Positive Hack Days (PHDays) — это ежегодная конференция в Москве, которая посвящена вопросам информационной безопасности. Среди самых обсуждаемых на форуме тем — безопасность государства и пользователей в кибернетическом мире, расследование инцидентов, кибервойна, криптография и многое другое. KV.by расскажет о том, как в 2018 году мероприятие прошло в Москве.
Корпоративные информационные системы
Корпоративные информационные системы все также уязвимы для атак со стороны внешних и внутренних злоумышленников. Почти 50% компаний столкнулись с целенаправленными кибератаками в 2017 году. При тестировании на проникновение от лица внутреннего злоумышленника полный контроль над всей инфраструктурой удалось получить во всех системах, несмотря на используемые в компаниях технические средства и организационные меры для защиты информации. Как отметил заместитель генерального директора Positive Technologies Борис Симис, только 5% компаний вообще заметили, что их пентестят.
Преодолеть сетевой периметр от лица внешнего злоумышленника, использующего, в числе прочего, методы социальной инженерии и атаки на беспроводные сети, исследователям Positive Technologies удалось в 68% случаев.
«Нужно сделать три простые вещи: везде установить антивирусы, устранить критически опасные уязвимости хотя бы на внешнем периметре и — надо понимать, что с большой долей вероятности вы уже взломаны, — поэтому нужно целенаправленно искать следы взлома в своей сети», - рассказал заместитель генерального директора Positive Technologies Борис Симис.
Тренды атак
Руководитель отдела реагирования на угрозы информационной безопасности Positive Technologies Эльмар Набигаев рассказал о последних трендах атак. Исследования Positive Technologies показали, что все больше атак носят деструктивный характер и имеют целью уничтожить цифровую инфраструктуру. Также эксперты отмечают рост сложных атак: злоумышленники все чаще используют уязвимости нулевого дня и сложное вредоносное ПО. Среди ключевых выводов из расследований: даже в отсутствие уязвимостей нулевого дня публичные уязвимости очень быстро берутся на вооружение хакерами, поэтому патчи нужно ставить моментально.
Среднее время присутствия злоумышленников в инфраструктуре — пять месяцев; отмечается, что срок этот сокращается, но не потому, что нарушения стали быстрее выявляться, а потому, что злоумышленники быстрее достигают своих целей. В целом эксперты прогнозируют рост числа целевых атак, особенно в исполнении хакерских групп, спонсируемых государствами: сказывается сложная геополитическая обстановка. Также ожидаются все большее усложнение атак и увеличение числа атак на инфраструктуру промышленных предприятий, на IoT и облачные сервисы (в контексте взлома через партнеров), а также низкоуровневых атак.
Уязвимости смарт-контрактов
Руководитель группы исследований отдела разработки средств защиты приложений Арсений Реутов рассказал об уязвимостях смарт-контрактов и об атаках на инвесторов.
С августа 2017 года злоумышленникам удалось похитить огромные суммы у криптовалютных бирж — около 300 млн долларов. Исследование Positive Technologies показало, что хакеры используют те же приемы, что и для взлома более привычных сервисов: большинство атак на криптобиржи и на площадки для проведения ICO были связаны с недостаточной защитой веб-приложений.
Компьютер на четырех колесах
По прогнозу Gartner, к 2020 году в мире будет насчитываться 250 млн автомобилей, подключенных к интернету. Они будут обмениваться данными с сервисами умного города об авариях и заторах для снижения количества пробок, помогать диагностировать неисправности, предоставлять пассажирам информационно-развлекательные услуги. Такие системы делают поездки удобнее, но открывают новые возможности перед злоумышленниками. Штефан Танасе и Габриэль Чирлиг из Ixia (Keysight Technologies) исследовали автомобиль со встроенной информационно-развлекательной системой и нашли в нем множество уязвимостей. Эксперименты проводились с личным автомобилем Габриэля Чирлига.
По словам Штефана Танасе, уязвимости в автомобиле значительно опаснее, чем в обычных ПК, так как под ударом могут оказаться человеческие жизни: машина едет на большой скорости и вмешательство киберпреступника может быть фатально. Для поиска уязвимостей компьютерной системы автомобиля докладчики использовали, в частности, открытое ПО MazdaAio Tweaks.
В ходе выступления «Умный автомобиль как оружие» исследователи показали, как киберпреступники могут использовать GPS-данные встроенных в автомобили компьютеров для слежки за их владельцами. Одна из слушательниц даже обратилась к Чирлигу с просьбой подключиться к системе развлечений ее угнанного авто, чтобы по логам GPS обнаружить свою машину.
Проблемы умных контрактов
О проблемах умных контрактов рассказывал Арсений Реутов, руководитель группы исследований отдела разработки средств защиты приложений Positive Technologies, в своем выступлении «Предсказываем случайные числа в умных контрактах Ethereum». Не все знают, что эфир (Ethereum) — не только вторая по популярности криптовалюта в мире, но и наиболее известный конструктор умных контрактов.
В прошлом году сделку с использованием смарт-контракта на базе эфира использовали Альфа-банк и S7 Airlines. Алгоритм контролировал поступление денег на счет исполнителя после прихода документов об исполнении работ. Смарт-контракты позволяют избежать множества юридических формальностей, но имеют один большой недостаток: они уязвимы для хакерских атак, как и любая другая программа.
Конкурсы для хакеров
Также на PHDays стартовала масштабная конкурсная программа и главное хакерское соревнование года ― The Standoff. По сюжету сражение между командами атакующих, защитников и SOC (security operations centers) разворачивается в городе, вся экономика которого основывается на цифровых технологиях.
События на площадке максимально приближены к реальности. Игровой полигон представляет собой масштабную эмуляцию городской инфраструктуры, включающую в себя ТЭЦ и подстанцию, железную дорогу, «умные» дома с рекуперацией энергии, банки с банкоматами и киосками самообслуживания, сотовую связь, интернет и различные онлайн-сервисы.
В первый день одной из команд атакующих удалось взломать незащищенный офис — об этом сообщила команда SOC «Ростелеком». Также были взломаны объекты городской инфраструктуры: атакующие нашли уязвимости в камерах и произвели атаку, направленную на отказ в обслуживании. В течение дня атакующие сдавали организаторам информацию об уязвимостях в рамках bug bounty и данные банковских карт.
Шестнадцатого мая участников ждали финальные испытания на конкурсах «MeterH3cker» и HackBattle. А закроет конкурсную программу PHDays традиционная «Наливайка». Участникам конкурса необходимо будет провести успешную атаку на веб-приложение, защищенное фильтром безопасности.
Приложение содержит конечное число уязвимостей, последовательная эксплуатация которых позволяет, среди прочего, выполнять команды операционной системы. Каждые пять минут участникам, на действия которых чаще всего реагировал WAF, предлагается выпить 50 мл крепкого горячительного напитка — и продолжать борьбу. Победителем становится тот участник, который сумеет первым получить главный игровой флаг на этапе выполнения команд на сервере.
Генеральный партнер форума ― ПАО «Ростелеком», бизнес-партнер форума ― MONT, партнер со стороны защиты ― Microsoft, промышленный партнер ―Московский завод «ФИЗПРИБОР», партнер по безопасности КИИ ― ICL, AI-партнер ― IBM, партнер по банковской безопасности ― Альфа-Банк, инновационный партнер ― Сбербанк, партнер по безопасности КИИ ― ICLСистемные технологии, партнер по облачной безопасности ― Symantec.
Горячие темы