Подошел к концу первый день форума PositiveHackDays, который стартовал 21 мая в международном выставочном центре «Крокус Экспо». Форум посетило рекордное число участников —  более 6000 человек. Все они собрались, чтобы послушать более полусотни докладов, попробовать себя в мастер-классах, конкурсах и киберквесте, понаблюдать за жизнью города F. Все происходящее на площадке PHDays 9 в этом году посвящено теме «Взлом константы». Делимся самыми интересными событиями первого дня.

Смена парадигмы киберзащиты

Открыла форум пленарная дискуссия «Безопасный переход в небезопасную цифровую жизнь». Переход к взаимодействию в цифровом пространстве сопряжен с рисками для личности, общества, бизнеса и государства. Умный город, электронное правительство и здравоохранение, интернет вещей, управление потоками людей и товаров и другие системы для цифрового взаимодействия удобны и облегчают жизнь, но также порождают угрозы. Борис Симис (Positive Technologies), Гаральд Бандурин (ГВЦ РЖД), Александр Баранов (НИУ ВШЭ), Игорь Ляпунов («Ростелеком») пытались выяснить, успевают ли решения для защиты за возникающими рисками.

Участники дискуссии отметили конфликт между бизнесом и безопасниками: специалисты по ИБ и ИТ могут не знать о каких-то изменениях внутри самой организации, о внедрении новых систем. Зачастую такие динамичные изменения уже заложены в бизнес-стратегию и являются одним из конкурентных преимуществ. В подобных условиях классический подход к информационной безопасности уже не дает нужного эффекта.

По мнению Бориса Симиса, в сложившейся ситуации виноваты сами безопасники, так как они «умеют либо запугивать, либо запрещать», и это проблема. Выход из ситуации предложил Игорь Ляпунов: «Безопасник должен быть бизнес-партнером и разбираться в том, чем занимается компания. Тогда он будет искать оптимальные способы и инструменты, которые обеспечат безопасность».

В ходе дискуссии участники предложили свои подходы к изменению сложившейся парадигмы ИБ. Александр Баранов считает, что необходимо изменить психологию тех, кто производит средства защиты: «Ориентировка на то, что средства защиты должны эксплуатироваться специалистами, — неправильная, даже если она кажется правильной. Массовая информационная безопасность предполагает использование средств в режиме plugandplay. Средства ИБ должны быть встроены в системы, которыми пользуются наши мамы, бабушки, — и быть простыми в использовании».

Игорь Ляпунов перечислил три пункта, необходимых для изменения рынка: 1) компании должны перейти от ответственности за нарушение нормативных требований к ответственности за инциденты ИБ, 2) необходимы механизмы фондирования и венчурного инвестирования, 3) нужен выход на зарубежные рынки.

Гаральд Бандурин считает, что необходимо обратить внимание на онтологические модели данных и на культуру безопасности. И в этих вопросах особенно важна роль государства. В связи с развитием технологий (появлением квантовых компьютеров, квантового шифрования) необходимы серьезные исследования, поскольку все это подразумевает другой уровень безопасности. Также, по мнению Бандурина, нужен «генконструктор, генпроектировщик, который на старте проектирует все наши информационные системы, комплексно, включая нормативную базу, технологии восстановления, технологии взаимодействия».

О цифровизации

Как отметил Руслан Макаров из Института цифровой экономики на секции «От глобальной цифровизации к новой цивилизации», к 2030 году мировой рынок будет формироваться искусственным интеллектом на 14% (Pricewater house Coopers) или 16% (McKinsey). И не участвовать в этом процессе — все равно что прекратить дышать. Согласно оценкам ВЦИОМ, 62% россиян активно пользуются интернетом либо различными цифровыми устройствами.

Выступавший на секции математик, вице-президент оргкомитета «Цифровой формации» Александр Башнин привел пример: «Гражданский паспорт вы все еще получаете по функциональной схеме, а зарегистрировать машину уже можно по сервисно-сетевой». По словам Александра, главная черта цифровой экономики — гиперсвязность данных. Перевод всех архивов в PDF не приблизит нас к цифровой экономике, поэтому все технологии делятся на те, которые дают гиперсвязность данных (например, когда информация о том, куда мы поехали или какой картой расплатились, используется различными сервисами и приложениями), и те, которые не дают.

России необходим совершенно новый интеллектуальный фундамент; сегодня нам нужно действовать более рискованно: построить не систему для производства вещей, а систему, которая будет мотивировать к созданию идей, интеллектуальной собственности. Экстерриториальная модель строительства цифровой экономики не подходит России, слишком велики просторы, необходима динамическая иерархия, основанная на измерении общественной полезности индивидуума. Социальный лифт в динамической иерархии работает ежедневно, как вверх, так и вниз. В 2018 году слово «справедливость», как отмечает Александр Башнин, было самым популярным интернет-запросом, и динамическая иерархия позволяет ее обеспечить.

«Меня обвиняют, что я призываю к общественному эксперименту, но другой экспериментатор, Карл Маркс, согласно опросу BBC, стал величайшим мыслителем XX века (хотя и жил в XIX веке). Однако старая схема “товар — деньги — товар” должна трансформироваться в нечто более современное, в новую схему, где основной ресурс — время», — заметил Башнин.

Валерия Брусникина, вице-президент ассоциации IPChain, затронула вопрос о новой нефти, как сегодня называют интеллектуальную собственность. Доля интеллектуальной собственности в экспорте (внешней торговле) Китая уже превысила 30%, в Германии достигла 8%. Сегодня появляется огромное количество новых продуктов, таких как спортивная символика или профили в соцсетях; это новая интеллектуальная собственность, которой нет в Гражданском кодексе. Валерия рассказала, что их ассоциация попыталась создать систему коллективного управления правами, которая бы поддерживала новые объекты социальной собственности. Галина Добрякова, основатель IREG, отметила: недостаточно просто написать в договоре «всё, что делают сотрудники, принадлежит компании». Нужно уточнить, что входит в это понятие «всё», иначе придется потом каждый раз отдельно доказывать, что именно эта интеллектуальная собственность, которую можно продать, в договоре подразумевалась.

Виктор Степанов, основатель «Академии масштабирования бизнеса и инвестиций», затронул вопрос закостенелости системы образования, напомнив исторический факт: Аристотель в IV веке до нашей эры был твердо уверен в том, что у женщин зубов меньше, чем у мужчин. И примерно до VII века люди этому верили — хотя можно было просто пересчитать!.. Наш социум подвержен влиянию якобы незыблемых утверждений, часть которых явно устарела. Мир от модели хард-скилз (умение программировать или забивать гвозди) и софт-скилз (сквозные компетенции) переходит к новой модели, где три основных направления. Первое — это развитие контекстных навыков, например умения не просто программировать, а программировать на конкретном языке. (Часто это навык, который сегодня нужен, а завтра уже нет, и даже становится стоп-фактором в развитии личности.) Второе — кросс-контекстные навыки: писать, читать, управлять своим временем. И третье направление — умение не только учиться, но и «разучиваться», навыки рефлексии, социальные навыки.

Владимир Мамыкин, директор по информационной безопасности Microsoft, отметил, что в Англии XIX века не обращали внимания на технический процесс, относились к нему легкомысленно, не популяризировали его на государственном уровне, и это, в частности, привело к восстанию луддитов, когда люди намеренно повреждали ткацкие станки, портили оборудование, разрушали целые фабрики: боялись за свои рабочие места. А сегодня необходимо объяснять людям пользу компьютеризации.

Продолжили тему цифровизации участники круглого стола «Цифровая формация: переход от экономики знаний к цифровому государству». Они обсудили ожидающие нас изменения в идеологии, политике, праве, экономике, финансах и принципах управления обществом. Разбирался в этой теме вице-президент оргкомитета проекта «Цифровая формация» Евгений Сахаров вместе с заведующим кафедрой гражданско-правовых дисциплин Московской академии Следственного комитета РФ Леонидом Голоскоковым, старшим научным сотрудником отдела культуры Дома русского зарубежья Ксенией Ермишиной, вице-президентом оргкомитета проекта «Цифровая формация» Александром Башминым и Константином Здируком.

Банк данных уязвимостей: перспективы развития

Заместитель директора ФСТЭК России Виталий Лютиков и ведущие эксперты в области ИБ в рамках круглого стола обсудили актуальные вопросы функционирования банка данных уязвимостей (БДУ) ФСТЭК России. Среди тем, которые были подняты: сегодняшнее состояние банка данных, опыт использования и перспективы развития отечественной базы знаний об уязвимостях, вопросы мотивации исследователей по предоставлению сведений об уязвимостях в банк данных, а также взаимодействие регулятора с исследователями и вендорами.

Виталий Лютиков рассказал о БДУ и об алгоритмах совместной работы с вендорами. ФСТЭК ведет такую работу с 2015 года, и на сегодняшний день банк содержит сведения об основных угрозах ИБ и уязвимостях информационных систем. В него занесены более 21 000 уязвимостей и более 200 угроз безопасности. Информацию об уязвимостях в банк данных предоставляют как компании, так и отдельные исследователи. На сайте БДУ ведется рейтинг исследователей, предоставивших информацию об уязвимостях ПО.

Участники дискуссии поделились проблемами, с которыми они столкнулись при работе с банком данных и ФСТЭК. Михаил Кадер (Cisco) рассказал, что языковая разница мешает компании Cisco при взаимодействии со ФСТЭК. Также он посетовал, что исследователи, которые обнаружили уязвимости, часто не сообщают вендору о проблеме, а рассказывают об уязвимостях с трибун какой-нибудь конференции.

Ян Сухих (Schneider Electric) поднял вопрос о регламенте включения информации об уязвимости и сроках непринятия мер, а также рассказал о желании компании Schneider Electric организовать воркшоп с участием ФСТЭК России.

О необходимости просветительской работы высказался Дмитрий Кузнецов (Positive Technologies). Он поделился ситуацией, с которой эксперты Positive Technologies сталкивались во время работ по оценке защищенности: заказчики подходят формально к исправлению уязвимостей, устраняют только те, что занесены в БДУ, или просят не информировать вендоров, чьи компоненты использованы в системе, о найденных проблемах.

Евгений Гончаров («Лаборатория Касперского») сконцентрировался на положительных моментах. Банк данных помогает специалистам по безопасности на определенных этапах (хотя не стоит считать его решением всех проблем). Кроме того, он отметил взвешенный подход ФСТЭК к решению многих проблем и отсутствие «регуляторки, которая бы заставляла немедленно сообщать об уязвимостях нулевого дня». Также он затронул проблемы скрытых уязвимостей — когда вендор не готов признавать, что его продукт уязвим.

Ключевой докладчик форума Карстен Ноль — о болоте старых проблем

В 2009 году Карстен Ноль взломал алгоритм кодирования данных в сетях GSM, а в 2013 году обнаружил уязвимость в SIM-картах, позволяющую перехватить практически все что угодно: SMS, разговоры, платежи. Последние пять лет Карстен занимается не только исследованиями, но и менеджерскими задачами в сфере ИБ. На PHDays 9 он представил доклад «Что там у айсберга под водой: поговорим о реальных киберугрозах». Исследователи могут переходить от одной темы к другой, тогда как управленцы сталкиваются постоянно с одними и теми же проблемами, посетовал Карстен. Это может показаться утомительным, однако позволяет обнаружить интересные закономерности.

В бизнесе значительная часть повторяющихся проблем безопасности связана с наследованием небезопасных продуктов и технологий. Карстен показал две фотографии — на одной чистое поле, а на другой корпоративный офис, и поинтересовался у зрителей, в каком месте легче реализовать полную цифровизацию. На первый взгляд, победа за офисом. Спикер рассказал о своем опыте в Индии, где одной компании удалось за несколько лет с нуля реализовать подключение к интернету сотен миллионов человек. С чистого листа была спроектирована архитектура с учетом современных подходов к безопасности, современных протоколов и требований 4G.

Однако когда идеально выверенный дизайн передается вендору, он все равно найдет способ ошибиться. Один подрядчик скачал дистрибутив Linux восьмилетней давности со всеми известными уязвимостями и установил на него новый продукт. Другой подрядчик установил один и тот же пароль для первых нескольких десятков тысяч узлов, и этот пароль был — название компании. Поэтому коллегам Карстена пришлось поменять 80 тысяч паролей. Установить все свежие обновления безопасности на смартфоны клиентов компании также оказалась невозможно: никто, кроме Google, не был способен это сделать. Таким образом, говорит Ноль, невозможно полностью избавиться от наследия старых уязвимостей, вы застреваете в них, как в болоте. Если вы нанимаете на работу тысячи человек, многие из них попадаются на фишинг уже в первый день.

По словам Ноля, даже большие компании ошибаются в базовых принципах безопасности: в парольной политике, в установке обновлений, в защите от фишинга и в других вопросах. Хорошая новость в том, что ошибки довольно типичны, и для улучшения безопасности можно идти мелкими шажками: менять пароли на более сложные, ограничить доступ, настроить межсетевой экран. Карстен с коллегами провели глобальный анализ данных об уровне защищенности тысяч компаний из десятков отраслей — и создали шкалу «хакабельности», позволяющую сравнить различные предприятия по уровню защищенности.

Было просканировано более 270 млн IP-адресов. Каждый адрес был сопоставлен с конкретной компанией-владельцем, сектором экономики, были определены объемы выручки, число сотрудников компаний и другие параметры. Исследователи проверяли все эти компании не просто на одну конкретную уязвимость: использовались сотни тысяч сигнатур.

Более 1000 узлов оказались уязвимы для уязвимости Heartbleed. Хуже всего защищены сервисные компании: у них просто нет денег на безопасность. Ритейл, банки, страховые компании защищены лучше, но они и тратят на это очень большие деньги.

О рисках использования GSM-замков и умных детских часов с AliExpress

Независимый исследователь Александр Колчанов в ходе мастер-класса «Практика атак на GSM-сигнализации, умные дома и детские часы» рассказал об уязвимостях умных устройств. GSM-замки позволяют дистанционно открывать, например, гаражные двери. GSM-сигнализации удобны в квартирах, а также на дачах или на других удаленных объектах: кто-то залез в дом, и владельцу отправляется сообщение. Александр показал типичную сигнализацию, которая в китайских интернет-магазинах стоит около 3 тысяч рублей, а в российской рознице 4−5 тысяч; эти устройства доступны, поэтому и пользуются все большей популярностью.

GSM-контроллер представляет собой переходник на розетку, в который вставляется SIM-карта. Владелец может «позвонить» или написать SMS своему котлу отопления, чтобы дистанционно включить его перед приездом на дачу и согреть дом. Аналогичным образом можно запускать полив в огороде и выполнять другие операции. Детские умные часы позволяют задавать зону, где ребенок должен находиться, и при выходе за ее пределы родитель получит сообщение.

Такие устройства кажутся достаточно надежными, но это только видимость. Злоумышленник может воспользоваться, например, тем, что устройства нередко используют стандартные пароли (1234, 8888). При этом часто отсутствует защита от перебора паролей, а ведь 10 000 комбинаций (в случае четырехзначного кода) перебрать достаточно просто; установить же более длинный пароль не всегда возможно. Перехват доступа к устройству может также быть связан с утечкой пароля через небезопасные протоколы.

Только хардкор

Исследователи компании Congosec DMCC Дхирадж Мишра и Зубин Девнани провели мастер-класс. Основные темы: фаззинг с помощью SPIKE, фаззинг вслепую и методом ввода данных (AFL), поиск ошибок памяти с помощью ASAN с интеграцией AFL, фаззинг протоколов (HTTP, FTP, SMTP).

Михаил Фирстов и Андрей Скуратов (FBK CyberSecurity) представили обзор различных атак на веб-приложения, которые могут встретиться как при проведении профессионального аудита безопасности, так и при поиске уязвимостей в рамках bug bounty.

Новинка этого года — отдельный технический трек the Eatre Search Camp по темам incident response, threat intelligence, threat hunting, OSINT и malware analysis. Руководитель компании Volon по продуктам и технологиям Муслим Косер раскрыл секреты эффективного поиска информации о злоумышленниках в даркнете. Он рассказал, как находить нужную информацию даже в очень больших объемах данных, а также как объединить возможности искусственного интеллекта и машинного обучения с возможностями человеческого разума, чтобы извлечь из собранных данных максимальную пользу.

В начале апреля 2019 года специалисты Positive Technologies зафиксировали фишинговую кампанию, направленную на государственные органы Хорватии. Старший специалист группы исследования угроз Positive Technologies Алексей Вишняков выступил с докладом «Iron Python на стороне зла: безмолвная троица из хорватской посылки». Он поделился сведениями об инфраструктуре атакующих и приемах, которые они использовали для доставки вредоносного ПО.

Реверс-инженер компании Check Point Бен Херцог представил новый подход к обнаружению классической атаки, в которой жертвам рассылаются документы с вредоносными макросами. Злоумышленникам, создающим такие документы, приходится использовать слова «разрешить макросы» и прятать их в заголовке документа или на рисунке. Бен продемонстрировал классификатор, который сразу выявляет подобные зараженные файлы.

Бовэнь Пань рассказал о тенденциях в целевых атаках, усложняющих их выявление и идентификацию злоумышленника. В своем докладе «Поиск целевых атак и реагирование на инциденты на основе методов ATT&CK» он на примерах показал, как специалисты @360TIC (теперь они называют себя RedDrip) анализируют данные и выявляют аномальное поведение в исследуемых системах.

Прошли первые шесть выступлений в рамках секции по безопасной разработке сообщества Positive Development User Group. Первая часть дня была посвящена техническим докладам, вторая — бизнес-процессам. Докладчики делились опытом разработки эффективного статического анализатора JavaScript-кода, знакомили разработчиков со стандартами программирования, которые помогают создавать надежные приложения, рассказывали об уязвимостях в процессе десериализации в .NET и о том, как последовательно прививать безопасную разработку и привести программный продукт в соответствие с европейским законом о защите персональных данных (GDPR).

В течение дня прошла серия пятнадцатиминутных докладов в формате Fast Track, выступления были посвящены различным вопросам безопасности приложений, криптографии, расследованию инцидентов, вредоносному ПО и обратной разработке.

День критического мышления на PHDays

Впервые на PHDays состоялась экспериментальная секция Tech&Society, посвященная критическому мышлению. Ее цель — наглядно продемонстрировать важность критического мышления в познании собственных возможностей и достижении целей.

На секции выступили директор по маркетингу Positive Technologies Владимир Заполянский, бизнес-ангел Дмитрий Костомаров, начальник отдела обеспечения защиты информации СО ЕЭС Лев Палей, основатель и генеральный директор информационно-аналитической платформы ZOGRAS Эдуард Маас, руководитель исследований микробиоты холдинга Atlas Biomed (Великобритания) Дмитрий Алексеев, специалист по философии цифровых технологий Вадим Чеклецов, врач-психиатр, психотерапевт Андрей Размахнин, российская актриса театра и кино Дина Корзун, автор и ведущая YouTube-проекта «А поговорить?» Ирина Шихман. Они поделились своими историями успеха, рассказали о том, как у них получилось совершить революцию в отдельно взятой жизни. Подробнее об этой секции мы расскажем в ближайших новостях.

Хакерские развлечения и не только

Параллельно с деловой частью форума стартовала масштабная конкурсная программа и главное хакерское соревнование года ― кибербитва The Standoff. Сражение между командами атакующих, защитников и SOC (security operation scenters) разворачивается в уже знакомом городе F. Он стал еще больше: теперь город F — современный мегаполис с развитой инфраструктурой, удобной транспортной сетью, промышленными предприятиями. Тут работают офисы авиакомпании, страховой и IT-компании, СМИ и морского перевозчика; в городе есть даже футбольный клуб. Есть в City F и своя криптовалюта.

По словам организаторов, площадь макета составляет около 17 квадратных метров. Для его создания было использовано 3000 искусственных деревьев, 467 фигурок, 153 метра рельсов и более 300 метров проводов.

Среди новшеств этого года: на этот раз защитники обеспечивают безопасность только офисов, а остальные объекты остались уязвимыми. А еще впервые к сражению присоединились команды разработчиков. В рамках TheStandoff проводится хакатон: команды разработчиков подготовили приложения, а в течение всего противостояния нападающие будут их атаковать и писать отчеты bug bounty на найденные уязвимости.

В первый день команда True0xA3 проникла в незащищенный офис промышленной компании (именно этот офис управляет всей АСУ ТП) и смогла получить привилегии администратора домена. Этой же команде удалось выкрасть финансовый отчет с компьютера главного бухгалтера местного медиахолдинга.

Кроме того, команды атакующих сдавали организаторам информацию об уязвимостях в рамках bug bounty. Не забывали и про майнинг криптовалюты; в этом деле также преуспела команда True0xA3.

В течение дня на площадке форума прошли воркшопы разного уровня сложности по темам прикладной безопасности. Участники за пару часов смогли получить базовые знания по различным направлениям безопасности и тут же отработать навыки.

В этом году организаторы PositiveHackDays 9 приготовили для гостей еще одну новинку. Все два дня на площадке форума можно поучаствовать в киберквесте. Участники оказываются в реабилитационном центре, где им предстоит сражаться друг с другом на световых джойстиках, доставать подсказки из бассейна со специальной питательной жидкостью, подбирать код человечности, уворачиваться от лазерных лучей и даже разминировать бомбу. В первый день форума на конкурсе был настоящий аншлаг! Несколько сотен участников попробовали свои силы в киберквесте, большинству удалось дойти до финиша и получить ценные призы — портативную колонку и стикерпак.

Отдельно стоит сказать про культурную программу форума. На PositiveHackDays состоялся показ короткометражных фильмов Positive Watch IT Night, посвященных нашему технологическому будущему. В программу вошли фильмы из России, США, Канады, Франции, Великобритании, Израиля и Ирландии.

Под занавес дня на главной сцене форума ведущий культового российского литературно-музыкального проекта «Модель для сборки» Владислав Копп прочитал слушателям фрагмент из футуристической новеллы «Человек (StatusQuo)» поэта и писателя Яна Хачатурова. Чтение сопровождалось современной электронной музыкой.

На второй день форума запланирована не менее интересная программа. Как всегда, за происходящим на PHDays 9 можно следить в прямом эфире и в наших соцсетях по хештегам: #PHDays, #PHDays9, #критика, #созидание, #PT, #positivetechnologies.

Оставить мнение