Первый день PHDays V: от перехвата СМС до взлома спутника

    В первый же день форума Positive Hack Days, стартовавшего 26 мая, эксперты по кибербезопасности со всего мира продемонстрировали различные техники взлома банкоматов, онлайн-банкинга, сетей операторов сотовой связи, систем управления энергетикой, транспортом и промышленными предприятиями. В Центре международной торговли прозвучало более 50 докладов, прошли мастер-классы и круглые столы, состоялись десятки хакерских конкурсов. Все самое интересное транслировалось на сайте форума в несколько потоков.

    Ущерб от кибератак часто измеряется миллиардами долларов, но реальная себестоимость взлома, как правило, невелика. По данным исследовательского центра Positive Technologies, любой желающий, потратив на оборудование меньше 10 тыс. долл., может удаленно получить доступ к чужой SIM-карте – а значит, и к трафику абонента, SMS, звонкам и данным о местоположении. И для таких атак уязвимы 20% «симок»! Конфиденциальную информацию абонента можно получить и атакуя оборудование оператора. Цена вопроса при подготовке атаки на соту GSM-сети – порядка 1000 долл., а для взлома базовой станции оператора требуется только ПК и доступ к сети SS7.



    Банковская отрасль не отстает от телекоммуникаций. В одном банкомате может оказаться более 10 млн рублей, а для интеллектуального взлома ATM достаточно 60 долл, если использовать Raspberry Pi, либо специальное оборудование вовсе не требуется. В прошлом году Россия заняла второе место в мире (после Пакистана) по числу банкоматов, которые можно обнаружить с помощью специальных поисковых систем и дистанционно перепрограммировать, используя небезопасные протоколы и многочисленные уязвимости в Windows XP. С электронными деньгами ситуация не лучше: 70% мобильных приложений для Android и 50% для iOS в 2014 году содержали уязвимости, достаточные для получения доступа к счету.

    Опасность для пользователя могут представлять и безобидные на первый взгляд устройства, например беспроводные USB-модемы для выхода в интернет. Если производители мобильных ОС достаточно оперативно устраняют уязвимости, то разработчики прошивок для модемов еще недавно уделяли безопасности минимум внимания: 27 из 30 прошивок, исследованных экспертами Positive Technologies, содержали критически опасные уязвимости. В своем докладе «Буткит через СМС: оценка безопасности сети 4G»Тимур Юнусов показал, насколько легко злоумышленник может автоматизировать идентификацию и заражение 4G-модемов для перехвата трафика, манипуляций с SMS, управления деньгами на счету и проникновения в компьютер, к которому подключен модем.



    Философская концепция пятого PHDays включала элементы космологической теории, но практические аспекты также интересовали организаторов, поэтому впервые на форуме прошла секция «Радиолюбительская космическая связь». Докладчики обсудили вопросы безопасности на орбитальных станциях с точки зрения ИБ; в частности, одну из версий, которая связывает аварию межпланетной станции «Фобос-Грунт» с внешним воздействием. По словам радиолюбителя Дмитрия Пашкова, заглушить любые сигналы между центром управления и космическим аппаратом – вполне реальная задача, причем все необходимое оборудование можно приобрести на радиорынке, за исключением разве что антенны: ее придется сделать самостоятельно. Специалист из мордовской Рузаевки рассказал, как с помощью самодельной аппаратуры получил снимок солнечного затмения со спутника Роскосмоса «Метеор-М2», а также использовал сигналы метеоспутников для получения оперативного прогноза погоды перед рыбалкой.

    Как защищать


    Необходимые меры для борьбы с уязвимостями – в том числе для защиты национальных интересов – обсуждались в рамках самой «государственной» секции «Нас reboot, а мы крепчаем. Каково быть Россией в недружественном кибермире?».

    В дискуссии приняли участие Дмитрий Финогенов (8-е управление ФСБ), Александр Радовицкий (МИД), Александр Баранов (Налоговая служба), депутаты Госдумы Вадим Деньгин, Андрей Туманов и Илья Костунов. Со стороны экспертного сообщества выступали Алексей Андреев (Positive Technologies) и Алексей Лукацкий (Cisco).

    Представители государственных органов пообещали, что до конца 2015 года будет опубликована новая российская концепция информационной безопасности. Вадим Деньгин призвал российских пользователей интернета, которых уже свыше 70 млн, отвечать за свои слова (в том числе и в суде), и отметил, что безопасность граждан, в частности защита персональных данных, является для государства приоритетной задачей, поэтому закон № 242-ФЗ о переносе ЦОДов на территорию России отложен не будет и «иностранный бизнес в целом с законом согласен». Коллега Вадима, Илья Костунов, недавно обнаружил, что во всех органах российской власти установлен Google Analytics, в связи с чем отправил запросы в прокуратуру и Минэкономразвития. Илья также отметил, что возможность запустить свою платежную систему у России была еще в 2000 году, причем сразу с «чипованными» картами.



    При защите данных в крупных компаниях с разветвленной инфраструктурой часто говорят «цепь крепка настолько, насколько крепко ее слабое звено». Наталья Куканова из «Яндекса» в докладе «Кот в мешке: безопасность при слияниях и поглощениях» отметила, что при поглощениях сторонних проектов «Яндекс» вычитает стоимость устранения уязвимостей из прибыли от сделки.

    Проблемы роста могут быть не только у крупного бизнеса. На PHDays традиционно проводятся мероприятия по поддержке и продвижению новых идей и решений в области информационной безопасности. Инвестиционный фонд Almaz Capital, который представляли управляющий партнер Александр Галицкий и генеральный партнер Джеффри Баер, организовал на PHDays открытый конкурс среди стартап-проектов в области кибербезопасности. Джеффри Баер рассказал о 18 участниках, которые повели борьбу за 1,5 млн рублей, и дал несколько советов создателям новых компаний.



    Фото: @AlmazCapital

    Организаторы PHDays V провели дискуссию о создании международного сообщества «белых хакеров», собрав за одним столом организаторов ведущих хакерских конференций – канадской CanSecWest, корейских Vangelis и Power of Community, бразильской H2HC, японской CodeBlue, немецкой Chaos Communication Congress и российских ZeroNights и PHDays.

    Вечер первого дня завершился чтением лучших рассказов, которые были выбраны из 200 произведений, присланных на конкурс «Взломанное будущее». Итоговые места распределил один из основоположников жанра Брюс Стерлинг, а читали о «кибернетических троянах, пожирателях и контроллере в голове женщины» радиоголоса проекта «Модели для сборки».

    Призеры конкурса «Взломанное будущее»:

    • I место – Павел Губарев, рассказ «Дядя Женя»,
    • II место – Александр Матюхин, рассказ «Престиж»,
    • III место – Дмитрий Богуцкий, рассказ «Бросающий кости»,
    • IV место поделили Михаил Савеличев с рассказом «Шестьдесят смертей осевой Марии», Юлиана Лебединская с рассказом «Тень и Элиза» и Румит Кин (Николай Мурзин и Тимур Денисов) с рассказом «Оцепеневший человек».

    За подробностями второго дня Positive Hack Days V можно следить в прямом эфире и в твиттере по хэштегу #phdays.
    Positive Technologies
    183,12
    Компания
    Поделиться публикацией

    Комментарии 21

      +1
      > Философская концепция пятого PHDays включала элементы космологической теории

      Ээ… космологической? Там обсуждают эволюцию вселенной? :)
        0
        Ну как минимум развитие космонавтики в цифровую эпоху и вопросы безопасности. Вообще программа интересная и многие доклады еще идут — можно посмотреть онлайн трансляцию www.phdays.ru/broadcast
          +1
          Космоло́гия (космос + логос) — раздел астрономии, изучающий свойства и эволюцию Вселенной в целом.
            0
            Обратите внимание на логотип пятого форума PHDays:)
        0
        В прошлом году Россия заняла второе место в мире по числу банкоматов

        Интересно, а какие банки в лидерах? Полагаю, что тот, у которого больше всего банкоматная сеть в стране, но не уверен — может как раз мелкие банчки вылезли?
          0
          Попробуйте shodan.io, сами увидите.
            0
            После утверждения про «в среднем 10 млн рублей» степень доверия к остальной информации соответствующая. Особенно непонятно, на основании чего господа смело утверждают, что нашли в сети именно банкомат, а не обычный компьютер. Подробности не помешали бы.
              –1
              Хотелось бы услышать вашу альтернативную оценку вместимости банкомата, если вас так раздражает цифра 10 млн. рублей.

              А для ответа на ваш второй вопрос интересно узнать ваше определение «обычного компьютера».
                +1
                Вообще, я первый вопрос задал, ну да ладно.

                По поводу вместимости. Предлагаю сначала уточнить, что такое «в одном банкомате помещается в среднем». То есть, что такое «помещается» и как подсчитано «в среднем» (не откуда информация, а что на что умножали и делили). А то, может, и правда 10 миллионов, я серьезно.

                По второму вопросу. Допустим, так: обычный компьютер — это персональный компьютер с ОС Windows XP или Windows 7, не предназначенный для использования в банкомате. Следующим вопросом будет «что такое банкомат», да? :-)
                  0
                  По первому вопросу: в обычном банкомате 3-5 кассет по 2-3 тысячи банкнот в каждой. Конечно, банкноты могут быть разного номинала, и загрузка может быть неполной, так что дальше идёт действительно грубое усреднение и округление. То есть там *может быть* более 10 миллионов рублей, а может быть и меньше.

                  По второму вопросу: через Интернет можно увидеть параметры конфигурации, которые отличают банкомат от обычной персоналки. Или произвести поиск именно по этим параметрам. Какие именно параметры, мы не будем здесь рассказывать. Чтобы не провоцировать.
                    0
                    А, такой расчет вполне ок. Но в реальности, конечно же, такими суммами не грузят. Дело в том, что бабло, которое лежит в банкомате, банк, грубо говоря, «арендует» у ЦБ. И эта аренда настолько дорогая, что в подавляющем большинстве случаев выгоднее загружать мало, но при этом часто инкассировать. Так что, сумма в 10 млн будет оптимальна или когда инкассация каких-то совсем нереально огромных денег стоит, или поток олигархов, желающих снять денег, не иссякает круглосуточно.

                    По второму вопросу намек понял, дошло.
                      0
                      Про загрузку банкоматов — нам доводилось слышать и противоположные версии: когда перевозка денег и замена кассет является потенциально опасным делом, то стараются загружать по максимуму.
                        0
                        Да это параноики какие-то, их меньшинство.
                        0
                        Как то подобрал технический чек после загрузки банкомата (правда лет пять назад). Там была выписка по номиналам и кол-ву купюр в кассетах. Выходило где-то 3.5-4 млн руб (точно не помню). 5000 купюры не грузили совсем. С ними вполне могло бы быть и 10 млн. Но мне за всю жизнь только два-три банкомата 5000 выдавали (Татарстан).
                          +1
                          Чисто теоретически, в существующем многообразии банкоматов есть и такие, в которые можно засунуть в общей сложности и 80 млн рублей, если использовать только пятитысячные листы. Но зачем? :-)

                          Лет 10–15 назад вообще мало кто считал затраты на отвлеченку (та самая «арендная» плата). Грузили все банкоматы одной суммаой раз в месяц, да черт с ними. Потом потихоньку стали учиться грузить сразу после того, как денег не стало (а не по плану). Потом стали понимать, что все зависит от оборотов конкретного банкомата и научились потихоньку и мониторить, и прогнозировать. Потом поняли, что грузить банкомат под завязку, принимая во внимание только расходы на инкассацию, — не совсем эффективно. Стали оптимизировать, снижать загружаемые суммы, общие расходы сократились.

                          Для понимания масштабов бедствия полезно считать. Сегодня 10 лямов, лежащих в банкомате обходятся банку примерно в 3300 рублей в день на каждый банкомат. Допустим, примерно столько же стоит и одноразовая инкассация (а порядок ее стоимости в жизни такой и есть). Теперь для определенности представим, что 10 лямов в среднем расходится за 30 дней. То есть, без оптимизации каждый месяц надо 99 тысяч платить за отвлеченку, плюс 3300 за инкассацию. Теперь снижаем лежащую сумму в 5 раз (до 2 млн). Получаем расход в 20 тысяч на отвлеченку и 16,5 на инкассацию, т. е. суммарно 36,5 тысяч в месяц. То бишь, экономия в 66 тысяч в месяц, или почти 800 тысяч в год. В суровой реальности экономия чуть меньше и составляет 30–50 тысяч в год на банкомат (по сравнению с туманным прошлым, когда оптимальную сумму никто не считал). На сетке в 300 банкоматов получаем 150 лямов в год. А если 40 тысяч банкоматов, как в одном известном банке? А, Агнесса Ивановна? На эти деньги можно и пару новеньких броневичков инкассаторам купить с кондиционерами, чтоб не так мучались. Ну, и на мороженое еще останется. И так каждый год. На ровном месте, кстати сказать.

                          Другой вопрос, есть ли стимул и желание этим заниматься. До сих пор ведь в руководстве кассовых центров остались большевички, которые любые изменения расценивают как попытку подрыва основ мироздания (экономят-то, тем более, не их деньги, а банковские). Так что, 10 лямов в банкомате — вещь возможная, но уже, слава богу, весьма редкая.
                            0
                            Согласен, да еще беглое гугление показало, что при грабежах обычно в банкоматах как правило от 2 до 5 млн руб.
              0
              Судя по списку стран в ТОП, создается впечатление, что поставщики и разработчики этих систем получают зарплату со всем в другой стране, на другом континенте.
                +1
                сумел подключиться к спутнику Роскосмоса «Метеор-М2» и сфотографировать тень, отбрасываемую Луной во время затмения, а также использовал сигналы метеоспутников для получения оперативного прогноза погоды перед рыбалкой.

                Что МетеорМ2, что NOAA вещают в открытом виде. Никакого взлома или подключения не требуется. Тупо поймал на приёмник сигнал во время прохода над головой и декодировал общедоступной программой. Оборудование: rtl-sdr свисток и согнутый с проволоки квадрифиляр.

                А вот кто раздувает желтизну без попытки разобраться, уж извините идиоты…
                  0
                  Про «взлом» у нас и не говорилось. Секция «Космическое киберпространство» была вообще посвящена любительским исследованиям космоса, а не вредоносным действиям.

                  Хотя слово «подключился» действительно некорректное. Поправим.

                  Насчёт «тупо поймал». Занятие не такое уж тупое. Суть истории, рассказанной на конференции, была в том, что Роскосмос в ответ на запросы о фотографии затмения всем отвечал, что они не могут эту фотографию предоставить. Возможно, им просто было лень. А парень из Рузаевки эту фотку получил и опубликовал прямо в день затмения.

                    0
                    При всём уважении к R4UAB и к тому что он делает: «парень из Рузаевки» просто принял вовремя общедоступную передачу с метеоспутника.

                    В том виде как это дело обсосали журналюги и бездумно копипастится по сети, можно усмотреть состав неправомерного доступа к информации.
                  +1
                  > сумел подключиться к спутнику Роскосмоса «Метеор-М2» и сфотографировать тень

                  Не сфотографировать (т.е. не передат на спутник команду в нужный момент сделать снимок), а получить снимок, и так (в рамках прямой работы) делаемый спутником, где тень была.

                  Вопрос в другом — авторы ПО на спутнике наверняка и не ставили целью сделать не взламываемое каждым встречным шифрование (что, как раз, достаточно легко реализуется), просто смысла и цели не было. Был бы спутник военным — думаю, не особо бы фото с него получались легко :)

                  > во всех органах российской власти установлен Google Analytics

                  А вот это да, своеобразно можно воспринять. Главное, чтобы не объявили мегатендер на создание национального счетчика… все, молчу-молчу!

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое