Підсумки PHDays VII: хакери взяли реванш

  1. Протистояння: хакери влаштували паніку в місті
  2. Від першої особи
  3. Сліпі плями сканування
  4. Під ударом телеком і промислові системи
  5. Добрі і злі боти

Дата публікації: 25 травня 2017

Підійшов до кінця Positive Hack Days VII. За два дні форум відвідало рекордне число учасників - близько 5000 з різних країн світу: Америки, Ізраїлю, Кореї, Італії, Франції, Німеччини, Казахстану, Білорусії, Індії, Польщі. На майданчику відбулися сотні подій: сім потоків доповідей, майстер-класи, круглі столи та хакерські конкурси. Розповімо про все по порядку.

Протистояння: хакери влаштували паніку в місті

Протистояння: хакери влаштували паніку в місті

Почнемо, мабуть, з самої захоплюючої частини програми - кібербітви Протистояння. Нагадаємо, що в розпорядженні учасників був цілий полігон з моделлю мегаполісу, в якому крім офісів, телеком-операторів, залізниці, ТЕЦ та інших об'єктів знаходилося безліч IoT-пристроїв. К барьеру були запрошені «хакери», «захисники» і security operation centers (SOC).

Перший день був не дуже багатий на події: тільки під вечір групі нападників з Казахстану, команді «царків» вдалося перехопити компрометуючі СМС самого мера міста. А вночі три команди - Rdot.org , «Царків» і Vulners - вкрали з міського банку більше 4 мільйонів Публій (віртуальна валюта міста).

На другий день атакуючі дісталися до промислового сектора: команда BIZone змогла порушити роботу відразу двох підприємств міста - ТЕЦ і нафтопереробного заводу. В останню годину конкурсу команда з Казахстану змогла знайти автомобіль злочинців з вкраденими грошима: атакуючі перехопили СМС, що посилаються GPS-трекером автомобіля, і змогли обчислити його координати. Практично в той же час команда BIZone знову змогла зупинити нафтопереробний завод. У перший раз вони зробили це за допомогою атаки на електропідстанцію і ТЕЦ, а в даному випадку була проведена саме пряма атака на завод.

Команді KanzasCityShuffle вдалося зламати розумний будинок, команда «Антічат» отримала доступ до веб-камері, а команда Hack.ERS змогла вкрасти гроші користувачів SIP-телефонії: зламавши їх акаунти, хакери «монетизувати» за допомогою дзвінків на платні короткі номери. Вже на останніх хвилинах конкурсу команда True0xA3 змогла вкрасти фінансову звітність великої компанії міста, зламавши домашній роутер бухгалтера.

Результати і докладні розбори конкурсу будуть пізніше, а зараз ми розповімо про декілька виступах другого дня.

Від першої особи

Розпочався другий день з самої неформальній сесії виступів «АнтіПленарка. Безпека і технології: особистий погляд лідерів думок ». Представники ІБ-спільноти поговорили про наболіле і розповіли, що мотивує їх. Почав розмову Олексій Качалін (Positive Technologies), який розповів про підготовку форуму PHDays. Сьомий PHDays - це півроку підготовки, 1100 компаній-учасників (з яких тільки 250 ІБ-компаній), 196 спікерів, 50 партнерів. За словами Олексія Качалина PHDays формує ком'юніті: «Тут дуже багато людей, багато ідей: це те, що живить нас і рухає. Тут і зараз формується співтовариство, готове мислити нестандартно, не закривати очі і робити краще ту систему, в якій ми живемо і працюємо ».

Розповідь Дмитра Мананникова (SPSR Express) був присвячений мінливості. За його словами, бізнес і безпеку знаходяться в різних світах. Безпека еволюціонує разом з життям людей і ключовим фактором цих змін є автоматизація, яка на сьогоднішній день стає драйвером прогресу, але в той же час і його слабкою ланкою.

Дмитро Мананников поділився своїм прогнозом: «Бізнес буде розвиватися далі, потреба в ІБ нікуди не дінеться, технічна перевага буде наростати, але безпекою будуть займатися інші люди. Якщо ми продовжимо займатися безпекою як таємним знанням, як незрозумілою річчю, націленої на зниження міфічних ризиків, бізнес переросте нас. Безпека повинна еволюціонувати і ми повинні перетворюватися з обмежувача в драйвер прогресу ».

Виступ Ельмана Бейбутова (IBM) з доповіддю «Mind Deep Learning» стало справжнісіньким перформансом: протягом усього виступу грала музика з смартфона, а своєрідним співдоповідачем стала Siri. Ельман розповів про перспективи штучного інтелекту: на сьогоднішній день ця технологія перебуває «на рівні бджоли» і до людини їй не вистачає ще трьох ступенів. За оцінками Бейбутова, варто очікувати, що до 2040 року штучний інтелект буде здатний приймати рішення, як людина. Уже зараз є передумови для того, щоб через 7-10 років боти замінили людей у ​​техпідтримку або інших сферах, де потрібно працювати по інструкції.

Як вижити без ІБ - розповів Олексій Волков (Сбербанк). Він поділився простим правилом інформаційної гігієни: «Не роблю, що не треба; роблю, що треба ». Нижче на слайді докладна інструкція.

«Нас з вами намагаються обдурити. Давайте не будемо впадати в параною і ніколи не будемо забувати, що найголовніше зброю проти будь-якого кіберзлочини - у нас в голові », - уклав Олексій Волков.

Мотиваційний тон підтримав Володимир Бенгін (Positive Technologies), який поділився трьома правилами, які допомогли йому в роботі над великим ІБ-продуктом. Рецепт Володимира Бенгіна: потрібно вірити в те, що ти рухаєш, не потрібно витати в хмарах і потрібно правильно вибудувати взаємини з командою.

Мабуть, саме відвертий виступ в рамках цієї сесії було у Олексія Лукацького (Cisco). Він розповів про свої провали. Суспільство орієнтоване на успіх, тому відкрито говорити про помилки в професійній сфері не прийнято. Олексій закликав всіх «не боятися лажати» і дав три уроки, як це зробити. «Формула Лукацького»: потрібно розпізнати помилку, визнати її і витягти з неї урок.

Іван Новіков (Wallarm) задавався питанням про те, хто ким керує: ми машинами або вони нами. Відповідь виявилася лякаюче песимістичним: «Ми реально вколюємо на машини. Подумайте про це, і давайте з цим щось робити. Для себе я зрозумів: все, що я вмію в цьому житті відмінно робити, - нагинати ці машини. Чим я і займаюся ».

Чим я і займаюся »

Під завісу дня пройшла дискусія «Security Path: Dev vs Manage vs Hack». Дмитро Мананников і Михайло Левін разом з Володимиром Дрюкова і Денисом Горчаковим піднімали питання про кадри: де взяти фахівців, який фахівець потрібен, як мотивувати співробітників, якими можуть бути кар'єрний ріст і можливий розвиток технічного фахівця. Думки висловлювалися різні, а за підсумками дискусії прийшли до висновку, що потенційний ІБ-шник має «бути кмітливим, мати технічну освіту, бути з неблагополучного району». «Що стосується кар'єрного зростання, то тут висновок простий: розвивайте в собі управлінські навички, вчіться управляти проектами, отримуйте бізнес-освіту, інтегрується в бізнес-середовище, в рамках якої ви працюєте, і тільки так ви побудуєте кар'єру», - підсумував Дмитро Мананников .

Сліпі плями сканування

Сліпі плями сканування

На PHDays керівник департаменту досліджень PortSwigger Web Security Джеймс Кеттла (James Kettle) розповів про сліпих плямах в існуючих технологіях сканування: «Як правило, всі існуючі сканери погано шукають рідко зустрічаються уразливості». У листопаді минулого року Джеймс випустив сканер з відкритим вихідним кодом, в якому застосований альтернативний підхід до пошуку вразливостей. Він показав, як працює сканер, який може виявляти не тільки відомі, але й нові класи уразливостей. Найближчі кілька років Кеттла планує присвятити роботі над удосконаленням сканера.

Під ударом телеком і промислові системи

Про небезпеку стільникових мереж розповіли Кирило Пузанков, Сергій Машуков, Павло Новіков (Positive Technologies). Вони продемонстрували способи перехоплення СМС-повідомлень, а також привели невтішну статистику: «Наші експерти виявили понад 50 різних SS7-атак: серед них розкриття ідентифікатора IMSI, розкриття місця розташування, відмова в обслуговуванні, перехоплення і підміна СМС-повідомлень, перехоплення дзвінків, читання чатів WhatsApp і Telegram. Досвід проведених нами в 2015 і 2016 роках аудитів мобільних операторів показав, що в 50% випадків може бути перехоплення і прослуховування голосу, в 58% можна визначити місце розташування абонента, в 89% може бути перехоплення СМС ».

Брайан Горенко і Фріц Сендс (Brian Gorenc, Fritz Sands) виступили з аналізом вразливостей SCADA-систем. Вони розповіли про слабкі місця в розробці HMI-рішень і їх проявах в коді, розглянули реальні кейси і дали рекомендації з пошуку вразливостей HMI і SCADA-систем.

«Таке відчуття, що в світі АСУ ТП і SCADA останніх 20 років просто не було. Підвищення якості захисту серверів, браузерів - все це пройшло абсолютно повз SCADA. Можна подумати, що до сих пір дев'яності роки », - коментує Фріц Сендс.

«Навіщо атакувати HMI? Потім, що він потрібен нам для управління критичною інфраструктурою. Найчастіше атакуючий може обдурити оператора і обійти системи сигналізації; так сталося у випадку з Stuxnet: системи раннього реагування були відключені і вдалося вивести з ладу центрифуги. HMI - це дуже цікава мета для атаки. Є безліч спеціалізованих шкідників для HMI, наприклад той же Stuxnet і BlackEnergy. Вражаюче, але практично жоден HMI в галузі не пишеться з урахуванням вимог інформаційної безпеки », - зазначає Брайан Горенко.

Добрі і злі боти

Добрі і злі боти

Перше місце в рейтингу очікувань на PHDays VII зайняв доповідь Андрія Масаловіч «Ти, а не тебе. Армії розумних ботів в руках хакера ». Порівнявши ситуаційний центр з шампуром, на вістрі якого знаходиться конкурентна розвідка, Андрій розповів про способи злому популярних сайтів і систем за допомогою спамерських пошукових роботів. Серед трюків - автоматизація проходу капчі, підбір даних кредитних карт, публікація в чужому твіттері своїх медіафайлів, захоплення поштових скриньок та облікових записів в Facebook.

Якщо спрощувати, то прохід капчи ботами здійснюється за допомогою інших ботів, дублюючих випадають їм капчи на зламаних ресурсах: їх вводять вже ні про що не підозрюючи люди, а правильні відповіді використовуються для капчі на інших сайтах. Андрій також розповів про дослідника, який, як і багато, звернув увагу, що в популярних інтернет-магазинах при заповненні форми з платіжної даними перевіряється далеко не вся інформація. Він вирішив з'ясувати - яка саме. З топ-400 онлайн-магазинів на Amazon.com тільки 47 магазинів використовують 3-D Secure, а 26 магазинів перевіряють тільки два з трьох полів карти (наприклад, номер і термін дії, а CVV пропускають). Номер карти і термін дії отримати легше, ніж CVV, однак у CVV може бути лише тисяча комбінацій і цей код легко підібрати. Щоб перевірити, як швидко можна підібрати CVV, дослідник створив ботнет на Selenium. Боти йшли в сотні магазинів і одночасно намагалися зробити покупки, підставляючи дані однієї і тієї ж карти і різні CVV. В результаті на підбір CVV для карт VISA йшло всього 6 секунд. Платіжна система Mastercard трималася краще VISA і блокувала можливість введення некоректної інформації після десяти спроб.

Потім спікер, в сьомий раз виступав на PHDays, пояснив, як за допомогою роботів захопити легіон електронних поштових скриньок. Лобова брутфорс-атака відбивається дуже легко: якщо знати пароль і намагатися підібрати логін, то блокування відбувається на третій спробі. Але якщо здійснювати «горизонтальний брутфорс» з різних серверів (або проксі-серверів) і вибрати один простий пароль, то підбір трьох поспіль логінів з різницею в кілька мілісекунд буде трактуватися сервером як три одиночних помилкових набору і не спричинить ніяких наслідків. Ніяких санкцій з боку поштового серверу не буде навіть при мільйоні спроб. Таким чином, атакуючий може взяти базу з мільйона логінів і почати перевіряти гіпотези, послідовно захоплюючи поштові скриньки з паролями 123456, Qwerty і т. П. Андрій Масаловіч зазначив, що сьогодні єдиний пароль є одним з ознак, за якими розпізнають ботнети, причому такий пароль може бути вельми корявий і нестандартним. Це призводить до того, що в базах утекших паролів деякі складні паролі зустрічаються цілими батальйонами.

Наступний крок - це Facebook. Якщо користувач забуває пароль, відкривається віконце «Введіть код підтвердження», після чого приходить код підтвердження. За словами Андрія, цей код формується досить складним і «нераскаливаемий» способом, але тримається в межах відносно вузького діапазоні: кількість варіантів одномоментно не перевищує мільйона. Людина може спочатку натиснути кнопку «забув пароль», отримати код підтвердження, після чого запросити відновлення пароля від імені мільйона користувачів - і «згодувати» цей код мільйону ботів, які одночасно введуть цей код. Так можна захопити приблизно 20 акаунтів в Facebook, але подібний фокус можливий тільки при одночасній атаці безліччю ботів.

І нарешті - Твіттер: в ньому є сервіс зберігання медіафайлів, який дозволяє ділитися ними з іншими користувачами. З'ясувалося, що можна розмістити пост з медіафайлів від імені жертви, не ламаючи аккаунт. Для цього треба завантажити на ads.twitter.com свій файл, поділитися ним з аккаунтом жертви, після чого перехопити запит публікації і підмінити в POST значення owner_id і user_id на id аккаунта жертви. Твіт буде опублікований від чужого імені.

Серед експрес-доповідей Fast Track найочікуванішим був виступ Антона Лопаніцина «Зате зручно! (Витоку через ботів в месенджерах) ». Сьогодні боти популярного месенджера Telegram використовуються не тільки для пошуку картинок, пісень і перекладу валют, але і в корпоративному середовищі - для автоматизації внутрішніх та зовнішніх процесів. Вони застосовуються, наприклад, в якості таск-менеджера для Jira. У ботів вже є інтеграція з Teamcity, Redmine, Zabbix, Jenkins, Nagios, системами контролю версій і внутрішніми сервісами компаній. Доповідач, нарікаючи на відсутність документації по методам в API Telegram, взяв на сайті HeadHunter список організацій і за допомогою аргументу type bot пошукав назви компаній в Telegram. Дослідник виявив, що через відсутність авторизації користувача в ботах Telegram будь-яка людина, додавши корпоративний бот, може, наприклад, забронювати переговорну кімнату в абсолютно сторонньої компанії, заспаміть систему контролю запізнень, поміняти статуси завдань в системах управління проектами, відправити у відпустку співробітника. .. Він також припустив можливість впровадження SQL-коду в СУБД, якщо бот буде працювати з базою даних, а також наявність ризику виконання довільного коду за рахунок експлуатації сторонніх бібліотек ботів Telegra m для роботи з медіа.

Записи доповідей доступні на www.phdays.ru . Найближчим часом будуть опубліковані результати конкурсів і підсумки Протистояння.

Партнери форуму - компанії «Ростелеком», R-Vision, «Лабораторія Касперського», IBM, Microsoft, Solar Security, «ІнфоТеКС» і SAP; спонсори форуму - Axoft, Web Control, ГК ANGARA, Check Point, McAfee, Symantec; партнери Протистояння - Palo Alto Networks, «ICL Системні технології», Beyond Security; учасники Протистояння - компанії «Інформзахист», «Перспективний моніторинг», «Інфосистеми Джет», «КРОК»; в числі технологічних партнерів Cisco, CompTek, Acronis, Synack, ARinteg, Qrator Labs, Wallarm, Zecrion, «Актив», QIWI, PROSOFT і Advantech; генеральний інформаційний партнер Positive Hack Days - державне інформаційне агентство ТАСС.

«Навіщо атакувати HMI?