Positive Hack Days VI CityF. Противостояние глазами Защитника

Positive Hack Days VI CityF
Противостояние глазами Защитника

17-18 мая в Москве прошла VI ежегодная конференция PHDays, посвященная практическим аспектам информационной безопасности. Кроме конференции, разделенной на бизнес- итехнический потоки, мастер-классов и конкурсов, организаторы сделали акцент на соревновании, похожем на Capture The Flag  (CTF), но гораздо более масштабном

События происходили в «виртуальном городе». Для участников состязания было подготовлено пять инфраструктурных объектов, которые нужно было одним – взломать, другим – защитить:

• Городской офис
• Банк 1
• Банк 2
• Электроэнергетическая компания
• Телекоммуникационный оператор

Сторон Противостояния было три:

• Хакеры – участники соревнования, задачей которых было получение несанкционированного доступа к атакуемым объектам, выполнение злонамеренных действий, компрометирующих защищаемую инфраструктуру и наносящих урон «виртуальному бизнесу»: отключение электростанции, снятие денег со счета и т.п.
• Защитники – специалисты, чья задача была диаметрально противоположной: организация защиты вверенной инфраструктуры техническими средствами.
• Security Operations Center (SOC) – экспертные центры безопасности, выполняющие оперативный мониторинг и устранение инцидентов безопасности.

Поскольку автор статьи участвовал в составе команды Защитников телекоммуникационного сектора, ракурс обзора будет соответствующий.

На каждый инфраструктурный объект для его защиты и оперативного реагирования назначалась пара Защитник + SOC. С нашей сборной командой телеком-защитников «You Shall Not Pass» из крупных операторов связи в тандеме работал Solar JSOC, команда «False Positive».

Сборная команда телеком-защитников «You Shall Not Pass» из крупных операторов связи и Solar JSOC, команда «False Positive»

За две недели до начала соревнований Защитникам и SOC был предоставлен удаленный доступ в свой сегмент инфраструктуры для его инвентаризации, установки ипредварительной настройки средств защиты, а также интеграции защищаемых ресурсов с SIEM-системами.

Вычислительная инфраструктура, предоставленная для сражения, была полностью виртуализирована, поэтому средства обеспечения информационной безопасности также требовалось разворачивать в виде виртуальных машин. Аппаратные решения разрешались только переносные, не требующие установки в серверную стойку. На этом ограничения ксамим средствам защиты заканчивались.

Разрешалось использовать решение любого производителя, платное или бесплатное, на усмотрение команд. В случае необходимости организаторы оказывали содействие вполучении временных лицензий на коммерческие средства обеспечения информационной безопасности.

17-18 мая на площадке команды обороняющего тандема и хакеров поместили в разные концы одного большого зала. Защитникам и SOC предоставили по одному столу на шесть человек каждой команде с возможностью подключения к сети электропитания и Ethernet в защищаемую инфраструктуру.

У атакующей и защищающей сторон были определенные ограничения в перечне действий.

Ограничения для хакеров:

• Доступ из интернета в сегмент напрямую невозможен, только локально либо через VPN. Цель очевидна: защита инфраструктуры «виртуального города» от DDoS, уверенность в том, что атаки проводят именно участники соревнований.
• Запрещены DDoS на инфраструктуры участников и генерация паразитного трафика большого объема. DoS/DDoS-атаки уровня приложения разрешены.
• Запрещены атаки на элементы инфраструктуры, образующей «виртуальный город» (обеспечивающие работу сегментов участников и управляемые организаторами), рабочие места жюри и технической поддержки соревнований.

Ограничения для Защитников и SOC:

• Запрещена блокировка по IP-адресу атакующего. В целях определения подобных действий все атакующие, клиенты и система проверки доступности сервисов транслировались в один IP-адрес.
• Запрещено закрывать доступ к серверам из DMZ со стороны интернета, в том числе и по управляющим протоколам (SSH, Telnet, RDP, SNMP) и базам данных (MySQL, Oracle). Разрешено применить списки доступа только на интерфейсы управления сетевым оборудованием.
• Отсутствие доступа к интерфейсам управления сетевым оборудованием уровня L2-access.
• Запрещена реконфигурация сетевого оборудования, если она вызывает потерю сервиса.
• Кроме перечисленных команд, существовали группы статистов, эмулирующих работу пользователей корпоративной сети организации. Запрещалось входить с ними в контакт иинструктировать.

Началось Противостояние в 11:00 17 мая, закончилось в 16:00 18 мая.

Запреты для Защитников и SOC, несмотря на заверения о «максимальном приближении к реальности» на официальном сайте конференции [1], делали уровень защиты сети намного ниже, чем принято в телекоме.

Но организаторам необходимо было привлечь внимание общества, бизнеса и государства к необходимости защиты «Интернета вещей» и других подключаемых к публичным сетям систем управления критической инфраструктурой, а также соблюдения мер информационной безопасности при работе с банковскими сервисами.

Для этого соревнования должны содержать элементы шоу с резонансными взломами [2], привлекающие внимание общественности к проблемам информационной безопасности современных систем. Поэтому в некоторых случаях понижение уровня безопасности защищаемых систем было беспрецедентным. Но стоит отдать должное – шоу с взломом ГЭС изатоплением города [3], переданное затем по новостным каналам, было эффектным.

Краткий перечень мер, предпринятых командами Защитников и SOC для обеспечения безопасности защищаемых элементов:

• Постоянная инвентаризация инфраструктуры.
• Периодическое сканирование на наличие уязвимостей серверов и сетевого оборудования.
• Устранение уязвимостей.
• Мониторинг всех действий и запускаемых процессов на серверах и сетевом оборудовании.
• Мониторинг событий с активного сетевого оборудования и анализ трафика NetFlow.
• Использование in-line IPS.

Кроме описанного выше краткого перечня мер, пришлось применить одно довольно нестандартное решение. Для того чтобы хакеры после неудавшихся попыток взлома не теряли интерес к атакуемому сегменту, организаторы периодически без предупреждения защищающих включали новые серверы, содержащие уязвимости в ПО и/или некоторые настройки по умолчанию. Дальше – кто быстрее: «найти и взломать» или «найти и обезвредить».

Объект защиты и нападения – участок железной дороги, частично взломанный хакерами

Особенно высокая интенсивность появления уязвимых серверов была на второй день соревнований. Новые сервисы на базе различных UNIX-систем практически все были подвержены уязвимости CVE-2015-5600 SSH-сервиса, закрытую не во всех репозиториях. Уязвимость позволяет подключившемуся по SSH пользователю/машине выполнять перебор паролей либо вызвать отказ в обслуживании в связи с использованием ресурсов CPU.

В нашей ситуации – более чем реальный вариант развития событий. Для того чтобы не выполнять обновление из исходных кодов в срочном порядке, трафик SSH и RDP, инициированный в сторону серверов DMZ из всех подсетей, кроме Защитников и SOC, настройками активного сетевого оборудования был перенаправлен через Balabit Shell Control Box. Как правило, данное решение используется для неотключаемого протоколирования действий пользователей, но в ситуации Противостояния ключевым фактором оказались неуязвимость проксирующего модуля zorp-ssh уязвимости CVE-2015-5600 и возможность регулирования количества вводов пароля на стороне SCB.

В результате Противостояния из элементов нашей инфраструктуры хакерами была проэксплуатирована уязвимость только одного веб-сервера без влияния на «виртуальный бизнес», за что хакеры получили единственный «флаг» в течение всего соревнования. Сервер был из числа «дырявых», включенных на второй день организаторами. Взлом был обнаружен через пять минут, после чего соответствующая сигнатура IPS была переведена из режима мониторинга в блокировку, проведено обновление сервера и изменены атрибуты доступа.

Объект защиты и нападения – электроэнергетическая компания, у которой была нарушена работа ГЭС и затоплен город

В целом впечатления от соревнования положительные, особо хочется отметить профессионализм SOC, с которым мы плечом к плечу работали 29 часов подряд.

Как всегда, в мероприятии, которое проводится впервые, есть что улучшать. Я бы обратил внимание организаторов на такие аспекты:

• вычислительные ресурсы виртуальной инфраструктуры – на этапе подготовки довольно часто происходили перебои в работе, а во время соревнований периодически чувствовалось, что оборудование работает под высокой нагрузкой;
• слишком близкое расположение к сцене и чрезмерно громкий звук.

На следующий год необходимо будет как минимум провести конкурс на том же уровне, чтобы не разочаровать участников, зрителей и общественность.

Более официальную информацию можете найти на сайте организатора [1], неофициальную – в моем блоге [4].

1. PHDays – Positive Hack Days. CityF Правила – http://www.phdays.ru/program/ctf.
2. На PHDays московский десятиклассник взломал электрическую подстанцию небольшого города – http://www.phdays.ru/press/news/62000.
3. PHDays VI: нарушена работа ГЭС и затоплен город – http://www.securitylab.ru/news/482206.php.
4. Andrey Dugin @blog – http://aodugin.blogspot.ru/search/label/PHDays.

Подготовил Андрей Дугин

Комментарии могут оставлять только зарегистрированные пользователи