В вашей корзине
(пусто)
 

Точно в девятку

24 Май 19
24 Мая 2019, 10:11
Международный форум по практической безопасности PHDays 9 подошел к концу, собрав рекордное число участников — более 8 тыс. человек. Специалисты по информационной безопасности, журналисты, политики, артисты, представители бизнеса и государства из разных стран посетили более 100 выступлений. На площадке «взламывали» завод по перекачке газа, банкомат, автомобили Tesla и другое оборудование, а вечером на сцену вышел лидер «Смысловых галлюцинаций».

Пока шли доклады, атакующие, защитники и SOC сражались за объекты города F в кибербитве The Standoff. Все атакующие прощупывали почву и старались расширить свое присутствие в инфраструктуре. Команда True0xA3 успела пропатчить уязвимости завоеванного офиса, чтобы другие атакующие не смогли в него проникнуть. Так как именно этот офис управляет всей АСУ ТП, команда начала распространяться по другим объектам города. Команда True0xA3 устроила цветомузыку на улицах города — включала и выключала освещение, а потом спровоцировала разлив нефти на нефтехранилище. Команда «ЦАРКА» взломала две SCADA-системы на нефтяном заводе. Ближе к концу второго дня случилась глобальная утечка данных из сторонних источников. Команда защитников STS обнаружила, что произошла полная компрометация офиса страховой компании. Атакующие провели анализ публичных источников и нашли конфиденциальную информацию — доменные учетные записи. Часть команд защитников увидела эту активность и блокировала ее, другие заметили не так быстро. В итоге True0x3A воспользовались полученной информацией, проникли во внутреннюю сеть с помощью корпоративного VPN и повысили свои привилегии. Они смогли получить права администратора домена всего за 7 минут! Команда STS придумала тактику реагирования на инцидент, но не успела реализовать ее за игровое время. В итоге первое место среди атакующих заняла команда True0xA3 (3 023 264 балла), второе и третье места заняли «ЦАРКА» (1 261 019 баллов) и hack.ERS (125 500 баллов), а среди защитников лидером стала команда Jet Security Team (44 040 600 баллов). Также в рамках The Standoff проводился хакатон: команды разработчиков подготовили приложения, а в течение всего противостояния нападающие атаковали и писали отчеты bug bounty о найденных уязвимостях. Победителем в хакатоне стал bitaps.com .

В течение двух дней на площадке прошло множество конкурсов. На стенде Network Village эксперты по безопасности рассказывали о сетевом фаззинге, SSL-пиннинге, MITM-атаках, атаках на веб-приложения и USB-устройства и многом другом. Участники узнали о видах и векторах атак и тут же отрабатывали на практике полученные знания в конкурсе E&E Exploit Express (участникам нужно было пройтись по нескольким уязвимым сервисам и собрать флаги). Первое место в конкурсе занял Throne6g, II место — h4rm0ny, III место — Technical Assistance Center Uzbekistan.

За звание промышленного ниндзя в конкурсе по взлому завода по перекачке газа Industrial Ninja поборолись 40 человек. В распоряжении участников было три стенда, эмулирующих индустриальный процесс. Суть их работы в следующем: под большим давлением (более 100 000 Па) в эластичную емкость (воздушный шар) закачивается смертельно опасный пестицидный газ (в реальности — воздух). Каждый стенд имел свой уровень сложности по степени защиты: новичок, бывалый и ниндзя. Организаторы поделились интересной статистикой: за два дня были решены 5 из 6 задач; участник, занявший первое место, заработал 233 балла (он потратил на подготовку к конкурсу неделю). Тройка призеров: I место — a1exdandy, II — Rubikoid, III — Ze.

В ходе конференции также проводилось соревнование AI CTF, цель которого была познакомить специалистов в области ИБ с применением различных ML-техник в игровых CTF-сервисах, а специалистам по машинному обучению продемонстрировать, каким образом такие сервисы могут оказаться уязвимыми. Победители: I место — silent, II место — kurmur, III место — konodyuk.

В конкурсе IDS Bypass участники должны были взломать пять уязвимых узлов и добыть с них флаги, но сделать это в обход системы обнаружения вторжений. Вот участники, которым это удалось: I место — psih1337, II место — webr0ck, III место — empty_jack.

Одна из новинок этого года — конкурс по форензике ESCalation Story: Spin-Off. Участники должны были решить множество задач из области расследования инцидентов. Лучше всех с этим справились Станислав Поволоцкий (I место), Михаил Прохоренко (II место), Михаил Бородин (III место).

Сергей Гордейчик, один из основателей PHDays, а ныне директор по информационным технологиям IIAI (Inception Institute of Artificial Intelligence, Абу-Даби) в докладе «AI-ширпотреб и немного безопасности» рассказал о проблемах внедрения технологий искусственного интеллекта в различных секторах экономики. 

Продолжили тему машинного обучения представители группы реагирования на инциденты JPCERT/CC Томоаки Тани и Сюсей Томонага. В классической целевой атаке злоумышленник проникает в сеть и использует вредоносное ПО для заражения узлов и серверов. Windows Active Directory записывает историю таких событий, и системы безопасности могут эту историю использовать, но информации там слишком много. Эксперты согласились с полезностью SIEM-систем, но отметили, что отличить легальный журнал событий от злонамеренного позволяют не все системы этого класса. Докладчики представили LogonTracer — инструмент расследования инцидентов, который визуализирует отношения между учетными записями и узлами. На скриншоте ниже — пример действий хакерской APT-группировки Tick, которая атакует в Азии различные медико-биологические, технологические, химические компании.

Люди, далекие от информационной безопасности, часто интересуются возможностью взломать iPhone. Это реально, если вклиниться между устройством и пользователем, осуществив атаку «человек посередине» (man in the middle, MITM). Владимир Иванов, аудитор ИБ в Digital Security и автор GitHub-проекта Raw-packet, выступил с докладом «MITM на устройства Apple».

На секции «Конструктивная критика решений безопасности и критический подход к их конструированию» эксперты Positive Technologies рассказали о возможностях, которые скрываются за использованием новейших и уже знакомых технологий в различных сферах экономики. Доклады коснулись таких тем, как современные сценарии кибератак, нюансы защиты АСУ ТП, телекоммуникационных и банковских систем, риски, связанные с IoT и искусственным интеллектом, качественное изменение веб-приложений и их защищенности, аппаратные уязвимости и варианты более безопасного сосуществования с ними.

Эксперт по безопасности банковских систем Тимур Юнусов затронул тему безопасности банковских систем. Он отметил, что сегодня у финансовых организаций разный уровень безопасности: встречаются и такие компании, которые не обладают крепкими знаниями даже собственно о банковском процессе. Требования регуляторов по-прежнему остаются триггером для обеспечения безопасности, но чаще всего финансовые организации опираются на рисковую модель: как много может злоумышленник украсть, какова вероятность инцидента.

Про эволюцию безопасности веб-приложений рассказал руководитель группы исследований отдела разработки средств защиты приложений Арсений Реутов. Он выделил четыре периода в развитии приложений и средств защиты — периоды монолитных и виртуальных приложений, период контейнеризации и период serverless — и рассмотрел особенности каждого из них.

О проблемах firmware поведал исследователь безопасности Максим Горячий. Девиз разработчиков прошивок — «безопасность через неясность». Проблема заключается в том, что прошивки имеют максимальные привилегии (доступ к памяти и данным), конечные пользователи практически никогда не обновляют прошивки, качество кода и архитектуры зачастую оставляют желать лучшего. Усложняет ситуацию то, что атаки на прошивки не определяются современными средствами защиты. Кроме того, производители часто не готовы устранять найденные дефекты, и уязвимое оборудование может использоваться годами (возникают так называемые уязвимости forever day).

Инженер по машинному обучению Александра Мурзина рассказала о рисках применения искусственного интеллекта. ИИ в компьютерной безопасности может использоваться как инструмент для защиты (IDS, WAF) и нападения (fuzzing), однако сам ИИ может быть уязвим. По мнению эксперта, «есть люди, которые заинтересованы в том, чтобы модель ошибалась; их задача найти как можно больше векторов, которые дают неверный результат».

Выступление руководителя группы исследований безопасности мобильных приложений Николая Анисени было посвящено безопасности мобильных приложений. Он развенчал миф о том, что не существует троянов для iOS.

Эксперт Positive Technologies Алексей Гончаров в докладе «Threat mining в Namecoin» затронул все хайповые темы последних лет — блокчейн, боты, биткойны, большие данные, чтобы рассказать о штуке под названием Namecoin. Это публичный блокчейновый регистратор доменных имен, построенный на базе биткойна. Главная его особенность — защищенность от принудительного разделегирования доменных имен. Основное преимущество — так называемая абузоустойчивость, или, как говорят владельцы этого блокчейна, Censor-Proof (цензуроустойчивость). После того как какая-то информация попадет в блокчейн, удалить ее оттуда уже нельзя. Таким образом, захватить, «заблекхолить», разделегировать домен никто уже не может. Это особенность заинтересовала владельцев различных ботнетов, которые стали использовать ее для управления именами C&C-серверов. Однако возможность видеть в блокчейне все изменения позволяет специалистам по безопасности отслеживать и изучать действия таких злоумышленников.

На форуме было множество ярких, непривычных для индустрии ИБ событий — киберквест, музыкальный фестиваль Positive Wave, детский день (The StandOff Kids), Movie Battle, экспериментальный соцтрек, концерт Сергея Бобунца. 

Возврат к списку