PHDaysの発見は終わり、数千人が私たちの仮想都市を通過し、レポートを聞いた人はわずかに少なくなりました。 ホールは空で、ハッカーはディフェンダーを破壊しようとしました。 防御側は、ハッカーと戦うために攻撃を確認しようとしました。 そして、悲しいことさえないにしても、すべてはなんとなく悲しかった。
WTC(世界貿易センター)のPHDaysにいた人は、おそらくすべてがそこに配置されていることを覚えているでしょう。 左側にハッカーのテーブル、右側に防御者のテーブル。 それらの間には、都市のモデルと機器を備えた複数のラックがあります。 ラックには、通常、意味をなさない機器やサーバールームに置くのが面白くない機器があります。 これは、たとえば、都市のレイアウト用のコントローラを備えたキャビネット、産業用制御システム、いくつかのアクセスポイント、スイッチ、および現場で必要なものすべてが揃ったキャビネットを備えています。 なぜなら イベントの準備はオーガナイザーにとって本当に深刻な負担となります。ラックに機器を配置して接続するための主な基準は、1つになります-働くこと。
だからここに。 夕方の10時、誰もがその日の賑わい、大声でのスピーチ、音楽にもううんざりしています。 最後に、ホールを歩き回り、足を伸ばします。 攻撃者は長い間、スイッチのあるオープンラックを見てから、「直接接続するとどうなりますか?」という質問をしました。ラップトップとアクセスポイントをこれらのスイッチの1つに直接接続してみましょう。 幸いなことに、主催者はいないか、明示的に干渉しませんでした。
最初、私たちのチームはこれらの接続の試みを遠くから見ていた。 しかし、情報の完全性、機密性、アクセシビリティを確保するには、物理的なセキュリティに注意する必要があることを常に思い出しました。 ネットワークのすぐ近くのセグメントに攻撃チームが存在することは、私たちをまったく喜ばせなかったからです。 すぐに、いくつかのチームから強力なディフェンダーのグループが結成されました。チームは、安全でないデバイスを制御システムネットワークに接続しないよう丁寧に要求しました。 これは緊急事態につながる可能性があり、たとえば精製所での火災など、仮想都市に何かが起こる可能性があります。 戦いはさまざまな成功を収めましたが、その利点は防御側に有利でした。
しかし、ハッカーチームはまともで機知に富んでいました。 ラックで闘争が行われている間、攻撃者はアクセスポイントをオーガナイザーのスイッチに直接接続しました。これは比較的静かに行われました。スイッチはテーブルの下にあり、イベントのすべてのテーブルはそのような大きなテーブルクロスで覆われていました。 しかし、これはディフェンダーのチームを通過しませんでした。 アクセスポイントを切断し、所有者がアクセスポイントに来るまで待機し始めました...
それは2017年でした。 場所、ラックなどを整理するという点で2018年はそれほど違いはありませんでした。 そのため、過去数年間の経験、丁寧な力の戦術を考慮に入れて、ソーシャルエンジニアリングを少し加えました。 攻撃者が夜に私たちに接続しようとすることを知って、準備しました。
- 私たちは、責任範囲内のすべてのネットワーク機器を分析しました。
- 管理アクセスを取得しました(この状況では、最も愚かなことは、夜間にMOXスイッチのパスワードをリセットすることでした-サイバーバトルの準備を急いでいたときに、そのパスワードが失われました)。
- スイッチポートのステータスが変化した場合にアラートを設定します。
- 彼らは別のことをしました。
そして今、すでに2018年に夜のスタンドオフがありました。 オーガナイザーは(まったく)いませんでした。 基本的にすべてが繰り返されます。 攻撃者は最初に単一の接続試行を行ってから、より積極的かつ積極的に接続しました。 しかし、私たちも学んでいます。 セキュリティのセットアップは開始されませんでしたが、スイッチの未使用ポートは無効になりました。 誤ってまたは故意にコントローラーを無効にしないために、フリーポートに何かを熱心に接続し、wiresharkとtcpdumpを不思議に聞いた多くの人々と混同しました。 彼らは長いパッチコードを貼り付け、動作中のポートを探し、何かアドバイスをしました-一般的に、目立たないようにしようとしましたが、ネットワーク接続の点で安全なインフラストラクチャを変更しませんでした。 1つのケースがありました:攻撃者の1人がラップトップをポートに接続し、リンクは上昇しませんでしたが、彼は頑固にwiresharkで何かを待っていました...
2018年に物理接続ですべてがうまくいった場合、そのようなことはワイヤレスネットワークでは機能しませんでした。 そして夜、ACS TPキャビネットのアクセスポイントからのパスワードが強制され、すぐに保護されたネットワークセグメントにアクセスしました。 大量のアラートを見たとき、攻撃がどのセグメントとどのポートにあるのかをすばやく把握し、アクセスポイントへのアップリンクを切断しました。 おそらくこれは完全に正直ではありませんでしたが、主催者は眠っていて、攻撃を防ぐために行動を調整する人はいませんでした...
2019年、イベントの主催者は会場を含むPHDaysのCTFの形式をわずかに変更しました。 これがどのように見えるかの完全な詳細はまだ知られていない。 そしておそらく、物理的な保護の問題はそれほど深刻ではないでしょう。 それにもかかわらず、私たちはもっと面白くて難しいコンテストを約束されています。 残り時間はほとんどありません。PHDays-2019がもたらす驚きを見つけましょう。
イリヤ・サプノフ、Jet Infosystemsの情報セキュリティセンターの設計グループ長