PHDays CTF: "Противостояние" глазами "защитника". Часть 5. Сражение

Глазами "защитника": как мы участвовали в Positive Hack Days CityF "Противостояние". 

Часть 5. Сражение
С частью 4 (ограничения для защитников и SOC)  можно ознакомиться постом ранее.

Итак, ранее я описал суть соревнований, техническое обеспечение и процесс подготовки, а также определенные ограничения для тандема из "защитников" и SOC. Также, если интересно, мнение о взломе ГЭС.

Стоит приступить к описанию самого процесса противостояния - так сказать, битвы, которая длилась 29 часов - с 11:00 17 мая 2016 по 16:00 18 мая 2016.

Предварительно командами защиты и оперативного реагирования было проведено:

• исследование сети;
• инвентаризация инфраструктуры;
• установка и преднастройка необходимых средств защиты;
• реконфигуринг и патчинг дырявых серверов;
• смена паролей, которые можно хотя бы запомнить.

Естественно, первое, что было сделано незадолго до начала - проверка работоспособности и инвентаризация ресурсов. Cразу же были обнаружены некоторые, доселе неизвестные нам, сервера, причем многие из них по факту скана оказались довольно дырявыми. Как я уже неоднократно писал, организаторы хотели шоу, и без таких фокусов было бы не очень весело.

PHDays CTF: "Противостояние" глазами "защитника". Часть 4. Ограничения

Глазами "защитника": как мы участвовали в Positive Hack Days CityF "Противостояние". 

Часть 4. Ограничения для команд защиты и оперативного мониторинга.
С частью 3 (мнение о взломе ГЭС)  можно ознакомиться постом ранее.

На официальном сайте конференции есть довольно пафосная цитата:

На этот раз вместо привычных соревнований CTF, мы устраиваем настоящие военные действия. События на площадке будут максимально приближены к реальности: на полигоне PHDays VI СityF развернется масштабная эмуляция городской инфраструктуры.

Вот насчет выделенного жирным и хотелось бы поговорить.

PHDays CTF: "Противостояние" глазами "защитника". Часть 3. Мнение о резонансном взломе ГЭС

Бои без правил. Организуется поединок между бойцами Орком и Гоблином. Бойцы начинающие, но публика козырная и при деньгах. Влиятельный любитель таких боев, чиновник, крышующий организаторов, делает очень крупную ставку на то, что Гоблин победит. И тут Орк наносит хороший удар в корпус, после которого Гоблин "плывет". Судья, вопреки правилам, засчитывает это как удар в пах, отводя в сторону Орка со штрафным очком и предоставив время на восстановление Гоблина. В процессе быстро шепчет Орку: "Тебе нужно лечь. Папа сказал". И Орк, отлично понимая, что даже если он победит и заберет приз, то в будущем карьера бойца в этой организации для него закрыта, начинает быстро соображать, глядя на постепенно приходящего в себя Гоблина, как подставиться под "нокаутирующий" удар, чтобы было правдоподобно и убедительно для зрителя.

Уже на следующий день после конференции PHDays-2016 весь Интернет пестрел новостями о том, как школьник взломал электростанцию и как хакеры после успешного взлома остановили ГЭС и затопили город. 
Я участвовал в составе "защитников" телекома, поэтому мнение основано на анализе ситуации и аналогиях с моей колокольни, но без знания деталей взлома SCADA.

PHDays CTF: "Противостояние" глазами "защитника". Часть 2. Подготовка

Глазами "защитника": как мы участвовали в Positive Hack Days CityF "Противостояние". 

Часть 2. 

С частью 1 (общее описание и введение) можно ознакомиться постом ранее.

Итак, наша сборная команда защитников телекома в тандеме с JSOC защищала публичные сервисы на базе IP, характерные для оператора связи: личный кабинет, портал, сервисы отправки платных сообщений, прочий VAS и т.п. Конечно, неотъемлемой частью нашей задачи было обеспечение безопасности сетевого оборудования.

По поводу команды: нам пришлось работать с коллегами-конкурентами, с которыми мы до этого не были знакомы, и я, когда только узнал об этом, думал, что сначала мы, как в "Мстителях", пересобачимся друг с другом, определяя, кто круче, а потом начнем дело делать. К счастью, я оказался неправ, и причина банальна: у нас не было на это времени. Негласный принцип был такой: если ты крут - красава, молодец, мы в тебя верим, твой талант признаем и не оспариваем, РАБОТАЙ! А я просто пересмотрелся боевиков :)

PHDays CTF: "Противостояние" глазами "защитника". Часть 1. Описание

Глазами "защитника": как мы участвовали в Positive Hack Days CityF "Противостояние". Часть 1.

17-18 мая 2016 года на конференции Positive Hack Days в Москве проводился характерный для крупных событий по практической информационной безопасности конкурс Capture The Flag (CTF). В этом году организаторы несколько модифицировали состязание, придав ему формат "противостояния" сил добра и зла в виртуальном городе, как и анонсировалось на сайте конференции PHDays-2016.

Естественно, что желающих попробовать свои силы в конкурсе было немало. Участников разделили не на 2, а на 3 функциональных направления:

• Хакеры - естественно, их целью было получить несанкционированный доступ к защищаемым ресурсам.
• Защитники - как очевидно из названия, главной задачей является предотвращение взлома и/или быстрое устранение его причин и последствий.
• SOC - оперативный мониторинг подозрительных событий информационной безопасности, оповещение "защитников", совместный анализ и реагирование на инциденты.

Поскольку я участвовал в этом соревновании в качестве члена команды "защитников" инфраструктуры телекоммуникационного оператора, то дальше расскажу о мероприятии глазами инженера по защите информации.