4200 человек из разных стран мира стали свидетелями живого и несколько безумного праздника под названием Positive Hack Days VI. За два дня на площадке произошли сотни событий. На первый взгляд, хакеры чувствовали себя полными хозяевами положения. На деле — в условиях максимальной защиты никто не продвинулся дальше периметра DMZ.

Возможно, через несколько недель или месяцев город все равно бы пал. Такую защиту не взламывают кавалерийским наскоком. Но зрители не могли наблюдать за растянутой во времени целенаправленной атакой. Они хотели видеть, как топят поселок и жгут провода ЛЭП. Для повышения зрелищности решено было немного снизить уровень безопасности, отключив часть систем. И вот тут все увидели, что такое недостаточное внимание к ИБ. Хакеры использовали любую оплошность: успешно атаковали GSM/SS7, отключали системы умного дома, удаляли резервные копии важных систем, выводили деньги из ДБО.

Форум наглядно показал, что бывает с незащищенной критической инфраструктурой. Специалисты по информационной безопасности в силах обеспечить очень высокий уровень защиты без нарушения технологического процесса — но развернуться так, как на PHDays, им дают очень редко. После отключения средств защиты нападающие проникли в технологическую сеть АСУ через корпоративную, атаковали физическое оборудование системы, взломали ГЭС, провели сброс воды, отключили линии электропередачи.

Так или иначе, захватить город CityF целиком — и выиграть соревнования — ни одной команде хакеров не удалось. Подробные райтапы и итоги конкурсов ожидаются совсем скоро, а сейчас мы расскажем о нескольких выступлениях второго дня.

«На Positive Hack Days потрясающая аудитория. Я был очень впечатлен», — так начал свой доклад директор Microsoft Europe по кибербезопасности Ян Нойтце, приехавший в Москву рассказать о разработке норм безопасности в области международных киберконфликтов. Оказывается, у Microsoft есть сформированная позиция по вопросу ведения «бесшумных» войн, что, впрочем, не должно удивлять: бюджет компании сравним с валовым продуктом некоторых стран. По словам Нойтце, кибератаки обходятся бизнесу в 3 трлн долларов. Количество взломов за прошлый год выросло на 78%, данные 160 млн пользователей были украдены. Среднее время обнаружения взлома составило 229 дней.

Согласно данным Нойтце, правительства 16 стран уже декларировали использование оружия кибернападения, а 45 заявили об активных мероприятиях по киберзащите. Около 100 стран сейчас разрабатывают законодательство для своего киберпространства. «Главное — это критическая инфраструктура, — заявил Нойтце. — В законодательстве каждой из стран должно быть четко сказано, что спецслужбы и военные не имеют права атаковать эту сферу. Это грозит глобальной катастрофой».

На секции «Технологии защиты и нападения — 2016: кто совершит прорыв» ведущие эксперты Positive Technologies Expert Security Center рассказали о последних значимых событиях в сфере защиты и нападения.

Дмитрий Скляров поделился новостями из мира реверс-инжиниринга. Среди прочего, рассказал о найденной уязвимости в системе защиты информации Secret Net Studio. Ее эксплуатация позволяет злоумышленникам повысить свои привилегии с гостевого доступа до администратора. Скляров отметил, что на данный момент не проводятся серьезных исследований сертифицированных продуктов, поэтому необходимо стимулировать производителей отдавать ПО на тестирование независимым исследователям и не ограничиваться только сертификацией ФСТЭК.

Дмитрий Курбатов считает, что не стоит полагаться на мобильную связь. Он представил результаты исследований защищенности сетей SS7, проведенных в 2015 году Positive Technologies. Статистика неутешительна: каждая мобильная сеть уязвима. В 89% случаев возможен перехват входящего SMS-сообщения, в 58% случаев — определение местоположения абонента, а в 50% — прослушивание звонков. Так, перехват входящих SMS-сообщений может быть использован для получения доступа к аккаунту мессенджера и электронному кошельку.

Одной из тенденций последнего года стали атаки с компрометацией корпоративной почты. По данным ФБР, их число выросло на 270%. В среднем ущерб от атаки на жертву составляет 25–75 тыс. долл. Подобной атаке подверглась и компания Positive Technologies. О подробностях инцидента рассказал Владимир Кропотов.

«Банки должны регулярно проводить анализ защищенности своих мобильных приложений, —считает Артем Чайкин. — Многие мобильные банковские приложения неправильно реализовывают работу с данными, которые получают». Он рассказал слушателям об эволюции вредоносного ПО и нюансах механизмов защиты пользователей банковских приложений.

Heartbleed, Shellshock, Ghost, Badlock — это неполный список уязвимостей, которые стали брендом. Не только разработчикам интересно внимание прессы. Появился своего рода тренд, когда исследователи придумывают целую пиар-компанию, чтобы рассказать о найденных уязвимостях. Но какие из них действительно критически опасные, а про какие можно сказать «много шума из ничего»? Разбирался в этом вопросе Арсений Реутов.

«Ваши данные могут утечь практически бесплатно, если вы используете уязвимое ПО», — уверена Юлия Воронова. По словам эксперта, злоумышленники редко атакуют конкретного заказчика, в основном они отталкиваются от уязвимостей в продуктах. Хакеры находят уязвимости, применяют эксплойты и только потом ищут пользователей уязвимых продуктов и атакуют их. «Но не все так плохо, как раньше. Защита перестает быть догоняющей и становится опережающей», — подытожила Юлия.

Алексей Лукацкий собрал представителей ведущих разработчиков систем SIEM, чтобы разобраться в предназначении продуктов этого класса. Вопросы были поставлены максимально жестко. Действительно ли SIEM приносит пользу или является очередной «вытягивалкой» денег из заказчиков? И чем отличаются их продукты. На секции собрались Евгений Афонин (HP ArcSight), Олеся Шелестова (основатель RUSIEM), Владимир Бенгин (MaxPatrol SIEM), Владимир Скакунов (Splunk), Роман Андреев (IBM QRadar).

Алексей Лукацкий привел данные опроса за 2014 год, который проходил среди 800 компаний из разных стран мира в 30 отраслях, внедривших SIEM. 74% компаний ответили, что SIEM никак не повлиял на уровень безопасности: число инцидентов не уменьшилось. «Заказчики нередко ожидают, что SIEM сработает как серебряная пуля, что, будучи как-то установленной, система что-то им поймает, — прокомментировал результаты опроса Роман Андреев. — Не исключено, что у трех четвертей респондентов просто не было понимания, что им надо ловить». В зале заметили, что в задачи SIEM входит выявление инцидентов и их расследование, а не влияние на количество опасных событий. Евгений Шумский из IBM предложил смириться с этими цифрами как с неизбежным злом, вызванным повышенной сложностью продуктов данного класса: «Системы SIEM настолько многообразные существа, что каждый заказчик использует их по-своему. Применяют в качестве антифрод—систем, вычисляют KPI службы безопасности, автоматизируют выявление инцидентов. Для некоторых компаний SIEM — это просто необходимость раз в месяц зайти в дашборд и посмотреть, что происходило на маршрутизаторе».

«Я не соглашусь с цифрами опроса, — заявил Владимир Бенгин (Positive Technologies). — Ситуация еще хуже. За последние полгода я обошел около 100 заказчиков. Мы внедрили 15 проектов MaxPatrol SIEM и провели десятки пилотных проектов. Почти везде, куда я приходил, SIEM уже был. Он лежал на полочке. По моей статистике, эффективно работает одна из десяти SIEM-систем, так как системы этого класса продают только функционал. У кого больше сравнительная таблица — тот и победил. Когда я выбираю машину, этих опций гораздо меньше. Главная ошибка производителей — они не продают экспертизу. По моему опыту, системы SIEM работали только в тех нескольких компаниях, где был сформирован отдел из десятка специалистов по безопасности. Данный подход в SIEM-системах нам не нравится. Он не работает. Поэтому Positive Technologies пошел по другому пути, сделав систему, способную работать практически из коробки. В нашей парадигме SIEM — лишь один из кирпичиков будущей платформы».

Аналитик угроз информационной безопасности Fidelis Cybersecurity Джон Бамбенек выступил на форуме с докладом «Выявление инцидентов безопасности путем эксплуатации свойств отказоустойчивости инфраструктуры злоумышленника». Он привел примеры техник, которые используют злоумышленники, рассказал про алгоритмы генерирования доменных имен. Существуют такие закономерности, когда злоумышленники регистрируют большое количество доменов или сервисов снова и снова. В контексте расследования, зная закономерности их поведения, можно отслеживать преступника до тех пор, пока он не ошибется. «Преступник должен быть удачлив всегда. В долгосрочной перспективе это сложно. Чем больше они действуют, тем больше вероятность ошибки», — считает Джон. Аналогичную тему мы затронули в блоге Positive Technologies на Хабре.

Большой интерес вызвал доклад Андрея Масаловича «Выживший». Он рассказал, как подготавливаются информационные атаки. Целый арсенал средств информационного воздействия используется в «войне за мозги». В частности, в дуэте тролля и бота теперь новый игрок — Фея с пипеткой. Традиционный рынок живет по модели трехмерного взрыва. Искусственные информационные всплески действуют по аналогу двумерной волны: капля упавшая на воду, дает круги, а если она попадет в хорошее место, то дает большую волну. Так работает и Фея с пипеткой, которая капает в нужное место одну отравленную каплю.

Пожалуй, самой интригующей частью выступления стала демонстрация примеров социальных портретов участников массовых обсуждений — политиков, медийных персон, обычных пользователей, вербовщиков и их жертв. Глядя на эти карты, невольно содрогнешься: даже если человек не раскрывает информацию о себе в своем аккаунте, его все равно можно вычислить, просто изучив второй круг его знакомых. Естественно, подобный метод экспресс-анализа социального портрета используется и в целях безопасности, что на примере портретов экстремистов и показал Масалович.

Выступление Альфонсо де Грегорио было посвящено рынку эксплойтов, его участникам, деятельности брокера уязвимостей нулевого дня — и соответствующим аспектам деловой этики.

«Однажды японский коллега задал мне один щекотливый вопрос, — рассказывает Альфонсо. —Что я думаю о моральной стороне такого процесса, как торговля информацией об уязвимостях и эксплойтах нулевого дня? Признаться, в тот момент этическая сторона меня волновала гораздо меньше экономической. Интереснее для меня был вопрос, кто виноват больше: те, кто эксплуатируют уязвимости, или разработчики некачественного софта?»

Альфонсо сформулировал этику торговца уязвимостями. Первое правило: не сотрудничать с компаниями, которые замечены в нарушении человеческих прав. Второе правило: не угрожать здоровью людей: например, не продавать уязвимости в медицинском оборудовании. Точно также нельзя торговать украденной инсайдерской информацией. Третье правило: избегать конфликта интересов. Еще один запрет касается излишней эксплуатации: продавец должен указывать максимальное число атак или целей. Кроме того, согласно этической конструкции Альфонсо де Грегорио, нельзя играть за обе команды в одном матче, то есть помогать и атакующим, и защитникам.

Сергей Голованов из «Лаборатории Касперского» рассказал о происшествии в одном из банков, когда команду специалистов по безопасности ЛК вызвали со словами «Приезжайте поскорее. Час не потерпим. Каждая минута стоит нам 200 долларов».

По пути в банк мы немножко нервничали, объезжая пробки. Было подозрение, что услышали какой-то «маркетинговый булшит» — озвученная цифра представлялась нам художественным преувеличением. По приезду оказалось, в системе засел crontab. Все так и было: каждую минуту 200 долларов улетали неизвестному адресату. И такие транзакции осуществлялись в течение нескольких недель.

После этого началась работа. В банке стоял сервер на Linux с открытым доступом по SSH. Сервер смотрел напрямую в процессинг. Общение между банком и процессингом шло через HTTP с помощью POST-запросов. Эти запросы определяли, куда переводить деньги, с какого счета и прочее. Как банк заметил неправильные транзакции? Представьте: сидит такой специалист процессинг-центра ночью. Тишь да гладь, никаких транзакций. И только один банк каждую минуту отправляет 200 долларов. Из процессинг-центра позвонили в банк. Ребят, что вы делаете? Банкиры проверили и очень удивились. Они этого не делали. Скрипт crontab просто по «курлу» отправлял деньги.

Позвали админа и спрашиваем у него пароль для SSH. Пароль оказался Sonic17. Посмотрели логи авторизации и видим, что ребята брутфорсили пароль тремя попытками в неделю. У них это заняло два месяца! Злоумышленники выяснили базовое слово пароля, а потом начали перебирать цифры. Делали они это по субботам, поэтому мы знали, что это не евреи. Начали искать точку входа. Нашли. На сайте онлайн-банка, обслуживающего юридических лиц, был найден скрипт info—.asp. Он ничем не отличался от info. asp. Единственная разница — внизу была строка, отправляющая SQL-запрос, который сразу исполняется на базе данных банка. Вначале решили, что это ошибся разработчик. Служба безопасности уже взяла паяльник и начала его искать. Но мы их попросили подождать и стали разбираться со скриптом, который делал запрос к базе онлайн-банка. После этого на этой базе начинал работать exe-файл, который делал туннель. Посмотрев на этот путь, можно было выяснить весь список использованных троянов: Meterpreter и Mimikatz в PowerShell, Powerpreter в obvious и PuTTY plink в whitelisted. Запросы шли от веб-приложения сквозь всю корпоративную сеть!