Контакты
Подписка
МЕНЮ
Контакты
Подписка

Positive Hack Days VI: киберпротивостояние

Positive Hack Days VI: киберпротивостояние

В рубрику "В фокусе" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Positive Hack Days VI: киберпротивостояние

17–18 мая 2016 года в ЦМТ в Москве состоялся международный форум по практической безопасности Positive Hack Days. Его участники – CISO, представители регуляторов и хакерского мира, а также другие члены ИБ-сообщества – продемонстрировали свое умение взламывать и защищать различные элементы инфраструктуры.

Ключевой темой шестого форума стало противостояние между хакерами и безопасниками в условиях, максимально приближенных к реальным.

На площадке форума развернулась масштабная эмуляция городской инфраструктуры – целый мегаполис с работающими банком, телеком-оператором, электроэнергетической компанией (распределительная и магистральная подстанции, гидроэлектростанция, центральный и региональный диспетчерские пункты), а также "умным" домом.

Анализ рынка

"Оценивая итоги 2015 года, нужно с сожалением констатировать ухудшение общего уровня защищенности информационно-телекоммуникационных систем практически во всех областях", – отмечает Максим Филиппов, директор по развитию бизнеса Positive Technologies в России.


На форуме представили глобальный отчет аналитического центра Positive Technologies. Защищенность ИT-инфраструктур крупных компаний в 2015 г. оказалась вновь не на высоте. К примеру, для получения доступа к ресурсам внутренней сети в каждом втором случае (46%) злоумышленнику достаточно низкой квалификации. В половине систем используются словарные пароли учетных записей, 47% содержали уязвимости на уровне Web-приложений. У 100% систем были уязвимы служебные протоколы. В 91% недостаточно эффективно работала антивирусная защита. В 82% использовалось устаревшее ПО.

Наиболее актуальными ИБ-тенденциями года, по версии Positive Research 2016, стали:

  • Безопасность телекоммуникационных сетей. Интеграция новых технологий со старыми и, как следствие, возникновение новых векторов атак. В частности, проведение атак на абонентов мобильной связи с использованием протоколов SS7 с возможностью перехвата SMS-сообщений, прослушивания телефонных разговоров, отслеживания местоположения, отключения абонента от сети.
  • Защита технологических сетей управления предприятием. При защите АСУ ТП зачастую используются устаревшие модели угроз – без учета возрастающего влияния компьютерных компонентов, – поэтому такие системы находятся в зоне риска.
  • Уязвимость систем безопасности. Прогнозируется развитие SOС и облачных решений по обработке ИБ-данных, чтобы объединить процессы мониторинга событий, выявления атак, расследования инцидентов и обмена информацией об угрозах.
  • Целенаправленные атаки. Итоги 2015 г. показывают, что в 20% случаев при реализации целевых атак отмечено использование ранее не известных уязвимоcтей. APT-атаки качественно изменились: стали более сложными и многоступенчатыми.
  • Атаки на Web-сервисы компаний. За последние три года доля Web-приложений, в которых обнаружены уязвимости высокой степени риска, выросла до 70%. При этом наиболее показательной является ситуация в сфере финансовых онлайн-услуг: в 90% систем ДБО есть критически опасные уязвимости, которые в большинстве случаев связаны с недостатками авторизации.

Всё как в жизни

Актуальность вышеперечисленных трендов доказал не только представленный отчет, но и "боевые действия", развернувшиеся на PHDays VI. В течение двух дней на форуме можно было наблюдать, как затапливают город, расположившийся рядом с ГЭС, перехватывают управление системами автомобиля, отключают вентиляцию и лифты в "умном" доме, взламывают сотовую связь и выводят деньги из интернет-банкинга. Все условия были максимально приближены к реальным.

Объекты городской инфраструктуры

На стендах EAST 4 SCADA и CIA: Blackout очень наглядно воссоздавались объекты городской инфраструктуры. Несмотря на внешнюю "игрушечность", софт был самый настоящий.

Международный форум по практической безопасности Positive Hack Days, организованный компанией Positive Technologies, проходит каждую весну в Москве. Форум собирает вместе элиту хакерского мира, CISO, представителей ИБ-сообщества и регулирующих организаций, журналистов и молодых ученых. Главные принципы PHDays – минимум рекламы и максимум полезных знаний в докладах и на семинарах, неформальное общение "пиджаков" и "футболок" на круглых столах, множество захватывающих конкурсов и энергичная атмосфера исследовательского полигона. Больше о форуме – на сайте phdays.ru.

Всем желающим проверить свои силы в атаке на АСУ ТП предлагалось найти уязвимости и пустить под откос уже известный многим завсегдатаям PHDays поезд. Или же атаковать модель системы электроснабжения небольшого района. Здесь вариативность атак гораздо шире: нарушение нормальной работы общей системы электроэнергетики, воздействие на региональный пункт систем диспетчеризации и управления энергосистемой, на центральную диспетчерскую, отключение передачи электроэнергии на гидроэлектростанцию и, как кульминация, – превращение резервуара с ГЭС (и городом неподалеку) в аквариум.

Невысокий уровень защищенности компонентов АСУ ТП уже не раз отмечался экспертами по информационной безопасности. Однако то, что десятикласснику удалось обойти защиту промышленных протоколов и спровоцировать короткое замыкание на магистральной подстанции высокого напряжения (500 кВ), пожалуй, должно подтолкнуть производителей уделять большее внимание вопросам ИБ и своевременно выпускать обновления. "Необходимо как минимум использовать средства пассивного мониторинга ИБ производственного оборудования, позволяющие оперативно обнаружить действия злоумышленников и реагировать на них, – и такое внедрение не должно влиять на работу технологических процессов", – отмечает Олег Матыков, руководитель направления безопасности приложений Positive Technologies.

IoT в действии и безопасности?

Прямо в холле, напротив стойки регистрации, проходил конкурс CAR4ALL. В ходе него предлагалось взломать автомобиль BMW М5: отключить сигнализацию, открыть двери без ключа, завести двигатель.

В ходе демонстрации с ноутбука заводили двигатель машины, разблокировали двери, опускали стекла, включали фары. Страшно представить состояние водителя, попавшего в такую ситуацию в реальной жизни на трассе.

Выражение "мой дом – моя крепость" уже мало соответствует действительности. Участники соревнования BMS & Smart House Attack продемонстрировали это, отключив систему освещения, счетчики воды, лифт и вентиляцию интеллектуального дома.

Оба эти конкурса хорошо проиллюстрировали, насколько еще небезопасен IoT и чему стоит уделить внимание компаниям, предлагающим соответствующие решения по безопасности.

Ограбление по...

Не теряет популярности среди хакеров и финансовая отрасль – здесь минимум "человеческих жертв" и прибыль сразу.

Согласно исследованию Positive Technologies, приложения для онлайн-платежей – излюбленная мишень киберпреступников. В 90% систем ДБО были найдены критически опасные уязвимости. В половине случаев механизмы двухфакторной аутентификации отсутствовали или были реализованы некорректно. 43% мобильных банковских приложений хранили данные в памяти устройств в незашифрованном виде, а треть (29%) использовала незащищенные протоколы для беспроводной передачи трафика. Мобильные кошельки на iOS оказались существенно безопаснее Android-аналогов – серьезные уязвимости содержали 33% и 75% приложений соответственно.


Организаторы PHDays VI проверили посетителей на "жадность", предоставив им возможность найти и использовать уязвимости банковских систем с целью несанкционированного вывода денежных средств (призовой фонд 40 000 руб.) в рамках конкурса "Большой куш".

Вышки новые, а проблемы прежние

Зона покрытия сотовой связи увеличивается с каждым годом. Мобильная связь для жителей городов уже давно не роскошь, а полноценный инструмент ведения бизнеса и повседневной жизни. На любом современном телефоне мы найдем как банковские приложения и рабочую почту, так и приложения интернет-магазинов и мессенджеров. Повсеместная распространенность смартфонов, пожалуй, только добавляет проблем: с их помощью рискованно не только оплачивать покупки, но даже разговаривать и переписываться. В числе угроз – подделка мобильных переводов через USSD, кража денег через SMS-банкинг, получение доступа к электронным кошелькам и атаки на инфраструктуру.

Согласно данным Positive Research, в 89% случаев можно перехватить входящее SMS-сообщение, в 58% – определить местоположение абонента, а в 50% – прослушать звонок.

Все, кто сомневался в легкости перехвата SMS- и USSD-сообщений или клонирования абонента, смогли попробовать это на практике под руководством экспертов Positive Technologies Артура Гарипова и Павла Новикова.

Поймать беспилотник

Дроны из забавных игрушек постепенно превращаются в отдельную "боевую единицу".

Сейчас их все больше используют журналисты для того, чтобы снимать репортажи, а отдельные энтузиасты снимают фильмы с высоты птичьего полета. Но прогресс не стоит на месте, и в скором времени нас уже ждут дроны-курьеры, полицейские и спасательные дроны. Согласно прогнозам, стоимость одного такого полицейского может доходить до $30 тысяч. И недостаточная его защита чревата огромными финансовыми потерями. В конкурсе Drone Quest любой желающий мог стать счастливым обладателям квадрокоптера, если, конечно, сумел перехватить управление.

В рамках деловой программы Positive Hack Days эксперты обсудили актуальные вопросы ИБ: безопасность критически важных информационных систем, противодействие мошенничеству, киберпреступность и расследование инцидентов, кибервойна и кибершпионаж, защита облачных вычислений и виртуальной инфраструктуры, противодействие атакам нулевого дня, защита от DDoS, безопасность АСУ ТП (SCADA), защита бизнес-приложений и ERP, безопасность сетей связи.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2016

Приобрести этот номер или подписаться

Статьи про теме