PHDays VI：ハッカーは街全体を占領できませんでした

世界中の4200人の人々が、ポジティブハックの日VIと呼ばれる、活気に満ちたやや狂った休日を目撃しました。 2日で、サイトで数百のイベントが発生しました。 一見、ハッカーは状況を完全に把握しているように感じました。 実際、最大限の保護状態では、DMZの境界を越えて誰も移動していません。



おそらく、数週間または数ヶ月で街は倒れたでしょう。 そのような保護は騎兵隊の突撃によってハッキングされません。 しかし、視聴者は、時間をかけて標的を絞った攻撃を見ることができませんでした。 彼らはどのように村をdr死させ、送電線の線を燃やしたかを見たかった。 エンターテインメントを向上させるために、一部のシステムをオフにすることでセキュリティのレベルをわずかに下げることが決定されました。 そして、ここでは誰もが情報セキュリティに対する不十分な注意を見ていた。 ハッカーはミスを犯しました。GSM/ SS7を攻撃し、スマートホームシステムをオフにし、重要なシステムのバックアップを削除し、リモートバンキングからお金を削除しました。



フォーラムは、保護されていない重要なインフラストラクチャに何が起こるかを明確に示しています。 情報セキュリティの専門家は、プロセスを中断することなく非常に高いレベルの保護を提供できますが、PHDaysのように展開する機会が与えられることはほとんどありません。 保護装置を切断した後、攻撃者は企業ネットワークを介して自動制御システムの技術ネットワークに入り、システムの物理的装置を攻撃し、水力発電所に侵入し、放水を行い、電力線を切断しました。



いずれにせよ、ハッカーのチームがCityF市全体を占領し、競争に勝つことはできませんでした。 詳細なレイティングと競技結果がすぐに予想されます。そして、2日目のいくつかのパフォーマンスについてお話します（1日目の最高の瞬間についてはこちらをご覧ください ）。

戦争のルール

「ポジティブハックデイズには素晴らしいオーディエンスがいます。 私は非常に感銘を受けました。「モスクワのサイバーセキュリティ担当マイクロソフトヨーロッパディレクターのJan Neutzeがモスクワに到着し、国際的なサイバー紛争の分野での安全基準の開発について話しました」とレポートが始まりました。 マイクロソフトは、「サイレント」戦争の問題に関して形成された立場を持っていることがわかりましたが、これは驚くべきことではありません。同社の予算は、いくつかの国の総生産に匹敵します。 Neutzeによると、サイバー攻撃は企業に3兆ドルの費用がかかります。 昨年のハッキングの数は78％増加し、1億6千万人のユーザーのデータが盗まれました。 ハッキングの平均検出時間は229日でした。



Neutzeによると、16か国の政府はすでにサイバー攻撃兵器の使用を宣言しており、45は積極的なサイバー防衛策を発表しています。 現在、約100か国がサイバースペースに関する法律を策定しています。 「重要なインフラストラクチャは重要です」とNeutze氏は言います。 -各国の法律は、特殊部隊と軍隊がこの地域を攻撃する権利を持たないことを明確に述べるべきです。 これは世界的な大惨事です。」

企業メールへの攻撃は270％増加しました

セクション「Defense and Attack Technologies 2016：Who Who Breaks Break」では、主要なPositive Technologies Expert Security Centerの専門家が、防衛と攻撃の分野における最新の重要な開発について話しました。



Dmitry Sklyarovは、リバースエンジニアリングの世界からのニュースを共有しました。 とりわけ、彼はSecret Net Studio情報保護システムに見られる脆弱性について話しました。 その悪用により、攻撃者はゲストアクセスから管理者への特権を増やすことができます。 Sklyarovは、現時点では認証製品の本格的な調査は行われていないため、メーカーがFSTEC認証に限らず、独立した研究者にテスト用のソフトウェアを提供するよう奨励する必要があると指摘しました。



Dmitry Kurbatovは、モバイル通信に頼るべきではないと考えています。 彼は、Positive Technologiesが2015年に実施したSS7ネットワークセキュリティ調査の結果を発表しました。 統計は期待はずれです。すべてのモバイルネットワークは脆弱です。 89％のケースでは、着信SMSメッセージをインターセプトすることが可能であり、58％のケースでは-加入者の位置を判別し、50％では-通話を聞くことができます。 そのため、着信SMSメッセージの傍受を使用して、メッセンジャーアカウントと電子ウォレットにアクセスできます。



昨年の傾向の1つは、侵害された企業メールによる攻撃です。 FBIによると、その数は270％増加しています。 平均して、被害者への攻撃による損害は25〜75千ドルで、Positive Technologiesも同様の攻撃を受けました。 事件の詳細はウラジミール・クロポトフによって伝えられた。



「銀行はモバイルアプリケーションのセキュリティを定期的に分析する必要があります」とArtem Chaykin氏は言います。 「多くのモバイルバンキングアプリケーションは、受信したデータを適切に処理しません。」 彼は、マルウェアの進化と銀行業務アプリケーションのユーザーを保護するためのメカニズムのニュアンスについて聴衆に語りました。



Heartbleed、Shellshock、Ghost、Badlockは、ブランドになった脆弱性の不完全なリストです。 開発者だけがマスコミの注目に興味があるわけではありません。 研究者が発見された脆弱性について話すためにPR会社全体を思い付くと、ある種の傾向が現れました。 しかし、どれが本当に危険なのか、そして「何もないから多くのノイズ」と言えるのはどれですか？ この問題でアーセニー・ロイトフを理解しました。



「脆弱なソフトウェアを使用すると、データはほとんど無料で漏洩する可能性があります」と、ユリアボロノバは確信しています。 専門家によると、攻撃者は特定の顧客を攻撃することはめったになく、主に製品の脆弱性に反発されます。 ハッカーは脆弱性を見つけ、エクスプロイトを使用してから、脆弱な製品のユーザーを探して攻撃するだけです。 「しかし、すべてが以前ほど悪いわけではありません。 保護は追いつかなくなり、予定より早くなります」とジュリアは要約します。

SIEMまたはSIEMではない、それが問題です

Alexey Lukatskyは、このクラスの製品の目的を理解するために、SIEMシステムの主要な開発者の代表者を集めました。 質問は可能な限り厳しいものでした。 SIEMは本当に有益ですか、それとも顧客からのもう1つの「プル」ですか？ そして、彼らの製品の違いは何ですか。 セクションには、エフゲニー・アフォニン（HP ArcSight）、オレシア・シェレストヴァ（RUSIEMの創設者）、ウラジミール・ベンギン（MaxPatrol SIEM）、ウラジミール・スカクノフ（Splunk）、ローマン・アンドレーエフ（IBM QRadar）が集まりました。



Alexey Lukatskyは、2014年の調査からデータを引用しました。これは、SIEMを実装した30の業界の世界中の800社で実施されました。 74％の企業は、SIEMがセキュリティに影響を与えなかったと答えています。インシデントの数は減りませんでした。 「お客様は、SIEMが銀の弾丸のように機能することをしばしば期待します。インストールすると、システムは何かをキャッチします」と、Roman Andreevはコメントしました。 「回答者の4分の3が、キャッチに必要なものを理解していない可能性があります。」 聴衆は、SIEMのタスクには、危険なイベントの数に影響を与えるのではなく、インシデントを特定して調査することが含まれていることに気付きました。 IBMのEugene Shumskyは、このクラスの製品の複雑さが増すことによって生じる不可避の悪として、これらの数字を受け入れることを提案しました。「SIEMシステムは非常に多様な生物であり、各顧客が独自に使用しています。 不正防止システムとして使用され、KPIセキュリティサービスが計算され、インシデント検出が自動化されます。 一部の企業では、SIEMは月に一度ダッシュボードにアクセスして、ルーターで何が起こったかを確認する必要があるだけです。



「調査の数値には同意しません」とウラジミール・ベンギン（ポジティブテクノロジーズ）は述べました。 -状況はさらに悪い。 過去6か月にわたって、15のMaxPatrol SIEMプロジェクトを実装し、数十のパイロットプロジェクトを実施し、何らかの形で何百もの顧客と話しました。 そして、ほとんどすべてのSIEMがすでにそれを持っていることに注意すべきです。 しかし、「棚にある」という言葉の文字通りの意味では、統計によると、このクラスのシステムのメーカーは機能のみを販売しているため、10分の1のSIEMシステムが効果的に機能します。 比較表にもっとチェックマークがある人-彼が勝ちました。 彼らの主な間違いは、専門知識を売っていないことです。 実際には、SIEMシステムは、10人のセキュリティスペシャリストからなる部門が形成されている企業（および多くはありません）でのみ機能します。 私たちはこのアプローチが好きではありません-それは機能しません。 したがって、Positive Technologiesは別の道を歩み、ほとんどすぐに使用できるシステムを作成しました。 私たちのパラダイムでは、SIEMは将来のプラットフォームのレンガの1つにすぎません。」

犯罪者はドメインごとに計算できます

Fidelis Cyber​​security Information Security Threat AnalystのJohn Bambenekは、フォーラムで「攻撃インフラストラクチャの復元機能を利用したセキュリティインシデントの特定」で講演しました。 彼は、サイバー犯罪者が使用する技術の例を引用し、ドメイン名生成アルゴリズムについて話しました。 攻撃者が多数のドメインまたはサービスを何度も登録する場合、このようなパターンがあります。 調査の文脈で、彼らの行動の法則を知っていれば、犯人が間違われるまで追跡できます。 「犯罪者は常に幸運でなければなりません。 長期的には、これは困難です。 彼らが行動すればするほど、間違いの可能性は大きくなります」とジョンは言います。 HabréのブログPositive Technologies でも同様のトピックを取り上げました。

アンドレイ・マサロビッチ、有毒なドロップについて

非常に興味深いのは、アンドレイ・マサロビッチ「サバイバー」の報告でした。 彼は情報攻撃がどのように準備されているかを語った。 情報への影響の手段は、「脳のための戦争」で使用されます。 特に、トロールとボットのデュエットでは、新しいプレイヤーがピペットを持つ妖精になりました。 従来の市場は、3次元爆発のモデルに依存しています。 人工情報のバーストは、2次元の波と同様に機能します。水に落ちる水滴は円を描き、適切な場所に到達すると大きな波を与えます。 毒の滴を適切な場所に滴下するピペットを備えた妖精も同様です。



おそらく、スピーチの最も興味深い部分は、政治家、メディア関係者、一般ユーザー、採用担当者、および被害者など、マスディスカッションの参加者の社会的肖像の例のデモンストレーションでした。 これらのカードを見ると、思わず身震いします。たとえ自分のアカウントで自分の情報を開示していなくても、知り合いの2番目のサークルを調べるだけで計算できます。 当然のことながら、社会的肖像の同様の明示的分析方法もセキュリティ目的で使用されており、マサロビッチは過激派の肖像の例で示しました。

脆弱性売り手倫理

Alfonso de Gregorioのスピーチは、エクスプロイト市場、その参加者、ゼロデイ脆弱性ブローカーの活動、およびビジネス倫理の関連する側面に捧げられました。



「かつて日本人の同僚が私に1つの微妙な質問をしました」とアルフォンソは言います。 「ゼロデイ脆弱性やエクスプロイトに関する情報を取引するようなプロセスの道徳的側面についてどう思いますか？」 認めるに、その瞬間、倫理的側面は経済的側面よりも私をそれほど心配しませんでした。 「私にとってより興味深い質問は、誰がもっと責任を負うべきかということでした。脆弱性を悪用する人、または低品質ソフトウェアの開発者ですか？」



アルフォンソは、脆弱性トレーダーの倫理を策定しました。 最初のルール：人権侵害で見られる企業と協力しないでください。 2番目のルール：人の健康を脅かさないでください。たとえば、医療機器の脆弱性を販売しないでください。 同様に、盗まれたインサイダー情報を取引することはできません。 3番目のルール：利益相反を回避します。 別の禁止事項は、乱用に関するものです。売り手は、攻撃またはターゲットの最大数を指定する必要があります。 さらに、Alfonso de Gregorioの倫理的設計によれば、同じ試合で両方のチームでプレーすることはできません。つまり、攻撃者と防御者の両方を助けることができます。

1分あたり200ドル

Kaspersky LabのSergei Golovanovは、セキュリティ会社のセキュリティ専門家チームが「すぐに戻ってきてください。 時間は寛容ではありません。 1分ごとに200ドルかかります。」



銀行に行く途中、私たちは少し緊張して、渋滞を旋回していました。 ある種の「マーケティングの弾丸」を聞いたという疑いがありました-発表された数字は、私たちにとって芸術的な誇張のようでした。 到着すると、crontabがシステムに入ったことが判明しました。 すべてがそうでした：毎分200ドルが未知の宛先に飛びました。 そして、そのような取引は数週間にわたって行われました。



その後、作業が始まりました。 銀行には、SSH経由のオープンアクセスを備えたLinuxサーバーがありました。 サーバーは処理を直接見ました。 銀行と処理の間の通信は、POST要求を使用してHTTP経由で行われました。 これらの要求は、どこにお金を転送するか、どの口座からなどを決定しました。 銀行は間違った取引にどのように気づきましたか？ 想像してみてください。そのような処理センターの専門家が夜に座っています。 静かでスムーズ、トランザクションなし。 そして、毎分200ドルを送る銀行は1つだけです。 処理センターから、彼らは銀行と呼ばれました。 君たちは何をしているの？ 銀行員はチェックし、非常に驚​​いた。 彼らはこれをしませんでした。 crontabスクリプトは、「カール」で送金しました。



彼らは管理者に電話し、SSHのパスワードを尋ねました。 パスワードはSonic17であることが判明しました。 認証ログを調べたところ、週に3回の試行でパスワードが総当たり攻撃されていることがわかりました。 彼らは2ヶ月かかりました！ 攻撃者はパスワードの基本語を把握し、数字の分類を始めました。 彼らは土曜日にこれをしたので、彼らはユダヤ人ではないことを知っていました。 エントリーポイントを探し始めました。 見つけた。 情報– .aspスクリプトは、法人をサービスするオンラインバンクのWebサイトで見つかりました。 info.aspと違いはありませんでした。 唯一の違いは、SQLクエリを送信した最終行です。これは、銀行のデータベースですぐに実行されます。 最初は、開発者が間違っていると判断されました。 セキュリティサービスは既にはんだごてを取り、それを探し始めました。 しかし、私たちは彼らに待つように頼み、オンラインバンキングデータベースにリクエストを行うスクリプトの処理を開始しました。 その後、トンネルが作成していたexeファイルがこのベースで機能し始めました。 このパスを見ると、使用されているトロイの木馬の全リストを見つけることができます。PowerShellのMeterpreterとMimikatz、明白なPowerpreter、ホワイトリストに記載されたPuTTY plinkです。 要求は、企業ネットワーク全体を介したWebアプリケーションから送信されました。



Sergeyによるレポート全体「Copycatエフェクト。 サイバーインテリジェンスから街頭盗難まで」および他の多数の出現はwww.phdays.ru/broadcastで見ることができます。



Positive Hack Days VIの詳細は、フォーラムのウェブサイトとTwitterのハッシュタグ＃phdaysで確認できます。