Positive Hack Days 8

18.05.2018

В московском Центре международной торговли прошел ежегодный форум по практической информационной безопасности Positive Hack Days 8. Мероприятие традиционно объединило специалистов в области технологий, информационной безопасности, молодых ученых, представителей бизнеса и власти. Организатор конференции — компания Positive Technologies.

Форум замечателен тем, что весьма наглядно демонстрирует, с какими проблемами информационной безопасности придется столкнуться государству, бизнесу и частным лицам вследствие перехода на «цифру». Организаторы поставили цель: показать реальную опасность цифровой изнанки, которая скрывается за маркетинговым глянцем.

Достичь этой цели помогали хакерские конкурсы, длившиеся почти без перерыва два дня форума. В этом году организаторы решили вывести конфликт на новый уровень. Битва развернулась на макете города, вся экономика которого основывается на блокчейн-технологиях. Городская инфраструктура включает в себя ТЭЦ и подстанцию, железную дорогу, «умные дома» с рекуперацией энергии, банки с банкоматами и киосками самообслуживания. В нем также работают различные онлайн-сервисы, сотовая связь и интернет. «Белые хакеры» имели возможность также попробовать свои силы во взломе систем «умного дома». Участникам самого пиратского конкурса форума ― Pirate’s Gate ― предлагалось взломать системы навигации и отправить судно в свободное плавание. Для желающих почувствовать себя шпионами был организован конкурс MITM Mobile, участники которого должны были выполнить задания по перехвату радиоэфира сотового оператора. Попробовать себя в роли настоящего взломщика банкоматов можно было в конкурсе Leave ATM Alone. Каждому участнику конкурса предлагалось за 15 минут обойти средства защиты и извлечь деньги из устройства. В конкурсе H@rd Logic Combat свои знания и умения его участники проверяли на реальных средствах низовой автоматики и противоаварийной защиты перспективной российской распределенной АСУ ТП для АЭС.

Итог конкурсов таков: командам атакующих удалось взломать многие объекты, но почти без борьбы, потому что большинство из них не были защищены (!). Пожалуй, атакующим сложнее всего удался взлом промышленных объектов. В конечном счете атакующие и защитники совместно попытались изучить инфраструктуру технологического сегмента : хакеры делали попытки взлома под присмотром защитников. Всего за два дня WAF команды защитников отбил около 1 500 000 атак, было заведено 30 инцидентов безопасности.

Однако форум хорош не только конкурсами хакеров. Гости мероприятия могли поучаствовать в круглых столах, послушать доклады специалистов по информационной безопасности, представителей компаний – заказчиков.

Об эффективности атак, типах атакующих, их мотивации поведал руководитель отдела расследований и сервиса киберразведки Threat Intelligence компании Group-IB и ее сооснователь Дмитрий Волков: «У нас есть два источника, позволяющих отслеживать успешность атак: наше оборудование, с помощью которого мы видим, что атаки доходят, и incident response, когда инцидент случается, о нем становится известно собственникам компании, и мы выезжаем разбираться с последствиями. Количество выездов из года в год растет. Это не значит, что число атак в целом растет тоже, просто атаки становятся сложнее и привлекают больше внимания руководителей компаний. Сейчас есть модный тренд говорить о росте числа атак: да, число простых атак растет, но если говорить об их эффективности, то она снижается».

Тем не менее, участники форума констатировали, что «цифровизация порождает как новые возможности, так и новые угрозы».

Например, использование мобильных приложений. Сегодня люди используют в среднем 30 мобильных приложений в месяц. При этом, по словам Густаво Сорондо, технического директора Cinta Infinita, в плане безопасности мобильные приложения отстают от веба на 10 лет. Сейчас еще нет автоматизированных систем пентестинга мобильных приложений, существуют лишь системы для анализа кода, которые зачастую дают много ложноположительных результатов, поэтому пригодны в основном только в начале пентеста.

Банковская отрасль остается одной из главных целей злоумышленников. В марте этого года был арестован лидер хакерской группировки Cobalt, которая похитила более 1 млрд евро примерно у сотни финансовых организаций по всему миру. На дискуссии был озвучен провокационный вопрос: что умрет первым — DLP или антивирусы на узлах? Вот один из комментариев: Дмитрий Гадарь, Tinkoff.ru. «Нельзя поднимать вопрос, умрет ли технология, в отрыве от того, к чему она будет применяться. Должен ли стоять антивирус на рабочей станции? Антивирус никому ничего не должен. Антивирус — это, наверное, борьба с последствиями. В одном из банков я не ставил антивирус на банкоматы, я сделал там замкнутую программную среду. Это был такой кайф! Не нужно ничего обновлять на банкоматах, потому что там редко изменяемая среда, ее можно зафиксировать, и туда никакой вирус не поставится. Та же история с DLP. Это дорогой инструмент с непонятным выхлопом. При этом есть архитектурные решения, которые позволяют избежать использования этой тяжелой технологии. Сложность в том, чтобы правильно определить, какую технологию для чего мы используем, определить объем работ и технологии для этих работ. Обычно безопасники ленятся это делать», полагает он.

Независимый исследователь Александр Колчанов рассказал об уязвимостях в системах телефонных банков, которые позволяют получать конфиденциальную информацию клиентов и переводить деньги с их счетов. Он в ходе выступления продемонстрировал ряд атак, связанных, в том числе, с недостатками SMS-авторизации.

Обсуждались также вопросы построения и работы ситуационных центров информационной безопасности – SOC. Как и везде, здесь имеется проблема бюджетирования. «С помощью SOC вы наблюдаете не за людьми, программой, сервером или другой отдельной сущностью; вы контролируете то, что приносит компании деньги, — отметил руководитель практики управления рисками компании «Ангара» Дмитрий Забелин. — А деньги приносят бизнес-процессы. При обсуждении бюджетных вопросов, связанных с построением SOC, руководству компании непонятны абстрактные рассуждения о дороговизне сервера. Другое дело, если руководство узнает, что из-за кибератаки двухэтажный "волчок" ГЭС под 240 метрами воды может остановиться и вода смоет целый регион».

Еще один примечательный момент. В ходе выступления «Умный автомобиль как оружие» исследователи показали, как киберпреступники могут использовать GPS-данные встроенных в автомобили компьютеров для слежки за их владельцами. Одна из слушательниц даже обратилась к Чирлигу с просьбой подключиться к системе развлечений ее угнанного авто, чтобы по логам GPS обнаружить свою машину. К слову, по прогнозу Gartner, к 2020 году в мире будет насчитываться 250 миллионов автомобилей, подключенных к интернету.

Не обойдена на форуме и тема интернета вещей. По словам Ноама Ратхауса, одного из основателей компании Beyond Security, уязвимости имеются во многих продуктах даже известных вендоров. «Не только пользователи медлят с устранением уязвимостей в IoT-устройствах, производители также не торопятся выпускать обновления», - констатировал Ноам Ратхаус.

В рамках форума были представлены итоги анализа защищенности корпоративных систем российских и зарубежных компаний в 2017 году. Это исследование провели специалисты компании Positive Technologies. Алексей Новиков, руководитель экспертного центра безопасности Positive Technologies рассказал, что при проведении тестирования на проникновение от лица внутреннего злоумышленника исследователям во всех без исключения случаях удалось захватить полный контроль над инфраструктурой. При этом только в 7% систем сложность получения доступа к критически важным ресурсам оценивалась как средняя, обычно же полностью скомпрометировать всю корпоративную систему может нарушитель низкой квалификации.

По сравнению с 2016 годом наблюдается тенденция к снижению сложности преодоления сетевого периметра. Если прежде сложность получения доступа к ресурсам локальной вычислительной сети оценивалась как тривиальная в 27% случаев, то теперь этот показатель вырос до 56%.

Исследователи Positive Technologies в ходе проектов по анализу защищенности выявляли в среднем два вектора проникновения во внутреннюю сеть организации. Удобным способом проникновения в ЛВС являются беспроводные сети. По статистике, 40% компаний используют словарные пароли для подключения к своим сетям Wi-Fi. При этом 75% таких сетей доступны за пределами контролируемой зоны компании и в таком же количестве беспроводных сетей отсутствует изоляция между пользователями. Таким образом, чтобы эксплуатировать уязвимости в личных и корпоративных ноутбуках, взломщику даже не нужно физически находиться в офисе компании.

Еще одно слабое звено в защите корпоративных сетей — сотрудники, которые легко поддаются методам социальной инженерии. К примеру, 26% сотрудников осуществляют переход по ссылке на фишинговый веб-ресурс, причем практически половина из них в дальнейшем вводят свои учетные данные в поддельную форму аутентификации. Каждый шестой сотрудник запускает приложенные к письму зловредные файлы. Кроме того, 12% сотрудников готовы вступить в диалог с нарушителем и раскрыть важную информацию.

Получение полного контроля над всей инфраструктурой обычно начинается с малого: злоумышленник захватывает контроль над одной или несколькими рабочими станциями, используя недостаточно стойкие пароли, сетевые атаки либо уязвимости устаревших версий ОС. Дальше сценарий атаки довольно типовой: злоумышленник просто запускает специальную утилиту для сбора паролей всех пользователей ОС на компьютерах, которые уже контролирует. Как правило, некоторые из собранных паролей подходят к другим компьютерам, и нарушитель проделывает то же самое и на них. Так он проходит шаг за шагом по ресурсам компании, пока не получит пароль администратора домена, который позволяет закрепиться в инфраструктуре надолго и полностью контролировать самые важные системы.

Двухдневное мероприятие было насыщено событиями. Не только доклады и круглые столы, но и мастер-классы для посетителей форума пользовались большим вниманием. На одном из мастер-классов под руководством российских и зарубежных специалистов участники PHDays 8 учились создавать сетевую воронку для защиты корпоративного трафика от вредоносных программ, настраивали SELinux, строили threat-hunting-инфраструктуру и пробовали использовать ее для поиска и расследования сложных современных атак, а также практиковались в «мобильном перехвате».

Были и различные конкурсы, в том числе, традиционный – литературный. Но не станем стремиться «объять необъятное», и на этом поставим точку. В качестве резюме повторим, что «массовая цифровизация всей страны» чревата многими рисками, которые видны уже сейчас.

Елена Шашенкова

Тема:Безопасность