В ноябре в Москве прошли десятые, юбилейные, соревнования на киберполигоне Standoff, организованные компанией Positive Technologies. Редакция Anti-Malware.ru знакомит вас с итогами этого крупного мероприятия, а также даёт оценку его значению и показывает возможные направления развития.
- Введение
- Киберполигон Standoff 10
- Результаты Standoff 10
- Ещё о Standoff 10
- Между CTF и варгеймингом
- Capture the Flag (CTF)
- Варгейминг
- Zbellion
- Выводы
Введение
У древних римлян существовала поговорка: «Tempus omnia revelat» («Время всё выявляет»). Мы понимаем её сегодня как «тайное становится явным». Но был и другой афоризм: «Tempus edax rerum» («Время всё разрушает»). Это помогает увидеть в первой поговорке и другой смысл: «Время раскрывает то, что могли понимать иначе в начале пути».
Эти слова можно отнести и к идее киберполигона Standoff. Он появился в 2016 году, когда мир был иным. Многое тогда смотрелось иначе. Однако сейчас и страна, и бизнес, и отрасль ИБ находятся в совершенно другой ситуации, и её причины не так очевидны, как может показаться. Дело даже не в политических оценках происходящих событий: за прошедшие годы стало известно то, что было неведомо в 2016 году.
Рисунок 1. Главное табло Standoff 10
Прежде всего, мы поделимся результатами прошедшего состязания. Standoff — это заметное явление на российском рынке ИБ, поэтому и его результаты имеют важное значение.
Далее мы попробуем посмотреть шире и рассказать, как видится Standoff с точки зрения «мира хакеров и киберигр». Это может быть полезно для понимания того, в каком направлении идёт развитие концепции.
Киберполигон Standoff 10
Юбилейные, десятые по счёту киберигры Standoff 10 прошли в Москве с 22 по 24 ноября. Мероприятие состоялось на технологической площадке, развёрнутой рядом с Павелецким вокзалом. Техническую поддержку киберполигона обеспечила компания Innostage — традиционный соорганизатор мероприятия. Её центр предотвращения киберугроз CyberART осуществлял мониторинг противостояния и контролировал действия команд, а аналитики компании выступили менторами команд защиты. Зал мероприятия был создан архитектурным партнёром проекта VOX Architects вместе с Sila Sveta при поддержке Statio, Light Buro, Florista и ГК Smart.
На площадке встретились шесть команд защитников (Blue Teams). Им противостояли десять международных команд атакующих (Red Teams). Целью участников было провести атаку или обеспечить защиту для специально отстроенного «города» виртуального государства F.
Рисунок 2. Макет виртуального государства F; для проникновения нужно взломать коммутаторы (под терминалами)
Инфраструктура «зоны внимания» была представлена семью элементами: металлургическим комбинатом «МеталлиКО», объектом электроэнергетики, нефтегазовой компанией Tube, транспортной компанией Heavy Logistics, банковской системой и управляющей муниципальной компанией City.
Сразу поясним, что понималось под словом «виртуальность». Хотя банк, металлургический комбинат и остальные объекты не существовали как таковые и были представлены отдельными элементами в виде облачного образа, «начинка» была вполне настоящей: интерфейс на базе сетевых устройств, снятых с реального производства, а также облачная реплика типового инфраструктурного набора соответствующей компании.
Разработчик кибергорода — компания Positive Technologies не разглашала конфигурацию используемого оборудования, хотя участники могли «прозвонить» объекты и разобраться, с чем имеют дело. Отсутствие упоминания брендов объясняется прежде всего тем, что киберполигон Standoff не преследует коммерческих целей по выявлению уязвимостей в конкретном оборудовании. Целью организаторов было воспроизвести инфраструктурное решение с максимальной близостью к реальности. Это обеспечивает зрелищность киберигры.
Следует также отметить и другую особенность киберполигона, которая не была явно названа в описании. Standoff 10 выглядел как противостояние, где сторону защитников взяли на себя российские специалисты, а сторона атакующих была представлена международными командами. Работали хакерские группы из балканских стран (1), Великобритании (2), Индии (1), Испании (1), Китая (4) и Японии (1).
Результаты Standoff 10
Атакующим предстояло испытать силы и навыки в реализации 96 недопустимых событий, а также выявить другие доступные уязвимости. Согласно результатам, максимальное количество реализованных недопустимых событий для одной команды не превышало пяти. Команды «красных» реализовали 19 недопустимых событий, 8 из которых были уникальными.
Чаще всего атакующие осуществляли мошенничество в системе продаж железнодорожных билетов. Это событие произошло семь раз за время кибербитвы. Другие недопустимые события случились в пяти из шести сегментов государства: управляющей компании City, транспортной компании Heavy Logistics, нефтегазовой компании Tube, банковской системе и электроэнергетике.
Защитники расследовали в ходе мероприятия 17 атак, на которые пришлись 89 % от числа всех реализованных событий. От команд защитников было получено 198 отчётов об инцидентах.
Рисунок 3. Рабочая панель Standoff 10, отражающая динамику работы команд «нападающих» и «защищающих»
Значимыми событиями стали также распространение вируса-шифровальщика, утечка персональных данных сотрудников и показ нежелательного контента на рекламных видеоэкранах — они позволили получить максимальный бонус (1200 баллов). Другие уязвимости оценивались с учётом контекста. Например, за утечку конфиденциальной информации были выданы бонусы в размере 588 и 412 баллов. Аналогичная картина наблюдалась и с оценкой мошенничества в системе продажи билетов.
Первое место среди атакующих было присуждено профессиональной международной команде Hexens Academy (5463 баллов), второе место — Stun (5312 баллов), а третье — Straw Hat (4570 баллов). Больше всего событий реализовала команда Straw Hat: на их счету оказалось пять недопустимых событий в трёх сегментах государства F. Среднее время расследования по всем командам составило 6 часов 21 минут.
С подробными результатами кибербитвы Standoff 10 можно ознакомиться на официальном портале.
Ещё о Standoff 10
Хотелось бы отметить наличие дискуссионной программы Standoff Talks. На специально выделенной площадке смогли выступить не только организаторы мероприятия, но и руководители российских компаний, работающих в сфере ИБ. Они рассказали о своём опыте в расследовании киберинцидентов и противостоянии киберугрозам.
Выделим доклад Александра Антипина, который рассказал о коллаборационных платформах для анализа защищённости, выступление Ильсафа Набиуллина о том, как взломать протокол авторизации OAuth 2.0, рассказ Екатерины Никулиной о типичных ошибках Red Team с точки зрения SOC.
Уже не первый год обращает на себя внимание дизайн испытательного стенда. Это не просто зрелищный макет, а реально работающая система. Реализованное недопустимое событие там можно наблюдать вживую. Более того, ведётся запись, что позволяет повторить показ и снова увидеть, как был осуществлён тот или иной инцидент.
Например, на Standoff 10 был показан в повторе взлом системы баннерной рекламы, совершённый командой-победителем Hexens Academy. Для зрелищности при повторных показах на баннерном экране появился её логотип.
Рисунок 4. Рекламная панель, на которой выведен логотип команды атакующих
Между CTF и варгеймингом
Anti-Malware.ru уже рассказывал подробно о киберполигонах, существующих в России и за её пределами. Материал об этом был опубликован в начале года.
Но здесь мы хотели бы взглянуть на эти мероприятия шире, чтобы рассказать, в каком диапазоне существуют подобные хакерские игры.
Отличительная особенность российских киберполигонов — это крен в сторону демонстрации их практической значимости. Их организаторы в первую очередь делают акцент на полезности для бизнеса и государства.
Но хакерское движение в мире развивается гораздо шире. Оценка Standoff по всей ширине — это возможность оценить его значение сегодня и понять, куда развиваться дальше.
Capture the Flag (CTF)
На одном крае разместим формат киберигр Capture the Flag (CTF). Это — компьютерные соревнования с образовательным и развлекательным уклоном. Перед участниками ставится задача отыскать определённые метки (знаки, код, артефакты), спрятанные в уязвимых программах или на веб-сайтах. Их предъявление является доказательством достижения поставленной цели. Элементы CTF также применяются в Standoff, но формат всё-таки отличается.
Это может показаться странным, но концепция CTF родом из Древнего Рима. Игры по захвату флага применялись для обучения детей правилам военной стратегии и умению выживать на поле боя. Формат, как видно, живёт до сих пор и пользуется большой популярностью.
CTF чем-то напоминает ориентирование на местности, когда туристы выходят на старт в поле и им требуется сделать отметки в точках регистрации. Те могут быть как легко различимыми, так и глубоко спрятанными, когда их невозможно увидеть ненароком, даже находясь рядом. Часто требуется проявить смекалку, чтобы отыскать «секрет».
Также CTF любят сравнивать с шахматами. Хотя между этими типами игр есть существенное различие, имеется и концептуальное родство.
В современном виде Capture the Flag был впервые реализован в 1993 году на крупнейшей в США конференции по кибербезопасности DEFCON. Метки прятались внутри аппаратных устройств, они также могли быть расположены онлайн. Проводимая киберигра была доступна для участников как начального уровня, так и повышенного.
Появление формата CTF для геймеров и хакеров стало вполне ожидаемым. Суть киберигры: участникам надо найти и «выкрасть» метки у организаторов или у других участников соревнования. Для этого требуется проявить смекалку, преодолеть расставленные преграды и даже иногда провести атаку или выстроить защиту, чтобы самому не стать жертвой.
Для скрытия меток могут применяться различные техники: криптография, стеганография, перевод в двоичный формат, размещение внутри веб-страниц на просторах интернета или на физических объектах (на телеграфных столбах в Африке, например). Иногда для получения информации необходимо получить контроль над противником.
Как видно, киберигры CTF весьма разнообразны. Они проводятся в двух разновидностях (или их сочетании). Первый вариант — это «проведение атак и организация обороны». Второй вариант — в стиле «Своей игры»: участники получают задания и должны набрать как можно больше очков. Эти элементы присутствуют и в Standoff.
Тема CTF очень широка. Этот формат активно используется сегодня во многих университетах и компаниях — для обучения, отдыха и тимбилдинга. Есть также немало CTF-соревнований, которые работают круглосуточно и без выходных. Здесь стоит упомянуть трекер CTF-событий в мире, где фигурируют также хакерские соревнования, которые проводятся в России.
Более того, в 2007 году в армии США был запущен специальный проект по строительству новой разведывательной службы, которая выполняет теперь различные «гипотетические» миссии. CTF популярен в военных академиях. Кроме того, такие мероприятия часто включают в учебные программы курсов по кибербезопасности.
Назовём также проект «Cicada 3301», поисковой игры в стиле CTF. Он известен тем, что стал предвестником... биткоина и криптовалют. В этой истории до сих пор много белых пятен. Но это — уже отдельная тема.
Варгейминг
Мы говорили, что CTF — один край поляны «хакерских соревнований». Другой край — это варгейминг («военные игры»).
Речь здесь идёт об интеллектуальном спортивном мероприятии, имеющем прямое отношение к кибербезопасности. Его участники занимаются поиском уязвимостей в защищаемой системе и экосистеме приложений, выполняют нападение или осуществляют защиту, опираясь на различные методы предотвращения доступа к компьютерной системе.
Такой варгейм охватывает все элементы активной киберобороны и кибератак: пентесты, контроль аутентификации, взлом паролей, дизассемблирование программного кода, инъекции, использование эксплойтов, подмену IP-адресов и другие методы взлома.
Выбор инструментов для варгейминга отражает тонкую грань между хакингом и кибервойнами. Если первое связано с решением образовательных, «экономических» или бизнесовых задач, то второе — это способ выживания во враждебной среде или достижения преимуществ путём разрушения инфраструктуры противника.
Киберполигон Standoff называют ещё киберучениями, что по-своему роднит его с варгеймингом. Но следует сделать уточнение: Standoff проводится в формате многодневных офлайн-мероприятий с 2016 года и в определённой степени отражает парадигму того времени: выстраивание проактивной защиты от внешних угроз со стороны нападающих, которыми движут в первую очередь экономические интересы. Политические цели допускаются в модели угроз, но не рассматриваются как основные. Поэтому назвать Standoff проявлением варгейминга в реалиях 2022 года было бы неправильно.
Zbellion
Начнём здесь издалека, с разъяснения истоков.
Причины появления этого сценария связывают с поколением Z — молодых людей, родившихся после 1996 года. Сейчас они выходят на арену политической жизни и начинают активно проявлять свою жизненную позицию.
В результате проведённых в США стратегических исследований появилось мнение экспертов, что психология поколения Z тесно связана с их детскими психологическими травмами. Это — теракты 11 сентября и «Великая рецессия» (экономический спад в период с 2007 по 2009 гг.). Эти события легли в основу их мировоззрения и породили чувство неустроенности и незащищённости.
Миллениалы, которые являются в настоящее время важной частью политической активности в США, встретили названные события вскользь — те коснулись их на стадии взросления. Поколение Z же столкнулось с этими событиями в состоянии детства, что сильно повлияло на их мировоззрение.
Отличия проявляются в разных формах. Например, в США отмечается спад бизнес-активности среди нового поколения Z, наблюдаются иные подходы к ценностям. Представителей поколения Z часто сравнивают с теми, кто ищет независимости. При этом они не испытывают доверия к «истеблишменту».
Если прежние поколения стремились к развитию своих технологических навыков, то поколение Z ориентируется в первую очередь на развитие межличностных взаимоотношений. Сами они описывают свои интересы как вовлечение в виртуальные и физические сообщества. Для них ценности потребления часто отходят на второй план.
Хотя эта модель рассматривалась в первую очередь на примере американского общества, в целом её признаки можно распространить и на другие страны.
Рисунок 5. Бойцы подразделения быстрого реагирования
Опираясь на выявленные тренды, в 2018 году в Пентагоне разработали варгейм-сценарий JLASS (Joint Land, Air and Sea Strategic Special Program, совместная наземная, воздушная и морская стратегическая программа). Частью его стал раздел «Zbellion», описывающий поведение поколения Z, с которым общество столкнётся в середине 2020-х гг.
Согласно предложенному сценарию, около 2025 года в США ожидается нарастание протестных движений. Их движущей силой станут недовольные «зумеры», которые выйдут с акциями протеста «сначала в Сиэтле, затем в Нью-Йорке, Вашингтоне, Лос-Анджелесе, Лас-Вегасе, Остине…».
В рамках этого движения ожидается появление кибергруппы, которая начнёт «глобальную кампанию по разоблачению несправедливости и коррупции». Они будут использовать биткоин для подрыва американского истеблишмента и избегания зависимости от него.
Согласно сценарию, потенциальные участники группы будут набираться индивидуально. Управление группой будет осуществляться через даркнет, что позволит беспрепятственно распространять среди них вредоносные программы, реализующие сложные сценарии для вывода финансовых средств из корпораций, финансовых учреждений и некоммерческих организаций, выступающих на стороне истеблишмента. Получаемая прибыль будет конвертироваться в биткоины и распределяться среди «достойных получателей», включая членов группы. Это будет не «зарплата», а перераспределение богатств в стиле Робина Гуда. Постепенно деятельность группы выйдет за пределы США и через несколько лет распространится также в Европе, Азии, на Ближнем Востоке и в Африке. Более того, по слухам, наиболее воинственные представители поколения Z, по сути, уже начали свою борьбу с неравенством доходов, используя кибермир для распространения «призывов к анархии».
Конечно, к этой версии можно относиться по-разному. Но, по данным из различных источников, сценарий Zbellion уже положен в основу киберучений, которые проводятся в настоящее время для студентов военных училищ в США. Эти же сценарии используются на штабных киберполигонах в американской армии.
Информация об этом сценарии «всплыла» в 2020 году, когда по США прокатилась волна протестов против расизма и жестокости полиции. Президент Дональд Трамп высмеял тогда позицию губернаторов штатов за «слабую» реакцию на протесты по поводу убийства Джорджа Флойда. Дальнейшие разбирательства привели к публикации сведений о существовании сценария Zbellion в недрах Пентагона.
Рисунок 6. Демонстрация 26 мая 2020 года в защиту Джорджа Флойда в США
Выводы
Итак, юбилейный киберполигон Standoff успешно прошёл в Москве. Команда «защитников» сумела отразить атаки «нападающих». Мы поздравляем команду Positive Technologies с успешно проведённым красочным мероприятием.
Но многое говорит, что настают непростые времена. Конечно, это может рассматриваться как сказка, но, как говорили римляне, «tempus omnia revelat».
