Компания Positive Technologies провела 23 и 24 мая седьмой PHDays – конференцию и конкурс CTF для специалистов информационной безопасности. Нынешняя PHDays – это полгода подготовки, 1100 компаний-участников (из которых только 250 ИБ-компаний), 196 спикеров, 50 партнеров. За два дня форум посетило рекордное число участников – около 5000 из разных стран мира: Америки, Израиля, Кореи, Италии, Франции, Германии, Казахстана, Белоруссии, Индии, Польши и, конечно, России.
Конкурс среди хакеров CTF (Capture the Flag – борьба за флаг), который уже второй год проводится в формате «Противостояния», в этот раз был максимально приближен к реальности: в распоряжении участников был целый полигон с моделью мегаполиса, в котором помимо офисов, телеком-операторов, железной дороги, ТЭЦ и прочих объектов находилось множество IoT-устройств – целый виртуальный город. К барьеру были приглашены «хакеры», «защитники» и security operation centers (SOC). В результате хакерам удалось украсть деньги из банка виртуального города, перехватить SMS, компрометирующие меры, провести успешную атаку на электростанцию, ТЭЦ и нефтеперерабатывающий завод и перехватить автомобиль с украденными деньгами, взломав систему трекинга автотранспорта. Результаты исследований будут использованы для улучшения безопасности реальных критически важных объектов.
Была затронута на мероприятии и тема эпидемии шифровальщика WannaCry, который продемонстрировал слабость современных систем защиты. Причем основная проблема даже не в технической стороне вопроса, а в процессах. Исправления к уязвимости были опубликованы за два месяца до нападения шифровальщика. За месяц до нападения хакерская группа TheShadowBrokers опубликовала эксплойт, который к тому же начал активно распространяться в конце апреля, но без шифровальщика. Евгений Климов, технический директор «Информзащиты» отметил: «После публикации эксплойтов TheShadowBrokers на такой же конференции я спросил коллег, хорошо ли они провели выходные, потому что мы круглые сутки разбирали опубликованные эксплойты и готовили рекомендации для наших клиентов. Однако многие на профильной конференции даже и не слышали об опубликованном архиве эксплойтов!»
Кроме того, компании плохо знают свой периметр. Сергей Гордейчик, заместитель технического директора «Лаборатории Касперского» сказал: «Когда прошла атака, и к нам за помощью начали обращаться компании, мы запрашивали IP-адреса периметра их корпоративных сетей. Иногда в ответ приходил адрес сети /16, в которой может быть до 16,536 адресов». Такой ответ клиентов означает, что компания просто не знает своего периметра, поэтому не может его контролировать. Именно в этом причина возникновения проблем с обнаружением побочных открытых каналов проникновения WannaCry в корпоративные сети – через несанкционированные подключения.
Впрочем, как сообщил в эксклюзивном интервью для Connect Александр Гостев, ведущий эксперт «Лаборатории Касперского», сам WannaCry вырвался на просторы Интернета, скорее всего, по ошибке и раньше, чем этого хотели авторы «червя». Ведь тот самый домен, с помощью которого в результате остановили эпидемию, на самом деле предназначался для другого – для сбора сведений от жертв и генерирования одноразовых кошельков биткоина. Те три адреса, которые сейчас используются, были резервными на случай недоступности основного сервера. Предположительно, «червь» должен был в каждом конкретном случае генерировать уникальный кошелек и вместе с ключами шифрования пересылать его на указанный домен. Возможно, домен должен был быть в защищенной сети Tor, но во время отладки программисты вбили тестовый домен «от фонаря» в домене .com. Пикантность ситуации в том, что теперь авторы «червя» просто не могут прислать ключ дешифровки своим жертвам, поскольку у них нет информации о том, какие ключи какой жертве соответствуют. Таким образом, можно констатировать, что и у разработчиков вирусов тоже есть проблемы с периметром – они не всегда могут удержать внутри недоделанные вредоносы.
Валерий Коржов