Що було на PHDays V: ознаки перехоплення GSM-сигналу, найкращий час для злому Wi-Fi, майбутнє шифрування

Наша взаимовыгодная связь https://banwar.org/

Дата публікації: 29 травня 2015

Технологічна сингулярність очікується тільки через 15 років, але фазовий перехід Positive Hack Days відбувається прямо зараз. П'ятий форум відвідали рекордне число учасників - понад 3500 осіб, що порівняно з провідними міжнародними хакерськими конференціями, а кількість доповідей, секцій та різних активностей перевалило за сотню. На майданчику відбулася неймовірна конкурсна програма зі зломом ракет, електропідстанцій, банкоматів, залізниці, а головні хакерські змагання року PHDays CTF виграла команда More Smoked Leet Chicken, краще за всіх досягнувши успіху в захоплюючих біржових спекуляціях, - вітаємо! Але про все це ми детально розповімо трохи пізніше. В даному матеріалі коротко розглянемо ряд суто практичних технік і рекомендацій, які ми відзначили 26 і 27 травня в ЦМТ.

Колір дня проти соціальної інженерії

Засновник першої в світі тематичної інтернет-майданчики social-engineer.org Кріс Хаднагі на PHDays в доповіді «Соціальна інженерія жартома і всерйоз» поділився досвідом захисту бізнесу від атак хакерів, що використовують психологічні методи. Одна з його історій була про вагітну дівчину, яка зуміла проникнути в критично важливу частину офісу - в серверну кімнату, захищену різними засобами аутентифікації.

На питання, чи не хочемо ми, щоб люди, вивчивши всі види психологічного впливу, ставали бездушними роботами, Кріс Хаднагі відповів, що змінюються тільки технології, а люди завжди залишаться людьми, і привів ще один приклад зі своєї практики. В одній з компаній на корпоративному сайті щоранку стали розміщувати зображення з кольором дня. І в разі вішінгових атак, коли зловмисник видає себе за співробітника IT- або HR-відділу з метою з'ясувати конфіденційну інформацію, працівникові досить було ввічливо поцікавитися сьогоднішнім кольором дня. Ми використовуємо пропуску для входу в офіс, своєрідні пропуску повинні бути і у інших каналів доступу, і в цьому немає нічого поганого.

Як дізнатися, що телефон прослуховують

Сергій Харків в ході доповіді «Захист від перехоплення GSM сигналу» розповів про основні ознаки прослушки, а також про апаратних і програмних методах діагностики. Наприклад, щоб перемикання відбулося, атакуючому треба змусити ваш апарат підключитися до своєї віртуальної соте, інакше телефон знайде кращу альтернативу. Тому одним з ознак того, що ваш апарат під'єднали до віртуальної базової станції зловмисника, є висока потужність сигналу і неприродно висока значенням коефіцієнта C2, що відповідає за пріоритет вибору стільники.

На PHDays V взагалі приділяли багато уваги питанням безпеки мобільного зв'язку. Експерт Positive Technologies Дмитро Курбатов провів окремий майстер-клас по цій темі, після якого будь-який бажаючий міг взяти участь в конкурсі MiTM Mobile і спробувати проникнути в мережу нашого невеликого оператора зв'язку, спеціально створену для конкурсу. Учасники могли здійснити найрізноманітніші операції: перехоплення SMS, USSD, телефонних розмов, робота з IMSI-catcher, злом ключів шифрування за допомогою kraken і клонування мобільних телефонів. Райтап про найцікавіші моменти конкурсу буде незабаром опубліковано.

Навіщо хакери атакують на Олімпіаду

У круглому столі, присвяченому розслідуванню інцидентів в великих інфраструктурах, взяли участь Володимир Кропотов, Федір Ярочкин, Кевін Вільямс, Джон Бомбанек і інші фахівці із захисту інфраструктурних об'єктів. Зокрема, Кевін, будучи співробітником британської спецслужби NCCU, мав безпосереднє відношення до захисту Олімпіади в Лондоні, а Володимир представляв Positive Technologis, яка допомагала захищати ВГТРК на Олімпіаді-2014. Як зазначив Федір Ярочкин, в модель загроз при забезпеченні безпеки великих спортивних подій входять далеко не тільки хактивісти або хулігани, найбільш небезпечна категорія - різні види кримінального бізнесу, пов'язаного з тоталізаторам, де будь-яка зміна ситуації може принести високий прибуток. Кевін Вільямс розповів, що в Британії добре зарекомендувала себе практика співпраці з центрами CERT, які виступають як посередники між державними органами і компаніями.

Як допомогти системі запобігання вторгнень

Комп'ютерні зломщики навчилося збивати з пантелику механізми самонавчання, закладені в системах виявлення мережевих вторгнень. Фахівець зі штучного інтелекту Кларенс Чіо в своїй доповіді «Методи виявлення мережевих атак на основі технології самонавчання» розглянув ряд моделей, які застосовуються в IPS-системах, заснованих на PSA, кластеризації і т.д. Краще використовувати техніки, засновані на правилах або машинному навчанні? Кларенс Чіо вважає, що методи самонавчання (ML-техніки) прекрасні тільки в теорії, але в реальному світі вони поки не так вражають.

Найбезпечніша мобільна платформа

ІБ-експерти Денис Горчаков (який перейшов в Альфа-банк з Positive Technologies) і Микола Гончаров (МТС) в доповіді «Протидія мобільному Фродо на мережі оператора зв'язку» поділилися, зокрема, інформацією про найзахищенішою мобільну операційну систему. Почесне звання дісталося Windows Phone, для якої поки не було зареєстровано ще жодної серйозної епідемії. Що стосується, наприклад, iOS, то для цієї системи існує безліч додатків, що атакують пристрої як з джейлбрейком, так і без нього. З найпопулярнішою мобільною системою зовсім все погано, причому за даними Android Security Report 2015 року, рівень поширення шкідливого ПЗ для Android в Росії в 3-4 рази вище середнього.

Едвард Сноуден у вашій клавіатурі

Бездротові клавіатури не тільки здатні розрядитися в самий невідповідний момент, але і можуть розкрити вашу конфіденційну інформацію. На цю проблему звернув увагу Андрій Бірюков, системний архітектор з інформаційної безпеки в компанії MAYKOR, який розповів про концепцію keysweeper - простого пристрою на базі макетної плати Arduino в формі зарядки, яке перехоплює сигнали від клавіш, натиснутих на бездротової клавіатурі, і передає дані зловмисникові. Перевірка на віруси та вразливості комп'ютера може виявити шпигунську програму на ПК, але не захистить від keysweeper.

Браузер жертви як інструмент сканування

Дмитро бумів (ONsec), відомий фахівець з деанонімізація , В доповіді «Не nmap'ом єдиним» розповів, як можна сканувати внутрішню інфраструктури за допомогою браузера жертви без використання JavaScript (який може бути відключений, що потребують XSS) і не запускаючи nmap. Потрібно всього лише змусити жертву пройти по потрібному посиланню, дочекавшись, коли клієнт зайде на необхідний DNS-адресу.

Кращий час для лову Wi-Fi

Дослідник Олег Купрєєв в доповіді «Огляд маловідомих нюансів WiFi» звернув увагу на тимчасові періоди і погодні умови, найкращі для хакерів при зломі WiFi. Потужність високочастотного сигналу під час дощу буде нижче, тому для атаки на тисячі користувачів у метро хакер швидше вибере інший день. На DDoS-полювання на WFS за допомогою mdk3 зазвичай виходять за північ. Увечері робити це не тільки незручно (єдині не перетинаються канали - це 1, 6, 11), але і ризиковано, якщо перевантажувати сеанс кожен п'ять секунд, то у людини, яка дивиться, наприклад, серіал в онлайні після роботи, можуть виникати різні підозри . WAP Enterprise зламують вранці, коли в офісах включаються комп'ютери.

Як змусити вендора закрити уразливості

У березні ФСТЕК відкрила загальний доступ до офіційної бази даних загроз і вразливостей, де були описані понад півтори сотні погроз і понад 10 тисяч вразливостей. В ході круглого столу «Роль експертного співтовариства у формуванні банку даних загроз інформаційній безпеці» начальник управління ФСТЕК Росії Віталій Лютіков розповів, що однією з причин появи державного ресурсу була заборона юристів на посилання в документах РФ на сторонні CVE-бази. При цьому ФСТЕК прийняв на себе зобов'язання по перевірці вразливостей нульового дня і листуванні з виробником.

Уразливості onion-простору

Зберегти анонімність в onion-ресурсах всередині DarkNeta не настільки просто, як здається на перший погляд. Експерти «Лабораторії Касперського» Денис Макрушин і Марія Гарнаева розповіли, яку інформацію про користувача Tor можуть отримати зовнішні користувачі. Денисом, зокрема, для експериментів була розроблена пасивна система збору трафіку Exit-нода, яка володіла двома ключовими властивістю - пропускала трафік по всіх портах і містила в собі сниффер, відловлюють все HTTP-з'єднання з заголовком Referer. Якщо людина всередині Tor клікає на посилання і переходить у зовнішній веб, то цей пакет отлавливается. Виявлені сайти містили в основному оголошення про продаж паролів і древніх базах даних. Автори доповіді «Де закінчується анонімність в анонімних мережах» також з'ясували, що приблизно третина onion-ресурсів містять уразливості і дозволяють виконати довільний Javascript-код.

Масаловіч і пошук забутих файлів конфігурацій

Далеко не всі вміють настільки захоплююче розповідати історії, як п'ятиразовий учасник PHDays Андрій Масаловіч (ИНФОРУС), - після закінчення години глядачі вирішили не відпускати експерта з конкурентної розвідки та організатори продовжили доповідь «Ніяких відтінків сірого». Розповівши один зі своїх 700 порівняно чесних способів отримання доступу до логінів, паролів і баз сайту (вгадавши ім'я забутої адміном резервної копії файлу конфігурації CMS), Андрій перейшов до головної теми - необхідність виробити звичку сумніватися в достовірності мультимедійної, графічної і текстової інформації.

Нижче - демонстрація у Франції.

Визначення «фотошопа» на фотографіях

Проблеми достовірності інформації обговорили і на конкурсі Almaz Capital, де інвестиційний фонд проводив відкритий конкурс серед стартап-проектів в області кібербезпеки. Взяти участь в змаганні могли будь-які групи розробників та інженерів. Створювати свою компанію до цього етапу не було потрібно, але команда і прототип рішення повинні були бути представлені.

Грант у розмірі 1,5 млн рублів отримала компанія SMTDP Tech, яка придумала свого роду «антіфотошоп» - технологію для визначення виправлень у фотографії або відео. Дана розробка може бути корисна для виявлення фальсифікації зображень статичного білборда при фактичному продажі його декільком замовникам або підретушованого на фото автомобіля після аварії для страхування його заднім числом.

Яким буде шифрування

Радник Almaz Capital Уітфілд Діффі стояв біля витоків поняття «електронний цифровий підпис» та принципів асиметричного шифрування, а 26 травня поділився своїм прогнозами на PHDays. «Ми могли б зараз будувати справжні цифрові фортеці і підняти методи захисту інформації на нову висоту, якби на оборону витрачали стільки ж грошей, скільки на напад, - говорив Уітфілд Діффі з величезних плазмових екранів PHDays. - Сьогодні великі надії пов'язують з квантової криптографією, більш точний термін для якої - квантове розподіл ключів. Упевнений, ця технологія дозволить уникнути більшості проблем при транспортуванні, але я поки не знаю, як реалізувати це технічно, можливо, через радіо- або вібро-комунікації. Ще одна технологія, про яку ходять багато розмов, - гомоморфності шифрування, але я скептично ставлюся до такого виду шифрування - у людини просто може не виявитися досить продуктивного комп'ютера для розшифровки повідомлення ».

Лінгвісти вийдуть з тіні

Пильно вдивлялися в майбутнє і на секції « ІБ - професії майбутнього », Модератором якої був фахівець Positive Technologies Євген Міньковський, а серед учасників дискусії були присутні член Російської академії наук, директор одного з найбільших навчальних центрів, представники бізнесу і держави. Які спеціальності та технології будуть затребувані в галузі ІБ через п'ять років? А через п'ятнадцять? В кінці зустрічі проводилося голосування експертів, яке принесло досить несподіваний результат - головною ІБ-професією в майбутньому будуть ... лінгвісти. Втім, така точка зору цілком узгоджується з « Атласом нових професій », Опублікованому агентством стратегічних ініціатив Сколково. У цьому списку спеціальність «цифровий лінгвіст» названа в числі найбільш перспективних. Такі фахівці розроблятимуть лінгвістичні системи семантичного перекладу і обробки текстової інформації, а також нові інтерфейси спілкування між людиною і комп'ютером на природних мовах.

З відеоверсія цих та інших виступів, що прозвучали на PHDays, можна ознайомитися на сайті форуму за адресою: http://www.phdays.ru/broadcast/ .