Cамое интересное c первого дня PHDays VI
18.05.2016
Завершился первый день форума Positive Hack Days, стартовавшего 17 мая в Москве, в Центре международной торговли. Сегодня форум посетило рекордное число участников — более 3000. Также свои двери в рамках PHDays Everywhere распахнули 15 хакспейсов в России, Бангладеш, Белоруссии, Индии, Казахстане, Перу, Тунисе и Швеции. На два дня организована онлайн-трансляция с площадки мероприятия, так что все интернет-пользователи смогут принять активное участие в форуме.
В первый день прозвучало более 50 докладов, прошли мастер-классы и круглые столы, стартовали десятки хакерских конкурсов.
Тенденция к ухудшению
В рамках форума был представлен отчет аналитического центра Positive Technologies — Positive Research 2016. Эксперты отмечают ухудшение общего уровня защищенности информационно-телекоммуникационных систем практически во всех областях. Защищенность IT-инфраструктур крупных компаний по-прежнему оставляет желать лучшего: в каждом втором случае (46%) для получения доступа к ресурсам внутренней сети злоумышленнику достаточно даже низкой квалификации. Самые распространенные уязвимости — использование словарных паролей (53%), уязвимости веб-приложений (47%) и служебных протоколов (100%), неэффективность антивирусной защиты (91%), устаревшее ПО (82%).
Данные абонентов сотовой связи под угрозой: к такому неутешительному выводу пришли эксперты. Исследования защищенности сетей SS7, проведенные в 2015 году, показали, что в 89% случаев возможен перехват входящего SMS-сообщения, в 58% случаев — определение местоположения абонента, а в 50% — прослушивание звонков.
Банковская индустрия по-прежнему уязвима. Все проанализированные экспертами Positive Technologies в 2015 году системы ДБО содержали уязвимости, причем 90% из них содержали критически опасные уязвимости, оставшиеся 10% — недостатки среднего уровня риска. В половине случаев механизмы двухфакторной аутентификаций с помощью одноразовых кодов, передаваемых через SMS-сообщения, отсутствовали или были реализованы некорректно. Мобильный банк на iOS на данный момент безопаснее решений на Android: серьезные уязвимости содержали 33% и 75% приложений соответственно. Не отстает и сфера АСУ ТП: в 2015 году Positive Technologies обнаружила более 100 уязвимостей в промышленных системах управления, эксплуатация половины из этих ошибок может привести к отказу в работе оборудования. Наиболее уязвимы SCADA-серверы и HMI-панели, ПЛК и удаленные терминалы, сетевые устройства и инженерное ПО.
Актуальные проблемы информационной безопасности в разрезе государственной безопасности, бизнеса и технологий обсуждались на пленарном заседании «Те, от кого зависит безопасность: очная ставка». В дискуссии принимали участие представители госструктур, производителей средств защиты, IТ- и ИБ-руководители крупнейших предприятий:
- Наталья Касперская, генеральный директор группы компаний InfoWatch,
- Виталий Лютиков, начальник 2-го управления ФСТЭК России,
- Олег Босенко, начальник управления защиты информации и инженерно-технической защиты службы безопасности НК «Роснефть»,
- Евгений Крайнов, начальник управления безопасности и защиты информации Росфинмониторинга,
- Кирилл Алифанов, директор по бизнес-процессам и информационным технологиям «Э.ОН Россия»,
- Борис Симис, заместитель генерального директора Positive Technologies,
- Дмитрий Гусев, заместитель генерального директора «ИнфоТеКС»,
- Владимир Бондарев, директор практики «Информационная безопасность» AT Consulting,
- Сергей Рыжиков, генеральный директор «1C-Битрикс»,
- Илья Федорушкин, генеральный директор Tizen Security Center.
Задал тон беседы Борис Симис, он поставил наболевший вопрос: безопасники замалчивают проблемы ИБ и не доводят их даже до руководства. С ним согласилась и Наталья Касперская, пояснив, что они «дорожат честью мундира». Борис Симис высказал мнение, что пока безопасники не признают, что их могут взломать, — невозможно выстроить систему информационной безопасности.
Развитие информационных технологий значительно опережает развитие защитных средств, и повышение уровня безопасности в масштабах страны возможно только при совместном участии государства, бизнеса и экспертов. В числе ответственных за информационную безопасность Виталий Лютиков назвал регуляторов, исследователей, заказчиков, интеграторов и разработчиков. Начальник 2-го управления ФСТЭК видит основную общую задачу в сокращении времени от момента, когда проблема обнаружена, до ее локализации и призвал всех «заниматься реальной безопасностью».
Своего рода ответом на пленарное заседание стала секция «Хакерская правда: зачем ломаете?». Борис Симис пообщался с представителями хакерских сообществ о роли хакеров в развитии ИБ. Здесь собрались известные российские специалисты по тестированию на проникновение — Дмитрий Евтеев, Тимур Юнусов, Никита Кислицин, Омар Ганиев и Сергей Белов.
Почему взломать крупную сеть это один-два дня несложной работы? Люди тратят миллионы долларов, годами строят систему безопасности, а потом приходят специалисты по анализу защищенности и очень быстро проникают во внутреннюю сеть. Отвечая на этот вопрос, старший эксперт отдела безопасности банковских систем Positive Technologies Тимур Юнусов привел аналогию с шахматами: разница только в том, что здесь «черные» ходят первыми — и потому безопасники всегда опаздывают на один ход.
Грамотные люди есть среди атакующих и защитников, уверен технических директор HeadLight Security Дмитрий Евтеев. Именно Дмитрий, как отметил Борис Симис, еще в 2011 году «вдохнул хакерскую правду в PHDays». Работая в Positive Technologies, он собрал команду пентестеров, известную на всю страну. «Представим современную компанию, которая сделала все правильно с точки зрения парольной защиты, токенов, фаерволов и антивирусной защиты, — говорит Дмитрий. – Появляются пользователи в этой сети. Они начинают жаловаться на сложную парольную политику. Дальше на компьютере бухгалтера хотят поставить важную программу, которая не умеет работать с прокси. Возникают бреши. Пользователи начинают ходить по зараженным сайтам, а на компьютерах необычные аномалии. Специалисты по безопасности начинают бегать от компьютера к компьютеру, как-то реагировать, но уже не успевают».
Сергей Белов, аудитор ИБ компании Digital Security, уверен, что люди, которые занимаются защитой, неправильно выбирают себе команду: «Вместо пары грамотных offensive-специалистов берут экспертов, знающих теорию SDLC, но на практике умеющих строить лишь формально безопасные процессы. Такой подход ошибочен. На моей практике не было ни одной компании, в сети которой нельзя было бы перехватить минимум одну доменную учетную запись с помощью responder, nmap или Hydra».
Никита Кислицин из Group-IB отметил, что безопасность нельзя «прикрутить», купив какой-то продукт. Безопасность — это процессы, культура, люди. «Долгое время я занимался анализом бот-сетей, которые шлют самые разные данные с зараженных компьютеров — перехваченные пост-запросы, пароли, раскадровку рабочего дня, видео, ключи, которые можно вынуть из файловой системы или USB-стиков, — рассказывает Никита. — Свежий пример: зараженный компьютер системного администратора в коммерческом банке. Причина заражения лежит на поверхности: одной рукой администратор управляет доменом банка, а другой — сидит во ВКонтакте и переходит по присылаемым ему ссылкам. Банк может купить антивирус или FireEye за миллион долларов, но от таких ситуаций защититься не сможет. По моим оценкам, минимум треть компаний, в том числе крупных банков, заражены ботнетами. Сегодня строение DMZ и защита периметра немного отходит на второй план, так как проще заразить очень важные компьютеры, просто написав правильный текст и прислав человеку вирус».
Любопытный разговор состоялся в рамках секции «Разговор по ИБ: "совершенно секретно" или "срочно в номер"» заместитель директора центра компетенции Positive Technologies Алексей Качалин вместе с журналистами и блогерами разбирались, нужно ли освещать инциденты безопасности, насколько читатели вообще осведомлены о проблемах ИБ, как сделать так, чтобы материалы в СМИ стали инструментами для обеспечения безопасности. Среди участников были Алексей Лукацкий (ведущий ИБ-блогер, бизнес-консультант по безопасности, Cisco Systems), Сергей Вильянов (Bankir.ru), Илья Шабанов (Anti-Malware.ru) и другие.
Дискуссия получилась жаркой; пожалуй, самым ярким стало выступление Сергея Вильянова, который о необходимости освещения инцидентов безопасности емко заметил: «Безопасность любит тишину». По его словам, разговор об информационной безопасности должен быть для тесного круга, а не для публики. Алексей Лукацкий поднял ряд важных вопросов, в частности о том, для чего и для кого должен писать блогер. И предложил интересную мысль — писать об ИБ для домохозяек. Он полагает, что не только малому и среднему бизнесу важны вопросы безопасности: ориентируясь только на них, СМИ и блогеры упускают большую аудиторию.
Вопросы организации сервисов ИБ обсуждались на секции «Следующий виток противостояния: сервисы ИБ как ответ на новые угрозы и вызовы». За одним столом собрались представители ведущих компаний, оказывающих ИБ- услуги, и пользователи этих услуг. Какие угрозы требуют оперативного вмешательства экспертов? Как устроены сервисы и какие преимущества получает пользователь от эффективного сочетания передовых технологических решений и экспертизы? Разобраться в этих вопросах попытались представители Positive Technologies, «Лаборатория Касперского» и Solar Security.
Главной проблемой эксперты назвали не типовые угрозы, а таргетированные атаки. Злоумышленники используют широкий инструментарий при подготовке, от социальной инженерии до DDOS; и нет универсального средства против адресной атаки. Были рассмотрены преимущества и недостатки новых услуг по сравнению с коробочными продуктами, а также модели сервисов, которые можно отдать на аутсорсинг.
Президент американского отделения компании TOOOL Бабак Жавади вновь продемонстрировал, что в основе любой безопасности лежит безопасность физическая. Он рассказал участникам форума, как защитить здания и территории от неавторизованного доступа, если в ваших дверях установлены цилиндрические замки. В TOOOL входит 21 международный филиал. Они проводят встречи и конференции, где занимаются исключительно взломом замков. «Если я могу физически добраться до ваших фаерволов и серверов, то программные методы безопасности уже не помогут, — заявляет Бабак. — Если вы купили замки в универмаге, то вся трудная работа по защите дата-центра не поможет. Раньше моряки использовали специальные морские узлы, например американский рифовый или похожий на него «воровской» узел, чтобы узнать о том, что кто-то пытался его развязать. Воровской узел выглядел похожим на популярный рифовый узел, но отличался лишь настолько, чтобы понять, что в мешок кто-то залез».
Как предотвратить взлом цилиндрового замка, исключить незаметное проникновение и сделать ключи с различными привилегиями, можно узнать из выступления «От дворника до директора по ИБ за 360 секунд: механический способ повышения привилегий» в записи на сайте PHDays.
Впервые на PHDays выступил признанный эксперт по подавлению, предотвращению и ликвидации последствий DDoS-атак Терренс Гаро (Terrence Gareau). Он рассказал, как создать honeypot (ловушку) и организовать сервис с обновляемыми данными о попавшихся DDoS-ботах с помощью Kibana, Elasticsearch, Logstash и AMQP.
Терренс Гаро — руководитель исследовательских работ в компании Nexusguard, которая специализируется на решениях для защиты от распределенных атак, направленных на отказ в обслуживании (DDoS). Последние два года вместе с командой он работал над системой мониторинга и сбора внешней статистики DDoS-атак. Гаро дал посетителям форума возможность ознакомиться с ее исходным кодом.
На PHDays VI прошла серия 15 пятнадцатиминутных стендапов в формате Fast Track, авторы коснулись ряда тем, от мобильных антивирусов до подбора паролей за одну минуту. Среди прочих докладчиков были студенты и аспиранты — участники секции для молодых ученых Young School, которые поделились результатами своих исследований по различным вопросам практической безопасности — от защиты бизнес-систем и приложений до прикладной криптографии.
Впервые на форуме PHDays была организована сессия пятиминутных выступлений. Любой посетитель и участник форума имел возможность поделиться своими идеями в области ИБ, рассказать о своей работе, новой уязвимости или о своем плане провести масштабное исследование.
Одновременно с докладами проводились мастер-классы. Под руководством российских и иностранных специалистов участники PHDays VI сортировали вредоносное ПО, эксплуатировали уязвимости систем расширенного контроля доступа, взламывали веб-приложения, искали уязвимости в SCADA-системах и писали собственные эксплойты, а также пробовали свои силы в «мобильном перехвате».
Параллельно с деловой частью на PHDays стартовала масштабная конкурсная программа и главное хакерское соревнование года ― PHDays VI СityF. В этом году организаторы изменили концепцию форума: программа PHDays VI была построена на противостоянии экспертов по взлому и защите информации.
PHDays VI СityF — настоящая битва, максимально приближенная к реальности. Хакеры атаковали город всеми доступными способами, а противостояли им команды защитников и экспертные центры безопасности. В распоряжении команд был целый полигон с моделью города, где есть банк, телеком-оператор, офис крупного холдинга, электроэнергетическая компания и другие объекты. Кто окажется сильнее — хакеры или специалисты по защите? Мы узнаем уже завтра.
Но под самый вечер пришли вести с полей: по результатам соревнования Critical Infrastructure Attack: Blackout московскому десятикласснику удалось обойти защиту промышленных протоколов и спровоцировать короткое замыкание на магистральной подстанции высокого напряжения (500 кВ).
Зато уже сегодня стали известны финалисты конкурса киберпанковских рассказов «Взломанное будущее». Под занавес первого дня прошло награждение победителей и чтение лучших рассказов ведущими культовой передачи «Модель для сборки». Призеры конкурса:
I место — Андрей Фролов, рассказ «Интервенция»,
II место — Дмитрий Богуцкий, рассказ «Плацента»,
III место — Игорь Вереснев, рассказ «За пригоршню ржавых биткойнов»,
IV место поделили Владимир Венгловский с рассказом «Крэш», Алексей Дробышевский с рассказом «Мексиканка», Наталья Духина с рассказом «Грава», Анна Дербенёва с рассказом «Мередит».
За подробностями второго дня Positive Hack Days VI можно следить в прямом эфире и в твиттере по хэштегу #phdays.