В минувшие два дня также состоялись 15 докладов экспертов по информационной безопасности
На киберполигоне The Standoff нападающие смогли перевести деньги с карт банка виртуального города на свой счет, остановили производство на химзаводе и добычу нефти, а также вызвали сбой в технологических системах аэропорта. К концу четвертого дня были реализованы 13 уникальных бизнес-рисков. Докладчики тем временем обсуждали угрозы ИБ, немалая часть которых связана с COVID-19. Это и уязвимости систем распознавания медицинских снимков, и проблемы продуктов для IP-телефонии и видеоконференций, и попытки взлома VPN.
Атака на холодильный контур
Команда back2oaz продолжила атаку на нефтехимический завод компании Nuft. На этот раз ей удалось получить доступ к системе управления заводом. Нападающие закрыли входной клапан в холодильный контур, что привело к перегреву и нарушению процесса химического производства. Но на этом атака не закончилась — вскоре back2oaz смогли остановить производство полностью. В реальной жизни авария на химзаводе может привести к травмам и жертвам, а утечка ядовитых веществ — к загрязнению окружающей среды.
Вновь пострадали системы аэропорта Heavy Ship Logistics. Команда Hack.ERS похитила персональные данные пассажиров.
За ночь с пятницы на субботу защитники прислали еще 17 отчетов о выявленных инцидентах. Среди них треть — это атаки на веб-приложения. Защитники успели отправить четыре отчета о расследованиях. В среднем им требуется около 9 часов, чтобы разобраться в произошедшем. Защитникам делового центра, которые вчера первыми прислали отчет о расследовании инцидента, связанного с удалением информации о штрафах и задолженностях граждан, — потребовалось дополнительное время, чтобы детально расследовать инцидент и понять, как действовала каждая из двух команд атакующих. Не так просто разобрать по шагам две атаки, которые проходили параллельно примерно в одно время!
Во вторые сутки The Standoff атакующие прислали 63 отчета о найденных уязвимостях. Больше всего недостатков обнаружилось в системах компаний Nuft и Big Bro Group.
На следующую ночь, с субботы на воскресение, дважды подвергся атакам городской банк. Команда DeteAct получила карточные данные клиентов и смогла перевести деньги с карт на свой счет. Защитникам банка удалось расследовать этот инцидент за 3 часа и 26 минут. Позже команда SPbCTF похитила из внутренней системы ERP персональные данные сотрудников банка: имена, телефоны, адреса, информацию о должности и зарплате и о многом другом. Со вторым расследованием защитники справились еще быстрее и установили новый рекорд — 2 часа и 57 минут.
Интересный факт: одна из команд нападающих провела социотехническую атаку, позвонив в техподдержку системы ДБО. В результате атакующие смогли узнать данные одного из клиентов банка.
Пострадала и телерадиокомпания Tube, которой принадлежат рекламные щиты на улицах виртуального города. Команда SPbCTF получила доступ к системе управления видеоэкранами и смогла запустить трансляцию собственных материалов.
Компанию Nuft (нефтяной сектор) атакуют снова и снова. Команда back2oaz смогла остановить работу нефтедобывающего оборудования, добыча была прекращена. А команда Codeby смогла вмешаться в процесс производства химических веществ, в результате на нефтехимическом заводе вновь возникла авария, а производство полностью остановилось.
Участники команд DeteAct и Codeby нацелились на системы парка развлечений 25 Hours. Они взломали базу данных сайта по продаже билетов на аттракционы, и горожане теперь не могут им пользоваться. Никакого праздника!..
Защитники отправили еще 32 отчета о выявленных атаках на вверенные им компании. Больше всего атак на активы Heavy Ship Logistics (аэропорт) и Tube (телерадиокомпания). Команды защитников расследовали еще четыре инцидента. Пока быстрее всех справляется команда банка: на каждое их расследование уходит около трех часов.
Об атаках на системы распознавания и влиянии COVID-19
Знаменитый эксперт по информационной безопасности Сергей Гордейчик выступил с докладом об уязвимостях машинного обучения. Сергей поделился результатами практических исследований безопасности различных компонентов инфраструктуры искусственного интеллекта, включая серверы NVIDIA DGX GPU, фреймворки машинного обучения PyTorch, Keras и TensorFlow, конвейеры потоковой обработки данных и специальные приложения, в частности медицинскую визуализацию и скрытые камеры с функцией распознавания лиц.
По мнению Гордейчика, хорошие исследователи ИИ — не значит крутые специалисты в сфере безопасности. На практике это приводит к тому, что безопасность ИИ остается малоизученной, и у злоумышленников есть множество возможностей для проведения атак на искусственный интеллект, в том числе через взлом компонентов инфраструктуры, на которых строятся такие системы. В ходе доклада был представлен инструмент Grinder Framework, который может быть использован для проведения исследований защищенности ИИ.
Тему распознавания изображений продолжил президент компании Bambenek Labs Джон Бамбенек, который в своем докладе «Вредоносное машинное обучение и его влияние на информационную безопасность» рассказал о том, как злоумышленник может ввести в заблуждение системы классификации изображений в ходе вредоносного машинного обучения и как вредоносное машинное обучение можно использовать в обеспечении информационной безопасности. Выступающий привел примеры случаев обмана систем классификации и предложил способы защиты от подобных атак.
Говоря о недостатках, которые существуют в машинном обучении на сегодняшний день, Бамбенек посоветовал «делать модели неопределенными» и не давать машине принимать решения: «Нельзя убирать людей из процесса принятия решения: они должны поставить маркеры, усилить модель; 10% решений должно приниматься "командой охотников" (hunt team) для отслеживания двусмысленных результатов».
В свою очередь Мария Недяк из компании BI.ZONE представила результаты исследования защищенности одного из ключевых стандартов медицинской визуализации под названием DICOM. Сегодня активно развиваются системы medical imaging, которые анализируют данные медицинских исследований в формате DICOM с помощью методов искусственного интеллекта и машинного обучения.
Если злоумышленнику удастся использовать уязвимости в реализациях сетевого протокола DICOM, то он сумеет обмануть медицинскую систему. В результате может быть так, что система, анализирующая снимки легких пациентов на предмет заражения COVID-19, начнет выдавать неверные данные, пациенты не узнают о своей болезни и заразят множество людей. Мария рассказала о наиболее интересных уязвимостях в экосистеме DICOM, продемонстрировала, как просто на самом деле можно обнаружить критически опасные уязвимости и как быстро их можно устранить.
Ландшафт угроз ИБ в условиях пандемии COVID-19 сильно изменился. Об этом заявил основатель и руководитель развития продуктов и технологий компании Volon Муслим Косер. Среди основных угроз эксперт назвал атаки на VPN различных компаний с целью последующей продажи VPN-доступа в дарквебе. Косер призывал всех в первую очередь обеспечить защиту своих IT-систем от вымогателей Revil, Nephilim, Netwalker, DoppelPaymer, Ryuk, Maze, Zeppelin и Thanos. Как заявил докладчик, именно они стали особенно активны в последние месяцы. По его словам, в таргетированных атаках в последние девять месяцев часто использовались опенсорсные утилиты. Также он отметил, что под целевые атаки киберпреступники перепрофилировали многие вредоносы.
Муслим Косер призвал компании вести активную пропаганду кибербезопасности среди персонала, рассказывать о векторах атак, моделировать фишинговые кампании с обязательным последующим их анализом. Он также обратил внимание на важность приоритизации уязвимостей и регулярных тестов на проникновение.
Как защитить компанию от Lazarus и не потерять свой «ханипот»
При атаках на цепочки поставок (supply-chain attacks) злоумышленники эксплуатируют доверие потенциальной жертвы к сторонней организации. Одним из примеров является атака NotPetya, в ходе которой хакеры получили доступ к серверу обновлений легитимной бухгалтерской программы M.E.Doc. В результате множество компаний получили зараженные обновления. Исследователь безопасности ESET Антон Черепанов и вирусный аналитик ESET Петер Калнай рассказали о новой подобной кампании — на этот раз по развертыванию вредоносного ПО преступной группировки Lazarus. Доверенным ПО в данном случае стало приложение Wizvera Veraport.
Для того чтобы снизить вероятность стать жертвой Lazarus, специалисты советуют пересмотреть поставщиков услуг и ПО с точки зрения ИБ, использовать продукты для создания белых списков приложений, а также проверенные программные и организационные решения в области ИБ.
Пандемия сделала программы для видеоконференций и IP-телефонию одними из важнейших элементов корпоративной среды. Но у этих средств связи немало проблем с безопасностью, утверждает консультант по информационной безопасности компании SySS Мориц Абрелл. Даже гиганты пока делают ошибки в области ИБ. Zoom только после нескольких скандалов с утечкой данных получил сквозное шифрование данных, а сейчас та же проблема касается и Microsoft Teams — платформа, по словам Морица, не использует сквозное шифрование, а шлет приватные ключи на серверы Microsoft. Докладчик продемонстрировал созданный им набор инструментов с открытым исходным кодом, предназначенных для пентеста любых платформ voice over IP, вне зависимости от производителя. Для повышения защищенности IP-телефонии Абрелл рекомендует не доверять шифрованию производителя и тестировать свою VoIP-инфраструктуру и «унифицированные коммуникации» (unified communications), которые включают мессенджеры, видеоконференции, совместную работу над документами и т. п.
Ловушки для хакеров могут стать источником ценной информации об угрозах. В докладе «Дорогая, я автоматизировал Honeypot! Инфраструктура и автоматизация Honeypot» Маттиас Майдингер, инженер-программист VMRay, отметил, что развернуть их правильно не всегда легко, как и интерпретировать действия на них. Автор посоветовал не использовать ханипоты под root-доступом, так как хакеры могут взломать ловушку, и выбирать проверенных хост-провайдеров — те, кто предлагает самые заманчивые условия, но просит оплату за год вперед, могут просто исчезнуть вместе со всеми вашими ловушками. При перемещении Splunk на другой хост у докладчика была ситуация, когда он забыл проверить бэкапы — и потерял данные. В этом Маттиас не одинок: он привел пример одного из исследователей, который чуть было не потерял результаты своей работы за семь лет после того, как в трансформаторный столб возле его дома врезался какой-то парень, и из-за скачка напряжения был поврежден его ES-сервер.
Исследователи Trend Micro Владимир Кропотов и Федор Ярочкин представили методики исследования «абузоустойчивого» хостинга, а также принципы атрибуции сетевых индикаторов. Услуги «абузоустойчивого» хостинга используются для создания управляющих серверов, доставки полезных нагрузок, эксплойтов или размещения фишинговых страниц, а также других компонентов сетевой инфраструктуры злоумышленников. Как правило, злоумышленник покупает доступ к этим системам во время подготовки к атаке.
Докладчики подробно представили свои исследования «абузоустойчивого» fast-flux-хостинга, хостинга на скомпрометированных элементах инфраструктуры, выделенных серверах и других хостинговых стратегий.
В субботу и воскресенье продолжился воркшоп «Учимся ломать завод» старшего специалиста отдела безопасности промышленных систем управления Positive Technologies Вячеслава Москвина. Слушатели узнали об основных компонентах современной АСУ ТП, а также об угрозах, которым они подвержены. Подробнее были рассмотрены слабые места в этих компонентах с точки зрения пентеста, а также типовые векторы атак.
«Неслучайно говорят, что для взлома АСУ ТП часто надо просто прочитать документацию, — отметил Вячеслав. — Поэтому типичный вектор атаки на системы автоматизации производства — злоупотребление существующей документированной и недокументированной функциональностью». Исследователь отметил, что для получения полного контроля над критически важным промышленным оборудованием нередко достаточно подключиться к нему с помощью инженерного софта. Дополнительную помощь атакующему оказывают многочисленные уязвимости.
«Россия врывается в число передовых стран по цифровизации»
Об инвестициях в российскую IT-отрасль в начале второго дня конференции поговорили генеральный директор Positive Technologies Юрий Максимов, сооснователь и управляющий партнер Almaz Capital Александр Галицкий и сооснователь IBS и основатель Rubytech Сергей Мацоцкий.
Говоря о росте IT-индустрии в России, Сергей Мацоцкий отметил, что с точки зрения цифровизации Россия врывается в число передовых стран мира. «То качество государственных сервисов, которое у нас есть, высокий уровень интерактивности финансовых систем — не встречаются в подавляющем числе развитых стран. Это задает планку и двигает за собой спрос», — подчеркнул Мацоцкий. Одной из главных проблем рынка инвестиций в нашей стране он назвал отсутствие «нормального фондового рынка», которое ограничивает инвестиции: в России не наблюдается большого количества частных инвесторов и развитой системы инвестирования в расчете на какой-то большой рыночный публичный рост.
Александр Галицкий отметил, что инвестиции в IT растут по всему миру, но они стали более избирательными: «Люди начали осознавать реальность возникновения, например, локдауна, который может наступить и без пандемии. Что касается России, то про инвестиции в IT пока говорить рано, однако здесь несомненно есть интерес к этой области».
Среди проблем отечественной IT-индустрии собеседники назвали также нехватку специалистов высокого класса, недостаточное умение выводить продукты на рынок и желание «идти широким фронтом» в попытке создать продукты для локального рынка. В частности, Сергей Мацоцкий пояснил: «Можно потратить огромное количество ресурсов, чтобы заместить условный Oracle, но я не очень верю в результат. А можно попытаться придумать, каким образом на базе ClickHouse, "Тарантулы" или PostgreSQL сделать продукты или платформы следующего поколения так, чтобы этот условный Oracle вообще не был нужен».
О вызовах и рисках рынков IT и ИБ в России поговорили на языке цифр со старшим аналитиком агентства IDC Денисом Масленниковым, который отметил, что в апреле 2020 года, в самом начале пандемии, IDC прогнозировало падение глобального российского рынка IT на 25%, однако уже в августе эксперты агентства скорректировали этот прогноз и сейчас ожидают падения IT-рынка в России примерно на 11% в долларовом эквиваленте.
«Что касается рынка ИБ, — сказал Масленников, — то учитывая, что спрос на продукты для информационной безопасности в некоторых сферах вырос, а в некоторых, к сожалению, просел, к концу 2020 года мы ожидаем падение на 3,9%. При этом мы прогнозируем, что уже в 2021 году рынок ИБ не только восстановится и вернется к положительным значениям, но и покажет рост порядка 10% в долларовом эквиваленте». Масленников также отметил, что ввиду смены ландшафта угроз в агентстве ожидают роста спроса на IT-сервисы, развития IT-инфраструктуры и, как следствие, ее изменения, а также смены подходов к информационной безопасности.
The Standoff подходит к финалу, мероприятие завершится 17 ноября. Следите за ключевыми событиями и выступлениями экспертов по ИБ на сайте standoff365.com или в соцсетях (Twitter, Telegram, Facebook, YouTube).
В России мероприятие поддерживают «Ростелеком-Солар» (генеральный партнер), Microsoft, «Инфосистемы Джет», RBK.money, Gigamon, Qurator Labs (технологические партнеры), MONT (бизнес-партнер), Fortinet, StaffCop, «Телеком Интеграция», Axoft (спонсоры). Медиапартнеры: «Коммерсантъ», Anti-Malware, PLUS, «Хакер», Information Security, «Информационная безопасность банков», «Банковское обозрение», «Банковские технологии», D-Russia, CISO Club, «ПроБизнес ТВ», JetInfo, SecurityLab.ru, британское издание Infosecurity Magazine, а также телеграм-каналы Social Engineering, Sys-Admin, SecAtor, RED, Cybershit, «Эксплойт», Antichat, Cyber Security, Codeby, «Вебинары и события #поИБ», ATT&CK Russia, CyberSecurity Technologies, white2hack, RUSCADASEC.