PHDays CTF: "Противостояние" глазами "защитника". Часть 7. Выводы

Итак, описав в шести частях наше участие в противостоянии, неплохо было бы сделать выводы по результатам соревнований. Несмотря на то, что нас не победили, я понял, что нам еще есть куда расти как защитникам. Противостояние дало возможность поработать в считающихся нереальными условиях абсолютного админского косяка: default permit на пограничном firewall и неконтролируемое появление дырявых серверов в DMZ. Как некоторый итог, для проверки степени защищенности инфраструктуры необходим определённый checklist, с которым нужно сверяться.

PHDays CTF: "Противостояние" глазами "защитника". Часть 6. Нестандартный метод защиты SSH

Глазами "защитника": как мы участвовали в Positive Hack Days CityF "Противостояние". 

Часть 6. Нестандартный метод защиты SSH
С частью 5 (описание хода сражения)  можно ознакомиться постом ранее.

- Почему нам нельзя перенастраивать сетевое оборудование, если мы его защищать должны? Без этого никак.
- А, вы телеком-защитники. Тогда вам можно, но сервисы должны быть доступны и чтобы не терялось управление. Иначе мы подойдем к вам и спросим: "Что за дела?". Если не сможете быстро починить - вернем к настройкам до начала соревнований, а вам выставим штрафные баллы. Поэтому с изменением сетевых настроек будьте аккуратны.
- Это не проблема. А если для обеспечения безопасности нам нужно будет развернуть трафик по-другому, завязать узлом, но при этом все будет работать?
- Тогда мы придем к вам с бумажкой - записать, что и как вы делали, интересно ведь.

- А зачем ты на Positive Hack Days решил Balabit использовать? Чем он там поможет?
- Будем админов мониторить. Они обещали периодически на серверах взводить дырявые сервисы.
- Ну, как знаешь.

Это два реальных разговора при подготовке к PHDays. До определенного момента я сам не думал, что они будут настолько плотно взаимосвязаны. Естественно, после разговора с организаторами я подумывал, что надо бы и удивить, раз грозился. По ходу соревнований вектор настроения потихоньку сдвинулся от первоначального желания в сторону "забетонироваться". Но чудесным образом получилось так, что в итоге они слились. И об этом пойдет рассказ.

PHDays CTF: "Противостояние" глазами "защитника". Часть 5. Сражение

Глазами "защитника": как мы участвовали в Positive Hack Days CityF "Противостояние". 

Часть 5. Сражение
С частью 4 (ограничения для защитников и SOC)  можно ознакомиться постом ранее.

Итак, ранее я описал суть соревнований, техническое обеспечение и процесс подготовки, а также определенные ограничения для тандема из "защитников" и SOC. Также, если интересно, мнение о взломе ГЭС.

Стоит приступить к описанию самого процесса противостояния - так сказать, битвы, которая длилась 29 часов - с 11:00 17 мая 2016 по 16:00 18 мая 2016.

Предварительно командами защиты и оперативного реагирования было проведено:

• исследование сети;
• инвентаризация инфраструктуры;
• установка и преднастройка необходимых средств защиты;
• реконфигуринг и патчинг дырявых серверов;
• смена паролей, которые можно хотя бы запомнить.

Естественно, первое, что было сделано незадолго до начала - проверка работоспособности и инвентаризация ресурсов. Cразу же были обнаружены некоторые, доселе неизвестные нам, сервера, причем многие из них по факту скана оказались довольно дырявыми. Как я уже неоднократно писал, организаторы хотели шоу, и без таких фокусов было бы не очень весело.

PHDays CTF: "Противостояние" глазами "защитника". Часть 4. Ограничения

Глазами "защитника": как мы участвовали в Positive Hack Days CityF "Противостояние". 

Часть 4. Ограничения для команд защиты и оперативного мониторинга.
С частью 3 (мнение о взломе ГЭС)  можно ознакомиться постом ранее.

На официальном сайте конференции есть довольно пафосная цитата:

На этот раз вместо привычных соревнований CTF, мы устраиваем настоящие военные действия. События на площадке будут максимально приближены к реальности: на полигоне PHDays VI СityF развернется масштабная эмуляция городской инфраструктуры.

Вот насчет выделенного жирным и хотелось бы поговорить.

PHDays CTF: "Противостояние" глазами "защитника". Часть 3. Мнение о резонансном взломе ГЭС

Бои без правил. Организуется поединок между бойцами Орком и Гоблином. Бойцы начинающие, но публика козырная и при деньгах. Влиятельный любитель таких боев, чиновник, крышующий организаторов, делает очень крупную ставку на то, что Гоблин победит. И тут Орк наносит хороший удар в корпус, после которого Гоблин "плывет". Судья, вопреки правилам, засчитывает это как удар в пах, отводя в сторону Орка со штрафным очком и предоставив время на восстановление Гоблина. В процессе быстро шепчет Орку: "Тебе нужно лечь. Папа сказал". И Орк, отлично понимая, что даже если он победит и заберет приз, то в будущем карьера бойца в этой организации для него закрыта, начинает быстро соображать, глядя на постепенно приходящего в себя Гоблина, как подставиться под "нокаутирующий" удар, чтобы было правдоподобно и убедительно для зрителя.

Уже на следующий день после конференции PHDays-2016 весь Интернет пестрел новостями о том, как школьник взломал электростанцию и как хакеры после успешного взлома остановили ГЭС и затопили город. 
Я участвовал в составе "защитников" телекома, поэтому мнение основано на анализе ситуации и аналогиях с моей колокольни, но без знания деталей взлома SCADA.

PHDays CTF: "Противостояние" глазами "защитника". Часть 2. Подготовка

Глазами "защитника": как мы участвовали в Positive Hack Days CityF "Противостояние". 

Часть 2. 

С частью 1 (общее описание и введение) можно ознакомиться постом ранее.

Итак, наша сборная команда защитников телекома в тандеме с JSOC защищала публичные сервисы на базе IP, характерные для оператора связи: личный кабинет, портал, сервисы отправки платных сообщений, прочий VAS и т.п. Конечно, неотъемлемой частью нашей задачи было обеспечение безопасности сетевого оборудования.

По поводу команды: нам пришлось работать с коллегами-конкурентами, с которыми мы до этого не были знакомы, и я, когда только узнал об этом, думал, что сначала мы, как в "Мстителях", пересобачимся друг с другом, определяя, кто круче, а потом начнем дело делать. К счастью, я оказался неправ, и причина банальна: у нас не было на это времени. Негласный принцип был такой: если ты крут - красава, молодец, мы в тебя верим, твой талант признаем и не оспариваем, РАБОТАЙ! А я просто пересмотрелся боевиков :)

PHDays CTF: "Противостояние" глазами "защитника". Часть 1. Описание

Глазами "защитника": как мы участвовали в Positive Hack Days CityF "Противостояние". Часть 1.

17-18 мая 2016 года на конференции Positive Hack Days в Москве проводился характерный для крупных событий по практической информационной безопасности конкурс Capture The Flag (CTF). В этом году организаторы несколько модифицировали состязание, придав ему формат "противостояния" сил добра и зла в виртуальном городе, как и анонсировалось на сайте конференции PHDays-2016.

Естественно, что желающих попробовать свои силы в конкурсе было немало. Участников разделили не на 2, а на 3 функциональных направления:

• Хакеры - естественно, их целью было получить несанкционированный доступ к защищаемым ресурсам.
• Защитники - как очевидно из названия, главной задачей является предотвращение взлома и/или быстрое устранение его причин и последствий.
• SOC - оперативный мониторинг подозрительных событий информационной безопасности, оповещение "защитников", совместный анализ и реагирование на инциденты.

Поскольку я участвовал в этом соревновании в качестве члена команды "защитников" инфраструктуры телекоммуникационного оператора, то дальше расскажу о мероприятии глазами инженера по защите информации.