![](https://habrastorage.org/files/912/554/2c0/9125542c02a5492f9b2729d0ca217e59.jpg)
Отгремел Positive Hack Days VI. Теперь, когда его события уже стали страницей прошлого, самое время подвести итоги и наметить курс на следующий год. Лейтмотивом шестого PHDays стало противостояние: идея, которая с первых дней создания PHDays бродила в головах организаторов, наконец-то нашла свое воплощение в виде «PHDays VI СityF: Противостояние». Ключевой конкурс форума из узкоспециализированной хакерской игры превратился в двухдневную мегабитву.
Первая попытка сменить паруса и приблизить практические соревнования к реальной жизни была предпринята еще в прошлом году, на пятом PHDays. По сюжету каждая команда CTF представляла собой группировку, действующую в вымышленном государстве. Все события были завязаны на подпольной бирже труда, на которой участники получали заказы на взлом тех или иных объектов. В этом году создатели форума пошли дальше и разбавили хакерский междусобойчик командами защитников и экспертных центров безопасности (SOC). С легкой руки организаторов в игру были вовлечены реальные представители мира информационной безопасности — те, кто в жизни строят системы защиты, противодействует атакам, расследует инциденты.
![](https://habrastorage.org/files/11e/903/0d8/11e9030d8c72408ab9d8844c5a922c8d.jpg)
Консультант по безопасности Cisco Алексей Лукацкий отмечает, что прошедшее мероприятие — это своего рода «новое слово в организации мероприятий по реальной кибербезопасности». «CityF отличается от традиционных киберучений и CTF, живущих по определенным сценариям, тем, что в противостоянии участвовали обе стороны. По сути речь идет о принципе red team vs blue team, когда одна команда атакует компанию, а другая ее защищает. В случае с CityF в качестве такой компании был выбран построенный мини-город, а в качестве красных и синих команд — представители рынка ИБ, которые могли на деле, а не на словах продемонстрировать свои компетенции в обеспечении информационной безопасности», — поясняет он.
Москва не сразу строилась…
Все события разворачивались в некотором городе F, который функционально практически ничем не отличался от обычного миллионника. В нем работали банк, телеком-оператор, электроэнергетическая компания, офис крупного холдинга и «умный» дом. На территории города был развернут собственный интернет с новостными и развлекательными сайтами и соцсетями.
Создатель сотворил мир за шесть дней, однако на возведение города F времени ушло куда больше — целых полгода понадобилось «строителям». Благодаря совместным усилиям организаторов и партнеров в рекордные сроки удалось развернуть все макеты и стенды, которые по технической части были максимально приближены к жизни. Получилась на удивление сложная с точки зрения информационной безопасности инфраструктура.
![](https://habrastorage.org/files/5c4/c2b/bab/5c4c2bbabf6e498aa6f365315e4bd6f7.png)
В частности, были использованы новые решения: контроллер Cisco APIC (Cisco Application Policy Infrastructure Controller), коммутаторы Cisco Nexus 9000, файрвол Cisco ASA 5585, Check Point Next Generation Firewall.
«С компанией Positive Technologies нас связывают давние отношения — не только профессиональные, но и дружественные. Поэтому мы с радостью и уже не первый год помогаем в организации технической инфраструктуры PHDays. В этом году задача стала более масштабной, так как понадобилось гораздо большее количество сетевого оборудования и серверов, чем это было в прошлом. Но мы справились. Сказать, что мы преследовали какие-то особые или коммерческие цели, я не могу. Просто было желание помочь хорошим людям в организации хорошего дела», — уточняет Алексей Лукацкий.
Нужно отметить, что в подготовке конкурса приняли участие не только крупные компании — были среди участников и настоящие стартапы. Например, компания Loomoon предоставила банку города CityF свою систему ДБО. Бо?льшую часть макета «умного дома» подготовили компании Advantech и ПРОСОФТ.
Не менее серьезно подготовились и непосредственные герои противостояния. По условиям игры команды защитников заранее получили доступ к инфраструктуре для настройки средств защиты своих объектов, и здесь для них не было никаких ограничений. Ключевыми инструментами защитников стали проверенные ими на практике межсетевые экраны уровня приложений, средства защиты сетевого периметра, обнаружения и предотвращения атак, средства корреляционного анализа и даже SIEM. Вендоры также были представлены, что называется, в ассортименте: использовались HP ArcSight, IBM QRadar SIEM, Microsoft Operations Management Suite, Qualys, Bot-Trek TDS, система на базе Security Onion, Balabit Shell Control Box, Windows Server Update Services, различные IDS/IPS.
Впрочем, некоторые из команд защитников и SOC не смогли отказать себе в удовольствии испытать нестандартные решения в боевых условиях CityF. Например, команда False Positive использовала несколько собственных разработок по расследованию инцидентов, а команде You Shall Not Pass пригодились даже старенький телефон Motorola С118 и виртуальная машина Ubuntu для мониторинга GSM-сети.
Если защитники вооружились не на шутку, то атакующие, напротив, ринулись в бой практически с голыми руками, вооружившись ноутбуками и стандартным хакерским набором. В основном это были инструменты для проведения атак на веб-приложения Burp Suite, сканирования IP-сетей Nmap, захвата и анализа сетевого трафика Wireshark, восстановления паролей Cain & Abel, создания и отладки эксплойтов Metasploit.
Ломаем по живому
![](https://habrastorage.org/files/8df/191/c27/8df191c2723b41b589aa09d42e91ab2a.jpg)
Конечно, любое подобное мероприятие сопряжено с трудностями. К счастью, возникшие сложности удалось преодолеть, и, несмотря на все перипетии, большинство участников положительно оценивают опыт, полученный во время соревнования.
«Несмотря на некоторый сумбур в организации, связанный как с масштабом мероприятия, так и со сменой формата, мы зарядились драйвом на год вперед. В процессе CityF были некоторые накладки и непонимание правил и принципов определения счета, но награждение сняло все вопросы», — комментирует Иван Мелехин, технический директор компании «Информзащита», которая, между прочим, отправила в CityF целых две команды — izo:SOC и weIZart (защитников и SOC).
Однако некоторым все-таки не хватило огонька: некоторые хотели посоревноваться не только с хакерами, но и с коллегами по цеху. Конечно же, нашлись и те, кому ближе принципы старого доброго CTF.
«Впечатления от игры неоднозначные: интересная идея, подготовлены практические задачи, но недостаточно налажено игровое взаимодействие и система очков и штрафов (особенно для защитников)», — считает участник команды Rdot Омар Ганиев. Поддерживает его и участник filthy thr33 Кирилл Шилиманов: «Соревнование оставило смешанные чувства. Первый день для атакующих практически ушел впустую, поскольку к сервисам просто не было доступа. Когда они открылись и начались взломы, стало намного веселее. Отметим, что сервисы были подготовлены сложные, интересные, за что большое спасибо организаторам».
30-часовая битва
Противостояние длилось около тридцати часов, это был настоящий марафон по противодействию массированным атакам. В распоряжении участников было пять объектов, которые защищали пять команд защитников и три команды SOC. За два дня судьи зафиксировали от 3 до 20 тысяч событий безопасности на каждом объекте защиты и всего около 200 серьезных атак, большая часть из которых привела к значимым результатам.
В 99% случаев атаки были сконцентрированы на периметре защищаемых объектов. Как и в реальной жизни, наиболее распространенным вектором стали атаки на веб. Впрочем, это не было сюрпризом для защитников, они заранее предполагали такой ход событий и были готовы к обороне.
«Мы защищали офисную инфраструктуру, особое внимание уделяя защите веб-серверов. Как оказалось, не зря: хакеры использовали множество инструментов для пентеста, и если с эксплойтами для операционных систем IPS справлялась, то изощренные атаки на веб-серверы и атаки на логику работы приложений можно было обнаружить только в ручном режиме, анализируя логи WAF, веб-серверов и расширенные логи операционных систем», — рассказывает Дмитрий Березин, эксперт по информационной безопасности компании «КРОК», участник команды Green.
Вопреки ожиданиям защитников, еще один популярный на практике вектор — атаки с использованием социальной инженерии — не был активно задействован участниками противостояния. Лишь одна команда хакеров воспользовалась невнимательностью противника и сфотографировала логины и пароли от внутреннего форума команды защитников. Однако эти данные не привели ни к какому серьезному инциденту. «Мы очень ждали применения социальной инженерии, но атакующие практически не использовали такие технологии», — сокрушается руководитель Solar JSOC компании Solar Security Владимир Дрюков, участник команды False Positive.
Позже защитники признались, что готовились к худшему, поэтому были вооружены до зубов и подготовили ловушки. Ожидали абсолютно всего: эксплуатации уязвимостей в приложениях, веб-приложениях, ОС и сервисах, ошибок конфигурирования. На деле все оказалось иначе.
«Наша команда защищала все объекты — рабочие станции операторов, серверы, корпоративную почту, домен, ДБО, системы видеоконференцсвязи, электронного документооборота и обмена мгновенными сообщениями. Значительная часть подготовленных рубежей защиты не пригодилась: хакеры не проникли во внутреннюю сеть. Мы не увидели атак на сетевой протокол аутентификации Kerberos типа Golden Ticket и Pass-the-Hash, атак посредством троянов и бэкдоров. Также хакеры не залезли ни на один подготовленный honeypot. Никто из хакеров даже не попытался сломать уязвимый сервер proFTPD», — рассказывает руководитель направления AST Group Инна Сергиенко, участница команды «ACT».
Команда False Positive похвасталась, что на защищаемой им инфраструктуре атакующим удалось получить только один флаг: «Организаторы ввели около семи новых сервисов на периметре одновременно, и мы с защитниками немного опоздали с обеспечением профиля безопасности последней системы, настраивая другие шесть. Но недолго атакующие праздновали победу: уже через пару минут нам удалось восстановить состояние системы и ее безопасность».
Кстати, в рамках игры показала свою эффективность совместная работа команд защитников и SOC. По оценкам судей, все команды SOC собрали наиболее полную картинку происходящего на объектах, в то время как защитники вынуждены были оперативно реагировать на инциденты. Например, в ситуации, когда по условиям игры защитники промышленных систем выключили защиту, команда SOC, осуществляющая мониторинг промышленной системы, подробно изучила действия атакующих, начало атаки, ее реализацию. В реальной жизни это бы соответствовало возможности оперативных действий по пресечению атак даже без вмешательств инструментов защиты.
![](https://habrastorage.org/files/2d5/ea5/797/2d5ea5797c444a72ae68cfa21017f7ea.jpg)
«Команда «Информзащиты» защищала гидроэлектростанцию и подстанции 500 и 10 кВ. По сценарию игры вечером первого дня соревнования мы начали ослаблять защиту, к концу дня практически все СЗИ были выключены. Только SOC осуществлял мониторинг. За время пока объект был под защитой, ни одной успешной атаки на инфраструктуру проведено не было. Все остальные взломы и затопления происходили тогда, когда инфраструктура была не защищена», — комментирует события участник Иван Мелехин.
Итого хакерам успешно удалось:
- угнать учетные записи, в том числе несколько доменных;
- провести атаки на физическое оборудование АСУ (был проведен сброс воды, отключены линии, сожжены провода ЛЭП);
- проникнуть в технологическую сеть АСУ через уязвимости корпоративной сети;
- провести сетевые атаки на системы умного дома (отключить оборудование от сети);
- украсть деньги из банка (около 22 000 рублей) и получить данные банковских карт;
- украсть и в некоторых случаях удалить резервные копии системных файлов, дисков, архивов, принадлежащие офису CorpF;
- провести атаки на GSM/SS7 с последующей кражей денег путем подделки USSD-запросов;
- провести взаимные атаки как на сотрудников команды защиты, так и на команды нападающих (хакеры, используя методы социнженерии, украли пароль от форума защитников, а команда защитников Vulners взломала компьютеры хакеров);
- провести дефейсы множества веб-ресурсов, в их числе сайт офиса CorpF;
- обнаружить одного инсайдера — сотрудника офиса CorpF.
Итоги
Форум наглядно показал, что специалисты по информационной безопасности в силах обеспечить очень высокий уровень защиты без нарушения технологического процесса. Финальной цели — захватить домен города и выиграть соревнование — ни одной команде хакеров достигнуть не удалось. Такой исход оказался неожиданным и для организаторов: они прогнозировали победу хакеров. По итогам игры жюри не смогло назвать явных победителей, призовые места заняли команды хакеров, которые оказались лучшими по ходу игры. Команды защитников и SOC были награждены в различных номинациях.
![](https://habrastorage.org/files/06d/b9e/b56/06db9eb56ecb4649b0f9961a4e075ca8.jpg)
Однозначно можно сказать, что PHDays VI удался, с этим согласна и директор форума PHDays Виктория Алексеева:
![](https://habrastorage.org/files/e54/2e5/ef3/e542e5ef320d4ca6baf17d643aa93b7a.jpg)
Пока трудно прогнозировать, под каким лозунгом пройдут форум и конкурсы в следующем году, но организаторы намерены развить концепцию противостояния. Говорят, что нас ожидает развитие игрового сюжета: будет больше экшена, социнженерии и событий, связанных, например, с увольнением сотрудника, больше изменений в бизнес-процессах, появятся дневные и ночные сценарии. И, конечно, в будущем CityF обещает стать еще более «населенным».
![](https://habrastorage.org/files/913/69e/81f/91369e81fa2b428789da90c8c0eeb416.jpg)
Уже сейчас многие партнеры и команды высказали готовность принять участие в следующих соревнованиях. Например, Алексей Лукацкий предлагает не сбрасывать со счетов Cisco в планах на PHDays VII: «Думаю, что у такого формата блистательные перспективы и CityF задал очень высокую планку для CTF, которые будут организовываться в будущем. И если геополитическая ситуация в мире не ухудшится, то компания Cisco вновь станет технологическим партнером PHDays. Безусловно, стоит рассматривать нас и в качестве спикеров будущего мероприятия и, возможно, даже в качестве защитников какого-либо сегмента CityF. Но эту идею нам еще надо обмозговать внутри компании».
Каким будет PHDays VII, — покажет время. Однако уже сейчас мы уверенно можем сказать, что седьмому форуму быть!
![](https://habrastorage.org/files/1e7/642/818/1e7642818e184a60a10f2aa311392864.jpg)
Поделиться с друзьями