Конкурс Critical Infrastructure Attack: как взломать целый город

Мы много слышали о том, что автоматизированные системы управления помогают разгружать городские пробки, экономить электроэнергию и воду, повышать эффективность производственных процессов... Но что, если один-единственный хакер cможет нарушить работу всей городской инфраструктуры управления? Думаете, это просто страшилка из фантастического фильма? Давайте проверим!

Конкурс Critical Infrastructure Attack позволит участникам изучить безопасность реальных систем АСУ ТП (SCADA), используемых на заводах и гидроэлектростанциях, для управления городским транспортом и освещением, в нефтяной и газовой промышленности. Победителем станет тот, кто найдет больше уязвимостей и продемонстрирует их использование на нашем живом макете умного города.

История и легенда

В прошлом году на конференции PHDays III прошел конкурс Choo Choo Pwn, в котором предлагалось проверить на прочность систему управления транспортом. Данный конкурс и построенный для него стенд с моделью железной дороги на основе трех SCADA-систем стали хитом не только на нашей конференции, но и на других мероприятиях по безопасности. Так, более 30 специалистов по защите информации приняли участие во взломе стенда Choo Choo Pwn на конференции Power of Community в Сеуле.

В этом году наш стенд пополнился новыми моделями, управление которыми включает SCADA/DCS-серверы, HMI-устройства, PLC и OPC. Участники конкурса будут иметь дело с ТЭЦ, транспортом, городским освещением, а также кранами и промышленными роботами-манипуляторами. Пользуясь случаем, организаторы конкурса выражают благодарность компании «КРОК», которая предоставила для стенда один из самых современных промышленных контроллеров.

Несмотря на игрушечный вид макета, на всем представленном аппаратном обеспечении будут установлены реальные, самые последние версии программных продуктов АСУ ТП (SCADA). Не будет заранее известных уязвимостей, ошибок конфигурации и слабых паролей. Мы предоставим участникам настоящую промышленную сеть, готовую к работе, — и посмотрим, смогут ли они ее взломать, то есть провести самостоятельное исследование и найти новые уязвимости.

Правила и условия

Участники конкурса CIA начинают с чистого листа: все, что у них есть, это сетевая розетка с доступом к промышленным блокам разных АСУ ТП. Если повезет, то эти же продукты можно будет скачать с сайтов производителей (хотя и с ограничениями для использования).

Победителем конкурса станет тот, кто наберет наибольшее количество баллов за обнаруженные уязвимости. Уязвимости должны быть представлены организаторам в формате advisory. Формат включает детальное описание уязвимости, пример эксплуатации (proof of conсept), рекомендации по устранению и оценку уровня опасности на основе CVSS версии 2. При начислении баллов учитывается очередность нахождения уязвимости (кто раньше), ее распространенность и сложность обнаружения.

Дополнительно будет учитываться использование уязвимости (или нескольких уязвимостей) для получения контроля над частью макета: нужно будет на практике показать, как вы управляете транспортом, освещением или роботами.

Все обнаруженные уязвимости остаются в собственности у тех, кто их нашел. Однако организаторы конкурса стремятся поддерживать ответственный подход к разглашению информации. Поэтому конкурс содержит важное условие: участнику следует в течение 6 месяцев с момента обнаружения уязвимости уведомить о ней производителя ПО. Во время конкурса весь трафик будет записываться, и если автор не сообщит об уязвимости, то организаторы конференции свяжутся с производителем сами.

Ответственный подход предполагает, что вы можете:

• связаться с разработчиком ПО и предоставить непосредственно ему подробное описание найденных уязвимостей;
• передать информацию об уязвимостях в CERT;
• передать информацию, приняв участие в официальных программах вознаграждения за найденные уязвимости.

Победителя ждет приз — камера Phantom 2 Vision+.