PHDays VI — позитивная атмосфера хакинга

IT-рынок
автор: Андрей Васильков  30 мая 2016

Одной из самых ярких ИТ-конференций уходящей весны стала Positive Hack Days – крупнейшая хакерская встреча, проводящаяся вот уже шестой год. 17 мая с лёгким сердцем и тяжёлой зеркалкой наперевес я оказался на открытии форума, посвящённого практическим аспектам защиты и взлома.

В день открытия PHDays VI у входа в Центр международной торговли Москвы собралась внушительная толпа. Организаторы позже подсчитали, что пришло более 4200 человек.

PHDays-VI-01

Форум шёл два дня и проводился одновременно на двух этажах. Параллельно были организованы выступления в пяти залах, многочисленные соревнования и конкурсы. Даже за полчаса до их начала порой было физически не подойти к выбранной локации. Люди сидели на полу между рядов и стояли плотной стеной ещё на дальних подступах в коридоре. Поэтому часто приходилось проникать через заднюю дверь, применять социальный инжиниринг, а то и просто снимать поверх голов, когда периметр надёжно охранялся.

PHDAys-VI-crowd

Поговорка «в тесноте, да не в обиде» оказалась здесь весьма точной. С докладами и практическими демонстрациями обычно выступали сами исследователи, разработавшие методики реверс-инжиниринга закрытых систем, способы перехвата управления чего угодно, а также обнаружившие любопытные уязвимости, написавшие эксплоиты, фреймворки, защитные утилиты и прочий специфический софт.

PHDays-VI-03

Разумеется, на конференции был Wi-Fi, и даже в избытке.

PHDays-Wi-Fi-01

Многие посетители подключались к общедоступным сетям сразу после подробного доклада о том, какие они могут представлять угрозы.

PHDays-Wi-Fi-02

Особенно забавно было наблюдать, что на хакерскую тусовку некоторые пришли с ноутбуками, на которых были настроены админские расшары и открыты все порты. Поначалу я решил, что это honeypots, но мёд в них был какой-то неправильный.

PHDays-Wi-Fi-03

Просто сканируя сети файловым менеджером со смартфона можно было найти много любопытного, но всё же самое интересное происходило в оффлайне. Прямо в холле напротив стойки регистрации отгородили место для конкурса CAR4ALL. В ходе него предлагалось взломать автомобиль BMW.

PHDays-VI-CANToolz-01

Как и большинство современных машин, BMW M5 – это целая локальная сеть на колёсах. Бортовой компьютер и множество микроконтроллеров объединены в ней между собой, а также со всевозможными датчиками и актуаторами по шине CAN, доступной через диагностический интерфейс. С помощью утилиты CANToolz можно получить дамп передаваемых по шине данных, выделить из них управляющие команды и отправить их как будто со штатных органов управления.

В ходе демонстрации метода с ноутбука заводили двигатель машины, разблокировали двери, опускали стёкла, включали фары и продолжали издеваться не столько над машиной, сколько над потерявшим управление водителем. Подробнее о конкурсе и возможностях утилиты смотрите в блоге разработчика CANToolz Алексея Синцова.

PHDays-VI-CANToolz-02

Общая информативность докладов на PHDays была высокой, хотя на их полную эксклюзивность рассчитывать не приходилось. Многие частично повторяли свои презентации с пятой конференции ZeroNights. Например, Эмиль Олейников вновь выступал с известной презентацией как автор отечественной разработки EAST Framework – основы для пентеста промышленных и медицинских систем.

PHDays-VI-04

Этот фреймворк интересен в первую очередь своими русскими корнями и лёгкостью использования. Он написан на Python и является кроссплатформенным. При его создании был сделан акцент на блочной архитектуре и простоте добавления своих модулей. В отличие от популярных аналогов зарубежного происхождения (Metasploit, CoreImpact, Canvas), EAST даёт возможность использовать полностью доверенный и относительно легко верифицируемый код, проще добывать и писать собственные эксплоит-паки.

Крупные компании всегда ищут новые таланты, и атмосфера форума для этого подходила как нельзя кстати. Молодых исследователей всегда выдают их вопросы и неподдельная заинтересованность, но ничто не говорит об их уровне так как демонстрация практических навыков.

PHDays-VI-05

Поэтому параллельно с выступлениями проходили многочисленные конкурсы по взлому. В конгресс-зале один из них был как раз посвящён промышленным системам (SCADA / АСУ ТП). Показать свои навыки предлагалось на разных макетах. Например, на стендах EAST4SCADA и CIA:Blackout очень наглядно воссоздавались объекты городской инфраструктуры. Весь хард был игрушечными, а вот софт – настоящим. По заданию атаковать нужно было электростанцию и другие ключевые объекты.

PHDays-VI-06

Пока все системы защиты были активны и настроены на максимально жёсткие правила, конкурсантам не удавалось прорваться дальше DMZ. Возможно, при запасе в несколько дней они и сумели бы найти обходные пути, но долговременные атаки выходили за рамки конкурса. Поэтому организаторы пошли навстречу и смоделировали более реалистичный сценарий – с админом-оптимистом и не самыми безопасными настройками.

PHDays-VI-07

После частичного отключения модулей защиты одному из участников конкурса Critical Infrastructure Attack: Blackout удалось войти в корпоративную сеть, а через неё попасть в технологическую подсеть АСУ ТП. Просканировав её, он обнаружил терминал удалённого управления трансформатором электростанции с открытым портом TCP 102.

Сначала с помощью стандартного MMS-клиента на него была отправлена команда отключения оборудования и произошёл кратковременный blackout. Затем семнадцатилетний учащийся десятого класса по схожему сценарию атаки обошёл защиту протоколов управления на модели подстанции высокого (500 кВ) напряжения. Он спровоцировал на ней короткое замыкание, отдав команду отключить блокировку и опустить заземляющие ножи. Для этого он воспользовался уязвимостью SCADA-систем Siemens через доступный в интернете инженерный софт.

Стенд для конкурса Critical Infrastructure Attack: Blackout (фото: Positive Technologies).

Стенд для конкурса Critical Infrastructure Attack: Blackout (фото: Positive Technologies).

Из-за возгорания подстанция вышла из строя. На ГЭС автоматике пришлось отключить генераторы и произвести аварийный сброс воды. Вскоре после серии НСД макет города стал похож на съёмочную площадку фильма-катастрофы. Он оказался обесточен и затоплен.

«Сегодня уровень защищенности промышленных протоколов недостаточно высок. Поэтому злоумышленник, которому удастся получить доступ к оборудованию электрической подстанции, может нанести крайне серьезный ущерб, даже не обладая высокой квалификацией», – отмечает эксперт Positive Technologies Илья Карпов.

PHDays-VI-08

В перерывах между докладами и конкурсами можно было сходить в обычный бар или найти робота-бармена, который наливал нанопорцию пунша за каждую серию правильных ответов. Вопросы были простыми, а правильный ответ легко угадывался среди шуточных. Однако, чтобы наполнить таким образом хотя бы половину стакана, требовалось проявить изрядное терпение… или взломать робота вне конкурса.

PHDays-VI-09

Другой робот на форуме был деревянным. Он изображал гуманоидный гибрид марсохода и скворечника, раздавая визитки и демонстрируя разные эмоции. В основном он сердился, когда кто-то всерьёз воспринимал его предложение положить руку ему в рот для предсказания будущего. Жаль, что в него не уместились ни сканер отпечатков, ни шредер.

PHDays-VI-02

На второй день форума мне удалось побеседовать с Даном Корецким и узнать подробности о представленном им методе атаки на устройства с ОС Android. Впрочем, это уже совсем другая история.

Поделиться
Поделиться
Tweet
Google
 
Читайте также
CWA vs FBI — явки, пароли, адреса
CWA vs FBI — явки, пароли, адреса
BMW устранила уязвимость в системе управления автомобилем в моделях BMW, Mini и Rolls-Royce.
BMW устранила уязвимость в системе управления автомобилем в моделях BMW, Mini и Rolls-Royce.
304
Bad USB — как новая атака реализована в разных устройствах
Bad USB — как новая атака реализована в разных устройствах
  • AlexHa

    Я думал, хакерские форумы проводят в интернетах. Сколько стоила аренда центра международной торговли на 2 дня, кто её оплатил и с какой целью? По поводу BMW — взламывать предлагалось через диагностический разъём? Так там же наверное связь с общей шиной через отдельный САN контроллер, а на нём фильтр — шибко не забалуешь. Не говоря уже о том, что до того разъема нужно ещё как-то добраться физически. То, что с диагностического разъема удавалось завести двигатель и разблокировать двери изнутри салона, странновато, но вполне возможно, безопасности машины это не сильно угрожает. Вот если бы к примеру, удалось тронуть машину с места или отключить тормоза, это было бы интереснее. Или разблокировать двери снаружи через беспроводную связь. И чем примечательна эта утилита с описанием на английском? Таких утилит пруд пруди, к каждому приличному переходнику USB-CAN прилагается подобный софт. А эта прога непонятно к какому железу с какими дровами. Хотя, возможно, там и было где-то написано, мы по-басурмански не разумеем. Хрень в общем какая-то, организованная неизвестно кем.

    • плотник

      Так может BMW и есть один из главных спонсоров. (Ради этого слова «BMW» всё и затевалось)

    • Doctor Y. Doodle
      • AlexHa

        В статье про это ничего не написано.

        • Doctor Y. Doodle

          Хм. Ваша правда.
          Я-то с PHD и PT знаком по постам уже многажды раз мной помянутого Лёхи Андреева, который у них «технопиарщиком» сейчас работает.
          С другой стороны, Гугл еще никто не отменял.)

          • AlexHa

            А не заинтересовало, потому и искать ничего не стал. Программу CANовскую посмотрел для порядка.

        • Alexander I. Quant

          В следующий раз специально для вас напишут, что IDF устроила Intel, а презентацию новой версии Android провела именно Google, а не какая-то другая компания.

          • AlexHa

            Было бы неплохо. Кстати, всегда пишут. И про гугл, и про интел.

  • Demshin

    КЗ транса: Интересно, на сколько это реально в боевых условиях, когда у тебя нет ни схем электрических принципиальных, ни маппинга, ни даже проекта СКАДы… ничего что бы связывало тебя с низом?

    • Alexander I. Quant

      Используйте Shodan и Censys, посмотрите сами насколько это реально.

  • kue

    Сидит кодер Эйдельман
    У него открыт карман
    Но это просто хитрый план —
    Там внутри стоит капкан

  • Неплохо

  • Denis Kri

    А у меня вопрос : А почему электростанция и другие ключевые объекты имеют выход в интернет ? Ладно , можно предположить что это для быстрого сбора информации и реагировании спец служб , но тогда почему аппаратура тоже подключена ?

    • kue

      Это чтобы рассказать всеми миру как хакеры из Мордора ломают маленькие и беззащитные станции эльфов )

    • Demshin

      Пускай она будет хоть сколько подключена к сети, но у контроллеров нижнего уровня свой софт, обойти который можно только загрузкой новой программы или по протоколам производителя, и спец софтом поменять программу в онлайне. Такова особенность операционных системы современных ПЛК — иметь только одну дырку и минимум гибкости.

  • Demshin

    Я пишу программы для ПЛК с 2004 года. Дать возможность в программе PLC выставить ножи заземления под нагрузкой, это каким кретином нужно быть. Это базовая релейная защита объектов электроснабжения. За такие программы уголовная статья предусмотрена. Менеджмент РАКУРС-а был бледный, когда Саяно-Шушенская ГЭС «стрельнула». Предлагаю устроить батл — АСУТП-шники и автоматчики vs. хакеров и аналитиков по IT безопасности. Готов предоставить стенд с PLC Mitsubishi Q-series подключённый к СКАДА Wоnderware InTouch 9.0, которая будет в свою очередь подключена к сети. Суть таже — опустить ножи заземления у транса подстанции. Я даже готов предоставить схемы и листинг программы PLC. Если кому удастся, то даю слово, что буду использовать Ваши услуги на объектах которые обслуживаю и планирую к вводу в эксплуатацию.

  • Tacit Murky

    Если не читать текст, а только смотреть картинки, то лишь где-то к 9-10-й можно догадаться, что речь идёт о русскоязычном мероприятии где-то в РФ. Подавляющая часть надписей всех видов и размеров — на инглише. В Сколково почти так же. Скоро эти люди разучатся говорить и думать по-русски за ненадобностью.

Хостинг "ИТ-ГРАД"
© ООО "Компьютерра-Онлайн", 1997-2017
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.
«Партнер Рамблера» Почта защищена сервером "СПАМОРЕЗ" Хостинг "Fornex"