18-19 мая я побывал в Москве на международном хакерском форуме по практической безопасности PHDays 11. В этом году форум стал самым посещаемым в своей истории: за ним наблюдали свыше 127 тысяч зрителей онлайн, а 8700 человек посетили площадку в Москве.
Делюсь самыми интересными на мой взгляд докладами и новостями с форума
Доклады
«Новое лицо OSINT. 20 полезных приемов поиска в цифровом мире». Андрей Масалович, разработчик технологии интернет-разведки Avalanche, майор КГБ в отставке и автор YouTube-канала «КиберДед».
В докладе представлены 20 практических приемов OSINT c применением новых возможностей цифрового мира: например, поиск по фото с использованием нейронных сетей, сбор информации из даркнета, обнаружение утечек в облачных хранилищах, фиксация цифрового следа пользователя по данным его гаджетов (на реальных примерах)
«Как обнаружить 95% атак, зная лишь 5% техник, используемых злоумышленниками». Олег Скулкин, руководитель Лаборатории цифровой криминалистики Group-IB.
Самый популярный доклад форума, судя по плюсикам в расписании. Олег рассказал про 10 самых популярных техник, используемых для атаки компьютеров на OC Windows.
«Фишинг на официальном сайте: как перейти на сайт компании и отдать пароль хакеру». Александр Колчанов, исследователь ИБ из Промсвязьбанка
Александр рассказал как о популярных фишинговых атаках, так и ряде менее известных, таких как subdomain takeover, атаки на администраторов внешних сервисов, атаки на сокращатели ссылок и др. На примерах недавних уязвимостей в докладе наглядно показано, что провести эффективную фишинговую атаку гораздо проще, чем кажется.
«Анализ клиентского JavaScript-кода для обнаружения HTTP-эндпоинтов». Даниил Сигалов, научный сотрудник факультета ВМК МГУ
Классный рассказ о новом методе поиска (автоматического майнинга) эндпоинтов, использующем статический и статико-динамический анализ JavaScript-кода страницы. Живое демо было на https://phd2022.solidwall.io/
«Фреймворк безопасной разработки от компании Swordfish Security». Светлана Газизова, ведущий аудитор и консультант Swordfish Security по DevSecOps.
На мой взгляд доклад получился больше теоретический и методологический, без упоминания конкретного ПО, но для продакт-менеджеров может быть полезен. Также тут упоминаются некоторые российские ГОСТы на разработку ПО, о которых наверняка мало кто знает.
«Безопасная разработка в вашей IDE». Андрей Лядусов, старший программист Positive Technologies.
Главный разработчик PT Application Inspector рассказал с какими сложностями пришлось столкнуться при разработке продукта. Исходный код продукта пока не опубликован, и насколько я понимаю, эти плагины для VSCode и IDE JetBrains пока доступны только по запросу в рамках пилота, а на Github есть только issues - [1], [2].
«Поставить или положить. Атаки на цепочки поставок». Евгений Полонский, Василий Брит, эксперты Positive Technologies.
В докладе были приведены интересные примеры атак на CI/CD и продемонстрирован способ захвата сборочного агента TeamCity через виртуальные переменные.
Также на конференции был представлен доклад «Уязвимости и угрозы веб-приложений в 2020-2021». Кстати, за месяц до форума Positive представил более общий и фундаментальный доклад по киберугрозам.
Хакерские конкурсы
На PHDays 11 было много различных конкурсов с денежными призами - по взлому банкомата, кассовой системы или POS-терминала, поиску багов умного дома и обману системы биометрической аутентификации. Вот, например, задания по взлому платежных систем. Тут полный список конкурсов этого года, а тут больше подробностей и ссылки на разборы прошлогодних конкурсов (надеюсь, разборы будут и в этом году)
На форуме также проводился финал конкурса open source проектов в сфере ИБ среди студентов и школьников. В финал вышло три проекта - инструмент для решения криптографических задач Cryptosploit, фреймворк HatSploit, ставящий амбициозную цель заменить Metasploit и Pentest Collaboration Framework.
О конкурсах, в которых можно участвовать не только во время форума - читайте далее.
Кибербитва The Standoff
Одновременно с форумом на той же площадке проходила и самая масштабная в мире открытая кибербитва The Standoff. Почти 160 исследователей безопасности собрались, чтобы найти слабые места в защите виртуальных объектов, управляемых системами из реальной жизни.
На площадке в Москве было построено виртуальное Государство F с тремя отраслями — черная металлургия, электроэнергетика, нефтяная промышленность. Каждая из отраслей имела внутри себя взаимосвязанные объекты — от добычи до поставки ресурсов конечным потребителям. Также в экономике Государства F было представлено и несколько других сегментов (транспорт, банковская система и ЖКХ), каждый из которых тоже состоит из набора объектов.
Команды участников делились на две категории - Атакующие и Защитники. Атакующие искали уязвимости и пытались реализовать недопустимые события, например, вызвать коллапс в аэропорту или остановить работу нефтезавода. А команды защитников проводили детальные расследования инцидентов и демонстрировали гостям форума цепочки реализованных атак.
На мероприятии также наглядно демонстрировался эффект бабочки — зрители и участники битвы могли узнать, как реализация недопустимого события в одной отрасли может повлиять на другие и государство в целом. Очевидно, что реализация описанных ниже событий в реальной жизни могла бы привести к тяжелейшим последствиям.
Так например, в ходе киберучений Standoff, команда Codeby изменила параметры ректификационной колонны, из-за чего произошло ее захлебывание. В итоге нефтеперерабатывающий завод стал производить некондиционный продукт, который нельзя реализовать.
Этой же команде атакующих удалось произвести крупнейшую атаку — парализовать работу нефтепродуктопровода. Была остановлена перекачка топлива в аэропорт, поскольку авиационный керосин поставляется через этот нефтепродуктопровод. Так как остатки топлива быстро иссякли, были отменены многие транзитные рейсы. Аналогичный случай, к слову, произошел в Америке летом 2021 года с нефтепродуктопроводом Colonial Pipeline.
В свою очередь, атакующие из команды True0xA3 нарушили процессы обессоливания и обезвоживания нефти, что привело к коррозии агрегатов и трубопроводов. А чуть позже они подменили значение пропорций водонефтяной смеси, сбив настройки датчиков концентрации воды и соли.
Отрасль электроэнергетики также не осталась без внимания «красных»: Baguette2Pain и Codeby распространили по сети компании вирус-шифровальщик. Команда Baguette2Pain ответственна еще и за утечку конфиденциальной информации — базы данных потребителей.
Первое недопустимое событие в УК City было связано с утечкой персональных данных, реализовать это событие удалось команде Invuls. Хакеры также довели до логического завершения свои атаки на колесо обозрения, телетрап и многие другие объекты виртуального Государства F.
Победителями киберучений со стороны атакующих стала команда Codeby (27 715 баллов), на втором месте True0xA3 (23 381 балл) и на третьем — Invuls (12 352 балла). За четыре дня учений атакующие сдали 295 отчетов об уязвимостях. Около 40% всех отчетов сданы тремя командами: Codeby, DeteAct и Bulba Hackers. Наибольшее количество уязвимостей обнаружено в транспортной компании Heavy Logistics.
Команды защитников за четыре дня предоставили 287 отчетов об инцидентах и 10 отчетов о расследованиях. Больше всего отчетов сдала команда ZoneZone. Минимальное время расследования составило 1 час 13 минут, а среднее — 9 часов 15 минут.
Bug bounty платформа The Standoff 365
На форуме Positive Technologies представили новую платформу для организации программ bug bounty - The Standoff 365.
«Главное отличие нашей платформы — возможность создания программ по принципу результативной кибербезопасности, когда белые хакеры не просто ищут отдельные уязвимости в системе, а реализуют недопустимые для нее сценарии. Мы предложим компаниям самим определить риски, реализация которых может привести к неприемлемым последствиям, и платить белым хакерам за отчет с последовательностью ведущих к ним действий. Исследователь должен не только найти уязвимость, но и проэксплуатировать ее, повысить привилегии в системе, предпринять другие шаги, в результате которых, например, можно получить данные пользователей. Такой подход имеет ряд преимуществ как для исследователей, поскольку суммы вознаграждений будут выше, так и для компаний, которые будут платить только за то, что хакеру удалось реализовать», — говорит Ярослав Бабин, руководитель отдела анализа защищенности веб-приложений Positive Technologies.
Это уже вторая платформа для коллективных исследований безопасности от Positive Technologies. Напомню, в 2020 году Positive запустила платформу реверс-инжиниринга ReverseEveryDay. На сегодняшний момент все задачки там уже решены, но если вы хотите потренироваться в реверсе - задачки там более чем реальные и достойные.
Вместо заключения
После 24 февраля тема информационной безопасности стала особенно актуальной, что доказывает и рекордная посещаемость форума. Лично мне мероприятие понравилось как по содержательной части, так и по нетворкингу. Появилось желание чуть-чуть подрасти и в сфере ИБ.
