Positive Technologies 黑客周在莫斯科结束。
由Positive Technologies 组织的莫斯科黑客周活动 已在莫斯科结束 。11月18日至26日, Cyberdome 举办了四场信息安全行业的重大活动:更新的网络战Standoff 12、针对初学者网络安全专家的会议和研讨会Standoff 101、针对真正专业人士的封闭式Standoff Hacks以及新一轮的网络安全专家会议和研讨会。对峙会谈聚会。超过 2000 人参加了黑客周。此外,还有8.4万名观众在线观看了赛事并参与了比赛和比赛。
对峙101:来自Tinkoff的保安大脑图以及如何学习成为白帽黑客
黑客周以为期两天的“Standoff 101”活动拉开帷幕:该活动专为希望在信息安全领域发展的学生和新手专业人士而设计。17位专家讲述了他们在行业中的发展。
Tinkoff 银行副总裁兼信息安全部门主管 Dmitry Gadar 表示,信息安全专家的技能不应仅限于网络安全。
“你必须充分了解公司是如何运作的以及为什么需要你。信息安全只是其中一项技能,例如软技能也同样重要。”德米特里解释道。— 你应该清楚地知道企业的目标是什么。事实是,不可能 100% 保护基础设施。您需要能够识别关键资产和不可接受的事件。这是一项复杂的工作,需要与企业进行持续的对话,有时需要使用不同的语言。建立这种互动极其重要。”
MTS RED 技术总监 Denis Makrushin 表示,现代威胁研究人员必须能够提出假设、进行测试并将其与因果关系联系起来。
“第一个超能力是产生假设的习惯。无论您是信息安全专家还是开发人员,都不重要:如果您问自己“如果会怎样?”这个问题,那么您就已经是一名研究员了。安全专业人员还需要能够编写代码来自动执行日常任务。研究人员的第三个标志是寻找因果关系的能力。”丹尼斯·马克鲁辛 (Denis Makrushin) 说道。
学生最好去政府公司实习,并投入更多的时间和精力进行额外的培训。这一建议是由俄罗斯国家原子能公司技术学院信息安全部门负责人列夫·尼古拉耶夫(Lev Nikolaev)提出的。
“大学并不是唯一可以获得必要技能的地方。忘记“我先学习,然后工作”的计划。你需要不断学习。同样重要的是,不仅要在信息安全领域发展,还要在IT技术领域发展。没有 IT 就没有网络安全。信息安全管理员是 IT 管理员的超级版本。” Lev Nikolaev 指出。
反过来,教育技术开发中心 Positive Technologies 主任 Yulia Danchina 将信息安全专家与医务人员进行了比较。
“爱上信息安全很容易:网络安全的所有领域都很有趣并且需求旺盛。此外,信息安全专家几乎就像一名医生,尽一切努力确保我们经济产业的健康发展。” Danchina 指出。
11月22日星期三,直播间里,专家们继续分享他们在信息安全领域的发展故事。
对于网络安全专家来说,最重要的是不断练习(例如参加 CTF 竞赛和 bug 赏金计划)并不断学习,包括分析其他人的报告。卡巴斯基实验室安全分析能力中心副主任维亚切斯拉夫·瓦辛 (Vyacheslav Vasin) 确信这一点:“经常有关于漏洞赏金平台的公开报告。你可以下载它们并尝试了解 bughunter 的想法,以便你可以将这些技术应用到你的工作中,”他指出。
莫斯科国立核研究大学密码学和网络安全系副教授 Olga Karelova 认为,自学并不适合所有道德黑客。“要么有强烈的动机,要么有足够的最低限度的知识。在 YouTube 上的相同视频中,并非所有内容都得到正确和详细的解释,这导致了喜欢复制他人代码行的人的出现。他们认为自己是黑客,但事实并非如此,”奥尔加解释道。毕业后,她继续在研究生院学习,并担任过redtimer和研究员,领导安全分析部门,并获得了攻击安全认证专家(OSCP)证书。Olga 认为,开启白黑客之路的最佳方式是 CTF 比赛。
Philip Nikiforov 是 Positive Technologies 移动应用程序安全研究小组的高级专家,13 岁时就阅读了有关黑客攻击的文章,通过参加 CTF 和 bug 赏金计划提高了自己的技能。在大学二年级时,菲利普开始因发现的漏洞而获得相当大的奖励,并完全专注于他作为错误猎人的职业生涯。专家指出,现代科技公司通常不需要文凭,主要的是实用知识。奥尔加·卡雷洛娃并不同意这一立场。她表示,在一些公司,为了职业发展,需要接受高等教育,但不一定是专门的教育。
俄罗斯漏洞赏金平台的奖励与领先国际平台的支付相当
作为莫斯科黑客周的一部分,11月24日至25日举行了新一轮的Standoff Talks聚会,来自信息安全领域的专业人士和爱好者可以就行业问题和挑战交换意见。
Standoff 365 Bug Bounty 部门负责人 Anatoly Ivanov 总结了该平台搜索漏洞的工作——2022 年 5 月推出的 Standoff 365 Bug Bounty。最高支付额已与全球平台上的类似奖励相当,达到 300 万卢布。发布项目最多的企业来自 IT 行业 (38%)、政府机构 (17%) 和教育平台 (11%)。已有 7,537 名研究人员在该网站注册,客户包括 Rambler&Co、VK、State Services、Odnoklassniki、Tinkoff。
值得注意的是信息安全研究员 Zhasulan Zhusupov 的报告《恶意软件的发展:密码学》,他研究了绕过防病毒软件的方法。经过多次实验,演讲者发现经典的加密解决方案(例如A5/1、DES、Madryga、RC5、Skipjack、TEA、Grasshopper)对于加密有效负载仍然有效。攻击者还可以使用它们来加密与命令和控制服务器的交互。未来,扎素兰计划评估加密病毒所用算法的有效性。
Positive Technologies Web 应用程序安全分析小组专家 Vladimir Razov 的报告《破解固件以获得 CVE 漏洞》致力于寻找嵌入式网络设备固件中的安全漏洞。例如,研究人员在调查 D-Link DAP-1325 无线中继器的缓冲区溢出漏洞时发现,适合分析的固件版本仅在台湾 D-Link 网站上可用。为了识别该缺陷,演讲者启动了一个 Web 服务器,创建了系统尝试查找的界面,使用了调试器,解决了 NVRAM 和其他任务的问题。Vladimir 演示了在多个 D-Link 设备中查找漏洞的场景,展示了启动有权访问网络的主要组件的方法,并讲述了如何调试二进制文件并为其编写漏洞利用程序。
“对峙会谈中有许多有趣的演讲。对于那些计划观看录像的人,我建议您注意进攻性安全:“redtimers”和 bug 猎人展示了很酷的研究,分享了他们的经验,并在实践中展示了绕过安全措施的现代技术。本次所有报告均由社会各界知名专家评选。这是我们的主要任务之一 – 发展社区并做出决策,同时考虑参与者的意见。”Standoff 365 产品总监 Yaroslav Babin 说道。
网络战僵局进入太空,Positive Technologies 出价 500 万卢布将第三方代码引入其产品之一
Cyberdom 空间通过互动装置和其他技术创新,为《Standoff 12》的参观者创造了最大程度地沉浸在网络战斗氛围中的效果。
除了能源、石油天然气、交通、金融和城市生态系统之外,网络战还首次重塑了航天工业:参与者需要获得对RUVDS太空卫星的控制权。有人提议破解与从地球向轨道发送命令时使用的设备相同的设备。
“卫星项目具有科学性和教育性,参与网络战完全符合我们的愿景。我们尽力保护基础设施和客户数据的安全,保护它们免受 DDoS 攻击和其他不良现象的影响。像 Standoff 这样的活动帮助我们始终保持领先地位并跟踪信息安全趋势,”托管提供商 RUVDS 首席执行官 Nikita Tsaplin 说道。
在第 12 次对峙中,交通部门、住房和公共服务系统中增加了许多目标,蓝队不仅可以发现攻击,还可以阻止攻击。这次防守队遭到了15支进攻队的对抗。
在虚拟的 F 国四天内,这些团队设法窃取资金、拦截卫星信号并引发其他不可接受的事件。红队成功实施了 211 次攻击(其中 49 次是独一无二的)并发现了 296 个漏洞。
这四天对于防御者来说同样紧张:他们发现了 401 起事件并调查了 65 起攻击事件。Your_shell_not_pass 团队成功阻止了运输公司 Heavy Logistics 发生的 16 起事件,并调查了 20 起成功的攻击。Command_and_Defend 团队提交了最多的攻击调查报告 – 22 份。他们捍卫石油和天然气行业。City_FlGuard 团队负责保护受网络战影响最严重的行业——银行业——调查了六起成功的攻击。Busy Beavers 团队进行了八项调查,CyberNoobs 进行了七项调查,Rosreestr 团队进行了两项调查。
与 Standoff 一起,作为封闭的Standoff Hacks活动 的一部分 ,研究人员可以测试不同公司的安全性。这场针对顶级 bug 猎人的 priv8 活动(互联网俚语中的priv8 这个词 有时用来指私人信件)在莫斯科黑客周的最后一天结束 。
此外,Positive Technologies 在测试现场重建了部分真实基础设施,包括开发、组装和交付软件的流程,并向那些希望实施不可接受的事件的人提供了帮助。获胜者可以获得500万卢布。这项实验是 Positive Technologies 对自身基础设施有效网络安全概念进行全球评估的阶段之一,该评估始于 2022 年:随后该公司呼吁独立研究人员实施一项不可接受的事件——从其账户转移资金。对峙 12 事件的实施标准是在已组装软件产品的代码中存在任意字符串常量,而该常量在标准汇编中不存在。 然而,在四天的网络战中,攻击者未能实现这一目标。
莫斯科黑客周由 IT 公司Innostage 联合主办 ,该公司是数字安全领域服务和解决方案的开发商和集成商。黑客周的普通合作伙伴是集成商和安全厂商——Gazinformservice 公司 。Standoff的技术合作伙伴是 RUVDS 和 eKassir 。
评论