Содержание статьи

Думаешь, только в кино крутые хакеры могут денно и нощно ломать правительственные сети, заметать следы и тягаться с такими же гениями из спецслужб? Тогда читай о том, как Агентство национальной безопасности США ежегодно устраивает настоящие кибервойны!

 

Кибервойны понарошку

«Одна держава, расположенная на юге Азии, обладает темным коммунистическим прошлым и носит гордое имя Социалистическая Республика Махастан. Но экономика этой державы, некогда бывшая одной из сильнейших в мире, сейчас переживает не лучшие времена.

Свое черное дело сделали внутренние конфликты на национальной почве, стремительные перемены в демографической картине, зависимость от импорта энергоресурсов, загрязнение окружающей среды, нехватка чистой воды и плодородных земель. Серьезный экономический спад повлек за собой массовые протесты среди населения, однако руководство страны не спешит признавать внутренние проблемы, вместо этого обвиняя Запад в пропагандистской и «подрывной» деятельности. Помимо описанного, Махастан давно не в ладах с республикой Тапробан, которой принадлежит большой остров, расположенный в прибрежных водах Махастана. Так как Тапробан богат и перспективен, Махастан совсем не против присоединить его к себе, но вот самим островитянам эта идея хорошей не кажется. Назревший кризис ухудшает и без того шаткую ситуацию, и становится ясно, что из-за территориального спора вот-вот приключится вооруженный конфликт. Махастан, похоже, и вовсе вознамерился начать открытую блокаду Тапробана, дабы подкрепить собственные претензии на остров.

США и союзные силы не имеют договоренностей ни с одной из сторон, но крайне заинтересованы в том, чтобы до кровопролития и открытого столкновения дело не дошло.

Известно, что Махастан сильно уступает США и союзным войскам в плане технологического оснащения и явно не выдержит столкновения с ними «в лоб». Впрочем, хитрые коммунисты вложили средства в определенные виды вооружения, призванные лишить их противника преимущества. В частности, немало финансов было выделено для развертывания настоящей кибервойны.

Высшее военно-политическое руководство США принимает решение о начале операции FORWARD DEFENSE, призванной не дать Махастану атаковать Тапробан. На остров направляется военный контингент, в состав которого входят и «компьютерные» спецгруппы. Задача последних — помочь местным защитить свою инфраструктуру, детектировать и смягчить последствия грядущих кибератак и помочь руководству Тапробана в долгосрочной оборонной стратегии».

Приведенный выше текст — не более, чем выдумка, но согласись, она навевает множество параллелей. На самом деле никаких Махастана и Тапробана, конечно же, не существует, а вышеизложенное — лишь сценарий американских военных учений. Если быть точнее — киберучений, которые ежегодно проводит разведка США.

Подготовке и обучению айтишников в Штатах вообще уделяется много сил и времени. Дело в том, что именно в киберсфере США сильно отстают от того же Китая, и сейчас это стараются активно пофиксить — в ВУЗах куют кадры, которые в будущем смогут не только встать на страже кибербезопасности страны, но и подпортить нервы ее «потенциальным противникам». Занимаются этим, разумеется, не только в гражданских университетах, но и в военных академиях, где сие и заметно ярче всего.

В рамках этой самой ковки кадров АНБ (Агентство национальной безопасности) проводит ежегодные учения в формате конкурса как среди гражданских колледжей, так и среди военных академий страны (второе считается более крутым и хардкорным). Сегодня мы поговорим именно о втором, то есть о подготовке военных айтишников и о ежегодном конкурсе Cyber Defense Exercise, который в этом году отметил свой 10-летний юбилей.

 

Cyber Defense Exercise

В первую очередь задача Cyber Defense Exercise (CDX) — вызвать интерес к айтишным делам у представителей военки и повысить общий уровень компьютерной грамотности у них же. «У нас именно после CDX народ записывается на офицерские IT-специальности. Я вот, например, тоже вплотную это рассматриваю, хотя до конкурса об этом даже не помышлял. И опять же из четверых старшекурсников, которые в этом году были в основном составе нашей команды, трое уже точно пойдут именно туда», — рассказывает Дмитрий Хэтли, один из участников команды Военно-морской Академии США (United States Naval Academy), которая в этом году выиграла престижное состязание.

Да, как ты уже понял, нам удалось побеседовать с одним из членов команды-победителя этого года. Никаких военных тайн он нам, увы, не сдал, но и без них получилось весьма интересно.

 

M.: Для начала, пока мы не углубились в детали, расскажи, какой прок от этого состязания самому Агентству Национальной Безопасности? По итогам конкурса они «вербуют» лучших спецов, предлагают им что-то?

Д.Х.: Нет, в АНБ нас рекрутнуть невозможно — мы после учебы служим на флоте минимум пять лет (в США нет обязательного военного призыва. Зато у них есть контрактная служба и высшие военные учебные заведения, поступить в которые весьма сложно и уровень образования там очень крутой в самом хорошем смысле этого слова. Расплачиваться за учебу в таких ВУЗах приходится обязательной службой стране после выпуска. Здесь и далее — прим. Mifrill). Но! Зато нас можно направить не, скажем, в авиацию, а в «10-й флот». После выпуска. То есть, можно вызвать у нас желание пойти именно туда. Причем, все это должно быть как в том анекдоте про кошку и горчицу — добровольно и с песнями.

 

М.: Что за организация этот «10-й флот»?

Д.Х.: 10th Fleet... Просто так удобнее говорить, чем United States Fleet Cyber Command. Это объединение всех-всех военных айтишников США, а «флот» — потому что Navy во главе. Никаких кораблей там, на самом деле, конечно же, нет :). Это что-то вроде самого АНБ, только там все военные. C АНБ «10-й флот» очень тесно сотрудничает.

 

М.: Думаю, многим нашим читателям будет интересно узнать, есть ли у Cyber Defense Exercise официальный сайт или хотя бы страничка, где можно почитать о мероприятии поподробнее?

Д.Х.: Сайт? У закрытого соревнования, которое проводит АНБ? Есть, конечно. ВнутриАНБшный. В нашей Академии доступ к нему был только у нашего инструктора (преподавателя).

 

М.: Что ж, значит, рассказывать придется тебе. В чем суть конкурса, что он из себя представляет?

Д.Х.: Задача и суть CDX — это именно киберзащита и кибератака. Мы поднимаем у себя в Академии сеть, и начинается «упражнение» длиной в неделю — управление сетью в hostile environment («опасной обстановке»). То есть мы находимся под почти непрерывной, активной атакой со стороны АНБ и наша задача — продержаться.
С каждым годом соревнование все более и более усложняется и формализируется. Например, в этом году АНБ впервые предоставило Gray Cell — команду приходящих «тупых пользователей». Эти ребята сидели в каждой сетке и изображали очень, ОЧЕНЬ тупых юзеров, вставляя нам палки в колеса.

Команде каждой Академии изначально дается 50 000 баллов, и они утекают за то время, когда какой-то из сервисов в дауне, или за какие-то пропущенные атаки. Например, у нас e-mail не работал — первые два дня зашифрованные письма принимались, но не посылались.

Парень, который им занимался, почти ничего не успел поднять к началу конкурса, и огребли мы за это минусов. Ну, а вообще — у кого в конце недели баллов больше, того и тапки.

 

М.: Какие учебные заведения в этом участвуют, и как формируются команды?

Д.Х.: Состав академий год от года остается неизменным, это девять заведений: US Military Academy (West Point), US Naval Academy, US Airforce Academy, US Coast Guard Academy, Royal Military College of Canada, US Airforce Institute of Technology (2 команды), Naval Postgraduate School, US Merchant Marine Academy.

Команды формируются внутри каждого университета главой IT-департамента, и утверждаются представителем АНБ в Академии. У нас этим занимался профессор из АНБ, он преподает у нас на перманентной основе, как это происходит у других — не знаю. Количество человек в команде сильно зависит от Академии. Например, команда Coast Guard в этом году состояла из пяти человек и одного инструктора. Ограничения в этом вопросе существуют лишь формальные — до клавиатуры дотрагиваются только курсанты, а в остальном, насколько мне известно, народу сколько угодно может быть. У нас, например, было 38 человек на бумаге, но из них реально, на постоянной основе работали 9.

 

М.: Но команды соревнуются друг с другом лишь заочно, никак не пересекаясь, а роль основного противника играет именно АНБ?

Д.Х.: Да, мы соревнуемся друг между другом только по количеству очков, но CDX — это еще и групповая работа против АНБ, так что, как ни странно, мы иногда друг другу помогаем :). Например, в этом году я лично удаленно настраивал VoIP-сервер для ребят из US Coast Guard Academy. Практикуется такое, конечно, нечасто, но все же бывают ситуации, когда проще упасть кому-нибудь в ножки и попросить о помощи, чем потом глупо терять очки и позориться перед АНБ. Нам как раз позвонили и честно попросили помочь (контакты друг друга у всех академий, само собой, имеются, так что связаться — не проблема). С другой стороны, тому же West Point’у мы бы никогда помогать не стали — у нас с ними настоящая война и соперничество во всем, и именно они были нашими основными конкурентами, так как последние три года победа в CDX оставалась за ними. Плюс, взаимопомощь у нас проявляется и в другом ключе, например, в этом году наш капитан дважды звонил в West Point и Coast Guard, предупреждая их об атаках, которые на нас шли. То есть, мы все же стараемся делиться информацией.

 

М.: Задолго ли до начала соревнования начинается подготовка, и в чем она заключается?

Д.Х.: Официально базовая директива, в которой примерно указывается, что будет в состязании, выходит в сентябре (само состязание в марте), а детальные технические спецификации появляются в районе января. Реально же за две недели до начала состязания собираются лидеры группы и дизайнят-планируют сетку. Где-то за неделю до начала конкурса уже вся команда сходится вместе и собирает компы, строя сетку. Все спецификации будущей сети публикуются на том самом закрытом сайте АНБ, откуда наши кураторы вытаскивают документацию и отдают нам. Параметры там достаточно широкие, по большому счету — это просто список необходимых сервисов. Вот что требовалось в этом году:

Веб-сервер + форум с возможностью подгрузки аватаров.

AIM-сервер, совместимый с «Джаббером». Почтовый сервер, способный принимать и отправлять почту, зашифрованную сертификатами. VoIP-сервер и минимум один полностью настроенный VoIP-клиент на команду с возможностью, опять же, звонить и принимать звонки. Шифрование необязательно.

Файлопомойка с доступом только внутри сетки. Ну, и прокси и файерволы по желанию, так сказать. Это не регламентируется, но, тем не менее, покупается из бюджета.

 

М.: Бюджета?

Д.Х.: Да, каждой команде выделяется виртуаль ный бюджет в 5000 рупий. Они реально так называются — рупии. В процессе игры ими же даются бонусы.
Из этого виртуального бюджета и строится сетка, тоже виртуальная — все по VPN и имагами. Каждый из основных членов команды отвечает за один из сервисов.

То есть, фактически, мы, конечно, используем уже существующую инфраструктуру, но и суть соревнования не в том, чтобы проверить, умеем ли мы обжимать кабели :). Нам в пользование выделяется компьютерная лаборатория, в которой есть, как ты понимаешь, компьютеры, в количестве шестнадцать пар. На каждой станции по два компа на КВМ, соединенных в две сетки. Одна — нормальная, с открытым выходом в большой мир Интернета. Вторая — в идеале сэндбокс, но на время игры этот сэндбокс вводится в специальный VPN, созданный для этой цели АНБ’шниками. Соответственно, на машинах этого сэндбокса и запускаются эмуляторы VMWare, в которых мы и строим наши серверы.

А насчет бюджета, примерные «расценки» такие: машина (node) стоит 200 рупий. Минимально необходимый софт к ней — 100 рупий, копия файервола — 100 рупий, антивирус — 50 рупий, любой хакерский кусок софта — 100 рупий.

Еще есть бесплатный админский комп, на котором можно все. Бесплатно, опять же.

 

М.: Каким софтом вам разрешено пользоваться? Он тоже весь «покупается», или можно использовать и что-то стороннее?

Д.Х.: Весь софт — на наше усмотрение. Как правило, используется open source. Если нужно что-то проприетарное, то подается запрос в IT-департамент, они достают. Если у них нет, то достают через АНБ. Выбор, по большому счету, ограничен только фантазией админа.

Разумеется, все это протоколируется. Например, говорю про свою машину, так как знаю ее лучше всего. Собственно, сама машина — 200 рупий. ОС к ней идет бесплатно, у меня была CentOS. Сервер «Астериск» — 100 рупий. IP tables — 100 рупий. WireShark — 100 рупий. Войс-клиент — 100 рупий.

Кстати, интересный нюанс — все сервера мы строили сами, с нуля, а вот готовые имейджи рабочих компьютеров нам прислали из АНБ. Над этими образами в АНБ изначально хорошо так посидели, и часть нашей задачи заключалась еще и в том, чтобы все это хорошо осмотреть и почистить. Просто переустановить все заново было нельзя, нужно было именно разобраться, что с ними сделали, и все это аккуратно вычистить.

 

М.: И что же там было?

Д.Х.: Скорее уж, чего там только не было! Руткиты там были в ассортименте, троянов куча, целый выводок вирусов, а на двух компах вообще RAdmin стоял в открытую. Самое смешное, что один RAdmin наш нуб-помощник, проверявший образы, умудрился пропустить. Заметил я его чисто случайно.

 

М.: А можно поподробнее на счет «хакерского софта», который вы юзали? Это была фигура речи, или вы действительно используете какие-то не слишком легальные тузлы?

Д.Х.: Все защитные тулзы абсолютно легальны. Разве что на админском компе что-то такое было, но я туда не заглядывал. Есть такой термин — plausible deniability... То есть, если я чего-то не знаю, и меня об этом спросят, то я совершенно честно и искренне смогу сказать, что «разумеется, нет, я ничего не знаю, ничего не видел!». Вот из этих соображений и не заглядывал :).

С другой стороны, то, что есть в открытом доступе, не всегда равняется тому, что легально. Rainbow Tables — они легальны? Вроде бы нет. Но они есть у каждого уважающего себя айтишника. Или Metasploit? Это я так, называю первое пришедшее в голову. Тот же самый BackTrack... у нас там много всего интересного есть.

 

М.: Хорошо, с подготовкой, кажется, разобрались. Теперь расскажи о том, как проходит соревновательная неделя Cyber Defense Exercise.

Д.Х.: В общем, вся сетка строится примерно за неделю. То есть устанавливается VPN, делаются серверы, все это соединяется, настраиваются антивири и файерволы... Потом это несколько дней тестируется во всех режимах, а затем начинается непосредственно игра.

Каждый день игры состоит из трех частей: Red Time — 08.00-16.00, все на местах, включая Gray Cell, жизнь кипит. White Time — 06.00-08.00, 16.00-22.00, на месте может быть минимальное количество людей, «серые» отдыхают, красная команда обещает не слишком сильно нас трепать.

Пока длится «белое время», можно назначить два часа Downtime («перерыв»), когда всю сетку можно вывести в полный даун и работать над серверами. Апдейты, там, латание найденных дырок, восстановление работоспособности. Все это назначается в конце рабочего дня, 16.00.

Black Time — 22.00-06.00, никого из наших в лаборатории быть не может, активность «красных» минимальна. Последнее появилось недавно и сделано это в основном для того, чтобы гарантировать, что мы вообще спим — в прошлых играх были случаи, когда люди работали сутками напролет и устраивали себе в лабе спальные места.

Лично нам спать там уже не приходилось (да и не позволялось), но зато у нас возникли «перебои» с едой. То есть так получилось, что времени на походы в столовую, даже по очереди, у нас не оставалось. Вообще и никак. В итоге наши профессора были вынуждены по очереди нас кормить — тупо таскали нам еду прямо в лабораторию.

 

М.: То есть АНБ действует в полную силу, не щадит вас и передохнуть не дает?

Д.Х.: Нет, не щадит. Единственные «поблажки» с них стороны — они не используют свои личные наработки и запрещен DoS. В остальном они могут прибегать ко всему, что можно найти в относительно открытом доступе. Все то же самое, что может заполучить в свое распоряжение гипотетический хакер.

 

М.: Ты еще упоминал команду «серых» (Grey cell), которая в этом году стала нововведением и здорово вас достала, не расскажешь, что они делали?

Д.Х.: О, они нам мешали. Нет, даже не так — МЕШАЛИ! У нас из Gray cell был всего один человек, но нам хватило. Он каждый день приходил к нам и очень достоверно играл роль юзера среднестатистического, обыкновенного. Типа, такой стандартный офисный планктончик.

У него с собой имелась папочка, в которой значился конкретный «план действий», то есть подробно описывалось, чем он должен заниматься каждые полчаса. Он поочередно становился одним из шести виртуальных пользователей, и приступал к исполнению этого плана. Скажем, полчаса он читал e-mail, который ему присылали, естественно из АНБ, другие полчаса, пытался загрузить .pdf с такого-то сайта, потом он общался на форуме и так далее. Если ему прислали линк — он гордо на него кликал, прислали экзешник в аттаче — запускал. Нам он о своих намерениях, конечно, не докладывал, и его плана мы не видели, так что узнать, чем он занят, можно было только по факту. После его «работы» машину приходилось останавливать, снимать с сетки, лечить и чистить, теряя баллы. И отказать ему в этих действиях или как-то ограничить было никак нельзя, ведь мы обязаны предоставить ему условия для работы.

 

М.: А известно, кто помимо этого противостоит вам в АНБ? Напирают сильно?

Д.Х.: Те, кто работает в АНБ. Именно в Red Team. Настоящей :). (Интересный факт: игровая атакующая команда Red cell состоит из 40 с лишним человек. Возглавляют эту группу специалисты из АНБ’шной Red Team, но помимо них там задействованы и люди из Технологического института ВВС, Школы повышения квалификации офицерских кадров ВМС, Канадского НИЦ обеспечения безопасности связи, Канадской оперативной группы по информационным операциям, а также из Командования информацион ными операциями ВМС резерва ВМС США и Командования информационными операциями резерва армии США.)

А методы атак у них любые. Сканируя нашу сетку, ищут в ней слабые места, после чего их эксплойтируют. Джек-пот — рут доступ на машину. Утешительный приз — убийство сервиса. Честно скажу — всех подробностей я не знаю, у нас очень четкое распределение обязанностей, и я занимался, в основном, своей станцией с VoIP. Ее сканировали многократно, но у меня было закрыто вообще все, кроме 10 нужных портов, так что меня даже «потрогать» не смогли.

Знаю, что в основном наезжали на веб-сервер и очень активно ковыряли форум. «Джаббер» у нас вроде бы был зеленый постоянно, что там с ним детально творилось — не в курсе. Веб-краулеры приходилось блокировать, как я уже говорил — чувак из Gray cell тупил жестоко, из-за него две рабочие машины несколько раз пришлось снимать с сетки и чистить полностью. За это минусы шли, да... А вообще, у нас на аппаратном файерволе постоянно сидел человек и блокировал все IP, за которыми было замечено что-то неадекватное.

Зато в конце конкурсной недели у нас есть шанс отомстить! В последний день все академии в ответ атакуют АНБ, уже вне балловой системы. Они над нами измывались неделю, так что у нас есть день на то, чтобы хотя бы отвести душу. Задача: хакнуть 16 машин, каждая из которых — токен. Если взлом удается, и все проходит удачно, то это уже идет почетной строкой в резюме отличившимся.

 

М.: И как, вам удалось нанести ответный удар? 🙂

Д.Х.: Нам — нет. Достать АНБ получилось только у US Airforce Institute of Technology, но эти парни уже получают доктораты в областях IT-безопасности, и они взяли только 1 токен из 16. Это вполне нормальная статистика, обычно в среднем и взламывается одна машина АНБ (а чаще — ни одной). Сама посуди: хак, на который дается один день, который ожидают и знают, откуда конкретно будут хакать. Это почти невозможно. К хаку, по идее, готовиться надо — информацию собрать, инструменты подготовить, пароли узнать, социальный инжиниринг использовать, ну и в идеале это должно быть неожиданно, конечно. Нам же остается только использовать брутфорс и прочие грубые медоты, а с брутфорсом на АНБ, которое этого ждет... Смешно.

Как именно Airforce Institute of Technology в этот раз сумел добраться до АНБ — не знаю, свечку им не держал, знаю только, что при атаке они юзали BackTrack’и и метасплойты.

 

М.: Кстати, если уж чуть выше речь зашла о почетных строчках в резюме, расскажи, что в награду получает выигравшая команда? Конкурс вообще дает какие-то бонусы самим участникам, или это все это исключительно «for lulz»?

Д.Х.: Официально мы получаем за это таблички на стену и «бронзовую птицу». Ну, вернее Академия на год получает на почетное хранение здоровенного такого бронзового орла — он переходящий, вместо кубка. А неофициально нам достаются престиж и признание. Грубо говоря, впоследствии, при устройстве на работу, вполне можно показать вдобавок ко всему остальному и эту самую табличку. Это, конечно, не совсем аналог хорошего сертификата, но что-то подобное.

Ну и еще свои «5 минут славы» мы получаем, конечно — победителей интервьюируют, фотографируют и так далее все, кому не лень. Не только военная пресса, но и просто крупные СМИ и телеканалы. Нас, к примеру, с пристратием допрашивали ребята из той же Washington post.

 

Небольшой глоссарий

  • АНБ — Агентство национальной безопасности США.
  • Red Team — атакующее, пенетрационно-тестящее подразделение АНБ. Официальная работа «красной команды» — не только атаковать чужое, но и проверять свое.

Позывные, используемые во время игры:

  • White Cell — судьи, надзирающий орган.
  • Blue Cell(s) — команда(ы) обороняющихся ВУЗов.
  • Red Cell — атакующая команда.
  • Gray Cells — «тупо-пользователи».

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии