Отчёт с хакерского турнира и конференции по безопасности с Митником

    image
    «В соседнем зале сидят люди, которые представляют основную угрозу нашей безопасности»

    Во вторник прошла вторая (оффлайновая) часть хакерского турнира Symantec Cyber Readiness Challenge и конференция по безопасности CROC Cyber Conference с участием Кевина Митника. Всё это вместе называлось C^2: Cyber Challenge.

    Самое интересное:
    • Наши хакеры оказались очень быстрыми.
    • Газ в зал с участниками так и не пустили (хотя многие на конференции считали это разумной мерой).
    • Митник показывал чудо-флешки с обходом антивирусов и захватом машины под контроль, копировал IVR Ситибанка, показывал как здороваться с людьми, одновременно копируя MIFARE-карту, и рассказывал кучу историй из своей бурной молодости. «Когда начнём тестирование? Уже закончили. Не получили письма? Всё правильно, отчёт у вас на рабочем столе».

    Ниже отчёт, немного про подготовку и куча фотографий (трафик).


    Кевин гордится телефоном, прошивку которого он получил из рук безопасника

    Инфраструктура


    Одна из самых сложных вещей в подготовке крупного мероприятия — сделать так, чтобы всё работало как часы. Начиная от прибытия людей и регистрации и заканчивая нормальной быстрой сетью для всех-всех-всех.

    Вот место проведения. 12 минут пешком от Фрунзенской. Мы пустили несколько маршруток для трансфера гостей от метро: прямо на выходе всех участников встречали и сажали в «пативэны». Никто не потерялся.



    Регистрация часто становится узким местом мероприятий такого плана. Здесь у нас очень много девушек, которые отдают бейджи, имена и фамилии участников печатаются сразу на месте:



    В поддержке была как российская команда, так и и специалисты по техподдержке из Англии. Рядом размещался диктор. Поскольку часть конференции на английском (Митник, например, не знает русского), нужен синхронный перевод. Вот стойка с устройствами, которые можно было поменять на документы:



    Следующий важный вопрос – Интернет. Участникам нужно быстрое соединение, поэтому мы привели прямо от провайдера линию в 256 мегабит/секунду. В зале было мест с двойным запасом (не все любят садиться прямо рядом с другими игроками), и на каждый ряд шла своя локалка. У каждого участника был вот такой собственный «хвост»:



    В середине каждого ряда находился 48-портовый свитч:



    Интересно, что обследование места было за 4 дня до начала, на выходных закупалось всё оборудование, а монтаж и тесты закончились за пару часов до начала конференции. Интернет прокладывали 6 человек. Всего на монтаже в разные моменты было от 20 до 30 человек. Не обошлось без нештатных ситуаций – сгорел один из свитчей, но его быстро заменили резервным. Каждый патч-корд протестировали – сюрпризы с кривой обжимкой никому не нужны.

    Отдельно для участников конференции провели линию на 100 мегабит – она нужна была Митнику.

    Резервная линия на случай падения всего этого дела – ещё 100 мегабит. Автоматику по переброске решили не делать: сложная коммутация. В случае аварии техник перебросил бы кабель менее чем за 2 минуты – проверяли.

    Игра


    Участники приходили заранее, цепляли настройки и готовились. Многие ещё в дороге за пару часов до начала беспокоились, что не получили ссылку для настроек.

    Еду с фуршета тащили прямо на место, запасались водой, чтобы не выходить из игры лишний раз. Вот, например, у Влада (будущего победителя) три бокала – если захочет пить, минералка или сок, если не захочет – ещё есть пустой.



    Начало игры, сюжетная часть с посланием от бывшего сотрудника корпорации EDC Джайлса Нокса:



    Пока он говорил, многие уже принялись за первый флаг



    Будущие победители (II и III места) во время игры:



    Девушка среди участников:



    Освещение притушили, на лицах участников – свет от экранов. Буквы, как в фильмах, не отпечатывались:



    Игра была напряженная:



    Среди флагов были задачи на:
    • Сканирование портов
    • Расшифровку и перебор паролей
    • Атаки на сессии
    • Деанонимизацию по мобильному устройству
    • Работу с образами дисков
    • Раскрытие криптокодов шестнадцатого века
    • SQLi (куча разных тем)
    • Разведку и использование эксплоитов
    • CSRF/XSS и много других интересных штук.


    Не обошлось и без традиционных сюрпризов – несмотря на запреты атаки инфраструктуры, кое-кто начал брутфорсить роутеры. После общего предупреждения участник внял голосу разума — на первый раз простили и дисквалифицировать не стали.

    Конференция


    Здесь мы сделали несколько важных вещей – вообще-то, типовых по организации для конференций, но удобных. Для начала – выступающему нужен свой большой экран, «суфлёр», чтобы видеть презентацию. Если его нет, он начинает нервно оглядываться назад. Мы смонтировали вот так:



    Во-вторых, четыре экрана для слайдов: ещё два по бокам от сцены для языка оригинала, один чуть правее – для перевода. Вот, например, многие участники с удовольствием снимают второй экран – туда выводились полезные ссылки и то, что Кевин насканировал в Аэрофлоте среди открытых данных:



    На самой конференции выступали следующие люди:
    • Борис Бобровников, генеральный директор КРОК
    • Андрей Вышлов, генеральный директор, Представительство Symantec Ltd;
    • Павел Головлев, начальник управления безопасности информационных технологий ОАО «СМП Банк»;
    • Евгений Дружинин, эксперт по информационной безопасности компании КРОК;
    • Сергей Ершов, начальник отдела безопасности информации Управления информационной безопасности ЗАО «Гринатом»;
    • Андрей Зеренков, главный консультант по информационной безопасности, Представительство Symantec Ltd;
    • Денис Камзеев, заместитель начальника Управления по контролю за операционными рисками ЗАО «Райффайзенбанк»;
    • Артем Кроликов, начальник отдела информационной безопасности «АльфаСтрахование»;
    • Вячеслав Морозов, региональный менеджер по России и СНГ Nice Systems;
    • Михаил Суконник, региональный директор Radware по России и СНГ;
    • Дмитрий Устюжанин, руководитель департамента ИБ ОАО «Вымпелком».

    Модератором был Олег Седов, редактор специальных и онлайн-проектов Intelligent Enterprise/RE.

    Конференция началась с того, что поступило предложение существенно повысить безопасность IT-систем по всему миру, пустив газ в соседнее помещение. Эта идея ещё довольно часто всплывала по ходу обсуждений. Тут надо отметить, что вряд ли реальные уже «наследившие» хакеры прибыли на конференцию – СМИ было море, и каждое лицо тут запомнится всем надолго. В итоге отметили, что наши атакующие ведут себя довольно корректно по отношению к «родным» системам – где живут, не гадят, ходят, в основном, на Запад. «Русский хакер» в США уже бренд, нас опасаются. Надо сказать, по праву.

    Обсуждали взаимодействие отделов ИТ, ИБ и других. Например, борьба с инсайдерством часто вешается на ИБ, хотя это должны делать и кадровики тоже; ФЗ о персональных данных повесили на ИБ, а они считают, что это непрофильная задача и делать должны ИТ-специалисты – и так далее. В России пока не умеют играть командами: взаимодействие отделов отлажено в крупном бизнесе далеко не идеально. Приводился пример западного «офицера по безопасности» — человека, координирующего ИТ, ИБ, немного HR и немного финансовую часть – он плотно в теме бизнеса и знает, какие риски и как закрывать полностью. Затем поговорили про аутсорсинг и его развитие – будущее есть, но пока мешают ограничения законов по обработке информации на стороне.

    Пришли к выводу, что нужны нормально настроенные процессы. Например, сейчас, если сотрудник находит уязвимость – хорошо, если он сообщает админу, хорошо, если админ не обижается на свой косяк и благодарит (это очень важно, ему ведь помогли!), хорошо, если закрывает дыру, а не замалчивает. Гораздо хуже, если сотрудник даст информацию о дыре коллегам – через недели две вся компания будет использовать уязвимость как будто так и надо. Безопасники же стараются обучать людей – например, при отправке данных не туда либо меняют процесс (потому что так надо), либо объясняют юзеру и его руководителю, в чём ошибка и как сделать правильно.

    Обсудили управление рисками. Оказывается, одна из актуальных проблем – когда безопасник приходит к руководству и говорит «надо», ему говорят «нет денег». Понятно, что все подряд риски закрывать не хватит сил, но основные – критично. Тут отметили, что бизнес родом из 90-х отлично понимает риск-менеджмент и им живёт: если безопасник считает что надо – значит надо, это данность, впитанная ещё в лихие годы. Скажем так, выигрывает тот, кто лучше знает правила, проигрывает – тот, кто соблюдает их. Как сказал один из участников дискуссии: «Белым и пушистым надо объяснять».

    Важны новые области – использование собственных мобильных устройств сотрудниками и виртуализация (в частности, перенос инфраструктуры в «облака»). Здесь часто делается «внедрение за два понедельника», и ИБ приходит только по факту первой утечки: на практике же сразу нужно строить систему так, чтобы она была безопасной.

    Долго говорили про вакансии. Например, один крупный банк полностью переехал на аутсорсинг. В пресс-релизах писали про эффективность, SLA, гибкость бизнеса и так далее. На практике – они просто устали от «ходоков». Приходили сотрудники ИБ, неожиданно просили повышение и так высокого оклада, затем снова приходили в случайный момент и снова неожиданно просили денег либо чего-то ещё. Когда удовлетворять их амбиции устали, просто перевели всё на аутсорсинг.

    Можно ли брать «хакеров» снизу на работу в компанию? Привели два примера – один антивирус, например, предпочитает исключительно сам учить людей, а другая компания, специализирующаяся на пентестах — брать «расходные материалы», поскольку задачи у персонала разовые. Много проблем с корпоративной культурой и лояльностью. Один из участников рассказывает: «Знаете, нам было очень сложно принять людей, у которых непонятно где пирсинги переходят в гаджеты». С другой стороны, многие спокойно воспринимают таких «странных» людей. Вот слова другого участника: «Работал у нас такой парень с дредами. Никто не волновался. Ушел сам через два месяца… Хм, я вот сейчас подумал, может, он у нас свою какую-то задачу решал...». В итоге пришли к выводу что в академической безопасности (защите) лучше брать специально обученных людей (чуть ли не с погонами), а вот в новых направлениях – да, конечно, лучше «самоучек» с атакой никто не справится.

    Выступление Кевина


    Кевин для нового поколения уже не авторитет, но зато – знаковая фигура для тех, кто собрался в зале.



    Он рассказывал общие вещи про социнжиниринг (мы про них уже говорили в рамках подготовки к турниру – вот ликбез), а затем начал жечь.


    Вот так должен выглядеть успешный специалист по ИБ: три ноутбука, телефон, куча устройств двойного назначения и симпатичные женщины вокруг

    Для начала рассказал об общем сборе данных. К традиционному сбору мусора и поиску контактов добавился анализ соцсетей. Кевин обожает LinkedIn – там вся структура компании как на ладони. Совсем простой пример – там есть все продажники, которые часто путешествуют с ноутбуками.

    Плюс он показал FOCA – софт для анализа метаданных открытых документов компании. Он отсканил Аэрофлот и получил основные конфигурации софта на машинах, несколько десятков имён сотрудников и легко установил их почтовые адреса.

    Нужно узнать, какой антивирус обходить? Не проблема. Можно позвонить юзеру и спросить, но круче – обзвонить все антивирусные компании и сказать, что вы хотите купить ещё 1096 копий. У нас же уже есть договор с вами, да? 15 звонков – и вы точно знаете, кто поставщик.

    Показывал разные road apple – PDF-файлы с эксплоитами, обходы антивирусной защиты для DOC-файлов, флешки с волшебным автозапуском (когда юзер ничего не подозревает, но его уже удалённо администрируют). Всё показывалось на конфигурации Win7 с последними патчами и постоянными сканами McAffee.

    Вот у него идентификационное устройство. Они работают через эмуляцию консоли: можно использовать для исполнения кода. Лучший способ – встроить в клавиатуру и сделать подарок, который активируется через пару дней.



    Вот он позвонил «в банк» — точнее, его бот скопировал все голосовые сообщения банка по меню, а затем он допилил его так, чтобы IVR предлагал ввести номер счёта и другие данные с кредитки. Цель? Использовать номер с копией IVR в фишинговых письмах.



    Вот он показывает как здороваться с людьми в кафе: в левой руке у него сканер карточек доступа в сумке:



    Вот такой:



    Затем он показал как отправлять SMS с любого номера (старый трюк, но полезный для социального воздействия) и заодно выманил два номера из зрителя плюс посмотрел его инбокс на телефоне. Вот в этом кратком отчёте есть ещё детали.

    В конце он раздавал всем клёвые визитки из металла с вырезанным набором инструментов для открывания замков и предлагал работу. Если нужно – вот его контакты:





    Финал


    В это время закончился турнир. С большим отрывом победил v0s (Влад) — это тот же парень, что занял первое место в онлайновой части летом.



    Отрыв впечатляет. Жюри даже решило поначалу, что флагов не хватит, и этот парень возьмёт их раньше времени. Такой результат показывают единицы во всем мире, и наблюдатели из Англии были под большим впечатлением.



    Всего в игре участвовало 32 человека. Все вместе взяли 486 флагов (это много по опыту международных соревнований) и заработали 187.400 очков. Сразу после завершения многие стали обсуждать следующие турниры по ИБ по всему миру.
    КРОК
    111,00
    №1 по ИТ-услугам в России
    Поделиться публикацией

    Комментарии 29

      –1
      Какое бы не было мероприятие, «юмор» про газ — очень плохой.
        +3
        Согласен. Но к сожалению культура пока такая 8)
          +2
          «Газ в зал с участниками так и не пустили (хотя многие на конференции считали это разумной мерой).»
          Wut?..

          Интересно, кто из глубокоуважаемых участников «пиджаковой» части конференции оказался столь искрометным петросяном.
            0
            Да видимо «шутку» многие там поддерживают, после публикации сразу шквал минусов )
            Явно где-то кинули ссылку, мол слейте :)
              0
              ;-)
          +12
          Спасибо, очень правильный отчет о мероприятии, прочел на одном дыхании. Всё по сути, интересно и без воды.
            +1
            весьма жаль, что записи выступления митника нету… (
              +1
              Мы бы с удовольствием записали, но Кевин заранее чётко обозначил, что нельзя.
                0
                Странная позиция.
                  +4
                  Что же странного? Чаще будут приглашать и он больше денег заработает
              0
              «В соседнем зале сидят люди, которые представляют основную угрозу нашей безопасности»
              Это относится к офисным работникам? Или к службе СБ?
                +1
                К участникам турнира. Они были в соседнем зале от конференции по безопасности.
                +7
                Спасибо за крутейшую организацию, КРОК! Было офигенно!

                С большим отрывом победил VOS (Влад)
                * v0s :-)
                  +2
                  Спасибо. Судя по карме, ему неожиданно привалило счастье. Если бы не 2008-й год регистрации первого хабраюзера, можно было бы шутить про фишинговый аккаунт.
                  0
                  Судя по качеству фоток Митника крутые хакеты никудышние фотографы
                    0
                    Знаете это все условно, весь этот хайп про заваленость горизонта и пафос настоящего фотографа в интернетах это все слишком конформно. Как по мне все ОК
                      –2
                      Безусловно все в мире относительно… Кому и кобыла невеста)
                    0
                    О, судя по фотографиям регистрация наша, RUNET-ID ;-)
                    • НЛО прилетело и опубликовало эту надпись здесь
                        +1
                        Главный приз — поездка в Ниццу на финальный турнир среди победителей в регионе ЕМЕА, который состоится 8 октября.
                        Приз за 2-е место — iPad Mini.
                        Приз за 3-е место — Norton 360 Multi-Device от компании Symantec на 1 год для 5 мобильных и персональных устройств.
                        • НЛО прилетело и опубликовало эту надпись здесь
                            –4
                            Я хочу второе место )
                          0
                          Задумался…
                          Может кто-нибудь подсказать, сколько стоит содержание отдела ИБ в компании с штатом 150-200 человек, если количество имеет значение.
                            0
                            В ИБ компаниях, обычно, ~70% разработчики. А у безопасников зп на том же уровне.
                            0
                            Визитка великолепна.
                              +1
                              Поворотного ключа не хватает только, Z-образного
                              0
                              Надеюсь парню под ником VOS сразу предложили работу?
                                0
                                Спросите у него ) v0s

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                              Самое читаемое