Ответившие на «Кибервызов»

В сентябре в образовательном центре «Сириус» в Сочи проходила обучающая программа по основам информационной безопасности для студентов российских вузов — «Кибервызов: Новый уровень». Ее организаторами выступает фонд «Талант и успех» при поддержке компаний «Ростелеком» и «Ростелеком-Солар». В течение двух недель 40 юношей и девушек, прошедших несколько отборочных этапов, изучали основы пентестинга, компьютерной криминалистики, реверс-инжиниринга, криптографии и веб-безопасности. Каждый учебный трек заканчивался практическими заданиями, а весь курс завершился полномасштабными киберучениями с расследованием дела об отключении подсветки колеса обозрения в Сочи Парке.

Главный аттракцион Сочи Парка — 57-метровое «Колесо Времени» — обычно украшено яркой иллюминацией из 10 000 диодных модулей подсветки. Однако в тот сентябрьский вечер подсветка не работала. По легенде киберучений, ее отключил злоумышленник, получивший доступ к АСУ аттракциона. На самом деле эксперты «Лаборатории кибербезопасности АСУ ТП» компании «Ростелеком-Солар» и специалисты Сочи Парка создали отдельную инфраструктуру, имитирующую сеть управления автоматикой аттракциона.

Студентам необходимо было восстановить ее работоспособность, а затем расследовать инцидент с точки зрения информационной безопасности. Всего через три с половиной часа команда «Speedrun Кибервызова», обучавшаяся в «Сириусе», расследовала инцидент, установила, как преступник получил доступ к управлению аттракционом, и вновь включила иллюминацию на радость жителям и гостям города.

Весь курс «Кибервызов: Новый уровень» состоял из четырех треков. В начале каждого учащимся рассказывали про нормативные документы: федеральные законы, требования, классификации и тому подобное. Затем шли теоретические занятия с ведущими специалистами по кибербезопасности из «Ростелеком-Солар», после чего студенты должны были применить полученные знания на практике. Вспоминаем, как это было.

Трек первый: пентестинг

В треке пентестинга — анализа защищенности систем — задания делились на два типа. Первые — лабораторные работы, где начинающим киберзащитникам выдавали скриншоты и просили разобраться, что там не так.

Вот типичный пример: на скриншоте POST-запрос, при котором сервер может принимать для обработки данные из тела сообщения. Подобные запросы часто используются для загрузки файла или представления заполненной веб-формы. Студентам необходимо было выявить точки ввода данных для фаззинга (fuzzing) — так называют особую, широко распространенную в настоящее время технику поиска уязвимостей.

Фаззинг в далеком 1988 году придумал исследователь из Висконсинского университета Барт Миллер. В своей статье «The Fuzz Generator» он описал, как подсовывать программе заведомо некорректные или случайные данные, отлавливая ситуации, когда та не сможет их обработать и вылетит. Действенность такого подхода до сих пор велика — фаззинг и сейчас является одним из наиболее эффективных средств выявления проблем безопасности кода.

Точками ввода данных в программу могут быть: командная строка, бинарные данные из файла, строка для ввода текста в графическом интерфейсе или значение поля в каком-нибудь сетевом запросе. Помимо программы, фаззингу можно подвергнуть драйверы, COM-объекты, SWF- или веб-приложения. Web-based фаззеры работают в том числе на уровне HTTP и отправляют на веб-сервер специально составленные запросы для поиска ошибок в веб-приложении. Они есть почти в каждом сканере веб-безопасности, фаззер web-приложений — один из главных инструментов пентестера.

Вторая группа заданий — практические лабораторные, в которых ребята должны были на специально сооруженных стендах проверить уязвимость работающих систем. Для этого преподаватели подготовили три виртуальные машины, эмулировавшие реальную инфраструктуру. На каждой из них было развернуто несколько сервисов с рядом известных уязвимостей. Студентам необходимо было обнаружить и проэксплуатировать эти уязвимости, чтобы получить доступ внутрь каждой виртуальной машины.

Трек второй: анализ инцидентов и форензика

Для проверки полученных навыков студентов пускали в тестовую лабораторию «Ростелеком-Солар», где эмулируются реальные инциденты. Главной задачей в этом треке был анализ логов (лог-файлов) — журналов с полной системной информацией о работе сервера или рабочей станции, в которых занесены все действия пользователей и программ.

Например, на одной из машин в сети была запущена программа удаленного администрирования VuuPC. Требовалось выяснить, кто ее запустил. Есть ли признаки, что машина скомпрометирована? Является ли VuuPC орудием злоумышленника или частью легитимного инструментария администратора системы? Наблюдается ли какая-то необычная активность с учетными записями? Кто и когда их создал? Какими привилегиями они обладают?

В ходе исследования логов и последующей дискуссии ребята обнаружили, что программа удаленного администрирования обычно регулярно запускается в нерабочее время, например в три часа ночи. Более того, VuuPС функционировала на рабочей станции начальника управления производством, который вряд ли настолько глубоко погружался в проблемы администрирования компьютерных сетей на своем предприятии.

Вся совокупность подобных маркеров явно свидетельствовала о том, что в периметр компании, скорее всего, проник киберпреступник.

Второй тип заданий — анализ жестких дисков — дампов памяти и MFT-таблиц (баз данных, где хранится информация о содержимом каждого тома диска с файловой системой NTFS). Требовалось обнаружить любые следы или артефакты, свидетельствующие о компрометации хоста или какой-либо активности вредоносного программного обеспечения (вирусов, троянов, программ-вымогателей и так далее).

Третий трек: выявление атак на инфраструктуру компаний

Здесь происходила систематизация знаний, полученных на предыдущих занятиях. Для этого, например, разбирались недавние случаи реальных атак группировки киберпреступников Silence. Студенты должны были поставить себя на место сотрудника службы информационной безопасности и предложить стратегию и методы выявления подобных вторжений.

Заканчивался трек игрой, в которой были задействованы три тестовых инфраструктуры — «умный дом», «умная железнодорожная станция», «умная школа». Студенты делились на две команды.

Первая придумывала, как тот или иной тип инфраструктуры можно атаковать, какие в нем могут быть потенциальные уязвимости и слабые места (вплоть до таких забавных способов атаки, как «ходить за учителем с поддельной Wi-Fi-точкой»). А вторая, наоборот, разрабатывала способы защиты (сегментация сети, выделение хоста, антивирусы, настройка стойких паролей и так далее).

Одним из важных уроков, вынесенных студентами из этого трека, стало понимание, что попавший на АРМ (автоматизированное рабочее место) троян не всегда опасен: если рабочее место изолировано от интернета, у вредоносной программы нет никакой возможности связаться с центром управления злоумышленников, а значит, нет и возможности нанести урон организации.

Таким образом, если проведены определенные несложные организационно-технические меры, то рисками от проникновения каких-либо троянов, обходящих антивирусы или песочницы (специально выделенные изолированные среды для безопасного исполнения компьютерных программ), можно пренебречь.

С другой стороны, в ходе обсуждения одной из игр, связанной с защитой «умной железнодорожной станции», ребята пришли к выводу, что в современных условиях всеобщей автоматизации и цифровизации создать изолированный сегмент без доступа в интернет практически невозможно.

Финальный трек: выход в поле (а точнее — в парк)

Главной темой всей программы была защита АСУ ТП. В течение нескольких дней будущие кибердетективы изучали контролеры, способы их конфигурации, проблемы и уязвимости. После чего им предстояла практическая проверка знаний — киберучения в Сочи Парке.

Для их реализации эксперты «Ростелеком-Солар» и специалисты Сочи Парка создали отдельную инфраструктуру, имитирующую сеть управления автоматикой аттракциона «Колесо Времени». При этом доступ студентов к реальной инфраструктуре был ограничен исключительно возможностью взаимодействия с системой иллюминации.

По легенде, злоумышленники проникли в систему и отключили подсветку «Колеса Времени», а также максимально закрыли возможный доступ к системе, чтобы воспрепятствовать ее восстановлению.

Студентам надо было подключиться к консоли управления колеса обозрения, проанализировать настройки контроллера и выявить их изменения, восстановить работу иллюминации, а затем расследовать этот инцидент с точки зрения информационной безопасности: восстановить путь проникновения, использованные вектора атаки, найти цифровые следы на обнаруженных точках компрометации.

Подвох заключался в том, что система управления была изолирована от внешнего интернета. Однако, как ребята выяснили на тренингах по форензике, стыки АСУ ТП и открытых сегментов встречаются очень часто. Поэтому первоначальной целью стал поиск закрытой технологической сети внутри парка и восстановление к ней доступа после произведенных злоумышленниками переконфигураций.

Далее требовалось найти скомпрометированный киберпреступниками сервер терминального доступа, восстановить к нему доступ и обнаружить, каким образом он связан с контроллером подсветки колеса. После чего дело оставалось за малым — получить доступ к АСУ ТП, запустить приложение, управляющее включением и выключением подсветки, разобраться в его конфиг-файле, восстановить правильную конфигурацию и вновь зажечь огни на «Колесе Времени».

Восстановив последовательность событий, студенты поняли, что к АРМу оператора колеса с операционной системой Windows и прикладным ПО для управления подсветкой можно получить доступ с терминального сервера, один из интерфейсов которого был доступен из защищенной корпоративной Wi-Fi-сети парка. По легенде, она была защищена слабым паролем, который киберпреступники смогли подобрать простым перебором.

Спасать цифровой мир — со школьной скамьи

Подобные интенсивы крайне интересны талантливым ребятам, увлекающимся информационными технологиями. Кто в юношеском возрасте не мечтал взламывать компьютерные системы, насмотревшись фильмов о хакерах или прочитав «Младшего брата» писателя-фантаста Кори Доктороу? Очень важно вовремя направить таких ребят в цивилизованное, законное русло исследователей систем, пентестеров и белых хакеров, чья миссия — изучать и защищать, выполнять тяжелую, системную и кропотливую, но благородную работу.

Так, один из участников конкурса, студент МГТУ имени Баумана Александр Михайлов отметил, что впервые прошел программу «Кибервызов» в ноябре 2018 года, будучи еще школьником, а теперь вновь вернулся уже студентом. По его словам, студенческая программа «показала, что такое настоящий инфобез. Многие оказались не готовы к тому, что CTF (тип задач-соревнований Capture the Flag. — Прим. ред.) — не то, что ждет их в реальной жизни. Программу ведут настоящие профессионалы, интересный материал, крутая подача, все очень насыщенно, но при этом лампово».

«На рынке информационной безопасности наблюдается кадровый голод, тогда как технологии злоумышленников развиваются очень быстро. И хотя у нас традиционно довольно сильные технические вузы, они не успевают за отраслью. В итоге выпускники даже с хорошими базовыми знаниями не имеют представления о реальной профессии и требуется немало времени для погружения в практику. Подобные киберсмены мы проводим как раз для того, чтобы восполнить эти пробелы — чтобы ребята еще до завершения учебы начали разбираться в специфике информационной безопасности, определились со своей специализацией и смогли сразу включиться в работу — у нас или в другой компании», — отметила Мария Сигаева, заместитель генерального директора, директор по HR компании «Ростелеком-Солар».

Даниил Кузнецов