Журнал "Information Security/ Информационная безопасность" #3, 2018

На PHDays 8 организаторы продемонстрировали возможные проблемы ИБ, с которыми придется столкнуться государству, бизнесу и частным лицам вследствие перехода на "цифру". Все должны осознать реальную опасность цифровой изнанки, кото- рая скрывается за маркетинговым глянцем. Основные вопросы, которые обсуждались на PHDays 8: роль государства и регуля- торов в цифровизации экономики, диджитализация финансовых технологий, безопасность критической информационной инфра- структуры, меры по снижению рисков и контролю ИБ, методы и средства обеспечения физической безопасности. Практика для хакера Одна из самых интересных частей PHDays – хакерские кон- курсы. В этом году на площадке форума развернулись бои по взлому сетей Smart Grid, поиску уязвимостей в смарт-контрактах блокчейна, прохождению лабиринта в умном доме, хакерские дуэли в формате "один на один" и другие онлайн-соревнова- ния. В рамках главного противостояния форума The Standoff сра- зились команды нападающих и защитников. В этом году орга- низаторы вывели конфликт на новый уровень – битва развер- нулась на макете города, вся экономика которого основывалась на блокчейн-технологиях. Командам атакующих удалось взло- мать некоторые объекты, но почти без борьбы: большинство из них не были защищены. Тем не менее битва между атакую- щими была горячей: турнирная таблица кардинально измени- лась за полчаса до конца игры. К концу первого дня одной из атакующих команд удалось взломать незащищенный офис. Помимо этого были взломаны объекты городской инфраструктуры: атакующие нашли уязви- мости в камерах и произвели атаку "отказ в обслуживании", а кто-то "поиграл" с системами отопления. Команда Jet Antifraud Team, которая защищала банк, зафик- сировала массированную атаку в ночь с 15 на 16 мая с целью кражи денег со счетов жителей города. В течение дня было всего пять попыток переводов на сумму 140 публей (виртуаль- ная валюта города). Вечером и ночью произошли три крупные атаки. Всего было около 20 тыс. попыток совершения мошен- нических операций на 19 внешних счетов. Командам ЦАРКА и Sploit00n удалось взломать абонентов телеком-оператора: были перехвачены SMS-сообщения и най- ден автомобиль по GPS-координатам. В середине второго дня ЦАРКА также смогла сбросить пароли всех абонентов портала телеком-оператора и попыта- лась продать учетки покупателю на черном рынке, но он быстро заподозрил неладное и отказался от покупки. В это время телеком-оператор восстановил учетные записи из бэкапа после того, как получил жалобы от абонентов, и закрыл дыру в портале. Далее команда попыталась сдать учетки по программе Bug Bounty, но телеком заплатил за это копейки. Вот и будь после этого хорошим хакером. Позже еще несколько команд попытались сдать компромат на топ-менеджера страховой компании города. Покупатель на черном рынке, конечно же, заплатил и за эту информацию, но не так много, как ожидали атакующие. Также под конец второго дня еще одна команда смогла отследить машину через GSM. А вот промышленные объекты оказались для команд нелегкой задачей. Как рассказали команды SRV и "Перспективный мониторинг", одну линуксовую машину долго испытывали на прочность перебором паролей. В итоге, воспользовавшись расширенным словарем, атакующим удалось взломать учетные записи. Злоумышленники пытались закрепиться в системе и атаковать внутренние сервисы в обход NGFW, но активность была пресечена. Защитники обнаружили и устранили майнер. Всего за два дня WAF команды защитников отбили около 1,5 млн атак и было заведено 30 инцидентов безопасности. К концу конкурса атакующим удалось сделать DDoS-атаку на контроллер и организовать разлив нефти, а команда True0xA3 уже на его последних минутах устроила блэкаут в городе. Досталось и железной дороге: неизвестные хакеры смогли получить управление локомотивом. За час до конца кибербитвы город решил отказаться от системы антифрода, чем и воспользовалась команда Hack.ERS, которой удалось обчистить банк. Это позволило ей подняться из подвала турнирной таблицы и выбраться в победители, выбив из лидеров команду ЦАРКА (победителей прошлого года). И о машинах По прогнозу Gartner, к 2020 г. в мире будет насчитываться 250 млн автомобилей, подключенных к Интернету. Они будут обмениваться данными с сервисами умного города об авариях и заторах для снижения количества пробок, помогать диагно- стировать неисправности, предоставлять пассажирам инфор- мационно-развлекательные услуги. Такие системы делают поездки удобнее, но открывают новые возможности перед злоумышленниками. Штефан Танасе и Габриэль Чирлиг из Ixia (Keysight Technologies) исследовали автомобиль со встроен- ной информационно-развлекательной системой и нашли в нем множество уязвимостей. В ходе выступления "Умный автомобиль как оружие" иссле- дователи показали, как киберпреступники могут использовать GPS-данные встроенных в автомобили компьютеров для слежки за их владельцами. Одна из слушательниц даже обра- тилась к Чирлигу с просьбой подключиться к системе раз- влечений ее угнанного авто, чтобы по логам GPS обнаружить свою машину. Надеемся, что у них все получилось. PHDays как культурное событие "Модель для сборки" С 2014 г. на PHDays создатели культовой радиопередачи "Модель для сборки" читают киберпанковские рассказы. Все началось с классиков жанра – Брюса Стерлинга и Мерси Шелли. Тогда у организаторов и возникла идея конкурса. Пер- вый раз конкурс рассказов "Взломанное будущее", посвящен- ный непростой жизни человека в мире глобальных коммуни- каций и цифровых суррогатов, прошел в 2015 г. В 2018 г. победили Game over Дмитрия Казакова и "Если я не дойду" Ирины Лазаренко. Именно эти рассказы зачитал "голос" проекта Владислав Копп. Positive Hard Days В этом году культурная программа PHDays пополнилась музыкальным фестивалем – Positive Hard Days, в котором при- няли участие шесть групп из ИT-компаний. Победителем кон- курса стала Neo Stereo. Отдельный приз от "Гильдии Музы- кантов", одного из партнеров и членов жюри конкурса, получили два музыкальных коллектива: Eden и Jack. l 50 • СОБЫТИЯ Positive Hack Days 8: Digital Bet мая 2018 года в ЦМТ в Москве состоялся международный форум по практической безопасности Positive Hack Days. Мероприятие традиционно объединило специалистов в области технологий, информационной безопасности, молодых ученых, представителей бизнеса и власти. 15–16