Сегодня, в пятницу, 13-го, в 22 часа по московскому времени, состоится запуск новой лаборатории «Test lab», представляющей собой виртуальный банк, с присущей ему инфраструктурой и уязвимостями. Участникам предлагается произвести компрометацию всей ИТ-структуры банка.
«Test lab» — пентест-лаборатории, построенные на базе сетей реальных компаний
В отличие от CTF-соревнований, лаборатории тестирования на проникновение «Test lab» имитируют ИТ структуру настоящих компаний и имеют полноценную легенду. Созданные для легальной проверки и закрепления навыков пентеста, лаборатории всегда уникальны и содержат самые актуальные уязвимости, а участие в лабораториях бесплатно и требует хорошей практической подготовки.
Разрабатывая лаборатории «Test lab» мы стараемся охватить практически все области ИБ: безопасность сетей, систем и приложений. Участникам предлагается выполнить эксплуатацию различных уязвимостей, связанных с работой сетевых и веб-компонентов, криптографических механизмов, ошибками конфигурации и кода, а также с человеческим фактором. Подключение к лаборатории осуществляется через VPN-соединение.
Участники, выступающие в роли пентестеров, пытаются эксплуатировать уязвимости, и, в случае удачи, получают доступ к серверам и рабочим станциям, каждые из которых содержат токен. Победителем считается участник, первым собравший все токены. Работа в лаборатории осуществляется на основе методики «серый ящик»: перед началом исследования предоставляется информация об инфраструктуре «Test lab» в виде схемы и описания деятельности виртуальной компании. Собирая специалистов со всего мира, мы разрабатываем лаборатории «Test lab» для различных мероприятий, таких как всероссийский конкурс ПрофИТ-2013, ZeroNights'13, PHD IV.
Лаборатория тестирования на проникновение «Test lab v.8»
Предыдущая лаборатория (Test lab v.7) представляла собой виртуальную компанию, специализирующуюся на разработке систем ИБ.
Сегодня будет запущена очередная, восьмая по счету лаборатория PENTESTIT, разработка которой велась практически полгода. «Test lab v.8» будет представлять собой виртуальный банк c присущей ему инфраструктурой и уязвимостями. Кроме этого, отличительной особенностью текущей лаборатории будет являться активно используемая система противодействия атакам, поэтому участникам необходимо будет быть максимально «незаметными». Это прибавит атмосферности!
Почему именно банк?
В качестве легенды лаборатории выступает сеть банковской организации и этот выбор не случаен. В последнее время киберпреступники переключили внимание с клиентов банка на компрометацию самих банковских систем: преступным группировкам выгоднее и проще красть деньги напрямую со счета банка, нежели пытаться атаковать отдельных клиентов. Также атаки на банковские системы напрямую могут позволить злоумышленникам проводить мошеннические транзакции и реализовывать преступные схемы по легализации преступных доходов.
Согласно данным заместителя начальника главного управления безопасности и защиты информации ЦБ РФ Артема Сычева в 2014 году зафиксировало 11 тысяч обращений от банков и их клиентов, пострадавших в результате действий мошенников.
«Если, действительно, раньше вектор атак (киберпреступников) был направлен на клиента, и банки, обеспечивая безопасность своего периметра, могли быть уверены, что у них все хорошо, то сейчас вектор атак резко поменялся».
«Сумма покушений на хищение денежных средств банков (при этих инцидентах) составила 6 миллиардов рублей»
Действительно, такие атаки довольно актуальны: пробив сетевой периметр злоумышленник может захватить контроль над одной из внутренних систем банка и получить доступ в локальную сеть. Далее используя техники продвижения внутри локальной сети и повышения привилегий, злоумышленник может получить доступ к критичным данным, вывести атакуемую систему из строя.
Как видно из новостных лент, такие атаки довольно часто достигают своей цели:
- Осенью прошлого года произошло событие, оставшееся незамеченным широкой общественностью, но полностью переворачивающее реальность в мире информационной безопасности финансовых организаций. Группой киберпреступников была тщательно подготовлена и успешно проведена полномасштабная атака на российский банк и сняты все деньги с его кор.счета.
- По словам хакера, взлом произошел в конце января по весьма банальной причине — из-за наличия уязвимости, которая не была запатчена вовремя. Код JavaScript, который Razor4 внедрил на странице банка, перенаправлял транзакции клиентов в систему хакера. Затем злоумышленник заменял счета назначения своими счетами и таким образом получал денежные переводы. Зарегистрировав домен с именем, отличающимся от названия банка одной буквой, он привязал его к контролируемым серверам.
- Как предполагается, израильтяне Гери Шалон и Зив Оренштейн, а также американец Джошуа Самюэль Аарон совершили несколько атак на системы одного из крупнейших банков США — JPMorgan Chase. В результате они получили доступ к данным около 80 миллионов пользователей. news.am/rus/news/295627.html
Лаборатории «Test lab» позволяют специалистам в области информационной безопасности проверить навыки тестирования на проникновение информационных систем и подготовиться к отражению кибер-угроз на свои системы. Концепция заложенных актуальных уязвимостей способствует осознанию слабых мест и улучшению защитных средств, а также адекватной оценке собственных навыков пентеста легально, не нарушая законодательство, в среде, максимально приближенной к реальным банковским системам.
Приглашаем принять участие в лаборатории «Test lab v.8», которая будет запущена сегодня в 22 часа по московскому времени. Присоединяйтесь!
Техническая информация:
IP-адреса лаборатории: 192.168.101.6, 192.168.101.7
Обсуждение: форум, Telegram-чат и Telegram-канал
Регистрация: lab.pentestit.ru
Подключение к лаборатории осуществляется через OpenVPN, не более одного запущенного инстанса. В случае использования Windows-клиента необходимо использовать OpenVPN для «Windows XP».
До встречи в новой лаборатории и пусть победит сильнейший!