Видео с PHDays

POSITIVE HACK DAYS



ОРГАНИЗАТОР

Противостояние: атакующие настроены на реванш

  • 19 Мая 2017

    Совсем скоро стартует форум Positive Hack Days, а вместе с ним самая ожидаемая его часть — кибербитва между хакерами и безопасниками Противостояние. В прошлом году, как мы помним, хакерам не удалось захватить город полностью, поэтому один из самых насущных вопросов этого года, который волнует не только участников, но и посетителей форума — удастся ли им взять реванш? Мы побеседовали c командами атакующих, узнали их настрой, планы на игру и, конечно же, прогнозы.

    Действующие лица

    В этом году организаторы пересмотрели подход к выбору атакующих, склонившись в сторону профессиональных команд. «Главная наша задача в рамках хакерской части PHDays — максимально наглядно показать хакерский мир людям. Поэтому на роль атакующих были приглашены не только завсегдатаи CTF, но и пентестеры, обладающие богатейшим арсеналом техник по взлому, системным и в то же время весьма творческим подходом к делу», — рассказал член оргкомитета PHDays Михаил Левин.

    Львиная доля участников — в свободное от Positive Hack Days время :) — успешно трудится на ниве пентеста, и некоторые из них и в Противостоянии участвуют как представители той или иной компании. Итак, на стороне атакующих в Противостоянии версии 2017 года 9 команд:

    • Antichat,
    • Rdot.org,
    • BIZone (БИЗон),
    • PwC Cyber (PwC),
    • Vulners (QIWI),
    • KansasCityShuffle,
    • True0xA3 (Информзащита),
    • «ЦАРКА» (Царка, Казахстан),
    • Hack.ERS (сборная мира).

    «Кто не умеет нападать, тот не умеет защищать»

    Некоторые команды серьезно готовились к Противостоянию и, конечно, имеют наполеоновские планы на игру. Команда Antichat, к примеру, обновила свой состав и, как в прошлом году, идет на Противостояние за абсолютной победой. Для команды Rdot.org, участие в соревнованиях — это своего рода традиция. Для команды BIZone, участники которой входят в состав CTF-команд BalaikaCr3w, EpicTeam, — возможность лишний раз поиграть. Поддерживает коллег по цеху и капитан команды Antichat, который считает PHDays неотъемлемым этапом становления и развития любой российской CTF-команды. Хотя планы на то, чтобы получить удовольствие от игры, окунуться в атмосферу и почувствовать дух соревнования, есть у всех (и не зря — уж эти-то планы точно выполнятся и даже перевыполнятся).

    Хотя для большинства команд участие в Противостоянии — это в первую очередь тренировка, возможность продемонстрировать и проверить свои силы. Не последнюю роль играет и интерес: в реальной жизни, в силу специфики работы, редко получается «пощупать» такую инфраструктуру, как воссоздается на PHDays. «Мы не первый год посещаем PHDays, и в основном участвовали в небольших конкурсах. В этом году мы поняли, что готовы к Противостоянию. Нам важно посмотреть, как ребята будут взаимодействовать друг с другом, наладить правильный процесс среди членов команды, узнать наши слабые и сильные стороны», — поделился участник команды «ЦАРКА» Олжас Сатиев.

    Рассказывает Павел Сорокин (True0xA3): «У нас большой опыт проведения различных тестов на проникновение, которые позволяют выявить ключевые недостатки в безопасности наших клиентов и предлагать им самые эффективные решения по исключению этих недостатков. PHDays — отличное мероприятие, которое позволяет отточить работу в команде, сплотить сотрудников, нарастить экспертизу при отработке практических кейсов. В этом году мы выступаем под девизом "Кто не умеет нападать, тот не умеет защищать"».

    C ним согласен и Игорь Булатенко, участник команды Vulners, который также считает, что хороший безопасник должен знать, какие методы и техники будут использоваться злоумышленниками для атаки на его инфраструктуру: «Противостояние позволит побывать в шкуре атакующей стороны, попытаться найти слабые места в хорошо выстроенной системе защиты. Этот опыт, возможно, поможет нам по-новому посмотреть на защиту своих серверов и что-то улучшить».

    Будем атаковать всё

    А потренироваться участникам будет на чем. Знакомый по прошлому PHDays город значительно вырос, как в размерах, так и по населению. На этот раз организаторы решили дать хакерам и защитникам не отдельные объекты, а целый город — со светофорами, машинами, домами, сотнями жителей. Все объекты взаимосвязаны друг с другом и технически мало чем отличаются от реального города.

    Какие объекты инфраструктуры будут атаковать хакеры? Конечно, никто из них не спешит раскрывать все тайны, но нам все-таки удалось кое-что разузнать. В основном команды ориентируются на собственный реальный опыт. Команда Antichat планирует атаковать объекты с веб-интерфейсом, так как в этой области у них больше всего специалистов, и возможно они даже реализуют несколько сценариев социальных атак. По словам Никиты Вдовушкина, участника команды BIZone, они с удовольствием бы попробовали сразу же попасть в банковскую или офисную инфраструктуры, так как в реальной жизни их компания «БИЗон» специализируется на банковском секторе.

    Также команды поделились своими мыслями о предполагаемых уязвимостях. Команда Vulners ожидает классических ошибок misconfiguration, стандартных учеток, забытых сервисов и классических веб-уязвимостей. Один из участников команды BIZone предположил, что будет много интересных и сложных для эксплуатации бинарных уязвимостей. Павел Сорокин: «Нам интересно, как организаторы обыграют слив ShadowBrokers. Будут ли уязвимости под эти эксплойты на Противостоянии? И интересно, как защитники будут от них защищаться».

    В целом у участников позитивные ожидания от игры. Они рассчитывают на сложные и интересные векторы, хардкор, четкие правила и прозрачную систему скоринга как для нападающих, так и для защитников. И конечно, надеются на правильный баланс сил. Игорь Булатенко: «В прошлом году, как мне кажется, силы были не на стороне атакующих. Надеюсь, что в этом году организаторы смогут решить эту проблему и привнести больше реализма в жизнь города».

    Хакерский арсенал

    В прошлом году хакеры ринулись в бой почти что с голыми руками. Участники решили не повторять прошлых ошибок и подготовили целый арсенал. На этот раз в ход пойдут стандартные инструменты анализа защищенности — джентельменский набор пентестера и реверсера, а также тулзы, накопленные в ходе проведения реальных пентестов и участия в CTF.

    Команда Antichat обещает использовать широкоизвестные дистрибутивы Linux специально разработанные для проведения тестирования на проникновение: BlackArch, Kali. А если говорить о конкретном ПО, то незаменимыми средствами, по словам команды, являются Burpsuite, Metasploit Framework, а также Radare2.

    Больше всего впечатлила команда Rdot.org. Вот неполный (!) список их инструментов: диверсионное ПО для заражения АСУ ТП, 0day-эксплойты под браузеры и веб-приложения, фемтосоты и фреймворки для OTA-эксплуатации, радары и усилители радиосигнала, скиммеры и RFID-программаторы для подделки смарт-карт и банковских карт, атомно-силовые микроскопы и химическая лаборатория для анализа чипов, IoT-ботнеты для организации DDoS-атак, приборы ночного видения и телескопы для наблюдения за мониторами соперников, сертифицированное forensic-оборудование для DMA-атак, побитового копирования жестких дисков и восстановления данных, EFI-бэкдоры для заражения устройств соперников и инфраструктуры, оборудование для обнаружения и декодирования побочного электро-магнитного излучения и снятия информации по акустическим каналам, ASIC- и GPU-фермы для атак по перебору хеш-сумм, кластер машин на Amazon для организации фаззинга по исходникам и без и для массового сканирования, резисторы и мультиметры для атак класса differential power analysis, а также различные трояны и программно-аппаратные средства по их доставке, такие как связки эксплойтов, вредоносные устройства USB и PCI-E.

    Похоже, пощады не будет :)

    Шансы — 50 на 50

    В целом в стане атакующих настроения более чем решительные. Причем чувствуется некоторая конкуренция между самими нападающими. Старички Antichat, к примеру, уверены, что «шансы есть у всех хакеров», однако отмечают, что им конкуренцию могут составить лишь LC↯BC, а они не планируют участвовать в данном соревновании.

    Олжас Сатиев: «Некоторые команды участвует не в первый раз, следовательно, и опыта у них больше. Да, мы новички, но со свежим взглядом :) — и приложим все силы для того, чтобы достичь поставленных целей».

    А вот о соперниках атакующие в большинстве случаев высказываются сдержанно. Никита Вдовушкин (briskly) полагает, что «в реальном мире защитникам довольно сложно оперативно реагировать на атаки и закрывать уязвимости с сохранением доступности сервисов, так как сервисы могут достигать огромных размеров в несколько тысяч строк кода. «Мы считаем, — говорит он, — что успех защитников во многом зависит от того, как организаторам удастся отразить в соревновании этот аспект реального мира».

    Павел Сорокин делает ставку на опыт и хорошо выполненную подготовку: «Мы будем стремиться к победе! Мы готовимся к Противостоянию и надеемся, что наши заготовки помогут нам добиться цели». Ну а Antichat и вовсе не оставляет защитникам никаких шансов.

    ***

    Чем ответит на этот вызов защита? Ответ на этот вопрос в нашем следующем материале. Следите за новостями!

    Напоминаем, что форум состоится 23—24 мая 2017 года в московском Центре международной торговли. Билеты на Positive Hack Days можно купить здесь.

    Бизнес-партнер форума Positive Hack Days — MONT, партнеры форума ─ компании «Ростелеком», R-Vision, «Лаборатория Касперского», IBM, Microsoft, Solar Security, «ИнфоТеКС» и SAP; спонсоры форума — «Аксофт», Web Control, ГК ANGARA, Check Point, McAfee, Symantec; партнеры Противостояния — Palo Alto Networks, «ICL Системные технологии», Beyond Security; участники Противостояния — компании «Информзащита», «Перспективный мониторинг», «Инфосистемы Джет», «КРОК»; технологические партнеры — Cisco, CompTek, Acronis, Synack, ARinteg, Qrator, Wallarm, Zecrion, «Актив», QIWI, PROSOFT и Advantech; генеральный информационный партнер Positive Hack Days — государственное информационное агентство ТАСС.

Возврат к списку