Ads 468x60px

perjantai 27. huhtikuuta 2012

Kriittisen infrastruktuurin hakkerointi - sinisen tiimin näkökulma

Kilpailu alkoi torstaina noin kello 11. Itse olin siis mukana sinisessä joukkuessa, joka pyöritti CrazyColan tehdasta.

Tiimi jaettiin seuraavasti:

  • Teknisesti osaavat henkilöt
  • "Puolitekniset" henkilöt
  • Ei-tekniset henkilöt
Tämän jälkeen ruvetiin jakamaan ohjeen mukaisia rooleja. En listaa kaikkia tässä, mutta esimerkiksi seuraavia rooleja oli jaettavana:

  • CEO
  • CIO
  • Manufacturing manager
  • Change coordinator
  • Incidents and surveillance manager
  • Forensics analyst
  • HMI Operator (human-manufacturing interface)
  • IT Staff
Jaoimme roolit vielä sisäisesti kolmeen osastoon, joiden sisällä oli omia tiimejä.

Punaiselle joukkueelle ei jaettu vastaavaa organisaatiota. Tämä oli yksi ratkaiseva tekijä. Jälkikäteen ajateltuna punaisen suurin ongelma oli heikko organisointi ja tiedon kulun ongelmat joukkueen sisällä.

Itse olin IT Staff -roolissa. Käytännössä tämä tarkoitti IT-ympäristön turvaamista ja ylläpitoa. Sinisen joukkueen tehtävä oli valmistaa CrazyColaa. Tehdas otti sisään erän soodavettä joka 20 minuutti ja tuotti sitä vastaavan määrän kolaa 20 minuutissa, joka piti toimittaa myyntiin. Jos tuotannossa on ongelmia, syntyy päästöjä. Tuotetta oli myös mahdollista dumpata, josta seurasi isoja rangaistuksia.

Mikäli tehdas ei toiminut oikein, varoitussireeni laukesi sinisen joukkueen tiloissa. Tämä osoittautui todella stressaavaksi siniselle joukkueelle. Sireenin lauetessa kaikki säntäsivät toimintaan tarkastamaan ympäristön tilaa ja etsimään potentiaalisia hakkereita.

Suurin ongelma siniselle joukkueelle oli oman ympäristön tunteminen. Dokumentaatio oli täysin puutteellinen ja tietysti täynnä tietoturvareikiä. Teimme myös ison virheen siinä, että luotimme liikaa dokumentaatioon.


Tässä kuva oikeasta infrastruktuurista. Laatikot vasemmalta oikealle: "Internet", DMZ, Office ja DMZ. Ylhäällä vasemmalla valkoinen joukkue, joka siis johti harjoitusta.

Sininen joukkue ei esimerkiksi koskaan havainnut kahta muuta web-palvelinta. Punainen joukkue löysi näistä kaksi, joista toiseen he murtautuivat. Sinisten tiedossa oleva palvelin otettiin pois verkosta, kun havaitsimme haavoittuvuuksia. Samalla havaitsimme mm. valmiiksi ladatun c99.php takaoven.

Parhaimpia omia oivalluksia, joissa olin mukana:
  • c99.php takaoven havaitseminen
  • Palomuurisäännöstön korjaus, jotta web-palvelimen mySQL ei näkynyt enää verkkoon
  • Ympäristöstä löytyneen WLAN-tukiaseman neutralointi DEAUTH-hyökkäyksellä
Sinisellä joukkueella ei ollut pääsyä palomuureihin, joten osittain ympäristön puolustaminen oli todella hankalaa. Toisaalta tämä olisi vaikeuttanut punaisen joukkueen työtä todella paljon. Saimme tehtyä muutoksia palomuureihin ainoastaan muutospyyntöjen avulla. Pelin infrastruktuuri oli myös suunniteltu siten, että molemmat joukkueet olivat saman NAT:n takana, jolloin emme voineet yksinkertaisesti sulkea yhteyksiä punaiselta joukkueelta.

Itse en käyttänyt varsinaista tuotantoympäristöä, vaan tämä oli tuotantotiimin vastuulla. Iso osa harjoituksesta oli tuotannon kontrollointia, jotta ei tapahtuisi päästöjä. Lisäksi hallitus valvoi tuotantoa ja hallitukselle oli lähetettävä lokitietoa tuotannon tilasta. Tätä varten oli pystytettävä palvelu harjoituksen aikana.

Illallistauon aikana selvisi, että olemme selkeässä johdossa. Olimme menettäneet paljon pisteitä päästöjen vuoksi, mutta olimme saaneet lisää pisteitä tietoturvaloukkausten raportoinnista, todisteiden keräämisestä ja mm. palomuurisääntöjen parantamisesta. Peli päättyi noin kello 22 illalla. Seuraavana päivänä kaikki kolme joukkuetta pitivät esityksen omasta näkökulmastaan.

Lopullinen pistetilanne. GG red!

Kokonaisuutena harjoitus oli erittäin opettavainen. Molemmat joukkueet ymmärsivät virheensä ja varmasti oppivat niistä. Jälleen kerran luova ajattelu olisi auttanut molemmat joukkueet parempaan lopputulokseen.

-Antti A

Ei kommentteja:

Lähetä kommentti