пятница, 18 декабря 2015 г.

Квест по ИБ в Красноярске или как я была проверяющей

Добрый день, дорогие читатели! 12 декабря в Сибирском государственном аэрокосмическом университете прошел 2-й Квест по ИБ. 
Участвовали студенты СибГАУ, студенты СФУ и команда специалистов по защите информации СибГАУ. Сразу скажу, мероприятие мне очень понравилось и превзошло мои ожидания, наверное, сказалось, что проводили не первый раз и все недостатки были учтены. Квест представлял собой сочетание заданий по социальной инженерии и взлому информационных систем с элементами логических задач.

История
Есть страховая компания ООО «Кристалл», которая занимается махинациями и тайные агенты, собирающие доказательства противоправных действий фирмы по заданию органов, замаскированные под клиентов и соискателей. Офис работает в обычном режиме, есть страховщики (Евгений Кушко, Ольга Булатова, Екатерина Кальдина), системный администратор (Дмитрий Волков), директор (Ксения Олейник), охранник (Тамара Катасанова), секретарь (Антон Пятков) и андеррайтер (Арина Неб). Выясняется также, что как раз сейчас проходит проверка Роскомнадзора (проверяющего играю я).
Тайные агенты (команды) изображают клиентов и ходят на собеседования. Самое классное то, что жесткого сценария не было. Поэтому все развивалось само и достаточно органично. Причем было видно, как ребята вжились в роль, да и я с удовольствием занималась проверкой.




Локации
Кабинет директора (собеседования, совещания с офисом), приемная (место, где команды совещаются и «ломают сеть», ноутбуком пользоваться можно и нужно), серверная (здесь проходит стажировка на помощника системного администратора, офис (принимают клиентов), коридор (здесь бродит охранник и есть подсказка для задания с котиком).
команда студентов СибГАУ
команда специалистов СибГАУ
команда студентов СФУ

События
Действо длилось три часа, за это время произошло:
1. Совещание офиса и объявление: «К нам приехал РКН».
2. Работа с клиентами.
3. Проведение собеседований.
4. Проведение стажировки.
5. Отключение света (чтобы команды дособирали доказательства в конце игры).
5. Совещание офиса по поводу отключения света.
6. Итоговый конкурс танцев и награждение.
Задания на техническую часть включали подключение к Wi-fi, вскрытие архива и т.д. Логические задания - найди изображение кота, реши задачу Эйнштейна. Социальная инженерия - найди, укради, сфотай документы.

Впечатления
Запомнились некоторые забавные моменты, например, собеседования. Директор отлично исполнила свою роль. Стоит отметить, что организаторы нашли человека с реальным опытом работы руководителя в страховой организации. Я присутствовала на нескольких собеседованиях и видела, как Ксения то была жесткой, то очень доброй, выдавала интересны задания для кандидатов. Участники погрузились полностью, тушевались, путались и в конце собеседования некоторые не смогли даже сказать, как зовут директора.
Я думаю, что это полезный опыт для молодых специалистов, нужно учиться подавать себя. Очень понравился парень, который в ответ на стандартное в сфере продаж "продай мне эту папку с документами" просто забрал ее, написал номер своего телефона и ушел. В конце игры, так и не дождавшись звонка, пришел сам и шантажировал директора полученной информацией.
Еще очень крутой была девушка, которая предложила менеджеру в офисе помочь с прохождением проверки РКН, заявив, что у нее есть в этом опыт. Когда не получилось добыть информацию таким образом, переместилась к другому сотруднику и стала звать его на свидание.


Во время отключения света утащили все документы и даже пытались выдернуть шнур роутера.
Был еще момент, когда один участник сказал системному администратору, что прошел собеседование и прошел стажировку – социальная инженерия в чистом виде.
Иногда я развлекала себя проведением проверки персональных данных. Но я была очень ленивым проверяющим, который поверил, когда администратор сказал, что электронной базы нет, и все документы обрабатываются на бумаге.
Хочу отметить активность участников. Постоянно ходили на собеседования, пытались заключить договора на страхование (кстати, страховали информационные ресурсы, это круто!), тащили что могли, ломали точку доступа. 3 часа пролетели! Выиграла команда молодых специалистов из СибГАУ: Иван Земцов, Татьяна Саламатова и Людмила Полякова. С чем я их и поздравляю, а также две другие команды – соперники были достойные!

Организатор мероприятия Вячеслав Золотарев, к нему можно обратиться по вопросам участия в следующих квестах.
Спасибо за фотографии Полине Рыжовой.
Отзывы участников о квесте есть здесь и здесь.

страница блога ВК: http://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.