POSITIVE HACK DAYS



ОРГАНИЗАТОР

Первый день PHDays V: от перехвата СМС до взлома спутника

  • 28 Мая 2015

    В первый же день форума Positive Hack Days, стартовавшего 26 мая, эксперты по кибербезопасности со всего мира продемонстрировали различные техники взлома банкоматов, онлайн-банкинга, сетей операторов сотовой связи, систем управления энергетикой, транспортом и промышленными предприятиями. В Центре международной торговли прозвучало более 50 докладов, прошли мастер-классы и круглые столы, состоялись десятки хакерских конкурсов. Все самое интересное транслировалось на сайте форума в несколько потоков.

    Ущерб от кибератак часто измеряется миллиардами долларов, но реальная себестоимость взлома, как правило, невелика. По данным исследовательского центра Positive Technologies, любой желающий, потратив на оборудование меньше 10 тыс. долл., может удаленно получить доступ к чужой SIM-карте – а значит, и к трафику абонента, SMS, звонкам и данным о местоположении. И для таких атак уязвимы 20% «симок»! Конфиденциальную информацию абонента можно получить и атакуя оборудование оператора. Цена вопроса при подготовке атаки на соту GSM-сети – порядка 1000 долл., а для взлома базовой станции оператора требуется только ПК и доступ к сети SS7.

    Банковская отрасль не отстает от телекоммуникаций. В одном банкомате может оказаться более 10 млн рублей, а затраты на интеллектуальный взлом ATM могут сводиться к покупке Raspberry Pi за 60 долл. В прошлом году Россия заняла второе место в мире (после Пакистана) по числу банкоматов, которые можно обнаружить с помощью специальных поисковых систем и дистанционно перепрограммировать, используя небезопасные протоколы и многочисленные уязвимости в Windows XP. С электронными деньгами ситуация не лучше: 70% мобильных приложений для Android и 50% для iOS в 2014 году содержали уязвимости, достаточные для получения доступа к счету.

    Опасность для пользователя могут представлять и безобидные на первый взгляд устройства, например беспроводные USB-модемы для выхода в интернет. Если производители мобильных ОС достаточно оперативно устраняют уязвимости, то разработчики прошивок для модемов еще недавно уделяли безопасности минимум внимания: 27 из 30 прошивок, исследованных экспертами Positive Technologies, содержали критически опасные уязвимости. В своем докладе «Буткит через СМС: оценка безопасности сети 4G» Тимур Юнусов показал, насколько легко злоумышленник может автоматизировать идентификацию и заражение 4G-модемов для перехвата трафика, манипуляций с SMS, управления деньгами на счету и проникновения в компьютер, к которому подключен модем.

    Философская концепция пятого PHDays включала элементы космологической теории, но практические аспекты также интересовали организаторов, поэтому впервые на форуме прошла секция «Радиолюбительская космическая связь». Докладчики обсудили вопросы безопасности на орбитальных станциях с точки зрения ИБ; в частности, одну из версий, которая связывает аварию межпланетной станции «Фобос-Грунт» с внешним воздействием. По словам радиолюбителя Дмитрия Пашкова, заглушить любые сигналы между центром управления и космическим аппаратом ­– вполне реальная задача, причем все необходимое оборудование можно приобрести на любом радиорынке, за исключением разве что антенны: ее придется сделать самостоятельно. Специалист из мордовской Рузаевки рассказал, как с помощью самодельной аппаратуры получил снимок солнечного затмения со спутника Роскосмоса «Метеор-М2», а также использовал сигналы метеоспутников для получения оперативного прогноза погоды перед рыбалкой.

    Как защищать

    Шаги в более эффективной борьбе с уязвимостями информационных систем – в том числе для защиты национальных интересов – обсуждались в рамках самой «государственной» секции «Нас reboot, а мы крепчаем. Каково быть Россией в недружественном кибермире?».

    В дискуссии приняли участие Дмитрий Финогенов (8-е управление ФСБ), Александр Радовицкий (МИД), Александр Баранов (Налоговая служба), депутаты Госдумы Вадим Деньгин, Андрей Туманов и Илья Костунов. Со стороны экспертного сообщества выступали Алексей Андреев (Positive Technologies) и Алексей Лукацкий (Cisco).

    Представители государственных органов пообещали, что до конца 2015 года будет опубликована новая российская концепция информационной безопасности. Вадим Деньгин призвал российских пользователей интернета, которых уже свыше 70 млн, отвечать за свои слова (в том числе и в суде), и отметил, что безопасность граждан, в частности защита персональных данных, является для государства приоритетной задачей, поэтому закон № 242-ФЗ о переносе ЦОДов на территорию России отложен не будет и «иностранный бизнес в целом с законом согласен». Коллега Вадима, Илья Костунов, недавно обнаружил, что во всех органах российской власти установлен Google Analytics, в связи с чем отправил запросы в прокуратуру и Минэкономразвития. Илья также отметил, что возможность запустить свою платежную систему у России была еще в 2000 году, причем сразу с «чипованными» картами.

    При защите данных в крупных компаниях с разветвленной инфраструктурой часто говорят «цепь крепка настолько, насколько крепко ее слабое звено». Наталья Куканова из «Яндекса» в докладе «Кот в мешке: безопасность при слияниях и поглощениях» отметила, что при поглощениях сторонних проектов «Яндекс» вычитает стоимость устранения уязвимостей из прибыли от сделки.

    Проблемы роста могут быть не только у крупного бизнеса. На PHDays традиционно проводятся мероприятия по поддержке и продвижению новых идей и решений в области информационной безопасности. Инвестиционный фонд Almaz Capital, который представляли управляющий партнер Александр Галицкий и генеральный партнер Джеффри Баер, организовал на PHDays открытый конкурс среди стартап-проектов в области кибербезопасности. Джеффри Баер рассказал о 18 участниках, которые повели борьбу за 1,5 млн рублей, и дал несколько советов создателям новых компаний.

    Фото @AlmazCapital

    Организаторы PHDays V провели дискуссию о создании международного сообщества «белых хакеров», собрав за одним столом организаторов ведущих хакерских конференций – канадской CanSecWest, корейских Vangelis и Power of Community, бразильской H2HC, японской CodeBlue, немецкой Chaos Communication Congress и российских ZeroNights и PHDays.

    Вечер первого дня завершился чтением лучших рассказов, которые были выбраны из 200 произведений, присланных на конкурс «Взломанное будущее». Итоговые места распределил один из основоположников жанра Брюс Стерлинг, а читали о кибернетических троянах, пожирателях и контроллерах в головах радиоголоса проекта «Модели для сборки».

    Призеры конкурса «Взломанное будущее»:

    I место – Павел Губарев, рассказ «Дядя Женя»,

    II место – Александр Матюхин, рассказ «Престиж»,

    III место – Дмитрий Богуцкий, рассказ «Бросающий кости»,

    IV место поделили Михаил Савеличев с рассказом «Шестьдесят смертей осевой Марии», Юлиана Лебединская с рассказом «Тень и Элиза» и Румит Кин (Николай Мурзин и Тимур Денисов) с рассказом «Оцепеневший человек».

    За подробностями второго дня Positive Hack Days V можно следить в прямом эфире и в твиттере по хэштегу #phdays

Возврат к списку