26-27 мая в Москве в Центре международной торговли прошёл международный форум Positive Hack Days. В пятый раз компании Positive Technologies удалось организовать единую дискуссионную площадку для обсуждения вопросов практической безопасности и конструктивного диалога между всеми представителями отрасли информационной безопасности.
В мероприятии приняли участие более 3500 человек, в числе которых ведущие специалисты по киберзащите и элита хакерского мира, представители государственных структур и руководители крупного бизнеса, молодые ученые и журналисты. В рамках форума было представлено более ста докладов, секций, конкурсов и различных активностей. Параллельно с деловой частью на PHDays прошла масштабная конкурсная программа и главные хакерские соревнования года ― PHDays CTF, в ходе которых участники мероприятия продемонстрировали различные техники взлома банкоматов, онлайн-банкинга, сетей операторов сотовой связи, систем управления энергетикой, транспортом и промышленными предприятиями.
На PHDays мировые эксперты по кибербезопасности поделились прогнозами развития киберугроз и обсудили методы борьбы с ними, рассмотрели вопросы информационной безопасности в разрезе государственной безопасности, бизнеса и технологий.
Тренды
Ущерб от кибератак часто измеряется миллиардами долларов, при этом реальная себестоимость взлома, как правило, невелика. По данным исследовательского центра Positive Technologies, любой желающий, потратив на оборудование меньше $10 тыс., может удаленно получить доступ к чужой SIM-карте ― а значит, и к трафику абонента, SMS, звонкам и данным о местоположении. Для таких атак уязвимы 20% «симок»! Кроме того, конфиденциальную информацию абонента можно получить, атакуя оборудование оператора. Цена вопроса при подготовке атаки на соту GSM-сети ― порядка $1 тыс., а для взлома базовой станции оператора требуется только ПК и доступ к сети SS7.
Банковская отрасль не отстает от телекоммуникаций. В одном банкомате может оказаться более 10 млн. рублей, а затраты на интеллектуальный взлом ATM могут сводиться к покупке одноплатного компьютера Raspberry Pi за $60. В прошлом году Россия заняла второе место в мире (после Пакистана) по числу банкоматов, которые можно обнаружить с помощью специальных поисковых систем и дистанционно перепрограммировать, используя небезопасные протоколы и многочисленные уязвимости в Windows XP. С электронными деньгами ситуация не лучше: 70% мобильных приложений для Android и 50% для iOS в 2014 году содержали уязвимости, достаточные для получения доступа к счету.
Опасность для пользователя могут представлять и безобидные на первый взгляд устройства, например, беспроводные USB-модемы для выхода в Интернет. Если производители мобильных ОС достаточно оперативно устраняют уязвимости, то разработчики прошивок для модемов еще недавно уделяли безопасности минимум внимания: 27 из 30 прошивок, исследованных экспертами Positive Technologies, содержали критически опасные уязвимости. В своем докладе «Буткит через СМС: оценка безопасности сети 4G» Тимур Юнусов продемонстрировал, насколько легко злоумышленник может автоматизировать идентификацию и заражение 4G-модемов для перехвата трафика, манипуляций с SMS, управления деньгами на счету и проникновения в компьютер, к которому подключен модем.
Государство
Меры, необходимые для более эффективной защиты национальных интересов России в международном киберпространстве обсуждались в рамках самой знаковой секции форума «Нас reboot, а мы крепчаем. Каково быть Россией в недружественном кибермире?».
В дискуссии приняли участие Дмитрий Финогенов (8-е управление ФСБ), Александр Радовицкий (МИД), Александр Баранов (ФНС), депутаты Госдумы Вадим Деньгин, Андрей Туманов и Илья Костунов. Со стороны экспертного сообщества выступали Алексей Андреев (Positive Technologies) и Алексей Лукацкий (Cisco).
Александр Радовицкий (МИД) отметил, что в мире действуют две группы: одна пытается легализовать кибервойны и соответствующим образом развивает законодательство, вторая старается ограничить применение силы в киберпространстве. В свою очередь, МИД разрабатывает правила поведения в области международной информационной безопасности.
Дмитрий Финогенов (ФСБ) сообщил о том, что в будущем году планируется к выходу закон, который будет консолидировать действия безопасников и белых хакеров в области обеспечения ИБ критически важных инфраструктур. Закон окончательно введет в действие систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на ИТ-ресурсы (ГосСОПКА).
«Закон будет адресован всем. Прежде всего владельцам критических информационных инфраструктур, также госорганам, которые задействованы в обеспечении их безопасности, в нем будут очень четко распределены обязанности и права всех участников».
Александр Баранов (ФНС) поделился своими опасениями, связанными с ростом глобальных информационных систем. По его словам, при росте количества пользователей ИС до 40 млн. человек априорная система обеспечения безопасности останется в прошлом.
«В самой ближайшей перспективе априорная защита умрёт и останется защита апостериорная, то есть защита «после». Для этого нужна совсем другая система законодательства, совсем другая система преследования злоумышленников, для этого нужна модернизированная правоохранительная структура, в том числе в МВД и в ФСБ».
Вадим Деньгин (Госдума, инициатор 242-ФЗ) призвал российских пользователей Интернета, которых уже свыше 70 млн, отвечать за свои слова (в том числе и в суде), и отметил, что безопасность граждан, в частности защита персональных данных, является для государства приоритетной задачей, поэтому закон № 242-ФЗ о переносе ЦОДов на территорию России отложен не будет и «иностранный бизнес в целом с законом согласен».
Илья Костунов (Госдума) недавно обнаружил, что во всех государственных органах власти установлен Google Analytics, в связи с чем отправил запросы в прокуратуру и Минэкономразвития. Докладчик также отметил, что возможность запустить свою платежную систему у России была еще в 2000 году, причем сразу с «чипованными» картами.
Андрей Туманов (Госдума) призвал представителей профессионального сообщества участвовать в законотворчестве.
«Когда на какой-либо круглый стол собирается 100 человек, из которых 90 впервые услышало о проблеме, получается немножко смешно. Поэтому критикуйте нас, но критикуя, не забывайте предлагать свои решения».
На второй день работы форума тему информационной безопасности в государственном секторе продолжил начальник 2 управления ФСТЭК России Виталий Лютиков. Он провёл закрытую секцию «Роль экспертного сообщества в формировании банка данных угроз информационной безопасности», где рассказал собравшимся о целях и перспективах развития ресурса, созданного ФСТЭК в этом году.
«20 предложений у нас поступило по улучшению функционирования этого ресурса, 13 из них мы учли, по остальным 7 ведём работу. Они оказались финансово затратные, нужно привлекать к ним больше сил и средств, поэтому на начальном этапе это работает как информационная система, целью которой является информационная поддержка специалистов, интеграторов, заказчиков, операторов для проведения работ по выявлению и анализу уязвимостей».
Бизнес
При защите данных в крупных компаниях с разветвленной инфраструктурой часто говорят «цепь крепка настолько, насколько крепко ее слабое звено». Наталья Куканова ― аналитик компании «Яндекс» ― в докладе «Кот в мешке: безопасность при слияниях и поглощениях» отметила, что при поглощениях сторонних проектов «Яндекс» вычитает стоимость устранения уязвимостей из прибыли от сделки.
Проблемы роста могут быть не только у крупного бизнеса. На PHDays традиционно проводятся мероприятия по поддержке и продвижению новых идей и решений в области информационной безопасности. Фонд венчурного капитала Almaz Capital Partners (известный по инвестициям в компании «Яндекс» и Parallels), который представляли управляющий партнер Александр Галицкий и генеральный партнер Джеффри Баер, организовал на PHDays открытый конкурс среди стартап-проектов в области кибербезопасности. За призовой фонд, составляющий 1,5 млн рублей, вели борьбу 18 ИБ-стартапов. Джеффри Баер рассказал о них и дал несколько советов создателям новых компаний.
Какие специальности и технологии будут востребованы в отрасли ИБ через пять лет? А через пятнадцать? Этот вопрос обсуждался на секции «ИБ — профессии будущего». По итогам встречи было проведено экспертное голосование, которое принесло весьма неожиданный результат — главной ИБ-профессией в будущем будут… лингвисты. Впрочем, такая точка зрения вполне согласуется с «Атласом новых профессий», опубликованном агентством стратегических инициатив Сколково. В этом списке специальность «цифровой лингвист» названа в числе наиболее перспективных. Такие специалисты будут разрабатывать лингвистические системы семантического перевода и обработки текстовой информации, а также новые интерфейсы общения между человеком и компьютером на естественных языках.
Технологии
26 мая организаторы PHDays V провели дискуссию о создании международного сообщества «белых хакеров», собрав за одним столом организаторов ведущих хакерских конференций: канадской CanSecWest, корейских Vangelis и Power of Community, бразильской H2HC, японской CodeBlue, немецкой Chaos Communication Congress и российских ZeroNights и PHDays.
В этот же день прошёл телемост, в ходе которого советник Almaz Capital Partners ― Уитфилд Диффи, стоявший у истоков понятия «электронная цифровая подпись» и принципов ассиметричного шифрования поделился своими прогнозами в области развития шифрования. «Мы могли бы сейчас строить настоящие цифровые крепости и поднять методы защиты информации на новую высоту, если бы на оборону тратили столько же денег, сколько на нападение, — подчеркнул Уитфилд Диффи с огромных плазменных экранов PHDays. — Сегодня большие надежды связывают с квантовой криптографией, более точный термин для которой — квантовое распределение ключей. Уверен, эта технология позволит избежать большинства проблем при транспортировке, но я пока не знаю, как реализовать это технически, возможно, через радио- или вибро-коммуникации. Еще одна технология, о которой ходит много разговоров, — гомоморфное шифрование, но я скептично отношусь к такому виду шифрования — у человека просто может не оказаться достаточно производительного компьютера для расшифровки сообщения».
Защита от утечек постепенно эволюционирует в противодействие внутренним угрозам и бизнес-рискам. По данным аналитического центра InfoWatch, более 80% ИБ-инцидентов в компаниях организовано их собственными сотрудниками. В докладе Натальи Касперской были рассмотрены основные риски внутренних угроз информационной безопасности и перспективные методы противодействия им.
Основатель первой в мире тематической интернет-площадки social-engineer.org ― Крис Хаднаги в докладе «Социальная инженерия в шутку и всерьез» поделился опытом защиты бизнеса от атак хакеров, использующих психологические методы. На вопрос, не превратятся ли люди в бездушных роботов, после того как изучат все виды психологического воздействия, докладчик ответил, что меняются только технологии, а люди всегда останутся людьми. В подтверждение своих слов Крис Хаднаги привёл пример из практики: для защиты от злоумышленников на корпоративном сайте одной компании каждое утро стали размещать изображение с цветом дня. В случае вишинговых атак, когда злоумышленник выдает себя за сотрудника IT- или HR-отдела с целью выяснить конфиденциальную информацию, работнику достаточно было вежливо поинтересоваться сегодняшним цветом дня. Такая защита служила определенным пропуском для получения информации, представляющей ценность для компании.
Далеко не все могут сравниться в умении захватывающе преподносить материал с пятикратным участником PHDays Андреем Масаловичем (президент консорциума «Инфорус»). Достаточно сказать, что выступающему и организаторам пришлось продлевать время доклада «Никаких оттенков серого» ― настолько интересной оказалась тема конкурентной разведки. Рассказав один из 700 сравнительно честных способов получения доступа к логинам, паролям и базам сайта, докладчик перешел к главной теме ― необходимости выработать привычку сомневаться в достоверности мультимедийной, графической и текстовой информации.
Интерес у слушателей также вызвали следующие выступления:
- «Противодействие платёжному фроду на сети оператора связи». Докладчики ― Денис Горчаков — ИБ-эксперт Альфа-банка и Николай Гончаров — главный специалист отдела обеспечения информационной безопасности МТС.
- «Этот чёртов уязвимый химический процесс». Докладчик ― Марина Кротофил — старший консультант по безопасности в European Network for Cyber Security.
- «Почему же с инфобезом все так плохо. Докладчик» ― Штефан Шумахер — глава Магдебургского научно-исследовательского института по ИБ, специалист по психологии безопасности.
Зрелища, конкурсы, субкультура
В этом году конкурсная программа PHDays проходила на территории придуманного государства ― United States of Soviet Unions (USSU). В игровой форме команды продемонстрировали, каким киберугрозам могут быть подвержены биржа, электростанция, железная дорога, оператор сотовой связи, новостное агентство,― иными словами, вся инфраструктура современного государства.
Игра света, многочисленные инсталляции, картины на грани сна и реальности знаменитого питерского художника Алексея Андреева, чтение киберпанковских рассказов-победителей конкурса «Взломанное будущее», ― всё это поддерживало общую сюрреалистичную атмосферу мероприятия, которая захватив однажды, заставляет возвращаться на PHDays вновь и вновь.
Запись всех выступлений PHDays можно посмотреть по ссылке: http://www.phdays.ru/broadcast/