Конкурс Critical Infrastructure Attack: как взломать целый город

Конкурс Critical Infrastructure Attack: как взломать целый город

Мы много слышали о том, что автоматизированные системы управления помогают разгружать городские пробки, экономить электроэнергию и воду, повышать эффективность производственных процессов... Но что, если один-единственный хакер cможет нарушить работу всей городской инфраструктуры управления? Думаете, это просто страшилка из фантастического фильма? Давайте проверим!

Конкурс Critical Infrastructure Attack позволит участникам изучить безопасность реальных систем АСУ ТП (SCADA), используемых на заводах и гидроэлектростанциях, для управления городским транспортом и освещением, в нефтяной и газовой промышленности. Победителем станет тот, кто найдет больше уязвимостей и продемонстрирует их использование на нашем живом макете умного города.

История и легенда

В прошлом году на конференции PHDays III прошел конкурс Choo Choo Pwn, в котором предлагалось проверить на прочность систему управления транспортом. Данный конкурс и построенный для него стенд с моделью железной дороги на основе трех SCADA-систем стали хитом не только на нашей конференции, но и на других мероприятиях по безопасности. Так, более 30 специалистов по защите информации приняли участие во взломе стенда Choo Choo Pwn на конференции Power of Community в Сеуле.

В этом году наш стенд пополнился новыми моделями, управление которыми включает SCADA/DCS-серверы, HMI-устройства, PLC и OPC. Участники конкурса будут иметь дело с ТЭЦ, транспортом, городским освещением, а также кранами и промышленными роботами-манипуляторами. Пользуясь случаем, организаторы конкурса выражают благодарность компании «КРОК», которая предоставила для стенда один из самых современных промышленных контроллеров.

Несмотря на игрушечный вид макета, на всем представленном аппаратном обеспечении будут установлены реальные, самые последние версии программных продуктов АСУ ТП (SCADA). Не будет заранее известных уязвимостей, ошибок конфигурации и слабых паролей. Мы предоставим участникам настоящую промышленную сеть, готовую к работе, — и посмотрим, смогут ли они ее взломать, то есть провести самостоятельное исследование и найти новые уязвимости.

Правила и условия

Участники конкурса CIA начинают с чистого листа: все, что у них есть, это сетевая розетка с доступом к промышленным блокам разных АСУ ТП. Если повезет, то эти же продукты можно будет скачать с сайтов производителей (хотя и с ограничениями для использования).

Победителем конкурса станет тот, кто наберет наибольшее количество баллов за обнаруженные уязвимости. Уязвимости должны быть представлены организаторам в формате advisory. Формат включает детальное описание уязвимости, пример эксплуатации (proof of conсept), рекомендации по устранению и оценку уровня опасности на основе CVSS версии 2. При начислении баллов учитывается очередность нахождения уязвимости (кто раньше), ее распространенность и сложность обнаружения.

Дополнительно будет учитываться использование уязвимости (или нескольких уязвимостей) для получения контроля над частью макета: нужно будет на практике показать, как вы управляете транспортом, освещением или роботами.

Все обнаруженные уязвимости остаются в собственности у тех, кто их нашел. Однако организаторы конкурса стремятся поддерживать ответственный подход к разглашению информации. Поэтому конкурс содержит важное условие: участнику следует в течение 6 месяцев с момента обнаружения уязвимости уведомить о ней производителя ПО. Во время конкурса весь трафик будет записываться, и если автор не сообщит об уязвимости, то организаторы конференции свяжутся с производителем сами.

Ответственный подход предполагает, что вы можете:

  • связаться с разработчиком ПО и предоставить непосредственно ему подробное описание найденных уязвимостей;
  • передать информацию об уязвимостях в CERT;
  • передать информацию, приняв участие в официальных программах вознаграждения за найденные уязвимости.

Победителя ждет приз — камера Phantom 2 Vision+.

Мы много слышали о том, что автоматизированные системы управления помогают разгружать городские пробки, экономить электроэнергию и воду, повышать эффективность производственных процессов... Но что, если один-единственный хакер cможет нарушить работу всей городской инфраструктуры управления? Думаете, это просто страшилка из фантастического фильма? Давайте проверим!" />
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Екатеринбурге лжемастера с сайтами на нейросетях берут втрое больше

В Екатеринбурге орудуют лжемастера, взимающие в два-три раза больше за ремонт бытовой техники. Они работают через онлайн-площадки и активно используют нейросети. Благодаря приёмам поисковой оптимизации эти ресурсы попадают в топ поисковой выдачи. Также мошенники размещают свои объявления на профильных классифайдах.

Как выяснило издание 66.RU, в городе действуют десятки мошеннических сервисов, которые завлекают клиентов рассказами о многолетнем опыте работы. Контент для таких сайтов зачастую создаётся с помощью нейросетевых инструментов.

Один из читателей издания обратился за ремонтом посудомоечной машины через сайт, найденный в поиске. Приехавший мастер выполнил работу, но потребовал 34 тысячи рублей — более чем в два раза выше среднерыночной стоимости.

Позже выяснилось, что указанный на сайте адрес не существует. Затем он был заменён на другой — в торговом центре, где никакой сервисной компании нет и никогда не было. Более того, лица сотрудников на сайте оказались сгенерированы нейросетью.

Журналисты обнаружили, что в верхней части поисковой выдачи по запросам о ремонте бытовой техники находятся сайты компаний, которые заявляют о многолетнем опыте, но зарегистрированы только в 2024–2025 годах. Это явное несоответствие указывает на мошеннический характер таких организаций.

На классифайдах также нашлись десятки однотипных объявлений с шаблонными положительными отзывами. Часто используются одни и те же фотографии — причём те же изображения встречаются в аналогичных объявлениях из других городов. В ряде случаев администрации сайтов уже начали блокировать такие публикации.

«Привлечь к ответственности или вернуть деньги в таких случаях крайне сложно. Фактически наказать человека, взявшего деньги, можно только в том случае, если ремонт не был проведён. Зная это, недобросовестные мастера формально выполняют какие-либо действия — иногда даже не связанные с реальной проблемой — или берут оплату наличными, чтобы было невозможно доказать сам факт передачи денег», — объяснил изданию адвокат Георгий Краснов.

Юрист рекомендует заранее согласовывать все условия и никогда не вносить предоплату. В случае завышения стоимости следует ссылаться на ранее достигнутые договорённости. Также важно проверять документы мастера.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru