Moscow Hacking Week: как стать белым хакером, зачем компаниям багхантеры и можно ли взломать спутник

В Москве завершилось мероприятие Moscow Hacking Week, организованное компанией Positive Technologies — лидером рынка результативной кибербезопасности. С 18 по 26 ноября в Кибердоме прошли четыре крупных события в индустрии ИБ: обновленная кибербитва Standoff 12, конференция и воркшопы для начинающих специалистов в сфере кибербезопасности Standoff 101, закрытый Standoff Hacks для настоящих профи и новый раунд митапа Standoff Talks. Хакерскую неделю посетило более 2 тысяч человек. Кроме того, 62 тысячи зрителей следили за мероприятием и участвовали в соревнованиях и конкурсах онлайн.

Standoff 101: схема мозга безопасника от «Тинькофф» и где учиться на белого хакера

Хакерскую неделю открыло двухдневное мероприятие Standoff 101: оно было рассчитано на студентов и начинающих специалистов, которые хотят развиваться в сфере ИБ. О своем становлении в профессии рассказали 17 экспертов.

Standoff 101: схема мозга безопасника от «Тинькофф» и где учиться на белого хакера

По мнению Дмитрия Гадаря, вице-президента, директора департамента информационной безопасности Тинькофф Банка, навыки специалиста по ИБ не должны ограничиваться только кибербезопасностью.

«Вы должны хорошо понимать, как устроена компания и зачем вы ей нужны. Информационная безопасность — только один из навыков, и, например, soft skills не менее важны, — объяснил Дмитрий. — Следует четко знать, какую цель преследует бизнес. Дело в том, что невозможно защитить инфраструктуру на 100%. Нужно уметь выделять критически важные активы и недопустимые события. Это сложная работа и постоянный диалог с бизнесом, иногда на разных языках. Крайне важно наладить это взаимодействие».

Современный исследователь угроз должен уметь формулировать гипотезы, проверять их и соединять в причинно-следственные связи, считает технический директор «МТС RED» Денис Макрушин.

«Первая суперспособность — привычка генерировать гипотезы. Неважно, являетесь вы специалистом по ИБ или разработчиком: если вы задаете себе вопрос „А что, если?“, то вы уже исследователь. Безопаснику также нужно уметь писать код, чтобы автоматизировать рутину. Третий признак исследователя — навык искать причинно-следственные связи», — говорит Денис Макрушин.

Студентам лучше проходить практику в государственных компаниях, а также больше времени и сил посвящать дополнительному обучению. Такой совет дал заведующий кафедрой «Информационная безопасность» Технической академии «Росатома» Лев Николаев.

«Вуз — далеко не единственное место, где можно получить необходимые навыки. Забудьте о схеме „отучусь, потом буду работать“. Учиться надо постоянно. Важно также развиваться не только в сфере ИБ, но и в области IT-технологий. Кибербезопасности не бывает без IT. Администратор ИБ — это сверхверсия администратора IT», — отметил Лев Николаев.

В свою очередь, директор центра развития образовательных технологий Positive Technologies Юлия Данчина сравнила специалистов по ИБ с медицинскими работниками.

«Влюбиться в ИБ достаточно просто: все направления в кибербезопасности интересны и востребованы. Кроме того, специалист по ИБ почти как врач, который делает все, чтобы индустрии нашей экономики были здоровыми», — отметила Данчина.

В среду, 22 ноября, в эфирной рубке специалисты продолжили делиться историями своего развития в сфере ИБ.

Главное для специалиста по кибербезопасности — иметь постоянную практику (к примеру, участвовать в CTF-соревнованиях и программах багбаунти) и непрерывно учиться, в том числе разбирая чужие отчеты. В этом уверен Вячеслав Васин, заместитель руководителя центра компетенции по анализу защищенности «Лаборатории Касперского»:

«На платформах багбаунти нередко бывают открытые репорты. Их можно скачать и попытаться понять, как мыслил багхантер, чтобы затем применить эти приемы в работе», — отметил он.

Самообучение подходит не всем этичным хакерам, полагает Ольга Карелова, доцент кафедры «Криптология и кибербезопасность» НИЯУ МИФИ.

«Должна быть или сильная мотивация, или минимально достаточный объем знаний. В тех же роликах на YouTube не все бывает корректно и подробно объяснено, что приводит к появлению любителей копировать чужие строчки кода. Они считают себя хакерами, но не являются таковыми», — пояснила Ольга.

После вуза она продолжила обучение в аспирантуре, а также работала «редтимером»1 и исследователем, руководила отделом анализа защищенности, получила сертификат Offensive Security Certified Professional (OSCP). Лучшим способом начать путь белого хакера, по мнению Ольги, являются CTF-соревнования.

Филипп Никифоров, старший специалист группы исследования безопасности мобильных приложений Positive Technologies, уже в 13 лет читал статьи про взломы, развивал навыки, участвуя в CTF, а затем и в багбаунти-программах. На втором курсе колледжа Филипп стал получать достаточно крупные вознаграждения за найденные уязвимости и полностью сосредоточился на карьере багхантера. Эксперт отметил, что в современных технологических компаниях, как правило, не требуют диплом, главное — практические знания. С такой позицией не согласна Ольга Карелова. По ее словам, в некоторых компаниях для карьерного роста требуется высшее образование, причем не обязательно профильное.

Вознаграждения на российских платформах багбаунти сопоставимы с выплатами на ведущих международных площадках

В рамках Moscow Hacking Week 24 и 25 ноября состоялся новый раунд митапа Standoff Talks, на котором профи и энтузиасты из сферы ИБ могли обменяться мнениями по поводу отраслевых проблем и задач.

Руководитель направления багбаунти Standoff 365 Анатолий Иванов подвел итоги работы платформы для поиска уязвимостей — Standoff 365 Bug Bounty, запущенной в мае 2022 года. Максимальные выплаты уже сопоставимы с аналогичными вознаграждениями на мировых площадках и достигают 3 миллионов рублей. Наибольшее количество программ разместили компании из сектора IT (38%), государственные учреждения (17%) и образовательные платформы (11%). На площадке зарегистрировалось 7537 исследователей, среди клиентов — Rambler&Co, VK, Госуслуги, «Одноклассники», «Тинькофф».

Стоит отметить и доклад «Разработка вредоносных программ: криптография» исследователя ИБ Жасулана Жусупова, который изучал способы обхода антивирусов. Проведя несколько экспериментов, спикер выяснил, что классические криптографические решения (например, A5/1, DES, Madryga, RC5, Skipjack, TEA, «Кузнечик») все еще эффективны для шифрования полезной нагрузки. Их также могут применять атакующие, чтобы шифровать взаимодействие с управляющим сервером. В дальнейшем Жасулан планирует оценить результативность использованных алгоритмов на вирусе-шифровальщике.

Доклад специалиста группы анализа защищенности веб-приложений Positive Technologies Владимира Разова «Ломаем прошивки для получения CVE-уязвимостей» был посвящен поиску недостатков безопасности в прошивках встраиваемых сетевых устройств. Например, исследуя уязвимость переполнения буфера в беспроводном повторителе D-Link DAP-1325, исследователь обнаружил, что подходящая для анализа версия прошивки есть только на тайваньском сайте D-Link. Чтобы выявить недостаток, спикер запускал веб-сервер, создавал интерфейс, который пытается найти система, использовал отладчик, решал проблемы с NVRAM и другие задачи. Продемонстрировав сценарии нахождения уязвимостей в нескольких устройствах D-Link, Владимир показал способы запустить основные компоненты, имеющие доступ к сети, а также рассказал, как отладить бинарный файл и написать эксплойт для него.

«На Standoff Talks было много любопытных выступлений. Тем, кто планирует посмотреть их в записи, советую обратить внимание на offensive security: „редтимеры“ и багхантеры продемонстрировали крутые исследования, поделились опытом и на практике показали современные техники обхода средств защиты. Все доклады в этот раз отбирали известные эксперты из комьюнити. Это одна из наших основных задач — развивать сообщество и принимать решения, учитывая мнение его участников», — отметил Ярослав Бабин, директор продукта Standoff 365.

Кибербитва Standoff пришла в космос, а Positive Technologies предложила 5 миллионов рублей за внедрение стороннего кода в один из своих продуктов

Пространство Кибердома позволило создать у посетителей Standoff 12 эффект максимального погружения в атмосферу кибербитвы за счет интерактивных инсталляций и других технологических новинок.

Помимо энергетической, нефтегазовой, транспортной, финансовой и городской экосистем на кибербитве впервые воссоздали космическую отрасль: участникам было необходимо получить контроль над космическим спутником компании RUVDS. Взломать предлагалось оборудование, идентичное тому, которое применяется при отправке команд с Земли на орбиту.

«Проект со спутником научно-образовательный, и участие в кибербитве идеально укладывается в наше видение. Мы стараемся по максимуму обезопасить инфраструктуру и данные клиентов, защищая их от DDoS-атак и прочих нежелательных явлений. И такие мероприятия, как Standoff, помогают всегда оставаться на пике и отслеживать тренды в информационной безопасности», — отметил генеральный директор хостинг-провайдера RUVDS Никита Цаплин.

На Standoff 12 добавилось множество целей в транспортном сегменте и в системе ЖКХ, а синие команды могли не просто фиксировать атаки, но и предотвращать их. Защитникам на этот раз противостояли 15 команд атакующих.

За четыре дня в виртуальном Государстве F команды сумели похитить денежные средства, перехватить сигнал спутника и спровоцировать другие недопустимые события. Красные команды смогли провести 211 успешных атак (из которых 49 — уникальные) и обнаружить 296 уязвимостей.

Участники Codeby Pentest стали пятикратными победителями Standoff и сохранили кубок чемпионов. На втором месте — команда True0xA3. Замыкает тройку лидеров коллектив RHTxSH13LD. Турнирная таблица представлена на сайте Standoff.

Не менее насыщенными эти четыре дня были для защитников: они обнаружили 401 инцидент и расследовали 65 атак. Команда Your_shell_not_pass смогла предотвратить 16 инцидентов в транспортной компании Heavy Logistics, а также расследовала 20 успешных атак. Больше всего отчетов о расследованных атаках сдала команда Command_and_Defend — 22. Они защищали нефтегазовую отрасль. Команда City_FlGuard, которая защищала самую пострадавшую на кибербитве отрасль — банковскую, — расследовала шесть успешных атак. На счету команды Busy Beavers восемь расследований, CyberNoobs — семь, а у команды Росреестра — два.

Наряду со Standoff в рамках закрытого мероприятия Standoff Hacks исследователи могли проверить защищенность разных компаний. Этот priv8-ивент (словом priv8 на интернет-сленге иногда называют приватную переписку) для топовых багхантеров завершился в последний день Moscow Hacking Week, его результаты будут опубликованы позже в телеграм-канале Standoff 365.

Кроме того, Positive Technologies воссоздала на полигоне часть своей реальной инфраструктуры с процессами разработки, сборки и доставки ПО и предложила желающим реализовать недопустимое событие. Победитель мог получить 5 миллионов рублей. Этот эксперимент — один из этапов глобальной оценки концепции результативной кибербезопасности Positive Technologies на собственной инфраструктуре, который начался в 2022 году: тогда компания призвала независимых исследователей реализовать недопустимое событие — перевести деньги с ее счетов. Критерием реализации события на Standoff 12 было наличие в коде собранного программного продукта произвольной строковой константы, которая отсутствует в штатной сборке. Однако за четыре дня киберсражения атакующим так и не удалось это осуществить.

Выступления экспертов и участников соревнований можно посмотреть на сайте Moscow Hacking Week или на YouTube-канале кибербитвы.

Соорганизатором Moscow Hacking Week выступила IT-компания Innostage, разработчик и интегратор сервисов и решений в области цифровой безопасности. Генеральным партнером хакерской недели стал интегратор и вендор в области безопасности — компания «Газинформсервис». Технологическими партнерами Standoff выступили RUVDS и eKassir.

В следующем году, 23–26 мая, состоится не менее ожидаемое в отрасли мероприятие — открытый фестиваль по кибербезопасности Positive Hack Days.

  1. Тестирование red team — симуляция реальных компьютерных атак на инфраструктуру или приложения организации для оценки реализованных мер защиты.