МКМК, проект «Юные программисты ФСБ России», Национальный исследовательский ядерный университет «МИФИ», Факультет Кибернетики и информационной безопасности МИФИ и Кафедра «Компьютерные системы и технологии» (КСиТ) заявляют о создании совместного проекта по изучению основ информационной безопасности, криптографии и подготовки к участию в CTF (Capture the flag)

ИССЛЕДОВАТЕЛЬСКАЯ ГРУППА «КИБЕРБЕЗОПАСНИК»

Направления исследований•1. Ложные объекты атаки

(Honeypot/Honeynet)•2. Сканирование Интернета•3. Исследование уязвимости Wi-fi сетей•4. RFID-технологии•5. Радиоперехват•6. Исследование недокументированных

возможностей ОС Windows и системного ПО•7. Программно-аппаратные разработки•8. Криптовалюты

1. Ложные объекты атаки (Honeypot)

•Honeypot – проактивная система обнаружения вторжений с широкими функциональными возможностями.

•Анализ поведения злоумышленников•Актуальная задача – улучшение

существующих алгоритмов отлова злоумышленников, а в ряде случаев – разработка новых.

1. Ложные объекты атаки (Honeypot)

•Kaspersky Labs

•DTAG Community Honeypot Project (deutsche telekom) - http://dtag-dev-sec.github.io/

•http://www.team-cymru.org/

1. Ложные объекты атаки (Honeypot)

Мёд (honeypot)•Система обнаружения вторжений•Эмулирование системы с уязвимостями

(ловушки) •Разработка алгоритмов функционирования

ловушек•Анализ вторжений злоумышленников•Анализ поведения злоумышленников•Сбор статистических данных•Обнаружение ранее неизвестных

технологий вторжения

«Мощность» honeypot

•2048 адресов IPv4•79.228.162.514.264.337.593.543.950.336

адресов IPv6•Отдельная виртуальная машина под

каждую ловушку (Win/Linux/etc.)

Разработка ловушки•Анализ существующих решений•Выработка предложений по разработке

ловушки•Разработка алгоритма ловушки•Реализация ловушки•Опытная эксплуатация ловушки•Сбор статистических данных•Анализ полученных данных

FTP•Сбор статистики о подбираемых login/password

▫Техники перебора паролей▫Сбор информации об адресах злоумышленников

•Допуск злоумышленника в файловую систему с отслеживанием проводимых изменений:▫Загрузка файлов▫Инфицирование существующих файлов▫Иные действия злоумышленников

•Имитация структуры web-сайта. •Исследование iframe-скриптов. Анализ

технологии анализа html-кода от Лаборатории Касперского.

TELNET/SSH/RSH• Сбор статистики о подбираемых login/password

▫ Техники перебора паролей▫ Сбор информации об адресах злоумышленников

• Допуск злоумышленника в файловую систему с отслеживанием проводимых изменений:▫ Исполнение команд▫ Скачивание и запуск эксплойтов▫ Скачивание и запуск proxy/socks-скриптов – анализ и

получение информации о центрах управления▫ Скачивание и запуск ботов - анализ▫ Иные действия злоумышленников

• Имитация маршрутизаторов/коммутаторов и пр. устройств.• RSH и sftp - выполнение удаленно команд, загрузка

файлов.

DNS•Имитация DNS-рекурсии (https

://www.us-cert.gov/ncas/alerts/TA13-088A).▫Эмулировать рекурсию, с целью сбора

информации о жертвах атак.▫Обнаружение центров проверки

работоспособности рекурсии злоумышленника.

•Легальные сканнеры, которые ищут DNS с открытой рекурсией и уведомляют владельца.

NTP•NTP–рекурсия (http://openntpproject.org/).•Атаки типа DDOS с использованием

«открытых» NTP.•Анализ входящих запросов, сбор данных о

злоумышленниках.•Сбор данных о сканерах открытых NTP.

▫Отсеивать легальные сканеры от злоумышленников

SMTP•почтовый спам•перебор паролей к учетным записям.•исследование новых технологий спама.

▫популярен спам с легальных почтовых ящиков, с дешевых доменных имен.

•в данном направлении сложно придумать что-то инновационное, однако, можно эффективно собирать статистику и находить закономерности.

•Эра ipv6 – насколько все плохо?

POP3/IMAP•Подбор паролей

▫осуществляется меньше, чем в случае с smtp, но все же происходит.

•IMAP-ящики должны быть привлекательны, так как можно организовать хищение персональных данных.

SNMP• snmpget – чтение информации с устройств.• snmpset – отдельные возможности по управлению

устройствами.• Имитация устройства без пароля или со слабым

паролем.• Съем статистических данных и предоставление

возможности частичного управления.• Необходима имитация MIB (Management

Information Base).

Имитация Windows-сервисов•Порты 135, 139, 445 и пр. •Имитация открытых сетевых папок

▫Анализ загружаемых файлов▫Имитация файловой системы

•Имитация domain-авторизации▫Подбор паролей

MSSQL/MYSQL• СУБД: MSSQL/mysql/postgres/oracle

▫подбор паролей• Выполнение произвольного кода на целевой

системе.• Возможно хищение персональных данных

(ФИО+email и пр.) для последующего спама.• https://www.blackhat.com/presentations/bh-europe-

09/Guimaraes/Blackhat-europe-09-Damele-SQLInjection-whitepaper.pdf

RDP/VNC (*)• Очень много систем без пароля (https://xakep.ru

/2016/03/25/vncroulette/)• Имитация системы без пароля• Имитация системы с (простым) паролем.• Сложности с реализацией протокола• Сложная задача имитации системы после

авторизации.▫Требуется предварительная проработка

архитектуры ловушки

SIP/Asterisk•Злоумышленники инициируют звонки на

платные номера с целью заработка денег.•Возможность собирать blacklist номеров.•Подобный проект уже отчасти существует,

на стадии становления (http://subnets.ru/blog/?p=5270).

Proxy/SOCKS•порты: 80, 3128, 8080.•Сбор данных об источниках сканов.•Имитация открытых proxy

▫Интерес представляют как инициаторы запросов, так и передаваемая информация.

•Направление очень богато на статистические результаты.

Web-ловушки (*)• Использование базы данных exploit-ов и уязвимостей, в

части web ПО, для установки уязвимого программного обеспечения и привлечения сканеров.▫ remote execution/remote upload php▫ Bindshell-скрипты авторской сборки

(http://www.jatit.org/volumes/Vol81No3/17Vol81No3.pdf). ▫ поиск /cgi-bin/ скриптов.▫ SQL-инъекции.▫ JAVA - возможно, эксплуатация шеллкода, это направление в

части JAVA было исследовано не так давно (https://github.com/schierlm/JavaPayload/blob/master/JavaPayload/src/javapayload/stage/Shellcode.java) (http://blog.cobaltstrike.com/2013/08/29/how-to-inject-shellcode-from-java/).

• Исследование атак, которые не попадают в общую сетку.

Прочие сервисы• IRC

▫6667-6669,7000 – пункты управления ботнетами.▫сканеры irc-сетей.

• RTSP▫Злоумышленники ведут поиск открытых веб-камер, а

также трансляций видеосигналов.• SVN/CVS

▫порты: 3690, 2401, 5999▫Файловые репозитории, содержащие исходные коды▫Информация об инициаторах сканирований

• Сканирование иных портов:▫aodv(654)– adhoc,▫netviewdm(729-731) – ibm newview

2. Сканирование Интернета (*)•Поиск уязвимых версий ПО.•Обнаружение «закладок»

злоумышленников.•Анализ современных технологий,

применяемых злоумышленниками.•Статистические данные об использовании

различных версий прикладного ПО.•Актуальная задача – повышение

эффективности сканирования.

2. Сканирование Интернета•Nmap -> Zmap

2. Сканирование Интернета•Существующие решения – zmap (недостаток –

приоритет скорость, а не эффективность)•Сканирование всех ipv4 адресов и всех портов

(tcp/udp): 0-65535•Аналитические данные – версии сервисов и

типы сервисов на стандартных портах, а также специфические сервисы на нестандартных портах (>10000 в том числе).

•Задача – разработка интеллектуальной модели сканирования с целью повышения «пробиваемости» систем обнаружения вторжений и межсетевых экранов.

2. Сканирование Интернета

2. Сканирование Интернета•420 млн хостов, с включенным ICMP. •165 млн хостов имеет хотя бы один

открытый порт.•36 млн не ответило на ICMP.•141 млн хостов - не ответило совсем. •1051 млн хостов имело RDNS.

▫из них 729 млн – «трупы».•4.3 млн подсетей /24 содержало в себе

420 млн хостов, которые ответили на ICMP.

2. Сканирование Интернетаназвание устройство количество %

hp-pjl HP LaserJet P2055 Series 6628 2.71

hp-pjl hp LaserJet 4250 4678 1.913irc Dancer ircd 4095 1.674hp-pjl LASERJET 4050 3554 1.453

telnet Cisco router telnetd 3497 1.43

hp-pjl HP LaserJet P2015 Series 3237 1.324

hp-pjl hp LaserJet 1320 series 3079 1.259

hp-pjl HP LaserJet P3005 3021 1.235

hp-pjl HP LaserJet P3010 Series 2935 1.2

hp-pjl HP LaserJet P4015 2917 1.193

hp-pjl HP Color LaserJet CP2025dn 2855 1.167

hp-pjl HP LaserJet 4100 Series 2640 1.079

hp-pjl hp LaserJet 4200 2627 1.074hp-pjl ? 2509 1.026

3. Исследование уязвимости Wi-fi сетей

•Эмулирование общедоступных Wi-fi сетей и анализ трафика (например, MosMetro_Free).Ноябрь 2015г:

Это не первый случай, когда бесплатная Wi-Fi-сеть московского метро оказывается атакованной хакерами. Так, в мае этого года тысячи пассажиров увидели порно на экранах своих смартфонов и планшетов вместо привычной стартовой страницы. А в начале ноября пассажиры Московского метрополитена пожаловались на оскорбления при подключении к бесплатному Wi-Fi.

3. Исследование уязвимости Wi-fi сетей (*)

•Генерация большого количества SSID-точек доступа для проведения экспериментов

•Требуется – знание Си•Отслеживание поведения мобильных

устройств

•Возможные эффекты: переполнение буфера?

3. Исследование уязвимости Wi-fi сетей (*)

•Сканирование общедоступных точек на территории города Москвы – сбор статистических данных▫Лаборатория Касперского проводит подобную

аналитику).•Задача – скан всех улиц в пределах

бульварного/Кремлёвского кольца Москвы. •Проблемы – большие затраты по времени,

необходимо дробить задачи. Большие массивы данных в результате исследования.

•Используемый комплекс – Vistumbler + GPS + USB Wi-Fi

3. Исследование уязвимости Wi-fi сетей

3. Исследование уязвимости Wi-fi сетей

Более 7 тыс. Wi-fi точек

3. Исследование уязвимости Wi-fi сетей

Сканирование территории Кремлёвского кольца – ВЫПОЛНЕНО!

Аналитика Касперского – «1.5тыс. Точек Wi-fi в центре Москвы» – недостоверные данные!

Бульварное кольцо – задача №2.

4. RFID-технологии

4. RFID-технологии•Аппаратная разработка комплекта «антенна-

устройство», для съема идентификаторов RFID-меток у пользователей на значительном расстоянии – 1-2м.

•Задача▫расчет необходимой площади антенны для

дистанционного съема информации с карт,▫расчет излучаемой мощности,▫создание экспериментального стенда,▫проведение эксперимента и анализ

результатов.

4. RFID-технологии (*)•Анализ защищенности транспортных карт

типа «Тройка» и прочих.•Москва (тройка), Санкт-Петербург

(подорожник), Нижний Новгород (транспортная карта), Новосибирск (ЕТК) и пр.

•Задача▫анализ применяемых средств шифрования▫анализ возможности клонирования и

модификации данных на транспортных картах.

5. Радиоперехват•Перехват радиопереговоров экстренных

служб (МЧС, Полиция и пр.).•Расшифровка переговоров с помощью

сервисов типа Yandex Speechkit – преобразование голоса в текст.

•Анализ местоположения самолётов в комплексе с сервисом FlightRadar.

•Анализ иных частот специализированного диапазона.

•Европа - ASTRID TETRA Network (шаринг rtl-sdr устройств с европейскими коллегами)

5. Радиоперехват

5. РадиоперехватСборка из нескольких приёмо-передающих устройств

5. РадиоперехватПередвижной радио перехватчик

6. Исследование недокументированных возможностей

ОС Windows (*)•Анализ проверки достоверности цифрового

сертификата в ОС Windows.•Исследование механизма подмены

сертификата в подписанном файле в динамическом режиме.

•Почему цифровой сертификат скрывает вирусы?

•Какой приоритет отдается файлам, подписанным сертификатом от Microsoft?

6. Исследование недокументированных возможностей ОС Windows

•Изучение формата цифровой подписи

•Исследование проверки цифровой подписи в ОС Windows

•Разработка механизма подмены цифрового сертификата

•Исследование полученных результатов

6. Исследование недокументированных возможностей антивирусов

•Kaspersky:▫Система мониторинга содержимого страниц

с использованием JS-скриптов;▫Kaspersky Security Network – анализ

трафика, методы шифрования, ключи?▫Взаимодействие модулей антивируса между

собой – pipe/shared memory? Анализ исходных кодов от 2008 года.

7. Программно-аппаратные разработки

Чем занимаются в США?

7. Программно-аппаратные разработки

Чем занимаются в США?

7. Программно-аппаратные разработки

Чем занимаются в США?

7. Программно-аппаратные разработки

СВЧ-радиообмен• Минимальные

размеры• Скрытые

каналы передачи данных

7. Программно-аппаратные разработки

• Программно-аппаратные исследования.

• Организация передачи данных с помощью плат в СВЧ-диапазоне.

• Перспективы – передача HDMI-сигнала?

8. Криптовалюты• Реальная майнинг-

ферма!• Майнинг Ethereum –

«зефирок».• Майнинг

«альтернативных» криптовалют.

• Доступ к оборудованию.

• Аппаратные задачи.• Программные задачи.

8. Криптовалюты• Майнинг фермы:

▫ Майнинг Ethereum-а на высокопроизводительных картах.▫ Майнинг «альтернативных» крипто валют на

низкопроизводительных картах.▫ Solo майнинг▫ Использование stratum proxy▫ 1+ GHs▫ GPU:

AMD Radeon RX 470 карты AMD 7970 HD карты AMD Radeon R7 370 карты GeForce карты и еще зоопарк карт!

▫ Бескорпусные фермы▫ ПО: Ubuntu Linux (версии 15.02, 16.02) + ethminer-genoil▫ Локальный и удаленный доступ к аппаратуре

8. Криптовалюты• Программные задачи:

▫Повышение эффективности майнеров (ethminer, genoil) под определенные графические карты.

▫Автоматизация процесса и контроля майнинга.▫«Разгон» GPU-карт, экстремальные режимы.▫Перепрошивка GPU-карт, нахождение оптимальных

параметров работы.

• Аппартные задачи:▫Повышение «плотности» GPU-карт на одну

материнскую плату. Нестандартные проблемы и задачи. Прошивка материнских плат и GPU.

▫Повышение стабильности GPU-карт на высоких нагрузках.