Антон Бочкарев, «Третья сторона»: Любая конференция уязвима, поэтому всегда нужно быть начеку

Интерактивные стенды, отдельные точки Wi-Fi, конкурсы и онлайн-трансляции стали неотъемлемой частью большинства конференций, в том числе и связанных с кибербезопасностью. Вместе с новыми возможностями, подобные технологии несут и множество рисков.

Антон Бочкарев, CEO компании «Третья сторона», рассказал порталу Cyber Media о том, с какими рисками информационной безопасности можно столкнуться при посещении конференции, и как специалисты по кибербезопасности стараются их минимизировать.

CyberMedia: По вашему опыту, насколько часто в рамках проведения конференций происходят те или иные инциденты ИБ, с чем вы сталкивались на практике? Какие инциденты можно считать наиболее критичными?

Антон Бочкарев: Инциденты с информационной безопасностью на мероприятиях встречаются повсеместно. Но в большинстве своем это совершенно не критичные инциденты. Например, если на конференцию проникает небольшой процент людей без билетов, для многих организаторов это не проблема, ведь речь идет о минимальном ущербе. Но для крупных мероприятий, особенно закрытых, где присутствуют селебрити и VIP-персоны, даже один безбилетник может стать проблемой. Представьте, что такой человек пытается взять интервью у уважаемого спикера в неуместном контексте или досаждает участникам. В таком случае репутационные риски для организаторов могут быть значительными.

Знаю одного специалиста по тестированию на проникновение, который целенаправленно ездит на любые конференции без билетов. Это его личный вызов и он всегда уверен, что найдет способ пройти. Пока все его попытки были успешны!

В рамках бизнес-конференций может происходить корпоративный шпионаж, когда злоумышленники пытаются получить доступ к данным конкурентов. Были случаи, когда на зарубежных конференциях проводились попытки заразить вирусами устройства участников, чтобы через них добраться до компаний-конкурентов. Случался и политический шпионаж на крупных технических конференциях. Но многие громкие инциденты, произошедшие на мероприятиях, стараются скрыть, чтобы «не выносить сор из избы».

Еще важно отметить, что на крупных конференциях по кибербезопасности, как, например, Positive Hack Days, которые превратились в целый фестиваль, люди склонны к нарушению правил, стремясь проверить системы безопасности. Пентестеры, специалисты по тестированию проникновения, приходят на такие мероприятия с целью «пощупать» все и посмотреть, как работают разные системы. Я сам не раз думал о том, чтобы проверить, как все устроено на мероприятиях, хотя и понимал, что делать этого нельзя.

В итоге безопасность мероприятия зависит и от организаторов, которые обеспечивают безопасность площадки, и от бдительности самих участников. Важно помнить, что самые критические инциденты могут ударить по репутации организатора конференции, участников и даже по их коммерческой тайне. Поэтому важно быть внимательным и следовать простым правилам безопасности, чтобы не стать жертвой киберугроз.

CyberMedia: Что, с точки зрения кибербезопасности, важно учесть до начала мероприятия, когда уже открыта регистрация, какие риски наиболее критичны?

Антон Бочкарев: На этапе регистрации мы всегда обращаем внимание на список участников. Организаторы конференции по кибербезопасности внимательно вчитываются и анализируют список участников, чтобы отсечь гостей под вымышленными именами или должностями. Это не блажь, а опыт, ведь зачастую скрывают имена конкуренты, которым хочется попасть на чужое мероприятие со своими корыстными целями. Например, в 2017 году произошел громкий скандал, когда сотрудники одной компании пытались зарегистрироваться на закрытую конференцию конкурентов под вымышленными данными. Доказать их участие было невозможно до начала конференции, но это подчеркивает важность проверки списка участников.

Если у организаторов есть опасения по поводу конкурентов, мы проверяем телефонные номера и данные в списке, чтобы исключить возможную инфильтрацию. Полностью предотвратить это невозможно, но базовая проверка необходима. Также мы инструктируем охранников перед началом конференции, чтобы предотвратить несанкционированный доступ на территорию. В особенности важно контролировать регистрацию подрядчиков и партнеров.

Этап застройки тоже критически важен с точки зрения безопасности. Необходимо принять меры, чтобы исключить несанкционированный доступ к инфраструктуре конференции и возможные угрозы с ее стороны. Но это больше касается полузакрытых конференции для заказчиков, где риск коммерческого шпионажа действительно оправдан.

В целом, обеспечение безопасности на конференции по кибербезопасности — это комплексная задача, которая требует внимания к деталям и профессионального подхода.

CyberMedia: Любое мероприятие сопровождается большим количеством техники, от точек Wi-Fi до смарт-систем пропусков, разного рода интерактивных стендов, подключенных к сети. Какие сценарии может реализовать злоумышленник, если он физически присутствует на площадке, и какие меры стоит принять для защиты посетителей и самого мероприятия?

Антон Бочкарев: На конференциях, к сожалению, люди часто расслабляются и не задумываются о кибербезопасности. Многие подключаются к любым доступным Wi-Fi сетям, не задумываясь о рисках. А злоумышленники используют это в своих целях.

На известной хакерской конференции Def Сon были зафиксированы случаи, когда организаторы, изображая злоумышленников, создавали поддельные Wi-Fi точки доступа. Люди, подключаясь к ним, не понимали, что их данные крадут. Потом эти данные выкладывали на так называемую стену позора, чтобы все увидели, кто стал жертвой и вынесли для себя ценный урок.

Важно помнить, что любой незащищенный компьютер на конференции может стать точкой заражения. Даже если вы не подключены к Wi-Fi, злоумышленник может украсть ваш компьютер и потом извлечь с него данные. Поэтому не забывайте о банальной блокировке устройства.

Также не стоит забывать о социальной инженерии. Преступники могут заставить вас перейти по ссылке, установить программу, или даже подписаться на что-нибудь. В результате они получат доступ к вашим социальным сетям, почте и другим аккаунтам.

Поэтому будьте осторожны! Не подключайтесь к неизвестным Wi-Fi сетям без VPN, не переходите по подозрительным ссылкам и не устанавливайте программы с незнакомых источников. И помните, что на конференциях кибербезопасность не менее важна, чем в обычной жизни.

CyberMedia: В рамках PHDays вы проводили SEQest, конкурс, связанный с физическими атаками и социальной инженерией. Поделитесь вашими наблюдениями, какие векторы атаки участников показались вам наиболее интересными?

Антон Бочкарев: На PHDays мы проводили SEQest — конкурс, где тестировали не участников, а организаторов конференции. Задача была проверить их готовность к социальной инженерии. Мы хотели узнать, насколько легко можно проникнуть на мероприятие, используя психологические манипуляции.

Наши участники продемонстрировали невероятные навыки. Они использовали разнообразные многовекторные атаки, и каждый решал задачи по-своему. Некоторые удивили нас своими действиями, о которых подробнее будет рассказано в статье, которая скоро выйдет в нашем Telegram-канале.

Например, один из участников умудрился внедрить себя в базу данных организаторов конференции. Он не просто зашел на компьютер с доступом к базе, а убедил организаторов официально внести его в список сотрудников. Он использовал тактику «челночной дипломатии», переходя от одного организатора к другому и получая подтверждение от каждого.

Также были задействованы классические методы социальной инженерии, описанные еще Кевином Митником. Например, участники отвлекали охранников, использовали интервью в качестве отвлекающего маневра и даже узнавали от организаторов, кто является самым важным человеком в определенной зоне, и пользовались его именем в своих целях.

Этот конкурс SEQest доказал, что социальная инженерия остается эффективным методом атаки. Он также показал, что организаторам мероприятий необходимо быть более бдительными и применять более эффективные методы защиты от социальной инженерии.

CyberMedia: Многие мероприятия сопровождаются видеосъемкой и даже ведением онлайн-трансляций. Что важно учесть при их организации с точки зрения кибербезопасности?

Антон Бочкарев: Видеосъемка и прямые трансляции на конференциях несут в себе незаметные угрозы. Камеры могут запечатлеть информацию, которая не должна быть публичной. Я помню случай на Универсиаде в Казани в 2013 году, когда на прямую трансляцию спортивных мероприятий попали кадры из штабов конференций и олимпиад. На них были видны пароли от Wi-Fi, личные данные участников, телефоны VIP-персон и прочая конфиденциальная информация.

Поэтому важно контролировать кадры видеосъемки и следить, чтобы на них не попадали чувствительные данные. Это необходимо как для защиты от несанкционированного доступа к информации, так и для предотвращения намеренных провокаций со стороны участников.

CyberMedia: Проблема QR-кодов и ссылок, на конференции люди привыкли переходить куда угодно и вводить что угодно. Но ведь конкурс может быть фейковым или QR-код может быть заклеен поверх вредоносным.

Антон Бочкарев: QR-коды и ссылки — опасные вещи, особенно на конференциях. В Азии они очень распространены, и их используют практически везде, от оплаты парковки до регистрации на мероприятиях. Проблема в том, что злоумышленник может подменить QR-код организатора на свой фейковый, который будет передавать данные как на настоящую страничку, так и ему самому. Внешне код будет выглядеть очень похоже — на первый взгляд не отличить, но содержать другую информацию.

Также на конференциях могут проводиться фейковые конкурсы. Злоумышленнику достаточно разместить ссылку на фиктивный конкурс, чтобы собирать данные участников или использовать их в своих целях.

Важно помнить, что конференция — это не безопасная зона. Даже если вы прошли охрану, это не значит, что вы в безопасности. Злоумышленник может пройти на конференцию без билета, получить фейковый бейдж или футболку организатора, взломать Wi-Fi сеть и т. д.

Поэтому будьте бдительны, Не доверяйте любому QR-коду и ссылке, не участвуйте в неизвестных конкурсах и не расслабляйтесь, даже если вы находитесь внутри конференции. Любая конференция уязвима, поэтому всегда нужно быть начеку.