Positive Hack Days 8: Digital Bet

На PHDays 8 организаторы продемонстрировали возможные проблемы ИБ, с которыми придется столкнуться государству, бизнесу и частным лицам вследствие перехода на "цифру". Все должны осознать реальную опасность цифровой изнанки, которая скрывается за маркетинговым глянцем. Основные вопросы, которые обсуждались на PHDays 8: роль государства и регуляторов в цифровизации экономики, диджитализация финансовых технологий, безопасность критической информационной инфраструктуры, меры по снижению рисков и контролю ИБ, методы и средства обеспечения физической безопасности.

Практика для хакера

Одна из самых интересных частей PHDays – хакерские конкурсы. В этом году на площадке форума развернулись бои по взлому сетей Smart Grid, поиску уязвимостей в смарт-контрактах блокчейна, прохождению лабиринта в умном доме, хакерские дуэли в формате "один на один" и другие онлайн-соревнования.

В рамках главного противостояния форума The Standoff сразились команды нападающих и защитников. В этом году организаторы вывели конфликт на новый уровень – битва развернулась на макете города, вся экономика которого основывалась на блокчейн-технологиях. Командам атакующих удалось взломать некоторые объекты, но почти без борьбы: большинство из них не были защищены. Тем не менее битва между атакующими была горячей: турнирная таблица кардинально изменилась за полчаса до конца игры.

К концу первого дня одной из атакующих команд удалось взломать незащищенный офис. Помимо этого были взломаны объекты городской инфраструктуры: атакующие нашли уязвимости в камерах и произвели атаку "отказ в обслуживании", а кто-то "поиграл" с системами отопления.

Команда Jet Antifraud Team, которая защищала банк, зафиксировала массированную атаку в ночь с 15 на 16 мая с целью кражи денег со счетов жителей города. В течение дня было всего пять попыток переводов на сумму 140 публей (виртуальная валюта города). Вечером и ночью произошли три крупные атаки. Всего было около 20 тыс. попыток совершения мошеннических операций на 19 внешних счетов.

Командам ЦАРКА и Sploit00n удалось взломать абонентов телеком-оператора: были перехвачены SMS-сообщения и найден автомобиль по GPS-координатам.

В середине второго дня ЦАРКА также смогла сбросить пароли всех абонентов портала телеком-оператора и попыталась продать учетки покупателю на черном рынке, но он быстро заподозрил неладное и отказался от покупки. В это время телеком-оператор восстановил учетные записи из бэкапа после того, как получил жалобы от абонентов, и закрыл дыру в портале. Далее команда попыталась сдать учетки по программе Bug Bounty, но телеком заплатил за это копейки. Вот и будь после этого хорошим хакером.

Позже еще несколько команд попытались сдать компромат на топ-менеджера страховой компании города. Покупатель на черном рынке, конечно же, заплатил и за эту информацию, но не так много, как ожидали атакующие. Также под конец второго дня еще одна команда смогла отследить машину через GSM.

А вот промышленные объекты оказались для команд нелегкой задачей. Как рассказали команды SRV и "Перспективный мониторинг", одну линуксовую машину долго испытывали на прочность перебором паролей. В итоге, воспользовавшись расширенным словарем, атакующим удалось взломать учетные записи. Злоумышленники пытались закрепиться в системе и атаковать внутренние сервисы в обход NGFW, но активность была пресечена. Защитники обнаружили и устранили майнер. Всего за два дня WAF команды защитников отбили около 1,5 млн атак и было заведено 30 инцидентов безопасности.

К концу конкурса атакующим удалось сделать DDoS-атаку на контроллер и организовать разлив нефти, а команда True0xA3 уже на его последних минутах устроила блэкаут в городе. Досталось и железной дороге: неизвестные хакеры смогли получить управление локомотивом.

За час до конца кибербитвы город решил отказаться от системы антифрода, чем и воспользовалась команда Hack.ERS, которой удалось обчистить банк. Это позволило ей подняться из подвала турнирной таблицы и выбраться в победители, выбив из лидеров команду ЦАРКА (победителей прошлого года).

И о машинах

По прогнозу Gartner, к 2020 г. в мире будет насчитываться 250 млн автомобилей, подключенных к Интернету. Они будут обмениваться данными с сервисами умного города об авариях и заторах для снижения количества пробок, помогать диагностировать неисправности, предоставлять пассажирам информационно-развлекательные услуги. Такие системы делают поездки удобнее, но открывают новые возможности перед злоумышленниками. Штефан Танасе и Габриэль Чирлиг из Ixia (Keysight Technologies) исследовали автомобиль со встроенной информационно-развлекательной системой и нашли в нем множество уязвимостей.

В ходе выступления "Умный автомобиль как оружие" исследователи показали, как киберпреступники могут использовать GPS-данные встроенных в автомобили компьютеров для слежки за их владельцами. Одна из слушательниц даже обратилась к Чирлигу с просьбой подключиться к системе развлечений ее угнанного авто, чтобы по логам GPS обнаружить свою машину. Надеемся, что у них все получилось.

PHDays как культурное событие

"Модель для сборки"

С 2014 г. на PHDays создатели культовой радиопередачи "Модель для сборки" читают киберпанковские рассказы. Все началось с классиков жанра – Брюса Стерлинга и Мерси Шелли. Тогда у организаторов и возникла идея конкурса. Первый раз конкурс рассказов "Взломанное будущее", посвященный непростой жизни человека в мире глобальных коммуникаций и цифровых суррогатов, прошел в 2015 г.

В 2018 г. победили Game over Дмитрия Казакова и "Если я не дойду" Ирины Лазаренко. Именно эти рассказы зачитал "голос" проекта Владислав Копп.

Positive Hard Days

В этом году культурная программа PHDays пополнилась музыкальным фестивалем – Positive Hard Days, в котором приняли участие шесть групп из ИT-компаний. Победителем конкурса стала Neo Stereo. Отдельный приз от "Гильдии Музыкантов", одного из партнеров и членов жюри конкурса, получили два музыкальных коллектива: Eden и Jack.