Konferencja x33fcon - Współpraca z "wrogiem" szansą na sukces?
Sobota, środek nocy. Fabryka na środku pustkowia, zamknięta na cztery spusty. W okolicy żywej duszy, nie licząc strażnika. Ale on nie wie, że nie jest sam. Ktoś go bacznie obserwuje przez kamery przemysłowe ale nie są to pracownicy fabryki.
Jednak “obserwatorów" nie interesuje strażnik. Siedzą wiele setek kilometrów od fabryki przed ekranami swoich komputerów i obchodzą kolejne systemy zabezpieczeń budynku. Ich prawdziwym celem jest system zamówień zakładu, który produkuje zaawansowane głowice optoelektroniczne, wykorzystywane m.in. w dronach. Gdy znajdą odpowiednią partię głowic przygotowanych do wysyłki, chcą zmienić adres dostawy na taki, który wskazał im ich mocodawca.
Więc po cichu, bezszelestnie, siedząc na drugim końcu kontynentu, skrupulatnie wypełniają zadanie. Zadanie zlecone przez... właściciela fabryki.
Czy ta historia wydarzyła się naprawdę?
Coraz częściej słyszymy alarmujące wiadomości o kolejnych atakach na komputery i sieci wielu instytucji na całym świecie - również w Polsce. Eksperci prześcigają się w proponowaniu nam zaawansowanych rozwiązań mających być panaceum na problem. Mimo coraz to nowocześniejszych technologii wykorzystywanych do walki z cyberprzestępcami ofiar ataków nie ubywa, wręcz przeciwnie - ataki stają się coraz powszechniejsze i coraz bardziej wyrafinowane. Biorąc pod uwagę, że cyfryzacja zatacza coraz szersze kręgi możemy spodziewać się wzrostu ilości ataków.
Co jeszcze mogą zrobić przedsiębiorstwa, poza zakupem kolejnych szeroko reklamowanych usług i rozwiązań?
W armii amerykańskiej już od lat praktykuje się treningi pomiędzy zespołami tzw. "niebieskich" (obrońców, ang. blue team) i "czerwonych" (atakujących, ang. red team). Zespół czerwonych symuluje wroga atakującego "naszych" (zespół niebieskich), tym samym testując w praktyce zabezpieczenia, procesy, plany i możliwości. Koncepcja ta została przeniesiona również na grunt bezpieczeństwa IT. Firmy i instytucje wynajmują (lub posiadają własne) zespoły czerwonych (Red Teams) w celu przetestowania gotowości firmy na atak cyberprzestępców.
Historia z początku to przykład takiego zlecenia. Zleceniodawca, najczęściej właściciel firmy, określa cel, jaki Red Team ma osiągnąć: wykraść plany technologiczne, wrażliwe dane, czasami pieniądze lub przeprowadzić symulowany sabotaż. Zleceniobiorca (Red Team) stosując wszystkie legalne chwyty podejmuje się zadania i, po jego zakończeniu, zdaje raport wskazując ścieżki wejścia do instytucji, słabe punkty, braki w procesach, wykryte podatności.
Niestety to nie wystarcza. Należy wykonać kolejny krok, którym jest ścisła współpraca "atakujących" z "obrońcami" już po wykonaniu ćwiczenia. Red Team przeprowadza Blue Team krok po kroku przez kolejne fazy ataku, w ten sposób pokazując metodologię (TTP - Tactics, Techniques and Procedures - taktyka, techniki i procedury) przestępców, pozwalając na logiczne powiązanie zdarzeń w systemach z konkretnymi działaniami podejmowanymi przez hakerów. Następnie niebiescy (zespoły szybkiego reagowania / CIRT, zespoły wywiadowcze / Cyber Intel, badawcze / Threat Research itd) budują sygnatury lub algorytmy wykrywające tę aktywność, testują je i wdrażają w środowisku produkcyjnym.
Czy w Polsce jesteśmy już na tym etapie rozwoju? Jak się okazuje, raczej rzadko. Jeśli wykonywane są testy bezpieczeństwa, są to najczęściej tzw. pentesty (testy penetracyjne), które w sposób otwarty (za wiedzą i zgodą administratorów) testują systemy i aplikacje, nie sprawdzając przy tym procedur wykrywania i przeciwdziałania tym atakom.
Właśnie w celu propagacji nowego podejścia zorganizowana została konferencja x33fcon (czyt. zifkon), która odbędzie się w Gdyni w dniach 24-28 kwietnia tego roku. Organizatorzy obrali sobie za cel zbliżenie obu grup ekspertów, umożliwienie dialogu i dzielenia się wiedzą. Jest to pierwsza i - o ile nam wiadomo - jedyna na świecie konferencja pod hasłem współpracy, zwana (nie tylko przez organizatorów) "Purple Teaming". Do Gdyni przyjadą specjaliści światowej sławy. Są to osoby pracujące w dużych korporacjach, z ogromnym doświadczeniem. Zobaczymy m.in. Roba Fullera (mubix), Chrisa Gatesa (carnal0wnage), Tomka Bukowskiego (keidii), Daniela Bohannona czy Davida J. Bianco.
Przed konferencją będzie można również skorzystać z bogatej oferty szkoleń. Organizatorom udało się zorganizować szkolenia, których nie powstydziłyby się konferencje takie jak sławny BlackHat czy Defcon. Są to głównie szkolenia dla pragnących poznać taktyki adwersarzy; oferowane są szkolenia z zakresu technologii mobilnych, webowych; szkolenia skupione na poszczególnych narzędziach lub technikach (metasploit, powershell) jak również bardziej zaawansowane skupione na atakach na jądro systemu Windows. Szkolenie Ghost in Networks (network forensics) jest przeznaczone dla zespołów odpowiadających na incydenty związane z naruszeniem bezpieczeństwa IT. Ciekawostką jest szkolenie POWER Class. Bazuje ono na doświadczeniu emerytowanego agenta FBI Joe Navarro, który jest specjalistą od mowy ciała. Na podstawie sygnałów niewerbalnych jest w stanie “czytać ludzi" - umiejętność przydatna dla każdego socjotechnika, ale nie tylko: zainteresowani będą negocjatorzy, pracownicy organów ścigania, pracownicy na stanowiskach wyższego szczebla.
PLAN DNIA
09:00 Rozpoczęcie szkolenia
10:50-11:15 Przerwa kawowa
11:15-12:00 Szkolenie
12:00-13:30 Lunch
13:30-14:15 Szkolenie
15:05-15:30 Przerwa kawowa
15:30-18:00 Szkolenie
