В Москве стартовал международный форум по практической безопасности Positive Hack Days VI. В течение двух дней на полигоне в ЦМТ можно увидеть, как затапливают город около ГЭС, угоняют автомобиль, отключают вентиляцию и лифты в «умном» доме, взламывают сотовую связь, выводят деньги из интернет-банкинга.
Исследования
На форуме представили глобальный отчет аналитического центра PositiveTechnologies. Защищенность IT-инфраструктур крупных компаний в 2015 году оказалась вновь не на высоте. К примеру, для получения доступа к ресурсам внутренней сети в каждом втором случае (46%) злоумышленнику достаточно низкой квалификации. В половине систем используются словарные пароли учетных записей, 47% содержали уязвимости на уровне веб-приложений. У 100% систем были уязвимы служебные протоколы. В 91% недостаточно эффективно работала антивирусная защита. В 82% использовалось устаревшее ПО.
Приложения для онлайн-платежей — излюбленная мишень киберпреступников. В 90% систем ДБО были найдены критически опасные уязвимости. В половине случаев механизмы двухфакторной аутентификации отсутствовали или были реализованы некорректно. 43% мобильных банковских приложений хранили данные в памяти устройств в незашифрованном виде, а треть (29%) использовала незащищенные протоколы для беспроводной передачи трафика. Мобильные кошельки на iOS оказались существенно безопаснее Android-аналогов — серьезные уязвимости содержали 33% и 75% приложений соответственно.
По телефону рискованно не только оплачивать покупки, но и разговаривать и переписываться. Телеком-операторы не обеспечивают достаточную конфиденциальность абонентов и дают широкие возможности для мошенничества. В числе угроз — подделка мобильных переводов через USSD, кража денег через SMS-банкинг, получение доступа к электронным кошелькам и атаки на инфраструктуру. В 2015 году эксперты PositiveTechnologies провели 16 проектов по анализу защищенности сетей SS7. В 89% случаев можно было перехватить входящее SMS-сообщение, в 58% случаев определить местоположение абонента, а в 50% — прослушать звонок. Традиционно тяжелая ситуация и в сфере АСУ ТП: в 2015 году Positive Technologies обнаружила более 100 уязвимостей в промышленных системах управления. Эксплуатация половины этих ошибок может привести к отказу в работе какого-либо оборудования.
«Оценивая итоги 2015 года, нужно с сожалением констатировать ухудшение общего уровня защищенности информационно-телекоммуникационных систем практически во всех областях. Угрозы кибербезопасности, возникающие вместе с новыми технологиями, теперь знакомы каждому. Как снизить уровень риска при применении той или иной технологии? Чтобы ответить на этот вопрос, необходимо хорошо понимать ее суть. Именно поэтому мы выделяем огромное количество времени и ресурсов на исследовательскую деятельность. Основные результаты мы публикуем в Positive Research», — отмечает Максим Филиппов, директор по развитию бизнеса Positive Technologies в России.
Опасные игры
Успешная кибератака на городскую инфраструктуру грозит хаосом. Всего за месяц на площадке PHDays был построен целый город, который отдали на растерзание хакерам. Он имеет свою энергетическую сеть с ГЭС, многоквартирные умные дома, сотовую связь, офисную сеть и банк. Все как в реальной жизни. Лучшие в мире команды хакеров и интернет-пользователи атакуют эти объекты, а защитить город пытаются команды специалистов российских IT-компаний. Результаты станут известны вечером 18 мая.
PHDays всегда славился своей конкурсной программой. В 2016 году гости форума познакомятся с несколькими новыми испытаниями. Безопасна ли умная квартира-офис для ее обитателей? Участники попытаются отключить систему освещения, счетчики воды, лифт и вентиляцию интеллектуального дома на соревновании BMS & Smart House Attack. Если квартиры покажется мало, можно нарушить систему электроснабжения небольшого региона в конкурсе Critical Infrastructure Attack: Blackout. Интеллигентные люди с ноутбуками попытаются организовать небольшой армагеддон — взломать центральную диспетчерскую, отключить передачу электроэнергии на ГЭС и затопить небольшой город рядом со станцией.
Любой желающий может проверить свои навыки и во взломе современного легкового автомобиля — отключить сигнализацию, открыть двери без ключа, завести двигатель в конкурсе CAN4ALL. Кто угодно может прочитать чужие SMS-сообщения в соревновании MiTM-Mobile, если сумеет взломать небольшую сотовую сеть.
Перехватить на PHDays можно не только SMS, но и материальные летающие объекты. Через несколько лет по небу будет носиться огромное число беспилотников — дроны-курьеры, полицейские и спасательные дроны. Если не обеспечить защиту таких аппаратов от угона, это чревато огромными финансовыми потерями. В конкурсе Drone Quest любой желающий может попробовать перехватить управление квадрокоптером — и стать его обладателем. Участникам конкурса «Большой куш» предстоит найти и использовать уязвимости банковских систем, а те, кто интересуется безопасностью АСУ ТП, на стенде EAST 4 SCADA могут пустить под откос полюбившийся с предыдущих PHDays поезд.
Как вычислить киберпреступника № 1 в списке ФБР
Докладчик PHDays Джон Бамбенек может немало рассказать о поиске разработчиков вирусов-вымогателей. Он участвовал в операции Tovar и помог определить организатора одной из самых опасных хакерских группировок в истории — Евгения Богачева, причастного к созданию CryptoLocker и ботнета GameOver Zeus. В 2016 году Богачев возглавил топ-10 самых разыскиваемых киберпреступников ФБР: ведомство обещает заплатить за него 3 млн долларов.
В Москву приедет также Пол Викси — основатель Internet Systems Consortium. Исследования Викси сделали глобальную сеть значительно безопаснее. За новаторские достижения в 2014 году он был включен в Зал славы интернета (а в этом списке всего лишь несколько десятков фамилий). Впервые на PHDays выступит и признанный эксперт по подавлению, предотвращению и ликвидации последствий DDoS-атак Терренс Гаро (Terrence Gareau). Он расскажет, как создать honeypot (ловушку) и организовать сервис с обновляемыми данными о попавшихся DDoS-ботах с помощью Kibana, Elasticsearch, Logstash и AMQP.
Всего на форуме ожидается более 100 докладов и мастер-классов. Выступающие покажут, как бороться с читингом в онлайн-играх, взламывать Google Nexus, атаковать медицинскую инфраструктуру. А начнется программа выступлений с пленарного заседания «Те, от кого зависит безопасность: очная ставка», в котором примут участие Наталья Касперская (InfoWatch), Борис Симис (PositiveTechnologies), Дмитрий Гусев (InfoTeCS), Олег Босенко («Роснефть»), Евгений Крайнов (Росфинмониторинг), Кирилл Алифанов («Э.ОН Россия»), Сергей Рыжиков («Битрикс»), Илья Федорушкин (Tizen), представители государственных ведомств.
