По следам The Standoff (2022). Год фишинга

Многие впервые обо мне узнали как раз из публикаций о ходе самых первых Противостояний 2016-2019 годов, и помнят меня, как лидера команды You Shall Not Pass (не путать с новой командой Your shell not pass - об этом фишинге или совпадении я уже писал). За 2016-2019 годы мы прошли интересный путь как команда защитников, команда SOC телеком-оператора и Интернет-провайдера, и как почти партнеры в организации The Standoff с командой Миши Левина (распорядитель игр тех годов). Много у нас было споров и при подготовке, и в ходе Противостояний, но сейчас это все вспоминается с улыбкой. 

В этом году я смотрел на Противостояние, как зритель. Поделюсь наблюдениями и сравнением с тем, как было "при мне".

Фишинг на "Противостоянии" (Standoff)

Говорят, настоящую гордость художник испытывает, когда его картину не покупают, а воруют.

Было у вас когда-нибудь, что вы создаете команду на Standoff, участвуете несколько лет подряд, а через некоторое время ваши последователи создают фишинговую команду схожего звучания? 

А у меня было. Наша команда You Shall Not Pass участвовала в роли защитника с самого начала в Противостоянии, расширившись затем собственной командой SOC, а теперь наши последователи / фанаты / подражатели создали похожую. Но это не мы. 

Мы в этом году не участвуем в мероприятии, поэтому все действия созвучной команды к нам отношения не имеют, хотя мы искренне желаем удачи защищающимся сторонам. 

О нашем участии в предыдущие годы можно прочитать в этом блоге по тегу PHDays.

По ссылке - наша команда и наш логотип, на картинке - фишинговая. Не перепутайте. 

Противостояние-2019 глазами защитника и SOC

Наша команда "You Shall Not Pass" в этом году уже четвёртый раз принимает участие в "Противостоянии", которое проводится в рамках конференции Positive Hack Days. Фактически, единственные, кто в роли защитников играет в эту игру с самого начала её существования. В этом году мы выступили в составе двух команд: телеком-защита и SOC. Обе команды назывались "You Shall Not Pass".

Наш SOC на PHDays мониторил инфраструктуру двух команд: собственной и клиента. В реальной жизни все происходит аналогично: у нашей компании есть корпоративный SOC, который обеспечивает защиту своей инфраструктуры, и коммерческий, предоставляющий услуги SOC внешним клиентам. По сути, для нас Противостояние каждый год является своего рода киберучениями, где мы тестируем свои методы защиты от атак, которые на тестовой среде не воспроизведешь, а на продуктиве - слишком рискованно. Поэтому псевдопродуктив площадки очень в этом помогает.

PHDays-2017. Противостояние глазами защитника. Часть 2. Объекты защиты

Итак, продолжаю свой рассказ о "Противостоянии" на PHDays-VII в 2017 году. Вводная часть, чуть менее пространная, чем прошлогодняя, была опубликована ранее. В этом году я не самый первый начал описывать процесс, и на просторах Интернета уже начались толки-перетолки. Буду потихоньку расставлять все на свои места.



Наша команда You Shall Not Pass и в этом году играла на стороне телеком-защиты. Но, если по сценарию прошлого года наш фрагмент сети больше напоминал среднего размера офис с небольшой серверной, а от телекома были только околотелефонные сервера типа личного кабинета абонента, то в этом году инфраструктура стала реально похожа на сеть небольшого провайдера.

PHDays-2017. Противостояние глазами защитника. Часть 1. Введение

Обленился я немного. В прошлом году через 2 недели после "Противостояния" я уже 5 заметок написал, а в этом году - еще ни одной. При том, что о PHDays-VII и "Противостоянии" на нем уже многие высказались, даже те, кто и не думал участвовать. Событие популярное, почему бы и не обсудить. Но наиболее ожидаемые читателями заметки - от самых непосредственных участников, поэтому пришла и моя очередь.

В 2017 году 23-24 мая проходила международная конференция по информационной безопасности Positive Hack Days VII. В рамках неё, как и год назад, проводились соревнования CTF "Противостояние".
В этом году наша команда You shall not pass тоже участвовала в "Противостоянии" в качестве телеком-защитников. Большей частью все было как в прошлом году. Мы, как и в в прошлый раз, работали в тандеме с SOC False Positive от JSOC. Который, в отличие от меня, уже успел описать свою часть саги о противостоянии. Конечно, нам предлагали выступить и со своим выделенным телеком-SOC, о котором я рассказывал 23 мая 2017, но без влияния на ИБ-процессы нам было сложно на полных 2 дня снять с работы людей для ролей и защитников, и SOC в этом году. "Противостояние" - это хорошо, но защита бизнеса компании прежде всего.

PHDays: Противостояние окупается. Защита АСУ ТП

Как я уже озвучивал, Противостояние на PHDays явно имело своей целью сделать шоу, которое укажет миру на необходимость защиты промышленных систем управления. Поэтому и ГЭС остановили, оставив без света виртуальный город, и потом его же затопили. Поскольку это бизнес, то эффект от шоу должен в итоге выразиться в бюджетировании систем защиты АСУ ТП, экспертизы и анализа защищенности SCADA и т.п. 

PHDays CTF: "Противостояние" глазами "защитника" в журнале "Системный администратор"

Агрегировав весь свой поток подсознания по результатам участия в соревнованиях PHDays "Противостояние", я перевел его на более-менее официальный язык и описал смысловое наполнение в одной статье для журнала "Системный администратор". С текстом статьи можно ознакомиться в июньском выпуске по ссылке.

PHDays CTF: "Противостояние" глазами "защитника". Часть 7. Выводы

Итак, описав в шести частях наше участие в противостоянии, неплохо было бы сделать выводы по результатам соревнований. Несмотря на то, что нас не победили, я понял, что нам еще есть куда расти как защитникам. Противостояние дало возможность поработать в считающихся нереальными условиях абсолютного админского косяка: default permit на пограничном firewall и неконтролируемое появление дырявых серверов в DMZ. Как некоторый итог, для проверки степени защищенности инфраструктуры необходим определённый checklist, с которым нужно сверяться.

PHDays CTF: "Противостояние" глазами "защитника". Часть 6. Нестандартный метод защиты SSH

Глазами "защитника": как мы участвовали в Positive Hack Days CityF "Противостояние". 

Часть 6. Нестандартный метод защиты SSH
С частью 5 (описание хода сражения)  можно ознакомиться постом ранее.

- Почему нам нельзя перенастраивать сетевое оборудование, если мы его защищать должны? Без этого никак.
- А, вы телеком-защитники. Тогда вам можно, но сервисы должны быть доступны и чтобы не терялось управление. Иначе мы подойдем к вам и спросим: "Что за дела?". Если не сможете быстро починить - вернем к настройкам до начала соревнований, а вам выставим штрафные баллы. Поэтому с изменением сетевых настроек будьте аккуратны.
- Это не проблема. А если для обеспечения безопасности нам нужно будет развернуть трафик по-другому, завязать узлом, но при этом все будет работать?
- Тогда мы придем к вам с бумажкой - записать, что и как вы делали, интересно ведь.

- А зачем ты на Positive Hack Days решил Balabit использовать? Чем он там поможет?
- Будем админов мониторить. Они обещали периодически на серверах взводить дырявые сервисы.
- Ну, как знаешь.

Это два реальных разговора при подготовке к PHDays. До определенного момента я сам не думал, что они будут настолько плотно взаимосвязаны. Естественно, после разговора с организаторами я подумывал, что надо бы и удивить, раз грозился. По ходу соревнований вектор настроения потихоньку сдвинулся от первоначального желания в сторону "забетонироваться". Но чудесным образом получилось так, что в итоге они слились. И об этом пойдет рассказ.

PHDays CTF: "Противостояние" глазами "защитника". Часть 5. Сражение

Глазами "защитника": как мы участвовали в Positive Hack Days CityF "Противостояние". 

Часть 5. Сражение
С частью 4 (ограничения для защитников и SOC)  можно ознакомиться постом ранее.

Итак, ранее я описал суть соревнований, техническое обеспечение и процесс подготовки, а также определенные ограничения для тандема из "защитников" и SOC. Также, если интересно, мнение о взломе ГЭС.

Стоит приступить к описанию самого процесса противостояния - так сказать, битвы, которая длилась 29 часов - с 11:00 17 мая 2016 по 16:00 18 мая 2016.

Предварительно командами защиты и оперативного реагирования было проведено:

• исследование сети;
• инвентаризация инфраструктуры;
• установка и преднастройка необходимых средств защиты;
• реконфигуринг и патчинг дырявых серверов;
• смена паролей, которые можно хотя бы запомнить.

Естественно, первое, что было сделано незадолго до начала - проверка работоспособности и инвентаризация ресурсов. Cразу же были обнаружены некоторые, доселе неизвестные нам, сервера, причем многие из них по факту скана оказались довольно дырявыми. Как я уже неоднократно писал, организаторы хотели шоу, и без таких фокусов было бы не очень весело.

PHDays CTF: "Противостояние" глазами "защитника". Часть 4. Ограничения

Глазами "защитника": как мы участвовали в Positive Hack Days CityF "Противостояние". 

Часть 4. Ограничения для команд защиты и оперативного мониторинга.
С частью 3 (мнение о взломе ГЭС)  можно ознакомиться постом ранее.

На официальном сайте конференции есть довольно пафосная цитата:

На этот раз вместо привычных соревнований CTF, мы устраиваем настоящие военные действия. События на площадке будут максимально приближены к реальности: на полигоне PHDays VI СityF развернется масштабная эмуляция городской инфраструктуры.

Вот насчет выделенного жирным и хотелось бы поговорить.

PHDays CTF: "Противостояние" глазами "защитника". Часть 3. Мнение о резонансном взломе ГЭС

Бои без правил. Организуется поединок между бойцами Орком и Гоблином. Бойцы начинающие, но публика козырная и при деньгах. Влиятельный любитель таких боев, чиновник, крышующий организаторов, делает очень крупную ставку на то, что Гоблин победит. И тут Орк наносит хороший удар в корпус, после которого Гоблин "плывет". Судья, вопреки правилам, засчитывает это как удар в пах, отводя в сторону Орка со штрафным очком и предоставив время на восстановление Гоблина. В процессе быстро шепчет Орку: "Тебе нужно лечь. Папа сказал". И Орк, отлично понимая, что даже если он победит и заберет приз, то в будущем карьера бойца в этой организации для него закрыта, начинает быстро соображать, глядя на постепенно приходящего в себя Гоблина, как подставиться под "нокаутирующий" удар, чтобы было правдоподобно и убедительно для зрителя.

Уже на следующий день после конференции PHDays-2016 весь Интернет пестрел новостями о том, как школьник взломал электростанцию и как хакеры после успешного взлома остановили ГЭС и затопили город. 
Я участвовал в составе "защитников" телекома, поэтому мнение основано на анализе ситуации и аналогиях с моей колокольни, но без знания деталей взлома SCADA.

PHDays CTF: "Противостояние" глазами "защитника". Часть 2. Подготовка

Глазами "защитника": как мы участвовали в Positive Hack Days CityF "Противостояние". 

Часть 2. 

С частью 1 (общее описание и введение) можно ознакомиться постом ранее.

Итак, наша сборная команда защитников телекома в тандеме с JSOC защищала публичные сервисы на базе IP, характерные для оператора связи: личный кабинет, портал, сервисы отправки платных сообщений, прочий VAS и т.п. Конечно, неотъемлемой частью нашей задачи было обеспечение безопасности сетевого оборудования.

По поводу команды: нам пришлось работать с коллегами-конкурентами, с которыми мы до этого не были знакомы, и я, когда только узнал об этом, думал, что сначала мы, как в "Мстителях", пересобачимся друг с другом, определяя, кто круче, а потом начнем дело делать. К счастью, я оказался неправ, и причина банальна: у нас не было на это времени. Негласный принцип был такой: если ты крут - красава, молодец, мы в тебя верим, твой талант признаем и не оспариваем, РАБОТАЙ! А я просто пересмотрелся боевиков :)

PHDays CTF: "Противостояние" глазами "защитника". Часть 1. Описание

Глазами "защитника": как мы участвовали в Positive Hack Days CityF "Противостояние". Часть 1.

17-18 мая 2016 года на конференции Positive Hack Days в Москве проводился характерный для крупных событий по практической информационной безопасности конкурс Capture The Flag (CTF). В этом году организаторы несколько модифицировали состязание, придав ему формат "противостояния" сил добра и зла в виртуальном городе, как и анонсировалось на сайте конференции PHDays-2016.

Естественно, что желающих попробовать свои силы в конкурсе было немало. Участников разделили не на 2, а на 3 функциональных направления:

• Хакеры - естественно, их целью было получить несанкционированный доступ к защищаемым ресурсам.
• Защитники - как очевидно из названия, главной задачей является предотвращение взлома и/или быстрое устранение его причин и последствий.
• SOC - оперативный мониторинг подозрительных событий информационной безопасности, оповещение "защитников", совместный анализ и реагирование на инциденты.

Поскольку я участвовал в этом соревновании в качестве члена команды "защитников" инфраструктуры телекоммуникационного оператора, то дальше расскажу о мероприятии глазами инженера по защите информации.