Positive Hack Days — угрозы повсюду, а враг внутри

23-24 мая в Москве прошел седьмой международный форум по практической безопасности Positive Hack Days. PHdays — это более 200 спикеров, пленарные обсуждения, различные мастер-классы и воркшопы, конкурсы, взломы стендов и, конечно, битва хакеров и безопасников на площадке, имитирующей реальный город. В этом году основными темам форума стали кражи денег с помощью POS-терминалов, взлом IPv6-сетей и угрозы Интернета вещей. За два дня форум посетило рекордное число участников — около 5000 из разных стран мира: Америки, Израиля, Кореи, Италии, Франции, Германии, Казахстана, Белоруссии, Индии, Польши.

«В этом году все происходящее объединено темой „Противостояние: враг внутри“, — говорят организаторы мероприятия. — Эксперты и участники форума попытались найти ответ на вопрос, как сосуществовать с обитающими в домах, на улицах и в офисах IoT-устройствами, которые внезапно превратились в оружие киберпреступников».

В этом году на форуме эксперты демонстрировали процесс заражения криптолокерами, создавали экспериментальный ботнет из маршрутизаторов, а также показывали процесс взлома электрических подстанций, аккаунтов WhatsApp и технику перехвата SMS и телефонных разговоров. В рамках пленарных секций перед участниками выступили бывший сотрудник АНБ, а ныне директор по исследованиям компании Synack, Патрик Уордл. Он рассказал об особенностях вредоносного ПО для macOS, которое появилось в 2016 году, и познакомил участников форума с методами обнаружения атак, обеспечивающими безопасность macOS.

Габриель Бергер из Dreamlab Technologies поделился информацией об уязвимостях в протоколах POS-терминалов и возможных способах обмана: от использования считывателей карт, перехвата и изменения данных, установки стороннего ПО до аппаратного взлома. Кстати, на площадке PHdays 7 неизменной популярностью пользовался стенд с банкоматами, предназначенными для взлома.

Уязвимость промышленных систем также беспокоит специалистов. Компания Trend Micro представила результаты анализа, произведенного на основе исследования более 200 уязвимостей SCADA/HMI. Представитель компании, Брайан Горенк, рассказал о популярных типах уязвимостей в решениях Schneider Electric, Siemens, General Electric и Advantech.

Еще один спикер, Андрей Полковниченко из Check Point, рассказал о трояне HummingBad, который был создан в 2016 году китайской группой хакеров. Этот троян, попав в мобильное устройство, позволяет злоумышленникам получить полный контроль над девайсом и использовать его для рекламного мошенничества.

И снова про WannaCry...

Основным лейтмотивом выступлений спикеров стала тема о защищенности корпоративной инфраструктуры. Звучали утверждения о том, что свой периметр никто не знает, и чем крупнее компания, тем хуже обстоит ситуация. По мнению экспертов, отсутствие четкого понимания о состоянии инфраструктуры и периметра во многих компаниях и стало ключевым моментом в нашумевшей истории с WannaCry.

«Зачем держать открытыми 139 и 445 TCP-порты на периметре? — задаются вопросом эксперты. — Ведь именно этот фактор позволил атаке достичь такого масштаба, хотя она была простейшая. В инфраструктуре компании может быть всего лишь одна уязвимая к атаке машина. Но в случае заражения Ransomware разносится уже по локальной сети, заражая инфраструктуру все глубже. Так что причины произошедшего — отсутствие контроля за периметром, отсутствие процессов управления конфигурациями, отсутствие выстроенного процесса реагирования и оперативного анализа инцидентов. Самый главный вопрос — какие выводы сделали организации. И давайте вспомним о том, что обновление, устраняющее эту уязвимость, было выпущено еще в марте, за два месяца до атаки».

Общеизвестно, что 100-процентной безопасности не бывает. Весь вопрос в эшелонах, которые стоят на пути взломщиков и значительно повышают стоимость проникновения. А при защите периметра все должно начинаться именно с инвентаризации.

Интернет вещей — безопасность под вопросом

Новый тренд, который отметили все — атаки на Интернет вещей. Причем, пользователи, как правило, лишены возможности защиты этих устройств, так как неизвестно, по каким протоколам они взаимодействуют. По оценкам экспертов Positive Technologies, угрозы Интернета вещей будут расти. В среднем по миру ежемесячно в домашних сетевых устройствах, WiFi — и 3G-роутерах, обнаруживается около 10 уязвимостей. В то же время, большинство разработчиков и поставщиков этих устройств не придают должного значения таким понятиям, как «тестирование» и «безопасность». Многие серьезные уязвимости остаются без обновлений, а если они и выходят, то пользователи не торопятся их применять. Так, в 87% систем, протестированных экспертами Positive Technologies, были найдены уязвимости, связанные с отсутствием обновлений.

По оценкам Gartner к 2020 году количество IoT-устройств превысит 20 млрд. При этом новости последнего года свидетельствуют о том, что злоумышленники все больше интересуются уязвимостями Интернета вещей. Как утверждает Антон Тюрин, руководитель группы разработки методов обнаружения атак Positive Technologies, сегодня практически каждый может просканировать весь интернет (порядка 4 млрд адресов) на предмет выявления уязвимых устройств, что потребует чуть более суток при определенной скорости передачи данных. А можно даже не предпринимать самостоятельных действий по сканированию — доступ к данным десятков миллионов IoT-устройств сегодня составляет всего 49$.

В пятерку наиболее небезопасных IoT-устройств, которые уже сейчас активно используются киберпреступниками, входят роутеры, камеры и видеорегистраторы, навигаторы, устройства беспроводного управления (мышки и клавиатуры), а также всевозможные датчики.

Если говорить о роутерах, то тут ситуация банальна: пользователи попросту не утруждаются сменой пароля. Опытным путем установлено, что пароли примерно 15 из 100 девайсов никогда не менялись с дефолтных значений. Поэтому, зная всего пять самых популярных пар, можно получить доступ к «админке» каждого десятого устройства.

«Любой желающий может подключиться к вашему роутеру и перенастроить его. Что нужно сделать уже сейчас? Поменяйте все дефолтные пароли и отключите на своих роутерах все ненужные сервисы», — советуют безопасники.

С камерами и DVR ситуация еще печальнее. Уже сейчас злоумышленники могут получить доступ более чем к 3,5 миллионам камер по всему миру.

«Для доступа к видео произвольно взятого пользователя требуется всего пара запросов в Shodan, один в Google, VLC-медиаплеер и не более 60 секунд времени. По нашим оценкам, порядка 90% всех DVR-камер, которые используются для видеонаблюдения предприятиями малого и среднего бизнеса, содержат те или иные уязвимости и могут быть взломаны», — рассказывает Антон Тюрин.

А вот об угрозах систем глобального позиционирования мало кто задумывается. Они настолько глубоко проникли в нашу жизнь, что большинство людей пользуются ими, не задаваясь вопросом о том, насколько им можно доверять. Между тем специалисты говорят о массе примеров, подтверждающих, что подобные системы уязвимы к разнообразным атакам, включая spoofing, то есть подмену сигнала. Работу оборудования для подделки GPS и изменения местонахождения устройств представители Positive Technologies продемонстрировали журналистам прямо на пресс-конференции — смартфоны стали показывать присутствующим, что они находятся где-то в Китае.

«На ваших девайсах, помимо местонахождения, можно изменить дату и время. На первый взгляд это не критично. Но, если, например, откатить дату на два года назад, в „айфонах“ пропадут фотографии, рассинхронизируется почта, будут недействительны сертификаты и т.д. На устройствах Android можно сделать другие вещи. Вы не увидите никаких уведомлений об изменении даты, ваш телефон будет лежать у вас в кармане и, возможно, вам никто не сможет дозвониться», — говорят специалисты.

Неожиданным для многих оказалось появление беспроводных мышек и клавиатур в списке наиболее небезопасных устройств. Оказалось, что девайсы с радиоинтерфейсом и USB-трансивером совсем не защищены от взлома, что и продемонстрировали эксперты Positive Technologies: «Собрать набор для проведения атаки можно всего за 300 рублей, а вестись она может с расстояния до 1 км. Мы протестировали безопасность устройств Logitech, A4Tech и Microsoft и смогли перехватить данные, передаваемые клавиатурами и мышами, дешифровать трафик и осуществить ряд других атак. Обнаруженные уязвимости могут приводить к утечке паролей, платежных реквизитов, персональных данных и другой важной информации».

Различные датчики (электричество, вода, сигнализация) — еще один вектор для атак. И речь здесь идет не только о «домашних» датчиках (хотя их взлом, например, может послужить причиной отключения электричества во всем доме), но и о промышленных объектах, где цена этой угрозы возрастает в разы.

«В ходе одного из исследований умных сетей электроснабжения (smart grid) наши эксперты обнаружили тысячи пользовательских веб-панелей управления системами мониторинга солнечных электростанций. Примерно 5% систем вообще не требовали пароля для входа на страницу конфигурации, у остальных 95% пароль был, но его оказалось достаточно легко подобрать. Обойдя авторизацию, злоумышленник может удаленно установить модифицированную прошивку или просто поменять параметры системы, что приведет к аварии», — рассказал Антон Тюрин.

На подходе и другие устройства. Помимо чайников, микроволновок и роутеров злоумышленникам доступны компоненты АСУТП. Мы уже писали о том, насколько важно уделять внимание вопросам информационной безопасности на предприятиях. Сейчас эта тема выходит на первый план по своей актуальности.

«Когда была атака WannaCry, многие это заметили, много чего было отключено. А в случае с IoT атаки могут оставаться незамеченными долгое время, что только усугубит ситуацию. И наиболее критично это будет для промышленных предприятий. К защите IoT нужно подходить с двух сторон: усилия вендоров и усилия пользователей. Но зачастую, пользователи делают так, что все усилия вендоров сходя на нет. Яркий пример этому — дефолтные пароли», — обращают внимание эксперты.

«Противостояние» — хакеры атакуют

По традиции, наиболее ожидаемая часть Positive Hack Days — конкурсы. Посетители форума могли попробовать свои силы в различных квестах от вендоров, взломе систем Умного дома, камер видеонаблюдения, IoT-устройств и даже умных автомобилей (на одном из стендов на растерзание хакерам был предоставлен автомобиль Tesla). На одном из стендов был запущен даже оператор мобильной связи, и участники пробовали перехватить SMS и USSD, прослушать телефонные разговоры, клонировать мобильные телефоны.

Конечно, наибольшее внимание было сосредоточено на 30-часовой кибербитве между защитниками и хакерами, которая прошла в рамках «Противостояния». 9 атакующих команд и 5 команд защитников «сражались» на полигоне с моделью мегаполиса, в котором помимо офисов, телеком-операторов, банка, ТЭЦ и прочих объектов находится множество IoT-устройств.

«В прошлом году мы предложили участникам PHDays новый формат хакерских соревнований — кибербитву между атакующими и защитниками. На это раз мы продолжим развивать эту тему. Главный конкурс PHDays VII получил название „Противостояние“, а все происходящее на площадке PHDays объединено темой „Противостояние: враг внутри“. События развернулись в уже знакомом по прошлогоднему форуму городе, который значительно увеличился в размерах и по численности населения. В городе бум Интернета вещей: жизнь горожан полностью строится вокруг технологий, интернета и гаджетов, мобильный телефон всецело заменил кошелек, ключи, паспорт и управляет любым аспектом жизни людей. Даже спичечные коробки подключены к сети, а мороженое постит в Твиттер свою температуру. Поэтому, кроме телеком-оператора, ТЭЦ и офисного центра, объектом для взлома может стать город, наводненный IoT-устройствами всех размеров и назначений. Хакеры смогут вдоволь развлечься, например устроить хаос на дорогах, взломав светофоры», — рассказали организаторы.

В битве было все: взлом интернет-магазина, атака на промышленные объекты, взлом системы дистанционного банковского обслуживания, крупная кража денег и последовавший за этим экономический кризис, специальный робот для снятия денег со скомпрометированных банковских карт жителей города, перехват SMS мэра города в поисках компромата, остановка работы ТЭЦ и нефтеперерабатывающего завода из-за атаки на сеть WiFi, взлом умного автомобиля и умного дома.

Победителем «Противостояния» стала казахстанская команда «белых» хакеров ЦАРКА. Счет победителей в два раза превысил очки команды, оказавшейся на втором месте.

«На конференции от нас участвовала самая большая организованная команда белых хакеров за всю историю Казахстана. Это специалисты-практики, которых мы взращиваем для формирования фундамента​ ИБ Казахстана. Именно эти молодые ребята и есть Киберщит Казахстана, в нашем понимании», — отметили в ЦАРКА.