«Спортивный» хакинг: виды и польза

В статье рассказываем какие киберучения бывают, для кого организуют киберигры, и какую пользу они приносят компаниям и участникам.

Количество целевых кибератак, направленных на компании и предприятия, в России в последнее время увеличивается. Они становятся все более сложными и совершенными. Хакеры находят новые способы прорвать защиту и украсть чувствительные данные или нарушить работу организации. Чтобы предотвращать информационные угрозы и отражать такие атаки ИБ-специалисты должны все время повышать свой уровень и актуализировать знания. Потренироваться в выявлении и исправлении уязвимостей, отражении атак, они могут в спортивном хакинге или киберучениях. Такие мероприятия помогают не только исследователям отточить свои навыки, столкнуться с новыми задачами, обменяться опытом с коллегами и получить денежный приз, но и компаниям обнаружить уязвимости в своей защите.

Сapture the Flag (CTF)

Формат соревнований Capture the Flag (захват флага) в сфере информационной безопасности предполагает два варианта игры: Attack/Defense – команды крадут флаги друг у друга, и Jeopardy – когда игроки должны захватить флаг у организаторов.

В обоих случаях задача игроков найти уязвимости в сервисах и получить чувствительные данные пользователей этого сервиса или уникальную комбинацию символов – флаг, а затем отправить его на специальную платформу. В случае Attack/Defense хакеры должны не только обнаружить баги в защите другой команды, но и в своей собственной, чтобы исправить их и не дать противнику украсть флаг.

Максим Головлев

Технический директор iTPROTECT

Цель проведения CTF-соревнований – предоставить специалистам возможность продемонстрировать свои навыки и привлечь к себе внимание потенциальных партнеров, а также популяризировать сферу ИБ. Поэтому такие мероприятия должны проводиться с должным уровнем организации. Для этого, задачи, которые предстоит выполнять участникам, должны быть достаточно сложными и интересными, а следовательно, должна быть подготовлена соответствующая ИТ-инфраструктура, эмулирующая различные сценарии. При этом оборудование, на котором все это реализуется, должно быть современным, надежным и достаточно мощным. В противном случае соревнования не позволят участникам должным образом показать себя, а само мероприятие может навредить репутации организатора.

Соревнования по компьютерной безопасности в формате CTF проходят по всему миру и очно, и удаленно. Начались с хакерской конференции DEF CON в Лас-Вегасе, где были проведены первый раз и до сих пор остаются одними из самых престижных. Позже такие соревнования стали проводить и другие организаторы в разных странах мира. Например, Калифорнийский университет в Санта-Барбаре проводит UCSB iCTF, который на сегодняшний день считается крупнейшим международным CTF соревнованием. В России первые международные CTF-соревнования (RuCTFE) организовал Хакердом – команда, собранная на математико-механическом факультете Уральского Государственного Университета. Помимо RuCTF, который проходит ежегодно в Екатеринбурге с 2008 года, Хакердом проводит и другие регулярные соревнования, например RuCTFE и QCTF.

CTF может стать трамплином для специалистов, желающих строить свою карьеру в информационной безопасности. Участник могут не только получить практические навыки и перенять опыт, но и использовать нетворкинг для поиска работы.

В России достаточно много организаторов CTF-соревнований, среди которых есть и опытные и новички. При этом, организуя и проводя свои первые capture the Flag игры многие допускают досадные организационные и технические ошибки.

Кирилл Филимонов (CuriV)

Пентестер в RadCop, основатель сообщества PermCTF

1. Необходимо начинать планирование соревнования минимум за пару месяцев: наметить, что есть интенция провести турнир, начать искать спикеров (если параллельно планируется ещё и конференция), подготовить таски, решить вопросы с мерчем, площадкой и т.п. Всё это нужно запланировать.
2. У вас должна быть достаточная команда разработчиков. Таски не может сделать один человек, даже вдвоём это сделать сложно. По аналогии с какой-нибудь продуктовой разработкой тут должны быть свои менеджеры, исполнители, дедлайны и ответственные лица. Без всего этого таски делаться не будут.
3. Также у разработчиков должна быть соответствующая экспертиза. Без неё таски могут быть совершенно неадекватными и оказаться, по сути, «уцуцугами» (в CTF-среде так называют задачки-«угадайки», когда непонятно, что имел в виду автор). Зачастую такие «уцуцуги» попадаются среди задач по стеганографии, брутфорсу или подбору паролей.
4. Важно понимать нагрузку, которая может быть на ваши сервера. Таски необходимо тестировать заранее и писать инструкции, как их разворачивать в случае чего. Заранее позаботьтесь о том, чтобы вся ваша инфраструктура работала, как часы. Должны быть прописаны инструкции, как это всё поднимать в случае сбоев.
5. Стоит обратить внимание и на пиар-кампанию мероприятия: рекламировать ивент заранее, подключать связи в CTF-сообществах, активно привлекать людей.
6. Важен ещё и вопрос безопасности вашей платформы, потому что её тоже могут атаковать.

7. Во время ивента желательно быть на связи, не давать подсказок и заранее раскидывать все анонсы через все имеющиеся ресурсы. 

Из-за того, что задачи на соревнованиях CTF придумывают организаторы, то они не всегда отражают реальную работу ИБ-специалиста. В рамках соревнований специалисты часто сталкиваются с решением нестандартных задач, которые было созданы для них искусственно.

Максим Головлев

Технический директор iTPROTECT

Для тех, кто планирует строить карьеру в сферах анализа защищенности, разработки ПО и т.п., это дополнительная демонстрация навыков, которая послужит подтверждением компетенций в глазах работодателя. Для тех же, кто планирует работать в качестве специалиста по ИБ, или на похожих должностях, это скорее дополнительные полезные знания для противодействия реальным атакам.

Pwn2Own

Pwn2Own – ежегодные хакерские соревнования, которые проводится в рамках конференции по информационной безопасности CanSecWest. Это своего рода Олимпиада в мире кибербезопасности, поэтому, как правило, в этих соревнованиях небольшое количество участников – только лучшие исследователи уязвимостей и хакеры со всего мира. Их задача – взломать реальные продукты, которые компании предоставили организаторам конкурса. Так, в 2023 году на Pwn2Own Toronto 2023 специалистам по ИБ было предложено взломать различные смартфоны, умные колонки, маршрутизаторы, системы видеонаблюдения и другое. 

Алиса Шевченко

Победительница Pwn2Own 2021

В правилах Pwn2Own нет искусственного отбора участников, искусственно сконструированных мишеней, искусственно заложенных уязвимостей, искусственного «шоу» для публики, что типично для соревнований CTF - все настоящее. Запрещено атаковать даже те реальные уязвимости, которые уже закрыты или каким-то образом опубликованы - только новые и неизвестные. Нет и судей, которые решают, кто победил, а кто проиграл: это решает реальность, фундаментальная физика пространства.

За найденные уязвимости исследователи получают крупное денежное вознаграждение. Pwn2Own не единственное соревнование в мире такого формата. Аналогичное состязание для хакеров проводится, например, в Китае с 2018 года –  Tianfu Cup.

Алиса Шевченко

Победительница Pwn2Own 2021

Денежные призы в Pwn2Own также вполне реальные: в среднем, награда за успешно атакованную мишень в несколько раз больше, чем предлагает производитель системы в соответствующем пункте «меню» официальной программы вознаграждения за уязвимости, и в несколько раз меньше, чем за ту же атаку заплатил бы госзаказчик.

Кибербитвы

Кибербитвы по своей цели ближе к учениям, чем к соревнованиям. На них специалисты по информационной безопасности различных компаний могут проверить и отточить свои навыки в условиях, максимально близким к реальной жизни. Проводятся на специальных полигонах, на которых расположены модели инфраструктур различных отраслей: нефтегазовой, энергетической, ЖКХ и госуслуги, космическая, атомная, банковская и другие. Все системы безопасности и цифровая инфраструктура реализованы с помощью виртуальных машин и ПО, которые используются в реальности.

Например, с 2016 года на международном форуме по практической безопасности Positive hack days (PHDays) проводится крупнейшая в России кибербитва Standoff. Также масштабные киберучения проходят на площадке SOC-Forum. Помимо этого кибербитвы проводятся и онлайн, например, на площадке Национального киберполигона.

В кибербитвах предполагается участие двух типов команд участников – атакующие и защитников. Blue Team – команда защиты, цель которой удержать контроль над инфраструктурой, а в случае атаки вернуть и восстановить ее. В команду могут входить сотрудники подразделений реагирования на киберинциденты и специалисты по ИБ. контроля над защищаемой инфраструктурой, ее возвращение восстановление в случае атаки.

Александр Гончаров

Старший специалист по тестированию на проникновение в ИТ-компании Innostage

Необходимо быть в тонусе и постоянно участвовать в различных хакерских ивентах. Так организаторы увидят, что участники целеустремлены и готовы выкладываться по полной, а команды будут наращивать «мускулатуру» и улучшать свои результаты.

Организационно-технические требования могут отличаться. Например, команда для кибербитвы, как правило, состоит из четырех-шести участников. Этот формат отличается от типичного CTF, поэтому для участия в нем необходимо минимум четыре игрока, которые покроют основные моменты. Организаторы могут предъявлять требования к уровню «прокаченности» игроков. Но довольно много турниров, открытых для команд без большого опыта, что позволяет новичкам в сфере погрузиться в атмосферу хакинга и в дальнейшем строить карьеру в ИБ.

Red Team, команда атакующих, должны получить контроль над инфраструктурой и удержать его. Как правило, в команде участвуют сотрудники подразделений тестирования на проникновение, хакеры и другие специалисты по ИБ.

За выполнение заданий участникам начисляются баллы, на основе которых формируется рейтинг. Команде красных – за реализацию критических событий или нахождение уязвимостей. Команде синих – за количество обнаруженных инцидентов и среднее время расследования атаки. Чем выше уровень сложности задания, тем больше баллов может получить команда.

Корпоративные киберучения

Этот вариант киберучений проводят компании среди своих сотрудников, чтобы предвидеть возможные атаки и отработать способы защиты, действия специалистов. Обычно такие корпоративные игры позволяют отработать различные сценарии, учесть множество вариантов развития событий и ответить на вопрос «А что если…». Учения проводятся для топ-менеджеров, но иногда распространяются на сотрудников всех уровней. Например, в 2022 году из-за участившихся кибератак на банки, участники финрынка стали чаще проводить подготовку всех отделов и подразделений – от сотрудников колл-центра до топ-менеджмента.

Такие игры могут проводить как собственные сотрудники ИБ, так и приглашенные извне специалисты. Один из вариантов возможных сценариев для проработки – попадание в систему вируса-шифровальщика. Задача специалистов – обнаружить угрозу, нейтрализовать ее и восстановить работу всех систем. Также разрабатываются сценарии нападения на систему безопасности извне или изнутри, когда атакующим становится один из сотрудников компании.

Киберучения в таком формате помогают отработать действия всех сотрудников и напоминают им о возможных угрозах, что помогает компаниям защитить себя от большого количества атак и снизить риски взлома.

Заключение

Соревнования по кибербезопасности и киберучения стали важным инструментом для повышения уровня безопасности информационных систем компаний и целых инфраструктур. Они позволяют выявить уязвимости защиты, повысить уровень специалистов ИБ, найти новые решения и методы. Кроме того, спортивный хакинг повышает уровень информированности и информационной грамотности общества, привлекая внимание к проблеме кибербезопасности и повышая ее значимость.

Для исследователей и других специалистов по ИБ такие мероприятия, как соревнования CTF, кибербитвы и различные киберучения дают возможность не только отточить свои навыки и повысить уровень профессионализма, но и заявить о себе.