Квест по ИБ в Красноярске или как я была проверяющей

Добрый день, дорогие читатели! 12 декабря в Сибирском государственном аэрокосмическом университете прошел 2-й Квест по ИБ. 

Участвовали студенты СибГАУ, студенты СФУ и команда специалистов по защите информации СибГАУ. Сразу скажу, мероприятие мне очень понравилось и превзошло мои ожидания, наверное, сказалось, что проводили не первый раз и все недостатки были учтены. Квест представлял собой сочетание заданий по социальной инженерии и взлому информационных систем с элементами логических задач.

История

Есть страховая компания ООО «Кристалл», которая занимается махинациями и тайные агенты, собирающие доказательства противоправных действий фирмы по заданию органов, замаскированные под клиентов и соискателей. Офис работает в обычном режиме, есть страховщики (Евгений Кушко, Ольга Булатова, Екатерина Кальдина), системный администратор (Дмитрий Волков), директор (Ксения Олейник), охранник (Тамара Катасанова), секретарь (Антон Пятков) и андеррайтер (Арина Неб). Выясняется также, что как раз сейчас проходит проверка Роскомнадзора (проверяющего играю я).

Тайные агенты (команды) изображают клиентов и ходят на собеседования. Самое классное то, что жесткого сценария не было. Поэтому все развивалось само и достаточно органично. Причем было видно, как ребята вжились в роль, да и я с удовольствием занималась проверкой.

Локации

Кабинет директора (собеседования, совещания с офисом), приемная (место, где команды совещаются и «ломают сеть», ноутбуком пользоваться можно и нужно), серверная (здесь проходит стажировка на помощника системного администратора, офис (принимают клиентов), коридор (здесь бродит охранник и есть подсказка для задания с котиком).

команда студентов СибГАУ

команда специалистов СибГАУ

команда студентов СФУ

События

Действо длилось три часа, за это время произошло:

1. Совещание офиса и объявление: «К нам приехал РКН».

2. Работа с клиентами.

3. Проведение собеседований.

4. Проведение стажировки.

5. Отключение света (чтобы команды дособирали доказательства в конце игры).

5. Совещание офиса по поводу отключения света.

6. Итоговый конкурс танцев и награждение.

Задания на техническую часть включали подключение к Wi-fi, вскрытие архива и т.д. Логические задания - найди изображение кота, реши задачу Эйнштейна. Социальная инженерия - найди, укради, сфотай документы.

Впечатления

Запомнились некоторые забавные моменты, например, собеседования. Директор отлично исполнила свою роль. Стоит отметить, что организаторы нашли человека с реальным опытом работы руководителя в страховой организации. Я присутствовала на нескольких собеседованиях и видела, как Ксения то была жесткой, то очень доброй, выдавала интересны задания для кандидатов. Участники погрузились полностью, тушевались, путались и в конце собеседования некоторые не смогли даже сказать, как зовут директора.

Я думаю, что это полезный опыт для молодых специалистов, нужно учиться подавать себя. Очень понравился парень, который в ответ на стандартное в сфере продаж "продай мне эту папку с документами" просто забрал ее, написал номер своего телефона и ушел. В конце игры, так и не дождавшись звонка, пришел сам и шантажировал директора полученной информацией.

Еще очень крутой была девушка, которая предложила менеджеру в офисе помочь с прохождением проверки РКН, заявив, что у нее есть в этом опыт. Когда не получилось добыть информацию таким образом, переместилась к другому сотруднику и стала звать его на свидание.

Во время отключения света утащили все документы и даже пытались выдернуть шнур роутера.

Был еще момент, когда один участник сказал системному администратору, что прошел собеседование и прошел стажировку – социальная инженерия в чистом виде.

Иногда я развлекала себя проведением проверки персональных данных. Но я была очень ленивым проверяющим, который поверил, когда администратор сказал, что электронной базы нет, и все документы обрабатываются на бумаге.

Хочу отметить активность участников. Постоянно ходили на собеседования, пытались заключить договора на страхование (кстати, страховали информационные ресурсы, это круто!), тащили что могли, ломали точку доступа. 3 часа пролетели! Выиграла команда молодых специалистов из СибГАУ: Иван Земцов, Татьяна Саламатова и Людмила Полякова. С чем я их и поздравляю, а также две другие команды – соперники были достойные!

Организатор мероприятия Вячеслав Золотарев, к нему можно обратиться по вопросам участия в следующих квестах.

Спасибо за фотографии Полине Рыжовой.
Отзывы участников о квесте есть здесь и здесь.

страница блога ВК: http://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.