Публикации
2023 г. – новый этап практического применения CXL, статья
VMware сдвигает акцент в проекте Capitola на CXL, статья
Dell Validated Design for Analytics — Data Lakehouse: интегрированное хранилище данных, статья
OCP Global Summit: решения для Computational Storage и компонуемых масштабируемых архитектур, статья
Samsung CXL MemoryySemantic SSD: 20M IOPs, статья
UCIe – открытый протокол для взаимосвязи чиплетов и построения дезагрегированных инфраструктур, статья
Omni-Path Express – открытый интерконнект для экзафлопных HPC/AI-систем, статья
GigaIO: CDI_решение на базе AMD для высшего образования, статья
Энергоэффективные ЦОД на примерах решений Supermicro, Lenovo, Iceotope, Meta, статья
От хранилищ данных и “озер данных” к open data lakehouse и фабрике данных, статья
EuroHPC JU развивает НРС-экосистему на базе RISC-V, статья
LightOS™ 2.2 – программно-определяемое составное блочное NVMe/TCP хранилище, статья
End-to-end 64G FC NAFA, статья
Computational Storage, статья
Технология KIOXIA Software-Enabled Flash™, статья
Pavilion: 200 млн IOPS на стойку, статья
CXL 2.0: инновации в операциях Load/Store вводаавывода, статья
Тестирование референсной архитектуры Weka AI на базе NVIDIA DGX A100, статья
Fujitsu ETERNUS CS8000 – единая масштабируемая платформа для резервного копирования и архивирования, статья
SmartNIC – новый уровень инфраструктурной обработки, статья
Ethernet SSD, JBOF, EBOF и дезагрегированные хранилища, статья
Compute, Memory и Storage, статья
Lenovo: CXL – будущее серверов с многоуровневой памятью , статья
Liqid: компонуемые дезагрегированные инфраструктуры для HPC и AI, статья
Intel® Agilex™ FPGA, статья
Weka для AI-трансформации, статья
Cloudera Data Platform – “лучшее из двух миров”, статья
Fujitsu ETERNUS DSP - разработано для будущего, статья
Технологии охлаждения для следующего поколения HPC-решений, статья
Что такое современный HBA?, статья
Fugaku– самый быстрый суперкомпьютер в мире, статья
НРС – эпоха революционных изменений, статья
Новое поколение СХД Fujitsu ETERNUS, статья
Зональное хранение данных, статья
За пределами суперкомпьютеров, статья
Применение Intel® Optane™ DC и Intel® FPGA PAC, статья
Адаптивные HPC/AI-архитектуры для экзаскейл-эры, статья
DAOS: СХД для HPC/BigData/AI приложений в эру экзаскейл_вычислений, статья
IPsec в пост-квантовую эру, статья
LiCO: оркестрация гибридныхНРС/AI/BigData_инфраструктур, статья
 
Обзоры
Все обзоры в Storage News
 
Тематические публикации
Flash-память
Облачные вычисления/сервисы
Специализ. СХД для BI-хранилищ, аналитика "больших данных", интеграция данных
Современные СХД
Информационная безопасность (ИБ), борьба с мошенничеством
Рынки
PHDaysVI: хакеры не смогли взять город целиком

23, май 2016  —  4200 человек из разных стран мира стали свидетелями живого и несколько безумного праздника под названием PositiveHackDaysVI . За два дня на площадке произошли сотни событий. На первый взгляд, хакеры чувствовали себя полными хозяевами положения. На деле — в условиях максимальной защиты никто не продвинулся дальше периметра DMZ.

Возможно, через несколько недель или месяцев город все равно бы пал. Такую защиту не взламывают кавалерийским наскоком. Но зрители не могли наблюдать за растянутой во времени целенаправленной атакой. Они хотели видеть, как топят поселок и жгут провода ЛЭП. Для повышения зрелищности решено было немного снизить уровень безопасности, отключив часть систем. И вот тут все увидели, что такое недостаточное внимание к ИБ. Хакеры использовали любую оплошность: успешно атаковали GSM/SS7, отключали системы умного дома, удаляли резервные копии важных систем, выводили деньги из ДБО.

Форум наглядно показал, что бывает с незащищенной критической инфраструктурой. Специалисты по информационной безопасности в силах обеспечить очень высокий уровень защиты без нарушения технологического процесса — но развернуться так, как на PHDays , им дают очень редко. После отключения средств защиты нападающие проникли в технологическую сеть АСУ через корпоративную, атаковали физическое оборудование системы, взломали ГЭС, провели сброс воды, отключили линии электропередачи.

Так или иначе, захватить город CityF целиком — и выиграть соревнования — ни одной команде хакеров не удалось. Подробные райтапы и итоги конкурсов ожидаются совсем скоро, а сейчас мы расскажем о нескольких выступлениях второго дня.

Правила войны

«На Positive HackDays потрясающая аудитория. Я был очень впечатлен», — так начал свой доклад директор MicrosoftEurope по кибербезопасности Ян Нойтце, приехавший в Москву рассказать о разработке норм безопасности в области международных киберконфликтов. Оказывается, у Microsoft есть сформированная позиция по вопросу ведения «бесшумных» войн, что, впрочем, не должно удивлять: бюджет компании сравним с валовым продуктом некоторых стран. По словам Нойтце, кибератаки обходятся бизнесу в 3 трлн долларов. Количество взломов за прошлый год выросло на 78%, данные 160 млн пользователей были украдены. Среднее время обнаружения взлома составило 229 дней.

Согласно данным Нойтце, правительства 16 стран уже декларировали использование оружия кибернападения, а 45 заявили об активных мероприятиях по киберзащите. Около 100 стран сейчас разрабатывают законодательство для своего киберпространства. «Главное — это критическая инфраструктура, — заявил Нойтце. — В законодательстве каждой из стран должно быть четко сказано, что спецслужбы и военные не имеют права атаковать эту сферу. Это грозит глобальной катастрофой».

Атаки на корпоративную почту выросли на 270%

На секции «Технологии защиты и нападения — 2016: кто совершит прорыв» ведущие эксперты Positive Technologies ExpertSecurityCenter рассказали о последних значимых событиях в сфере защиты и нападения.

Дмитрий Скляров поделился новостями из мира реверс-инжиниринга. Среди прочего, рассказал о найденной уязвимости в системе защиты информации SecretNetStudio. Ее эксплуатация позволяет злоумышленникам повысить свои привилегии с гостевого доступа до администратора. Скляров отметил, что на данный момент не проводятся серьезных исследований сертифицированных продуктов, поэтому необходимо стимулировать производителей отдавать ПО на тестирование независимым исследователям и не ограничиваться только сертификацией ФСТЭК.

Дмитрий Курбатов считает, что не стоит полагаться на мобильную связь. Он представил результаты исследований защищенности сетей SS7, проведенных в 2015 году Positive Technologies. Статистика неутешительна: каждая мобильная сеть уязвима. В 89% случаев возможен перехват входящего SMS-сообщения, в 58% случаев — определение местоположения абонента, а в 50% — прослушивание звонков. Так, перехват входящих SMS-сообщений может быть использован для получения доступа к аккаунту мессенджера и электронному кошельку.

Одной из тенденций последнего года стали атаки с компрометацией корпоративной почты. По данным ФБР, их число выросло на 270%. В среднем ущерб от атаки на жертву составляет 25—75 тыс. долл. Подобной атаке подверглась и компания Positive Technologies. О подробностях инцидента рассказал Владимир Кропотов.

«Банки должны регулярно проводить анализ защищенности своих мобильных приложений, —считает Артем Чайкин. — Многие мобильные банковские приложения неправильно реализовывают работу с данными, которые получают». Он рассказал слушателям об эволюции вредоносного ПО и нюансах механизмов защиты пользователей банковских приложений.

Heart b leed, Shellshock, G host, Badlock — это неполный список уязвимостей, которые стали брендом. Не только разработчикам интересно внимание прессы. Появился своего рода тренд, когда исследователи придумывают целую пиар-компанию, чтобы рассказать о найденных уязвимостях. Но какие из них действительно критически опасные, а про какие можно сказать «много шума из ничего»? Разбирался в этом вопросе Арсений Реутов.

«Ваши данные могут утечь практически бесплатно, если вы используете уязвимое ПО», — уверена Юлия Воронова. По словам эксперта, злоумышленники редко атакуют конкретного заказчика, в основном они отталкиваются от уязвимостей в продуктах. Хакеры находят уязвимости, применяют эксплойты и только потом ищут пользователей уязвимых продуктов и атакуют их. «Но не все так плохо, как раньше. Защита перестает быть догоняющей и становится опережающей», — подытожила Юлия.

SIEM или не SIEM, вот в чем вопрос

Алексей Лукацкий собрал представителей ведущих разработчиков систем SIEM , чтобы разобраться в предназначении продуктов этого класса. Вопросы были поставлены максимально жестко. Действительно ли SIEM приносит пользу или является очередной «вытягивалкой» денег из заказчиков? И чем отличаются их продукты. На секции собрались Евгений Афонин ( HPArcSight ), Олеся Шелестова (основатель RUSIEM ), Владимир Бенгин ( MaxPatrolSIEM ), Владимир Скакунов (Splunk), Роман Андреев ( IBMQ R adar ).

Алексей Лукацкий привел данные опроса за 2014 год, который проходил среди 800 компаний из разных стран мира в 30 отраслях, внедривших SIEM . 74% компаний ответили, что SIEM никак не повлиял на уровень безопасности: число инцидентов не уменьшилось. «Заказчики нередко ожидают, что SIEM сработает как серебряная пуля, что, будучи как-то установленной, система что-то им поймает, – прокомментировал результаты опроса Роман Андреев. — Не исключено, что у трех четвертей респондентов просто не было понимания, что им надо ловить». В зале заметили, что в задачи SIEM входит выявление инцидентов и их расследование, а не влияние на количество опасных событий. Евгений Шумский из IBM предложил смириться с этими цифрами как с неизбежным злом, вызванным повышенной сложностью продуктов данного класса: «Системы SIEM настолько многообразные существа, что каждый заказчик использует их по-своему. Применяют в качестве антифрод–систем, вычисляют KPI службы безопасности, автоматизируют выявление инцидентов. Для некоторых компаний SIEM — это просто необходимость раз в месяц зайти в дашборд и посмотреть, что происходило на маршрутизаторе».

«Я не соглашусь с цифрами опроса, — заявил Владимир Бенгин ( PositiveTechnologies ). — Ситуация еще хуже. За последние полгода я обошел около 100 заказчиков. Мы внедрили 15 проектов MaxPatrolSIEM и провели десятки пилотных проектов. Почти везде, куда я приходил, SIEM уже был. Он лежал на полочке. По моей статистике, эффективно работает одна из десяти SIEM -систем, так как системы этого класса продают только функционал. У кого больше сравнительная таблица — тот и победил. Когда я выбираю машину, этих опций гораздо меньше. Главная ошибка производителей — они не продают экспертизу. По моему опыту, системы SIEM работали только в тех нескольких компаниях, где был сформирован отдел из десятка специалистов по безопасности. Данный подход в SIEM -системах нам не нравится. Он не работает. Поэтому PositiveTechnologies пошел по другому пути, сделав систему, способную работать практически из коробки. В нашей парадигме SIEM — лишь один из кирпичиков будущей платформы».

Преступников можно вычислить по доменам

Аналитик угроз информационной безопасности FidelisCybersecurity Джон Бамбенек выступил на форуме с докладом «Выявление инцидентов безопасности путем эксплуатации свойств отказоустойчивости инфраструктуры злоумышленника». Он привел примеры техник, которые используют злоумышленники, рассказал про алгоритмы генерирования доменных имен. Существуют такие закономерности, когда злоумышленники регистрируют большое количество доменов или сервисов снова и снова. В контексте расследования, зная закономерности их поведения, можно отслеживать преступника до тех пор, пока он не ошибется. «Преступник должен быть удачлив всегда. В долгосрочной перспективе это сложно. Чем больше они действуют, тем больше вероятность ошибки», — считает Джон. Аналогичную тему мы затронули в блоге PositiveTechnologies на Хабре.

Андрей Масалович об отравленной капле

Большой интерес вызвал доклад Андрея Масаловича «Выживший». Он рассказал, как подготавливаются информационные атаки. Целый арсенал средств информационного воздействия используется в «войне за мозги». В частности, в дуэте тролля и бота теперь новый игрок — Фея с пипеткой. Традиционный рынок живет по модели трехмерного взрыва. Искусственные информационные всплески действуют по аналогу двумерной волны: капля упавшая на воду, дает круги, а если она попадет в хорошее место, то дает большую волну. Так работает и Фея с пипеткой, которая капает в нужное место одну отравленную каплю.

Пожалуй, самой интригующей частью выступления стала демонстрация примеров социальных портретов участников массовых обсуждений — политиков, медийных персон, обычных пользователей, вербовщиков и их жертв. Глядя на эти карты, невольно содрогнешься: даже если человек не раскрывает информацию о себе в своем аккаунте, его все равно можно вычислить, просто изучив второй круг его знакомых. Естественно, подобный метод экспресс-анализа социального портрета используется и в целях безопасности, что на примере портретов экстремистов и показал Масалович.

Этика продавца уязвимостей

Выступление Альфонсо де Грегорио было посвящено рынку эксплойтов, его участникам, деятельности брокера уязвимостей нулевого дня — и соответствующим аспектам деловой этики.

«Однажды японский коллега задал мне один щекотливый вопрос, — рассказывает Альфонсо. —Что я думаю о моральной стороне такого процесса, как торговля информацией об уязвимостях и эксплойтах нулевого дня? Признаться, в тот момент этическая сторона меня волновала гораздо меньше экономической. Интереснее для меня был вопрос, кто виноват больше: те, кто эксплуатируют уязвимости, или разработчики некачественного софта?»

Альфонсо сформулировал этику торговца уязвимостями. Первое правило: не сотрудничать с компаниями, которые замечены в нарушении человеческих прав. Второе правило: не угрожать здоровью людей: например, не продавать уязвимости в медицинском оборудовании. Точно также нельзя торговать украденной инсайдерской информацией. Третье правило: избегать конфликта интересов. Еще один запрет касается излишней эксплуатации: продавец должен указывать максимальное число атак или целей. Кроме того, согласно этической конструкции Альфонсо де Грегорио, нельзя играть за обе команды в одном матче, то есть помогать и атакующим, и защитникам.

200 долларов за минуту

Сергей Голованов из «Лаборатории Касперского» рассказал о происшествии в одном из банков, когда команду специалистов по безопасности ЛК вызвали со словами «Приезжайте поскорее. Час не потерпим. Каждая минута стоит нам 200 долларов».

По пути в банк мы немножко нервничали, объезжая пробки. Было подозрение, что услышали какой-то «маркетинговый булшит» — озвученная цифра представлялась нам художественным преувеличением. По приезду оказалось, в системе засел crontab . Все так и было: каждую минуту 200 долларов улетали неизвестному адресату. И такие транзакции осуществлялись в течение нескольких недель.

После этого началась работа. В банке стоял сервер на Linux с открытым доступом по SSH . Сервер смотрел напрямую в процессинг. Общение между банком и процессингом шло через HTTP с помощью POST -запросов. Эти запросы определяли, куда переводить деньги, с какого счета и прочее. Как банк заметил неправильные транзакции? Представьте: сидит такой специалист процессинг-центра ночью. Тишь да гладь, никаких транзакций. И только один банк каждую минуту отправляет 200 долларов. Из процессинг-центра позвонили в банк. Ребят, что вы делаете? Банкиры проверили и очень удивились. Они этого не делали. Скрипт crontab просто по «курлу» отправлял деньги.

Позвали админа и спрашиваем у него пароль для SSH . Пароль оказался Sonic 17. Посмотрели логи авторизации и видим, что ребята брутфорсили пароль тремя попытками в неделю. У них это заняло два месяца! Злоумышленники выяснили базовое слово пароля, а потом начали перебирать цифры. Делали они это по субботам, поэтому мы знали, что это не евреи. Начали искать точку входа. Нашли. На сайте онлайн-банка, обслуживающего юридических лиц, был найден скрипт info –. asp . Он ничем не отличался от info . asp . Единственная разница — внизу была строка, отправляющая SQL -запрос, который сразу исполняется на базе данных банка. Вначале решили, что это ошибся разработчик. Служба безопасности уже взяла паяльник и начала его искать. Но мы их попросили подождать и стали разбираться со скриптом, который делал запрос к базе онлайн-банка. После этого на этой базе начинал работать exe -файл, который делал туннель. Посмотрев на этот путь, можно было выяснить весь список использованных троянов: Meterpreter и Mimikatz в PowerShell , Powerpreter в obvious и PuTTYplink в whitelisted . Запросы шли от веб-приложения сквозь всю корпоративную сеть!

Целиком доклад Сергея «Copycateffect. От киберразведки до уличной кражи» и десятки других выступлений можно посмотреть на http://www.phdays.ru/broadcast/ .

За подробностями Positive HackDays VI можно следить на  сайте форума  и в твитере по хэштегу  #phdays .

***

Positive Technologies — лидер европейского рынка систем анализа защищенности и соответствия стандартам. Деятельность компании лицензирована Минобороны РФ, ФСБ и ФСТЭК, продукция сертифицирована «Газпромом» и ФСТЭК. Более 3000 организаций из 30 стран мира используют решения Positive Technologies для оценки уровня безопасности своих сетей и приложений, для выполнения требований регулирующих организаций и блокирования атак в режиме реального времени. Благодаря многолетним исследованиям специалисты Positive Technologies заслужили репутацию экспертов международного уровня в вопросах защиты SCADA- и ERP-систем, крупнейших банков и телекомов. В 2013 году компания заняла третье место на российском рынке ПО для безопасности и стала лидером по темпам роста на международном рынке систем управления уязвимостями. В 2015 году Gartner назвал Positive Technologies « визионером » всвоемрейтинге Magic Quadrant for Web Application Firewalls.

Подробнее : ptsecurity.ru , facebook.com/PositiveTechnologies , facebook.com/PHDays , twitter.com/ptsecurity .

Спонсоры форума Positive Hack DaysVI: « ЛабораторияКасперского », Axoft, « КРОК », Cisco, « Информзащита », Check Point, « ИнфоТеКС », IBS, Qlik, ANGARA, MONT, « НАГ » и ICL.

Медиапартнеры : « Хакер », SecurityLab, «RU БЕЖ », телеканал «PRO Бизнес », Anti-Malware.ru, Аналитический банковский журнал , Национальный банковский журнал , « Цифровая подстанция », « Открытая безопасность », «Computerworld Россия », BIS Journal, PC M agazine Russian Edition, Storage News, « Инфокоммуникации онлайн », « Компьютерра », JSON.TV, AppTractor, « БИТ . Бизнес & Информационные технологии », « Системный администратор », Bankir.Ru, « Популярнаямеханика », « Банковское обозрение », Information Security, Global CIO, единый портал электронной подписи iEcp.ru, BIS TV, « ИКС - МЕДИА », PC WEEK/RE, Apps4ALL, « Бизнес - журнал », журнал « ПЛАС ».

Публикации по теме
Рынки
 
Новости конференция

© "Storage News" journal, Russia&CIS
(495) 233-4935;
www.storagenews.ru; info@storagenews.ru.