Security Lab

В Москве взламывают продуктовые магазины и системы продажи авиабилетов — киберполигон The Standoff в самом разгаре

В Москве взламывают продуктовые магазины и системы продажи авиабилетов — киберполигон The Standoff в самом разгаре

20 мая стартует международный форум Positive Hack Days — он завершится в пятницу вместе со The Standoff.

image

Сражения на киберполигоне The Standoff подошли к своему экватору, два из четырех дней позади. Цифровые двойники реальных розничных магазинов, аэропорта, железной дороги, морского порта, системы светофоров, электростанции, химического завода, нефтехранилища ежеминутно подвергаются атакам участников. Параллельно идут выступления гостей, часть которых осуществляет защиту модели города. 20 мая стартует международный форум Positive Hack Days — он завершится в пятницу вместе со The Standoff.

К вечеру среды атакующие получили доступ к кассовому терминалу сети розничных магазинов киберполигона и «купили» алкоголь на 68 950 рублей со 100%-ной скидкой, выбив реальный чек. При этом хакеры атаковали ERP-систему магазина и сняли с крепкого алкоголя специальную отметку для подакцизных товаров, что привело к отзыву лицензии на продажу этой продукции. Кроме того, взломщики получили доступ к персональным данным сотрудников и клиентов, а также украли стратегические документы.

Настоящей хакерской бомбардировке подверглись транспортники. Сразу несколько команд смогли осуществить мошенничество в системе продажи билетов транспортной компании Heavy Ship Logistics, которая обслуживает аэропорт, железную дорогу и морской порт. Один коллектив получил доступ к данным о перевозках.

Другие объекты пока показывают себя более устойчивыми. В корпорации по добыче и переработке нефтепродуктов Nuft команда True0xA3 реализовала риск «Утечка коммерческого предложения, подготовленного для участия в крупном тендере». Они же нарушили планы компании Tube по захвату рекламного рынка: взломали компьютер генерального директора, украли информацию о предстоящей сделке и продали ее конкурентам. Акции Tube упали до рекордного минимума. Компания 25 Hours, управляющая деловым центром и парком развлечений, а также городские энергетики Big Bro Group пока держат оборону, но в любой момент ситуация может измениться. По первому дню уже доступна развернутая статистика. Атакующие команды обнаружили 133 уязвимости, а защитники выявили 44 инцидента.

«В первый день The Standoff больше всего инцидентов зафиксировали NTA-решения (38%) — все атаки так или иначе видны в трафике, — рассказал Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center). — Можно применять туннелирование и другие методы сокрытия своих действий, но следы в трафике всегда остаются. На периметре много веб-приложений, однако целей внутри сети еще больше, поэтому WAF-системы зафиксировали 22% инцидентов — это второе место среди всех решений. Как и в реальной жизни, как только ты вывешиваешь сервис на периметр, через полчаса хакеры уже пытаются эксплуатировать уязвимости. Каждый пятый инцидент выявлен с помощью auditd. Это отслеживание действий пользователей на хостах: когда хакеры попадают на машины, ведут разведку, загружают ПО. И почти каждый десятый инцидент (9%) обнаружен с помощью песочниц — это социалка с вредоносными письмами. Некоторые защитники даже пытаются их открывать».

Реальность кибербеза. Цифры и факты

Одновременно, почти нон-стоп, на киберполигоне идут выступления экспертов в области информационной безопасности.

Руководитель отдела анализа приложений Positive Technologies Дмитрий Скляров рассказал, откуда появилось слово «хакер», первоначально означавшее человека, который изучает сложные системы и не стремится извлечь выгоду для себя, и почему его стали путать с кракером (англ. cracker) — тем, кто занимается взломом с целью получения несанкционированного доступа к чужой информации и манипуляции полученными данными.

В беседе Дмитрий поделился нюансами своей работы в Positive Technologies, выделив различия между «черными» хакерами и «белыми» — исследователями безопасности.

«Главное различие в деятельности "хороших" и "плохих" хакеров заключается в мотивации. Я нахожу слабые места в системах и подсвечиваю их, а не пытаюсь их использовать, чтобы заработать денег или ограбить пользователей, которые этой системой пользуются. Я пытаюсь сделать мир лучше», — сказал Дмитрий Скляров.

Кроме того, он отметил невозможность перехода хакера с темной стороны на светлую из-за наличия на него компромата у его сообщников, а также следов хакерской деятельности, которые невозможно скрыть. По мнению Дмитрия, однажды выбрав черную сторону, человек продолжает идти по этому пути всю жизнь. Еще эксперт затронул тему обманчивого чувства безнаказанности при совершении киберпреступлений, за которые предусмотрена уголовная ответственность.

Средний выкуп — миллион долларов

Евгений Гнедин рассказал о результатах самых интересных исследований Positive Technologies за последние пару лет, которые вошли в ежегодный журнал Positive Research, публикуемый традиционно в дни PHDays. Руководитель отдела аналитики Positive Technologies подробно рассмотрел главный тренд 2020 года — атаки шифровальщиков, а также появление такого термина, как партнерская программа шифровальщиков.

«Бизнес шифровальщиков становится распределенным — им занимается несколько групп специалистов, у каждой из которых свое дело: кто-то пишет коды и создает файлы, но не взламывает компании, кто-то файлы упаковывает, и таким образом появляется цепочка. Причем каждый участник имеет долю от выкупа, который получит оператор шифровальщика, — в мире средний выкуп при такой атаке составляет около 1 млн долларов», — отметил эксперт.

В своем выступлении Евгений выделил еще одну тенденцию, диктуемую шифровальщиками: продажу доступов (учетных записей, уже установленных туннелей, веб-шеллов и др.) низкоквалифицированными злоумышленниками в рамках партнерской программы. Злоумышленник низкой квалификации не знает, как после проникновения использовать этот доступ дальше: как развить атаку внутри инфраструктуры или обойти средство защиты так, чтобы его не заметили. Зато он знает, что эта информация пользуется спросом.

«С 2020 года предложение по продаже доступов уже выросло в 10 раз, а цена за один доступ может составлять от десяти тысяч до нескольких сотен тысяч долларов. Доля "дешевых" доступов растет: в начале прошлого года мы отмечали 15-процентную долю низких по стоимости доступов среди всех предложений, а сейчас эта цифра достигла 60%», — сообщил Евгений. По его словам, APT-группировки, умеющие повышать привилегии в инфраструктуре, могут купить любой тип доступа, чтобы затем его монетизировать.

У каждого в команде защитников должны быть свои навыки

Виртуальный город на киберполигоне защищают команды известных и крупных компаний, таких как RBK.money, «Азбука вкуса» и др. Дмитрий Ушаков, технический менеджер отдела продаж Positive Technologies, дал рекомендации «синим» командам, которые планируют в будущем участвовать в защите города.

«Идеальное число бойцов, — отметил Дмитрий, — от 6 до 8 человек. Важно, чтобы у участников были различные навыки. Кто-то должен специализироваться на форензике, кто-то на защите, другим участникам стоит иметь навыки в мониторинге и т. д. Часть компаний пришли для того, чтобы у них обнаружили уязвимости. Некоторые компании участвуют, чтобы получить тренинг в стрессовых условиях, понять, у кого какие навыки лучше развиты».

По словам Дмитрия Ушакова, сегодня направление киберполигонов и цифровых копий очень быстро развивается. Даже в России есть несколько таких площадок, влючая государственный национальный киберполигон. Продукты в обмен на уязвимости

«Азбука вкуса» привезла реальный кассовый аппарат, такие же работают в супермаркетах компании. И в этой кассе участники The Standoff также ищут уязимости. Дмитрий Кузеванов, руководитель отдела информационной безопасности «Азбуки вкуса», рассказал, что его компания была первым продуктовым ритейлером, которая запустила программу Bug Bounty, причем участники могли выбрать не денежное вознаграждение, а продукты на более высокую сумму. За время программы было найдено более 100 уязвимостей, из них порядка 10% — критического уровня опасности.

«Долгое время ритейл в целом закупал решения у интеграторов и не имел собственной разработки, а многие сотрудники были с компьютером на "вы", поэтому ситуация с информационной безопасностью была хуже, чем, например, в IT-компаниях, — отметил Дмитрий. — Сегодня любой ритейлер имеет свою разработку, мобильное приложение, бонусную программу. Если вы посмотрите на кассовый аппарат, то это полноценный компьютер с беспроводными коммуникациями. В зале ходят сотрудники с терминалами сбора данных, которые имеют доступ к ценам, расчетам, базе лояльности. Все это должно быть защищено. Но главная проблема безопасности у нас пока связана с человеческим фактором. Если сотрудник откроет фишинговое письмо, введет легальные реквизиты доступа и через него проникнут в сеть, то никакая система защиты не сможет помочь. Поэтому обучение всех сотрудников в ритейле крайне важно. Второй ключевой аспект — применение методов безопасной разработки при создании ПО. Этот подход в "Азбуке вкуса" используется на каждом этапе жизни продукта, от идеи до ввода решения в эксплуатацию».

Насколько прочна тревел-индустрия? Результаты пентестов

Своим мнением о безопасности тревел-индустрии поделился Игорь Лукич, генеральный директор компании Enigmasec, специализирующейся на корпоративной информационной безопасности. Он привел примеры инцидентов, когда хакеры взламывали гостиницы и требовали выкуп у менеджмента за то, чтобы их постояльцы могли войти в свои номера или выйти из них. В докладе спикер также подчеркнул, что большинство туристов, делая интернет-заказы и пользуясь различными сервисами с личных аккаунтов, не стирают свои учетные данные и данные платежных карт со смарт-телевизоров и других умных устройств, когда выезжают из отеля.

«Самая главная уязвимость в гостиницах — это уровень сервиса: если гость попросит, к примеру, распечатать посадочный талон или подключить USB-накопитель, персонал никогда не откажет ему, потому что стремится сделать так, чтобы каждый гость чувствовал себя особенным. Они просто подключат постояльца к основному компьютеру на ресепшене, а с него злоумышленник может легко отправить уязвимый код или PowerShell в общую сеть гостиницы», — отметил Игорь, рассказывая о результатах проведенных пентестов в компаниях из сферы туризма.

Эксперт заключил, что индустрии путешествий следует инвестировать в информирование клиентов о правилах кибербезопасности, чтобы они, к примеру, не стали жертвами фишинга, подключившись к фальшивой сети Wi-Fi в зоне ожидания аэропорта.

Как репортить уязвимости

Представим, что вы однажды обнаружили уязвимость. Что с ней делать? Максим Горячий, независимый исследователь, известный выявлением недостатков безопасности в процессорах и чипсетах Intel, рассказал, что после обнаружения уязвимости у исследователя есть три легальных варианта развития событий. «Во-первых, ничего с этим не делать. Во-вторых, попытаться связаться с вендором и донести до него мысль о необходимости устранения уязвимости. В некоторых случаях приходится перепроверять, устранил ли производитель уязвимого компонента недостаток. Третий вариант (Максим отметил, что не агитирует за него) — можно попробовать продать уязвимость третьим конторам, таким как ZDI, которые инкапсулируют данные проблемы. Что они с ними делают, остается на их личное усмотрение, поэтому я так поступать не рекомендую», — отметил Максим.

В аппаратных системах не всегда легко понять, какой вендор отвечает за найденную уязвимость. 4G-модем может продаваться оператором «большой тройки», на его начинке стоять логотип китайской компании-перепродавца, а реальным производителем являться третья компания. В таких случаях помогает публичность — например, в организации MITRE исследователи могут запрашивать идентификаторы CVE. Если завести CVE удается, то MITRE, подобно третейскому судье, подтверждает наличие уязвимости. В таком случае исследователю даже не обязательно раскрывать детали уязвимости (чтобы ими не воспользовались злоумышленники). Далее вендор сам часто выходит на контакт.

По словам Максима, сегодня устранение уязвимостей для вендора может быть преимуществом перед конкурентами — о приватности данных пользователей говорится уже в рекламе одного из крупнейших производителей смартфонов.

Совмещать активное участие в bug bounty и работу в крупной компании практически невозможно, отмечает Максим. Если вы работаете в условной компании Amazon и находите уязвимости, например, в процессоре Intel, то из-за сотрудничества между компаниями и наличия NDA могут возникнуть проблемы. По умолчанию считается, что сотрудничество между компаниями дает доступ к неким материалам, которые позволяют обнаружить уязвимость. Другая причина — bug bounty не так хорошо оплачивается.

«В 2020 году Facebook выплатил всем исследователям около 2 млн долларов, а Intel c 2017 года — примерно 2,5 млн долларов, если верить статистике HackerOne», — рассказал Максим. Поэтому заниматься Bug Bounty как основным видом деятельности, особенно в сфере аппаратных уязвимостей, где требуется различное оборудование, может быть не очень выгодно.

Об опенсорсе и страхах

Не надо бояться открывать свой код, уверен Антон Куранда, технический директор Rbk.Money. Он привел в пример Google, которая купила компанию Android, Inc., но оставила код открытым. «Это, возможно, стало одной из причин популярности данной ОС. Благодаря опенсорсу даже попавшая под санкции компания Huawei имеет возможность выпускать телефоны на базе Android (пусть и не без проблем). Другой пример — серверный рынок, 95% которого работает на различных вариациях Linux. В результате сегодня даже такая огромная корпорация, как Microsoft, традиционно выпускающая проприетарный код, активно идет в open source», — добавил Антон Куранда.

Говоря о безопасности открытого кода, Антон привел в качестве примера действия технического совета Linux Foundation, который забанил коммиты Миннесотского университета за эксперименты с попытками намеренного внедрения вредоносных патчей — в них содержались ошибки и скрытые уязвимости.

«Если вы пишете код, который готовы показать комьюнити, это диктует более высокие требования к документации и оформлению. При разработке закрытого кода можно подойти к соседу и что-то спросить, но когда вы отдаете код в мир, вы должны описать, как он работает, подготовить инструкции по сборке и т. д. Понимание того, что однажды код может стать публичным, сильно мобилизует и мотивирует людей. Если человек разрабатывает закрытое решение, он может накидать условно макаронного кода, как-то его скомпилировать, и никто этого не увидит. Другое дело — open source, который может быть наилучшим резюме для программиста. Это сильно мотивирует людей писать чистый, красивый и безопасный код», — отметил Антон Куранда.

The Standoff — это крупнейшая в мире открытая кибербитва, которая проходит в этом году с 18 по 21 мая. Следите за ее трансляцией по ссылке: standoff365.com .

The Standoff — это киберполигон, на котором ведущие специалисты в области «нападения» (offensive) и «защиты» (defensive) борются друг с другом за ресурсы виртуальной копии нашего мира. На полигоне воссозданы производственные цепочки, бизнес-сценарии и технологический ландшафт, характерные для различных отраслей экономики. На The Standоff 2020 защитникам и атакующим из всего многообразия прототипов реальных компаний будут доступны логистические, транспортные (грузовые и пассажирские перевозки), добывающие и распределительные энергетические инфраструктуры, системы умного городского хозяйства, финансовые, телекоммуникационные структуры и многое другое. Участие в The Standoff позволяет протестировать возможность реализации кибератак и оценить масштабы их последствий в безопасной среде, получить новые знания и практические навыки выявления кибератак и противодействия им, изучить сценарии реагирования на известные и неизвестные риски, исследовать взаимосвязи кибербезопасности и бизнеса.

Следите за новостями мероприятия в социальных сетях: Twitter , Telegram , Facebook , YouTube .

Подробнее: standoff365.com


Чем страшны "Алхимик", "Евангелие" и "Глубина мудрости”? Подробнее об этом и других новостях кибербезопасности в новом выпуске Security-новостей на нашем Youtube канале.