Форум PHDays всегда славился своей конкурсной программой. Чего только не взламывали за шесть лет: электрическую подстанцию, мобильную связь, систему ДБО. Хакеры сбивали с цели ракетные установки, похищали деньги из банкомата, пускали под откос поезда.
Бо?льшая часть соревнований будет основана на инфраструктуре города СityF и объединена в главное состязание этого года «PHDays VI СityF: Противостояние». Конкурсы форума как всегда имеют практическое значение. Участники будут взламывать АСУ ТП, Интернет вещей, интернет-банки, GSM и сетевое оборудование. Подробности можно узнать на странице форума, а сегодня мы расскажем о двух новых испытаниях в рамках взлома автоматических систем управления — BMS & Smart House Attack и Critical Infrastructure Attack: Blackout.
На полигоне PHDays VI СityF среди прочих объектов развернется стенд электроэнергетической компании (распределительная и магистральная подстанции, гидроэлектростанция, центральный и региональный диспетчерские пункты) и «умный» дом. Участники смогут изучить безопасность реальных систем. Объекты можно будет взломать как простому посетителю форума, так и участникам команд CityF.
Critical Infrastructure Attack: Blackout
Задача хакеров — атаковать модель системы электроснабжения небольшого региона. Модель приближена к реальности как технически, так и в функционально. Она разделена на отдельные части: генерация, передача, распределение и управление электроснабжением. Участникам предлагается нарушить нормальную работу общей системы электроэнергетики.
В части распределения хакеры смогут воздействовать на подстанцию города классом напряжения 10 кВ, которая распределяет электроэнергию на объекты инфраструктуры города (жилые дома, промышленные предприятия). Для дополнительной детализации будет подключена модель дома со множеством систем жизнеобеспечения.
Атаковав часть передачи, можно будет захватить магистральную подстанцию (500 кВ), которая в случае нарушения ее работы позволит атакующим командам устроить не только локальный blackout, но и нарушить нормальную работу общей системы электроэнергетики или «отключить» город.
В части генерации команды смогут воздействовать на гидроэлектростанцию. Это позволит либо отключить передачу электроэнергии от станции, либо повлиять на работу автоматики гидроагрегатов и системы управления станции, например включить аварийный водосброс и затопить город рядом со станцией.
Также атакующие команды могут получить доступ к мониторингу всех систем, так и к управлению энергорайоном, получив доступ к региональному пункту диспетчеризации и управления энергосистемой и к центральной диспетчерской.
Победителю конкурса достанется планшет Apple. Обладателю второго места — Raspberry Pi 2 Ki.
BMS & Smart House Attack
В распоряжении хакеров будут предоставлены системы жизнеобеспечения, начиная от центральных систем распределения электричества, заканчивая розеткой в доме.
Стенд представляет собой гибрид систем автоматизации зданий и «умного дома», среди них система освещения, счетчики воды, лифт, вентиляция и автоматика квартиры-офиса. Задача хакеров — получить контроль над отдельными системами или отключить их при условии, что некоторые из них будут дополнительно защищены. Задача осложняется тем, что энергообеспечение дома напрямую зависит от работы распределительной подстанции города, которую тоже нужно взломать.
Победители соревнования получат подарки от наших партнеров Advantech и «ПроСофт», которые предоставили бо?льшую часть макета и систем автоматики.
nikizan
>> Модель приближена к реальности как технически, так и в функционально.
По большому счету, мне кажется, такие мероприятия имеют криминальную составляющую. Подобные изыскания должны проводиться закрыто, без афиширования как самого процесса, так и полученных результатов. Призывать публику к хакерской деятельности?! Предоставлять возможность доступа/анализа/взлома реальных прототипов стратегических объектов?! При всем уважении, я бы минимум оштрафовал, а по хорошему отправил бы организатора подумать хорошенько в места не столь отдаленные на годик за подобную деятельность с деструктивной составляющей. Надо трижды подумать перед тем как сделать выбор прототипа объекта взлома. Одно дело — безобидная кофеварка или чайник с Wi-Fi. И другое дело энергосистемы, правительственные EDI и прочие подобные, критичные для существования любого государства, системы. Сегодня школьникам интересно прототип попробовать взломать, а завтра будут тестировать полученные «знания» на реальных системах. Это подстрекательство, это плохо.
ptsecurity
Такой комментарий у нас появляется из года в год.И ответ всегда одинаковый. Мы проводим конференцию для специалистов по безопасности. И наших в конкурсах участвуют не какие-то «школьники», а известные специалисты по безопасности, работающие в известных компаниях и государственных организациях. Представители правоохранительных органов также являются постоянными участниками и докладчиками наших конференций. Никто просто так «с улицы» у нас ничего не ломает.
Кроме того, все участники конкурсов подписывают политику ответственного разглашения, согласно которой информация о найденных уязвимостях в первую очередь отправляется производителям ПО. И разглашается только после того, как производитель исправил уязвимости. В результате мы регулярно получаем благодарности вендоров, которым мы помогли устранить уязвимости:
https://habrahabr.ru/company/pt/blog/255929/
Что же касается школьников, они гораздо легче получают хакерские знания через Интернет, где всё это доступно безо всяких регистраций и политик неразглашения. Точно так же через Интернет доступны реальные (а не игровые) интерфейсы многих систем управления. Едва ли наша конференция поможет школьникам в доступе к этим возможностям — и так уже всё открыто. А вот потренировать и обучить защитников мы действительно можем.