|
|
№ 4 июль-август 2013 г.
Тема номера:
Безопасность платежных систем
|
Positive Hack Days III:
еще масштабнее, еще интереснее
|
|
|
Состоявшийся в Москве 23–24 мая форум по практической информационной безопасности PHDays III привлек более 2000 участников из Германии, Индии, Испании, Италии, Кореи, Нидерландов, ОАЭ, США, Японии и других стран: ведущих ИБ-экспертов, хакеров, блоггеров, журналистов, политиков, а также представителей государственных структур и институтов.
На площадке международного форума обсуждали технологии защиты и нападения, нормативные документы и законодательные инициативы, здесь соревновались в поиске уязвимостей банкомата, систем ДБО и АСУ ТП, проводили мастер-классы и устраивали хакерские сражения.
В рамках форума по практической безопасности Positive Hack Days III обсуждалась одна из острейших проблем отрасли — кадровая. Вузовские методики обучения устаревают, одаренные специалисты не востребованы и уходят в криминал. Профессионалы в области ИБ необходимы и государству, и бизнесу. Этот тезис является основным итогом круглого стола, посвященного проблемам молодых специалистов.
Георгий Грицай, заместитель начальника департамента регулирования радиочастот и сетей связи Минкомсвязи, подчеркнул, что по состоянию на 2012 год в России есть колоссальная потребность в специалистах по ИБ: «Спрос со стороны бизнеса есть, но он не встречает адекватного предложения: качеством образования работодатели часто недо- вольны. Вопрос выбора белой или черной стороны — во многом мировоззренческий. Однако в наших силах изменить баланс в сторону £светлой силы». Мы сейчас предпринимаем множество шагов, направленных на поддержку ИБ, начиная от расширения штата специалистов-безопасников в Минкомсвязи и заканчивая проработкой совместно с Министерством обороны вариантов прохождения военной службы по ИБ-специальностям«. Руслан Гаттаров, представлявший на встрече Совет Федерации, признал, что власть очень долго не обращала внимания на информационную безопасность: «В России официально отсутствовала современная стратегия кибербезопасности и не было государственной программы разработки правовых актов, регулирующих эту сферу. Зарубежные коллеги уже много лет не стесняются вкладывать в эту область большие деньги: создавать боевые вирусы, увеличивать бюджеты и количество £киберсолдат» — иногда в десятки раз. Наша же государственная машина инертна, хотя главное — запустить этот маховик. Сейчас мы его со скрипом, но запустили. Президент России стал обращать пристальное внимание на отрасль, из его уст зазвучало слово £кибербезопасность"; в январе вышел Указ Президента № 31с — вполне современный политический документ, который сделает информационную безопасность вопросом государственной важности«.
Владимир Жириновский посоветовал молодежи не связываться с криминалом: «Вполне понятно любопытство, проявляемое юными хакерами: что-то взломать, разобрать, посмотреть, как устроено. Без этого нельзя создать ничего нового. Но когда этот интерес крепко замешан на деньгах, когда молодой человек уходит в криминал — плохо становится всем. Хакер — это тот же боксер. Может получать награды, заседать в Думе, как Валуев, быть уважаемым человеком. А может применить свои знания по-другому — в подворотне набить кому-нибудь физиономию и сесть на пять лет».
Представлявшая ЦИБ ФСБ России Оксана Докучаева призвала регионы уделять больше внимания студенческим играм CTF в России, что в условиях проблем с трудоустройством в регионах может привести к вовлечению молодых специалистов в криминальную среду или к утечке мозгов за рубеж.
«Еще не так давно власть обращала внимание на £Античат» только в двух случаях — либо людей сажали, либо силой заставляли сотрудничать, — поделился опытом Сергей (Rebz), супермодератор «Античата», одного из самых популярных хакерских форумов. — Переломным моментом стал взлом сайта Олега Куваева, создателя Масяни. После громкого скандала, когда нас называли кибертеррористами, администрация £Античата" запретила атаки от имени ресурса. Сейчас мы выступаем категорически против DDoS и кардинга. Мы прилагаем значительные усилия, чтобы обелить £Античата", потому что всем уже понятно, что взломы — это тупиковый путь. Или ты идешь в организованную преступность, или работаешь в области информационной безопасности. Мы за второй вариант«.
Подвел итог дискуссии Борис Симис, заместитель генерального директора Positive Technologies: «Вы даже не представляете, сколько мы усилий приложили, чтобы слово Hack в названии форума перестало быть ругательным! Три года назад оно вызывало в обществе недоумение, а сегодня представителей государства на этом форуме — более 40%. Форум PHDays — это возможность наладить диалог между людьми, которые традиционно находились по разные стороны баррикад».
На форуме прошли более десяти бизнес-секций, посвященных кибервойне и киберпреступности, безопасности АСУ ТП, инспекционным проверкам регуляторов, защите банковских приложений и другим темам.
Большой интерес вызвала откровенная дискуссия с участием представителей ФСТЭК России, «Ростелекома», Cisco, Positive Technologies, в ходе которой обсуждались недостатки современной системы сертификации средств защиты. Начальник управления ФСТЭК России Виталий Лютиков заявил, что регулирующий орган в настоящее время разрабатывает целый ряд современных нормативов: руководящие документы по анализу защищенности, доверенной загрузке и ряду классов средств защиты, а также ГОСТ по организации жизненного цикла разработки защищенных информационных систем. Активно готовятся и долгожданные рекомендации по организации процесса обновления сертифицированных средств защиты, так как до сих пор установка исправлений лишала систему сертификата. По словам Лютикова, ФСТЭК России всячески приветствует участие экспертов в разработке нормативных актов и продолжит практику публичного обсуждения проектов документов.
На PHDays III прозвучали десятки докладов и было затронуто множество тем — от способов обхода современных WAF в исполнении Владимира Воронцова до нестандартных методов определения источников атак в изложении Александра Гостева. Также говорилось о десятках уязвимостей компонентов современных АСУ ТП, обнаруженных группой экспертов исследовательского центра Positive Technologies.
Знаменитый немецкий исследователь и разработчик Марк Хойзе, также известный как van Hauser, подчеркнул важность взаимодействия каждой из сторон, заинтересованных в развитии индустрии информационной безопасности: «Мы являемся частью единого целого. Надо не бояться хакеров, а учитывать специфику их работы. Хорошие хакеры — это бунтовщики по природе, им сложно вписываться в стандартную корпоративную или государственную структуру, где принято говорить: наш продукт самый лучший, наши системы защищены на 100%, вы в полной безопасности. Они говорят: £Я не верю», и находят неприятные многим ошибки и уязвимости. Необходимо пытаться работать всем вместе, понимать друг друга, учить друг друга. Другого пути нет".
Докладчики PHDays III в очередной раз смогли немного удивить мир: именно здесь показали опаснейшие уязвимости, обнаруженные в сотнях тысячах камер наблюдения по всему миру, ошибки безопасности автомобильных видеорегистраторов, проблемы защищенности системы доступа к Интернету на самолетах American Airlines.
Эксперты продемонстрировали новые векторы атаки на банкомат, в том числе получение доступа к сервисной зоне ATM с помощью подручных средств. Они также переключили банкомат в сервисный режим (в котором он наиболее уязвим для атаки), используя обычную канцелярскую скрепку.
Впоследствии на площадке форума прошло соревнование, в ходе которого участники должны были за ограниченное время эксплуатировать обнаруженные уязвимости и воспроизвести действия, позволяющие перевести банкомат в сервисный режим.
Традиционно на Positive Hack Days вопросам банковской безопасности уделяется большое внимание. Так, помимо соревнования по анализу физической защищенности банкомата, прошел конкурс «Большой Ку$h», участники которого искали ошибки безопасности в системе ДБО.
Несмотря на участие в форуме хакеров со всего мира, в конкурсах вновь лучше других выступали российские студенты. К примеру, пятикурснику Анатолию Катюшину удалось использовать уязвимости в системе ДБО, а первокурсник Михаил Елизаров быстрее других финалистов «разобрался» с конкурсным банкоматом.
Также во второй день форума состоялась секция «Банковские приложения и киберпреступность: кто победит?»
Все тот же студент из Невинномысска Михаил Елизаров вместе с минским студентом Арсением Левшиным стал победителем конкурса по анализу защищенности АСУ ТП. В ходе соревнования под названием «Choo Choo Pwn» участники должны были получить доступ к системе управления моделью железной дороги и погрузки контейнеров, а также, в качестве дополнительного задания, нарушить работоспособность автоматического железнодорожного переезда.
Конкурс состоял из нескольких этапов. На первом этапе участникам необходимо было получить контроль над краном для погрузки контейнеров, система управления которым была реализована с использованием продуктов фирмы Siemens и ICP DAS, работающих на протоколе Modbus TCP.
Получить доступ и захватить управление краном специалистам по безопасности удалось уже буквально через час после начала соревнования. В целом же выполнить задание удалось практически всем участникам конкурса.
На втором этапе требовалось получить доступ к системе управления моделью железной дороги, которая контролировалась с использованием продуктов компании Siemens (WinCC SP2) и контроллером S7-1200 v3.0 (протоколы S7 и PROFINET). Это задание оказалось более сложным, однако уже к концу первого дня была найдена уязвимость, с помощью которой конкурсанты смогли добраться до управления web-интерфейсом SCADA-системы, а в дальнейшем получить и полный доступ к ней.
К концу второго дня форума система управления железной дорогой практически не функционировала, так как промышленные контроллеры и машины со SCADA-системами постоянно находились под атаками участников конкурса.
Одному из соревнующихся даже удалось отправить системе ложные сигналы, но это достижение не было засчитано, так как к этому моменту конкурс уже был завершен ввиду неработоспособности системы.
Третий этап многие участники просто не успели пройти из-за нехватки времени, однако несколько попыток использования различных утилит и спуфинга SCADA-системы все же были предприняты. В результате функционирование системы периодически нарушалось, но она быстро возвращалась в рабочий режим.
Михаил Елизаров рассказал о ходе выполнения задания: «Сначала мы пытались получить контроль над системой погрузки контейнеров, которая работала на протоколе Modbus. Нам удалось найти в сети программу, которая эмулировала работу этого протокола, что помогло подобрать управляющие биты и передать его системе, получив управление над краном для погрузки. Мы успели обнаружить уязвимости не во всех представленных на конкурсе протоколах: нам просто не хватило времени».
Для присутствия на форуме необязательно было находиться в Москве. Чтобы объединить гостей форума в Москве и посетителей площадок PHDays Everywhere, были организованы специальные прямые включения. Состоялись телемосты с Каиром, Тунисом, Киевом, Владивостоком, Новосибирском и Омском.
Желающие могли не только удаленно наблюдать за происходящим на форуме, но и самостоятельно принять участие в различных конкурсах. В частности, в этом году специально для площадок PHDays Everywhere было организовано соревнование Sprint, в ходе которого участники должны были решать задания, разработанные экспертами Positive Technologies.
Состязание проходило по следующей схеме: после выполнения специального задания конкурсанты получали доступ к специальным ключам, за которые начислялись баллы. Его победителями стали представители Национального технического университета Украины. Второе место заняла команда Новосибирского государственного университета экономики и управления, а третье — студенты кафедры «Автоматизированные системы обработки информации и управления» Омского государственного технического университета.
Впервые в рамках мероприятия была организована специальная выставка, на которой крупнейшие российские и зарубежные компании отрасли (ОАО «ЭЛВИС-ПЛЮС», Stonesoft Corporation, «Лаборатория Касперского», Корпорация ЕМС, «Астерос», Cisco и ICL) показали свои свежие разработки. Организатор форума, Positive Technologies, представил два новых продукта: PT Application Inspector, систему контроля защищенности приложений, комбинирующую достоинства статического, динамического и интерактивного анализа исходного кода, а также PT Application Firewall, межсетевой экран, сочетающий традиционные методы черного и белого списков с новейшими?возможностями?самообучения.
Форум PHDays III стал площадкой как для начинающих исследователей, так и для молодых стартап-компаний: ONsec, ЦОР, Fairwaves, SolidLab, Seclab@MSU. Они смогли рассказать о своей деятельности перед широкой экспертной аудиторией и получить ценные отзывы.
По словам организаторов форума, отрасль может развиваться лишь в том случае, если оригинальные и перспективные идеи не остаются на бумаге, а реализуются на практике, помогая обеспечивать реальную безопасность.
< ... >
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»
Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24
Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья
|