Дата публикации: 16 мая 2016

Накануне Противостояния: участники PHDays VI СityF — о том, кто кого

Десять, девять, восемь… — таймер обратного отчета с бешеной скоростью приближает старт форума Positive Hack Days VI. Еще немного и все мы станем свидетелями PHDays VI СityF: Противостояние, где вместо абстрактных заданий участников ждет масштабная и максимально реалистичная модель битвы в киберпространстве. По словам Бориса Симиса, заместителя генерального директора компании Positive Technologies по развитию бизнеса, «одна из важных целей состязания — привлечь внимание государственных и муниципальных органов власти, экспертов по информационной безопасности банков и финансовых учреждений, телекоммуникационных компаний, промышленных предприятий к теме информационной безопасности в контексте функционирования жизнедеятельности страны».

Итак, уже через пару дней на одной площадке в нешуточной битве схлестнутся команды хакеров, защитников и экспертных центров безопасности (SOC) — всего 24 команды. Кто же они? Накануне PHDays VI СityF мы побеседовали c представителями команд, услышали их прогнозы на исход Противостояния и даже узнали детали их стратегических планов. Но обо всем по порядку.

Кто есть кто

Большинство участников Противостояния — в обычной жизни реальные представители мира информационной безопасности — не рискнули называть свои имена, ссылаясь на «военную тайну». Ну что ж, не будем спорить. Правда, двое все же сняли маски, и любопытно, что оба они — именно хакеры. «Мы — белые шляпы, нам нет нужды скрываться!» — прокомментировал Константин Плотников, участник команды «Хакердом».

Итак, встречаем героев интервью.

Хакеры: представители команд Rdot, Bushwhackers, filthy thr33, SpamAndHex, участник More Smoked Leet Chicken Влад Росков и член команды «Хакердом» Константин Плотников.

Защитники: представители команд Green, You Shall Not Pass, Vulners, АСТ и команда одного из SOC — IZo:SOC/ welZart.

Фан, практика, победа

Чего же ждут команды от участия в Противостоянии? Как оказалось, цель большинства участников — получить опыт: для защитников это практика обнаружения атак и их нейтрализации, взаимодействие с SOC, а для хакеров — атака сложных объектов (АСУ ТП, мобильные сети). Впрочем, старожилы CTF настроены не так серьезно, планируют отлично повеселиться и получить удовольствие от игры.

You Shall Not Pass: За два дня участия в состязании мы увидим больше атак и хакерских техник, чем за годы работы. Это колоссальный опыт, и мы просто не имеем права его игнорировать.

АСТ: Главные цели нашего участия — практическая проверка используемых методов и механизмов защиты и повышение уровня сплоченности и организованности команды в экстремальных условиях.

IZo:SOC/welZart: Мы настроены в условиях массированных атак отработать обнаружение и противодействие атакам, а также взаимодействие наших команд: все эти навыки обеспечивают реальную безопасность наших заказчиков. Такую концентрацию усилий хакеров на единицу времени (и на объект защиты) мы в реальной жизни можем получить только в случае тотальной кибервойны, — без которой, я надеюсь, всё-таки обойдется.

filthy thr33: Главная наша цель — получить удовольствие от мероприятия :) Интересно посмотреть на сам CityF и как реальные системы защиты АСУ ТП справятся с реальными угрозами.

Константин Плотников: Конечно же победить! И обязательно получить новые знания и фан :)

«Защитники, SOC, хакеры — всё как в жизни!»

На этот раз организаторы отошли от привычного формата CTF. Если раньше это было узкоспециализированное мероприятие для хакеров, то сейчас действие обещает быть более зрелищным: и нападающие, и защитники будут предпринимать самые активные действия. И похоже, это идея многим пришлась по душе.

You Shall Not Pass: Защитники, SOC, хакеры — всё как в жизни! Новый формат обещает быть захватывающим. Традиционный CTF очень специфичен: простому наблюдателю со стороны не всегда понятно происходящее. На PHDays VI СityF ожидается интерактивная визуализация — в игру будут вовлечены все посетители форума PHDays. И всем любопытно, что из этого получится.

Rdot: Это интересный для нас формат, поскольку он подразумевает разнообразные задачи, большинство из которых почти полностью соответствуют задачам из повседневной рабочей практики.

И только участник More Smoked Leet Chicken вздыхает о старом добром CTF: «Меня не порадовало. Нет ничего лучше старого доброго PHDays CTF (2012—2013 годов), когда команды атакуют и жюри (как Jeopardy), и друг друга (как Attack-Defense)».

«Шеф! Все пропало!»

Какой он — самый страшный кошмар CityF-ника? Команды расписали худшие сценарии, которые могут произойти на игровом полигоне. Конечно, ожидать можно — даже нужно! — чего угодно. Коварные организаторы приготовили много сюрпризов и уже предупредили, что в ходе игры могут внезапно появиться новые сервисы, доступные для атаки. Но похоже, это не пугает наших участников: напротив, они ждут больше экшена от организаторов: «Важно, чтобы они вовремя подливали масла в огонь!».

Green: В ходе игры обязательно возникнут проблемы, которых обычно удается избежать в реальных проектах. В рамках CTF есть определенные ограничения на защищаемую инфраструктуру: общий IP адрес легальных пользователей и атакующих и архитектурные ограничения. Кроме того, у участников очень мало времени на подготовку. Мы ожидаем, что будут сложности с компрометацией внешних сервисов и попытки развить атаку на объекты внутренней сети. Также, возможно, будут сложности с инфраструктурой или системами защиты, которые могут не выдержать такого наплыва хакеров. Но у нас есть готовый план реагирования на такие нештатные ситуации.

You Shall Not Pass: Единственное, чего мы опасаемся, — что будут медленно работать серверы из-за нехватки производительности, или кто-то из атакующих решит «уронить» всю инфраструктуру.

IZo:SOC/welZart: Все может пойти не так, начиная от неработоспособности инфраструктуры игры, заканчивая конфликтами в команде. Но мы готовы ко всему.

Rdot: Если правила окажутся слишком запутанными и сложными, то многое может пойти не так. Времени для соревнования немного, участникам нужно сразу вникнуть в правила, в которых тоже могут оказаться уязвимости. Например, есть ли какая-то защита от инсайдеров в командах защитников? ;)

События на площадке: под угрозой окажется все

Команды защитников и SOC примерили шкуру хакеров и рассказали, какие объекты города CityF подвергнутся атакам. Они предполагают, что будут уязвимости в приложениях, веб-приложениях, ОС и сервисах, ошибки конфигурирования, слабые пароли, которые будут активно эксплуатироваться атакующими. И конечно, не обойдется без методов социальной инженерии.

Green: Основным вектором атаки будут веб-серверы, так как они постоянно доступны хакерам. Ожидаем использования социнженерии через почтовые рассылки для «пользовательского» сегмента. Маловероятно, что будут атаки на объекты инфраструктуры и средства защиты.

АСТ: Есть ряд критических ресурсов в инфраструктуре города, которые мы взяли под защиту. Это типовые объекты для банка: автоматизированная банковская система, система дистанционного банковского обслуживания, корпоративный домен, почтовая система. Именно эти объекты, по нашему мнению, должны привлечь внимание наших противников. Кроме того, мы ожидаем, что в процессе самого Противостояния администраторами будут «вводиться в эксплуатацию» новые сервисы, в том числе уязвимые файловые и веб-ресурсы: в реальных банках так всегда и происходит, и нужно будет оперативно реагировать и перестраивать системы защиты.

Vulners: Думаем, что вначале начнут атаковать веб-приложения, затем перейдут на инфраструктурные серверы. Соревнований, в которых можно атаковать системы SCADA или сети SS7, проводится не так много, поэтому их, скорее всего, будут атаковать лишь отдельные хакеры.

IZo:SOC/welZart: Атаковать будут всё, включая то, что нельзя атаковать по правилам игры. Скорее всего, большая часть атак сосредоточится на традиционных объектах (банк, офис и прочее), так как взлом телекома и АСУ ТП требует специфичных знаний. С другой стороны, если уж их и будут «ломать», то это будут делать наиболее квалифицированные участники — и по изощренным схемам.

«Будем атаковать бар!»

Конечно, никто из хакеров не спешит раскрывать все тайны, но кое-что удалось разузнать. Оказалось, что наибольший интерес у атакующих вызывает электростанция.

Rdot: Будет зависеть от мотивации участников команды. Думаю, замахнемся на многое, включая банк и электростанцию.

SpamAndHex: Лично я думаю, что будут уязвимости в критических инфраструктурах (например, в электростанции). Также будут недостатки конфигурации (например, топология сети, отсутствие хорошо настроенных политик сдерживания) и реальные уязвимости в службах, которые выставляют различные виртуальные машины.

filthy thr33: Думаю, что обязательно будет несколько стандартных уязвимостей из джентельменского набора SCADA-систем. Наверное, эксплуатацию этих уязвимостей защитники и будут выявлять в первую очередь. Ну и некоторые задания нужно будет решать с помощью 0-days, как же без этого.

Bushwhackers: Заранее нельзя сказать, какие именно уязвимости в каких сервисах будут и как они будут пересекаться с навыками членов команды. Но совершенно точно мы будем атаковать бар :)

«Тяжелая артиллерия» против лэптопов

Команды защитников и SOC серьезно подготовились к Противостоянию и планируют вооружиться как стандартными средствами защиты (начиная от обычных антивирусов и IDS/IPS, заканчивая FW и WAF), так и нестандартными, которые станут для хакеров настоящим сюрпризом (который накануне Противостояния игроки конечно же раскрывать отказались).

IZo:SOC/welZart: В рамках SOC у нас развернут ряд систем сбора, обработки и мониторинга событий ИБ, таких как IBM qRadar, Microsoft OMS, SecurityMatters SilentDefence. Состав СЗИ определяется прежде всего актуальными угрозами. Мы для себя выделили следующий набор подсистем ИБ: подсистемы межсетевого экранирования, защиты от APT-атак, антивирусной защиты, регистрации событий ИБ, обновлений.

АСТ: Планируем использовать средства защиты как базового уровня, так и ряд новых средств, предлагаемых партнерами-производителями (например, средства защиты от целенаправленных атак на учетные записи доменных пользователей, облачные средства поведенческого анализа программного обеспечения).

Хакеры, при этом, планируют идти в бой практически с голыми руками, вооружившись преимущественно ноутбуками.

Константин Плотников: Мы возьмем с собой ноутбуки, средства радиосвязи и все, что может оказаться полезным. В прошлом году, например, пригодился тонер из картриджа лазерного принтера и зеркальный фотоаппарат для считывания информации с магнитной полосы банковской карты.

PHDays VI СityF — это лотерея

Кто же победит? Пока сложно предсказать, команды пока сдержано оценивают друг друга — и, конечно, никто не собирается сдаваться. Ну или почти никто... :) Однако уже сейчас можно сказать, что битва будет жаркой.

Vulners: Это новый формат проведения CTF, поэтому шансы у всех команд будут равны. Несмотря на то что защитникам заранее дали время на изучение объектов инфраструктуры, организаторы обещали подготовить несколько сюрпризов, чтобы даже идеально выстроенную линию защиты можно было взломать.

АСТ: Наши противники — это высококвалифицированные специалисты, в том числе исследователи в области ИБ. И у всех есть шансы на победу. В любой инфраструктуре есть уязвимые места, но мы приложим все усилия, чтобы уменьшить шансы соперников.

Green: Мой прогноз — пятьдесят на пятьдесят. Это лотерея. Мы не можем защититься от всех атак в текущих условиях — да и в условиях любого проекта. Но мы можем обеспечить определенный гарантированный уровень безопасности по всем направлениям, руководствуясь лучшими практиками и отраслевыми стандартами. Мы можем построить вокруг объекта забор определенной высоты, а смогут ли атакующие перепрыгнуть этот забор — полностью зависит от них.

filthy thr33: Я думаю, что никто не уйдет обиженным. Защитники успешно отловят часть атак, хакеры обойдут системы защиты, а SOC зафиксирует все это безобразие :)

Влад Росков: У нас выиграют. Мы не выигрывать пришли, так… пофаниться.

***

Кто окажется сильнее — хакеры или специалисты по защите? За кого болеете вы? Делайте свои ставки и занимайте места в зрительном зале. Будет весело! Напоминаем, что форум состоится 17—18 мая 2016 года в московском Центре международной торговли. Билеты на Positive Hack Days: runet-id.com/event/phdays16.

Все новости