — отмечает Диллон Эндрю Каннабиран, основатель и глава Hack In The Box. За подробностями CTF в Абу-Даби можно следить на официальном сайте конференции HITB CyberWeek: https://proctf.hitb.org.
По следам индустриального ниндзя: приглашаем участвовать в онлайн-конкурсе
На прошедшем PHDays 9 мы проводили конкурс по взлому завода по перекачке газа Industrial Ninja. На площадке было три стенда, эмулирующих индустриальный процесс: под большим давлением в воздушный шар закачивался воздух. У каждого стенда был свой уровень сложности (по степени защиты): новичок, бывалый и ниндзя. При этом оборудование и технологический процесс не различались. Перед конкурсантами стояла задача разобраться в технологическом процессе, перехватить управление заводом и спровоцировать аварию: в реальности — сдуть или лопнуть шарик. Однако самое сложное задание так и осталось нерешенным. Мы объявляем новый конкурс. Участникам необходимо выполнить задание, найти флаг, подробно и интересно описать решение. Ответ нужно выслать по адресу i_ninja@ptsecurity.ru до 1 июля. Авторы трех лучших описаний получат фирменные рюкзаки с символикой PHDays и сувениры, а наиболее понравившееся мы опубликуем в нашем блоге на Хабре. Ссылка на задание: Желаем удачи!