Киберпанковский сценарий и реальные уязвимости стали отличительными чертами центрального хакерского события форума – соревнования CTF (Capture the Flag). По сюжету команды должны были отправиться в будущее, чтобы спасти земную цивилизацию от катастрофы. В охоте за флагами приняли участие 12 коллективов из России, Германии, Индии, Нидерландов, США, Туниса, Франции, Швейцарии и Японии. Двое суток подряд хакеры искали уязвимости в системах противников, чтобы получить доступ к секретной информации, а также защищали свои сети, устраняя в них уязвимости. В итоге победу в PHDays CTF 2012 одержала российская команда Leet More из Санкт-Петербурга, получившая приз в 150 тыс. рублей, второе место досталось команде 0daysober из Швейцарии (100 тыс. рублей), а третье – испанской команде Int3pids (50 тыс. рублей). Победители PHDays CTF прошлого года – американские хакеры из команды PPP заняли в этот раз четвертое место. На следующий день организаторы форума в игровой форме решили смоделировать ситуацию, в которой управление беспилотником будет захвачено врагом. Согласно легенде второго дня PHDays CTF, командам нужно было добыть транспорт – летательный аппарат. Специально для этого задания организаторы подготовили пару AR.Drone – устройств, которые управляются с телефона через небезопасные беспроводные соединения. Участники команд CTF должны были за полчаса перехватить управление аппаратом. Быстрее всех завладел пилотированием квадрокоптера российский эксперт по информационной безопасности Сергей Азовсков из Екатеринбурга.
«PHDays еще в прошлом году задал очень высокую планку в смысле организации мероприятия по информационной безопасности. В этом году форум превзошел прошлогодний успех, показав, что мероприятие в нашей области может быть не скучным, а интересным, динамичным и позитивным. Видно, что PHDays был сделан с любовью и от души, а это залог успеха! Мы давно сотрудничаем с Positive Technologies и уже во второй раз поддерживаем PHDays. Я уверен, эта традиция будет продолжена», – отметил менеджер по развитию бизнеса Cisco Systems Алексей Лукацкий. «Судя по отзывам, Positive Hack Days стал тем, чем мы старались его сделать, – местом, где обмениваются знаниями совершенно разные люди: от писателя-фантаста до министерского чиновника. Местом, где люди с диаметрально противоположными взглядами могут услышать друг друга, а также получить самую свежую информацию о безопасности информационных систем. Местом, где создается будущее», – отметил в свою очередь технический директор Positive Technologies Сергей Гордейчик.
Председатель Международного многостороннего партнерства
против киберугроз (IMPACT) Датук Мохд Нур Амин
В современном информационном пространстве обнаружить совершенно новую уязвимость в популярном и отлаженном продукте равнозначно серьезному изобретению. Поэтому конкурсы по взлому различных операционных систем и приложений занимали особенное место в программе форума. Как и в CTF, наибольший урожай призов собрали российские специалисты: Никита Тараканов продемонстрировал опасную уязвимость нулевого дня в операционной системе Windows XP, получив за победу денежный приз в размере 50 тыс. рублей. Павел Шувалов, известный свой утилитой Vulndisco Mobile 1.7, предназначенной для джейлбрейка устройств на базе iOS, взломал iPhone 4S, используя уязвимость в популярном приложении Office Plus. В итоге Павел стал обладателем взломанного iPhone 4S и денежного приза в размере 75 тыс. рублей.
«Я был приятно удивлен. В России не хватает подобных мероприятий. Отмечу уникальную дружескую атмосферу, которую удалось создать организаторам. Форум оправдывает свое название: по контенту, по составу участников, по качеству докладов он гораздо сильнее, чем в прошлом году. PHDays вышел на новый уровень, сумев сохранить важные особенности: неповторимый эмоциональный уровень и возможность неформального общения с множеством интересных людей», – отметил главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.
Практическую направленность PHDays 2012 по достоинству оценили гости и участники форума. Около пятидесяти докладов, мастер-классы и круглые столы прошли под девизом «Минимум маркетинга – максимум опыта». После банковской секции, на которой присутствовали эксперты по информационной безопасности и представители финансовых организаций, состоялся конкурс «Большой Ku$h». Хакеры, используя типичные уязвимости систем дистанционного банковского обслуживания, переводили на свои виртуальные счета различные денежные суммы, а затем снимали их через банкомат, который располагался неподалеку от места проведения конкурса. Победителем стал Алексей Осипов, студент пятого курса Московского энергетического института: ему удалось «увести» из банка 3500 рублей. К слову сказать, во время банковской секции Артем Сычев из Россельхозбанка сообщил весьма тревожную информацию: каждый день в России фиксируется 15 – 20 попыток хищения денег с банковских счетов.
Международный форум PHDays 2012 собрал более 1500 участников
Настоящий аншлаг вызвало выступление легендарного исследователя в области криптографии Брюса Шнайера. Брюс в свойственной ему ироничной манере поддержал людей, которых любопытство заставляет время от времени нарушать закон: нарушая правила, они служат развитию общества. Опытом обнаружения и устранения уязвимостей в сетях телекоммуникационных операторов поделился технический директор организатора форума – компании Positive Technologies Сергей Гордейчик. Конвергенция различных типов сетей и оборудования приводит к тому, что они могут быть взломаны при помощи нескольких десятков методов: например, через канал, используемый сотрудниками для онлайн-игр, уязвимый интерфейс веб-камеры слежения, точку доступа Wi-Fi подрядчика, недружественный ресурс на хостинге. Александр Гостев из «Лаборатории Касперского» рассказал, в свою очередь, новые подробности о недавно обнаруженном шпионском кибероружии нового поколения – Flame. Тему организованного хакерства продолжил Хейзем Эль Мир, ИБ-специалист из Туниса: в своем докладе о противостоянии тунисского агентства компьютерной безопасности и хакерской группировки Anonymous он развеял миф о профессионализме «Анонимусов» (многие считают, что группа состоит из лучших в мире хакеров).
В рамках спецсекции по безопасности АСУ ТП (SCADA) были анонсированы инициативы Positive Technologies в области защиты систем управления производством: совместные с Siemens работы по поиску и устранению уязвимостей в SCADA Simatic WinCC и разработка стандартов безопасной конфигурации распространенных систем АСУ ТП.
На форуме также был анонсирован образовательный проект Positive Education, в рамках которого специалисты Positive Technologies будут содействовать преподавателям российских технических вузов в подготовке практических учебных программ по информационной безопасности. Состоялось представление докладов молодых ученых, привлеченных со всей России в рамках конкурса Young School.
Отличительной особенностью PHDays является его масштаб,
актуальность и неформальная обстановка
Напомним также, что недавно Positive Technologies выпустил отчет по результатам исследования уязвимостей на сайтах ключевых российских компаний и предприятий, проведенного в 2010 – 2011 гг. Несмотря на хорошо выстроенные в этих организациях процессы информационной безопасности, 10 % проанализированных сайтов не только содержали критические уязвимости, но и были уже взломаны. Объектами исследования стали 123 портала государственного и финансового секторов, телекоммуникационной, промышленной и других отраслей российской экономики. В среднем на каждый сайт пришлось по 15 уязвимостей. При этом две трети web-ресурсов содержали критические уязвимости, и почти на всех сайтах были обнаружены проблемы с безопасностью среднего уровня риска. Лидером же по количеству слабозащищенных сайтов оказались телекоммуникации: 88 % ресурсов этой отрасли содержали критические уязвимости. По оценке экспертов Positive Technologies, столь большое число уязвимых веб-приложений связано с экстенсивным ростом телекоммуникационных компаний. Широкое распространение сделок по слиянию и поглощению создает чрезмерное многообразие типов информационных систем и оборудования, что превращает обслуживание такого технологического парка в очень сложную задачу. Вследствие низкого уровня безопасности телекоммуникационных сайтов базы данных клиентов сотовых операторов и другая конфиденциальная информация часто оказываются в руках спамеров и мошенников.
Достаточно много порталов с критическими уязвимостями было обнаружено также в сфере информационных технологий и в государственном секторе, где доли ресурсов с наиболее опасными уязвимостями составляют 75 % и 65 % соответственно. Уровень защищенности в промышленной отрасли можно охарактеризовать как средний, критические уязвимости были найдены на 50 % сайтов (это лучше ситуации в телекоме и госсекторе). С другой стороны, в промышленной сфере эксперты Positive Technologies обнаружили целый ряд ресурсов, на которых концентрация критических уязвимостей крайне высока. Злоумышленник может использовать уязвимости на сайте для проникновения в IT-инфраструктуру предприятия, что зачастую грозит самыми печальными и непредсказуемыми последствиями – от промышленного шпионажа до полной остановки производства или экологической катастрофы. Как и ожидалось, наибольшее внимание защищенности своих сайтов от критических уязвимостей уделяют владельцы веб-ресурсов из финансовой отрасли: только 43 % проанализированных веб-приложений содержат критические уязвимости. Дополнительный анализ систем дистанционного банковского обслуживания показал, что в них устранены практически все критические уязвимости.
Лидером по количеству слабозащищенных сайтов оказались телекоммуникации.
Данные Positive Technologies
В то же время тенденция развития кибермошенничества на сегодняшний день такова, что преступнику легче проводить атаки на компьютер клиента банка, который оказывается самым слабым звеном в системах удаленного предоставления банковских услуг. Такие уязвимости, как межсайтовая подмена запросов (CSRF, найдена в 6 % систем ДБО) и межсайтовое выполнение сценариев (XSS, 18 %), не будучи критическими, при определенных условиях позволяют злоумышленнику осуществить фишинг-атаку и совершить кражу. При этом большинство сайтов финансового сектора пока не соответствуют международным стандартам, несмотря на то, что примерно 98 из каждых 100 уязвимостей в системах ДБО и других веб-приложениях финсектора не являются критическими. Как следует из полученной статистики, только 10 % исследованных веб-приложений финансового сектора (включая ДБО) удовлетворяют требованиям стандарта безопасности данных индустрии платежных карт PCI DSS.