Aby w takich "grach" mieć szansę, poza atakiem musimy umieć się bronić.
Podejść i sposobów obrony jest wiele, jednak praktycznych doświadczeń, miejsc zdobywania wiedzy o niej w Polsce nadal mało. Konsekwencją m.in. tych czynników jest granicząca z cudem, skuteczna rekrutacja do zespołów typu SOC/CERT, a tym samym, do zbudowania takiego zespołu potrzebujemy cudu do kwadratu.
W związku z tym, chcę (mam nadzieję wkrótce móc oficjalnie pisać w liczbie mnogiej), zorganizować hackathon: Gry wojenne 2016 (nazwa robocza), na którym będziemy robić m.in. takie rzeczy:
- IDENTYFIKOWAĆ zagrożenia: przez modelowanie zagrożeń wybranych, istniejących aplikacji (np. WWW/Mobilnych) i urządzeń (np. IoT, punkty dostępowe do Internetu). Istnieje wariant, że weźmiemy na warsztat konkretne rozwiązanie w zamian za barterowy sponsoring wydarzenia - w celu uzgodnienia szczegółów takiego podejścia proszę o kontakt. Ilu analityków ryzyka tyle różnych metod analizy czy modelowania zagrożeń. Dlatego przed rozpoczęciem tego modułu, jego uczestnicy zostaną przeszkoleni z jednej z proponowanych metod modelowania zagrożeń, która będzie mogła być użyta w trakcie hackathonu.
- UTWARDZAĆ rozwiązania: w oparciu o uruchomione rozwiązania (możliwe, że będą to rozwiązania wybrane do identyfikacji zagrożeń), będą przeprowadzane testy penetracyjne, a następnie we współpracy z "obrońcami", środowisko w jakich dane rozwiązania uruchomiono, będzie utwardzane by atak nie mógł zakończyć się sukcesem. Iteracji takich będzie w zamyśle tyle ile czasu hackhtonu i energii uczestników. Jest to naturalna kontynuacja wykorzystania wiedzy o zagrożeniach względem danych aplikacji czy urządzeń. Modelowanie zagrożeń przydaje się zarówno atakującym jak i broniącym. Jednym z dodatkowych celów jakie chcemy tutaj osiągnąć to otwarta komunikacja między zespołem atakującym, a broniącym - w ten sposób jedni będą się mogli uczyć od drugich co rzadko ma miejsce w praktyce i w bezpośredniej współpracy.
- WYKRYWAĆ ataki: w oparciu o otwarte rozwiązania jak Snort, Suricata, Bro-IDS, Yara, tworzyć sygnatury pozwalające wykryć zagrożenia jakie niosą m.in. phishingowe maile. Praca będzie się odbywać w oparciu o kopie maili phishingowych używanych do ataków w Polsce. Aby uatrakcyjnić pisanie sygnatur, do części maili phishingowych uczestnicy dostępu mieć nie będą, natomiast będą mogli na nich wykonać test owoców swojej pracy - sygnatur. Ma to pokazać czy kampanie phishingowe są do siebie podobne i jak szczegółowe sygnatury są najbardziej skuteczne. Przed rozpoczęciem modułu, odbędą się warsztaty wprowadzające do używanych rozwiązań.
- REAGOWAĆ na incydenty: w oparciu o zabezpieczony materiał (pliki pcap, obrazy pamięci, dysków, logi, itp.) będzie do przeprowadzenia polowanie na potencjalnych napastników, by ustalić m.in. KIEDY, KTO, CO i jaką drogą osiągnął oraz czego się sforsować nie udało. Również, przed rozpoczęciem tego modułu, odbędą się warsztaty wprowadzające do proponowanych narzędzi pracy podczas tej części.
Zarys ma charakter roboczy, by pozwolić przybliżyć założenia - finalne moduły będą opracowane przeze mnie wraz z zespołem, do którego mam nadzieję dołączą zainteresowani.
Formuła hackathonu: UCZYMY się -> pracujemy.
Cel hackathonu:
- Zaangażować do współpracy Burzących, Budujących i Broniących - wszystkie ogniwa wspólnie dbające o możliwie wysoki poziom bezpieczeństwa m.in. w Internecie
- Wzbudzić wśród ludzi zainteresowanie defensywą przez poznanie w sposób praktyczny narzędzi, na prawdziwych próbkach zagrożeń, z często nowym sposobem myślenia i podejścia do tematów bezpieczeństwa
- Pozostawić "coś" dla WSZYSTKICH: opis modelu zagrożeń prawdziwych aplikacji/urządzeń, opis sposobu utwardzania ich, a może i nowych ataków/podatności, sygnatury do systemów bezpieczeństwa reagujących na zagrożenia, które nas wszystkich dotykają i dotyczą, cała masa wiedzy, dla UCZESTNIKÓW: realne doświadczenia i wiedzę z placu boju.
- Pozostawić "kogoś": potencjalni kandydaci do pracy (mało kto jest w stanie w tak przekrojowy i PRAKTYCZNY sposób przyglądać się kandydatom, bez zatrudniania ich) lub wzbogaceni o nowe doświadczenia profesjonaliści
Dla kogo:
- studenci i uczniowie
- profesjonaliści z doświadczeniem
UWAGA: Zasady uczestnictwa, formy zespołów (w tym m.in. proporcje studentów/uczniów oraz profesjonalistów w jednym zespole, zostaną opublikowane na dalszych etapach organizacji wydarzenia).
Koszt uczestnictwa: zrobię co mogę by dla studentów/uczniów koszt był równy 0 zł, koszt udziału profesjonalistów będzie podlegał dyskusji.
Termin: spróbujemy w pierwszej połowie roku 2016
Miejsce: trwają ustalenia, zadecyduje zdrowy rozsądek i logistyczne możliwości
Jeśli jesteś potencjalnym:
- UCZESTNIKIEM - czekaj na więcej informacji, pojawią się na tej stronie (z czasem przeniesiemy się na dedykowaną), jeśli masz jakieś pytania/sugestie, zostaw je w komentarzu lub napisz na kontakt {@} whitecatsec.com z tematem: hackathon-uczestnik, preferuję komentarz na blogu by wszyscy mogli się z nim zapoznać
- SPONSOREM/WSPÓŁORGANIZATOREM/TRENEREM/PATRONEM - najlepiej napisz mail na kontakt {@} whitecatsec.com z tematem: hackhaton-wsparcie.
Jeżeli pomysł Ci się spodobał, prześlij o nim informację do koleżanek/kolegów na uczelni/w pracy, kół naukowych, hackerspace'ów, stowarzyszeń mogących być nim zainteresowanych, szefów czy innych potencjalnie "głodnych" takich wydarzeń.
White Cat Security samodzielnie takiego wydarzenia nie przygotuje, natomiast wierzę, że we współpracy z innymi, możemy to zrobić! - pokażcie czy i jak bardzo jesteście tego głodni!
Więcej informacji wkrótce!
Jakaś lista mailingowa dla zainteresowanych? Fajnie by było dostać maila z newsami...
OdpowiedzUsuńPewnie powstanie wraz ze wsparciem jakie liczę otrzymać od społeczności i współorganizatorów. Jeśli ktoś jest POWAŻNIE zainteresowany wsparciem to po kontakcie mailowym lecimy dalej.
UsuńWitam,
OdpowiedzUsuńCzy jako student informatyki, ktory od niedawna interesuje sie bezpieczenstwem i jako tako doswiadczenia zadnego nie mam, jest sens, zebym przychodzil? Wydaje mi sie to swietna okazja, zeby sie czegos nauczyc, jednak niewiele w zamian moge zaoferowac. Pozdrawiam
Jeśli się dużo nauczysz to spełnisz mój cel, a skoro przy okazji sam będziesz z tego powodu szczęśliwy to mamy idealną sytuację.
UsuńPrzynieś zaangażowanie, dociekliwość, głód wiedzy i podejście "zrobię to!" - a zaoferujesz to czego ja osobiście oczekuję od uczestników.
Super inicjatywa! Jako student takie podejście jeszcze bardziej do mnie trafia, a nawet gdyby były jakieś opłaty (ale może jakieś zniżki?) to pewnie się wybiorę. A jakie miasta są aktualnie brane pod uwagę?
OdpowiedzUsuńPodesłałem do kilku prowadzących z Politechniki Śląskiej ;-)
Cieszy mnie każdy głos, pozytywny również :) Na ten moment próbuję zorganizować to bez kosztów dla uczestników (studentów/uczniów, może dla profesjonalistów też), jeśli będzie z tym problem to będę rozważał inne warianty.
UsuńCo do miast to obecnie brane pod uwagę są wszystkie, gdzie otrzymam wsparcie współorganizatorów by to się mogło udać. Pierwsze miasta jakie się pojawiają na horyzoncie to Kraków i Wrocław. Natomiast to pierwsza doba od ogłoszenia zapowiedzi, poczekajmy na konkrety.
Dzięki za przesłanie dalej - im więcej osób się zainteresuje tym większa energia i chęć zorganizowania tego wydarzenia - White Cat Security nie zarobi na tym wydarzeniu - więc energię trzeba czerpać od ludzi.
Może sprobować wykonać Hackathon w takiej szalonej formie, że na scenie (kino, sala wykładowa itp.) działają zespoły, które biorą aktywny udział. A publiczność może obserwować całość na żywo, ewentualnie np. mogąc interaktywnie podpowiadać. Ewentualnie udostępniać podgląd z monitorów osób biorących udział (skrajnie nagrywać). To może rozwiązać problem osób, które także chcą brać udział w bardziej pasywny sposób, a dodatkowo (nagrania) przydać się do edukacji w przyszłości.
OdpowiedzUsuńCiekawy pomysł! Dzięki Borys. Idąc nawet dalej, obok hackathona może być fajna okazja do networkingu. Zobaczymy na co pozwoli budżet od sponsorów i czy znajdą się tacy, którzy pomogą to wspólnie zorganizować.
UsuńCześć,
OdpowiedzUsuńSuper inicjatywa :) Jednakże po lekturze artykułu nasunęło mi się kilka pytań odnośnie organizacji:
1. Hackathon będzie inicjatywą online, czy na miejscu? Jeśli na miejscu - gdzie docelowo miałby się odbyć?
2. Czy dostęp do gry będzie płatny? Jeśli tak, jakiej kwoty orientacyjnie należy się spodziewać?
3. Czy zabawa ta będzie podzielona na zespoły Red i Blue teamowe?
4. Ile ma trwać hackathon/szkolenia docelowo (ile dni), ile godzin dziennie?
5. Jakie są cele tej gry? Ogólna edukacja chętnych?
Jak rozumiem - zbierzemy grupę osób w pewnej sali, odbędzie się seria szkoleń i laboratoriów, zwieńczona końcowo grą wojenną (red/blue teamową)?
Prosiłbym o sprostowanie :)
Cześć! Dzięki!
UsuńAd 1. Na miejscu z dostępem do Internetu ;) Poczekajmy na potwierdzone informacje, natomiast wygląda na to, że będzie to Kraków.
Ad 2. Dla studentów (może i uczniów - sam zacząłem prace w szkole średniej) chcę by wejście było darmowe. Dla profesjonalistów prawdopodobnie będzie opłata. Kwota będzie bliżej znana jak będziemy mieli m.in. bilans finansowy (koszty, wsparcie od sponsorów, itp.). Natomiast ma to być kwota, która zachęci do uczestnictwa.
Ad 3. Dokładna formuła nie jest jeszcze sprecyzowana, wraz z małym zespołem mentorów jeszcze się zastanawiamy jak to zrobić mając na uwadze cele hackathonu. Takiego wydarzenia na moją wiedzę jeszcze nikt nie zrobił, więc musimy wydeptać własną, jak najlepszą ścieżkę. Zależy mi na tym by łączyć, a nie dzielić w kontekście współpracy między Red i Blue.
Ad 4. Prawdopodobnie 2 dni, właściwie 2 doby.
Ad 5. Przeczytaj akapit: "Cel hackathonu" :)
Yyyyy... tak i nie. Przeczytaj proszę całą zapowiedź hackathonu - znajdziesz tam zarys koncepcji, która obecnie jest omawiana w zespole mentorów. Na pewno się nieco zmieni. Nie chcę robić nic na siłę, a to co każdemu z nas się chce i jest to równocześnie potrzebne.
Jak tam idzie organizacja? Kiedy można liczyć na wiecej szczegółów? :)
OdpowiedzUsuńZapraszam tutaj: http://blog.whitecatsec.com/2016/02/hackathon-20160229.html :-)
Usuń