Наша команда разработчиков Исследовательского центра доверенного искусственного интеллекта ИСП РАН первые два года занималась построением сетевой системы обнаружения вторжений, основанной на применении методов машинного обучения. А в последний год мы сменили щит на меч и начали атаковать состязательными атаками (adversarial attacks) синтезированную нами же модель.

Задача была простой: оценить устойчивость модели к состязательным атакам. Спойлер: модель не устойчива, а как это исправить — мы пока не знаем. Подробности ниже.

Завершено голосование по признанию IFC 4.3 в качестве ISO-стандарта. Вердикт: «Принято». В настоящее время стандарт проходит стадию публикации, но еще не опубликован. Предполагаемые даты — конец марта или начало апреля.

Древний Вавилон. Дерзкий строительный проект потерпел неудачу. Проблема, говоря современным языком, заключалась в отсутствии у строителей общего языка для обмена информацией. Они не могли объединить свои умственные усилия для достижения поставленной цели.

С тех пор строители не оставили попыток обойти древнее проклятие и найти подходящий способ объяснить свои ожидания от объекта строительства.

В книге «Руководство BIMcert — Базовые сведения openBIM (издание 2023 г.)» Леон ван Берло (Léon van Berlo), технический директор BuildingSMART International, и Симон Фишер (Simon Fischer), ассистент университета в области исследований цифрового строительного процесса Венского технического университета в Главе 3.7. объясняют, какие перспективы строительной отрасли даёт стандарт IDS. Рассмотрены примеры использования данного стандарта при формировании требований к автоматизированному обмену сведениями компонентов модели.

«Руководство BIMcert — Базовые сведения openBIM (издание 2023 г.)» доступно для бесплатной загрузки по адресу https://www.buildingsmart.co.at/downloads

3.7. Регламент передачи информации
3.7.1. Структура данных
3.7.2. Взаимосвязь со словарем данных buildingSmart
3.7.3. Фасет-параметры
3.7.4 Простые и составные ограничения
3.7.5. Область применения и использование IDS
3.7.6. Новые возможности с IDS
3.7.7. IDS в деталях
3.7.8. Альтернативные варианты
3.7.9. Возможности визуализации IDS
3.7.10. Взаимосвязь IDS с IFC

Дано:                                                             6 уязвимых хостов
                                                                      Telegram-бот для доступа к заданиям
                                                                      OpenVPN для доступа к игровой сети
                                                                      IPS-система, которая всем мешает играть

Решение:                                                      Обойти сигнатуры IPS
                                                                      Добыть флаги со всех хостов
                                                                      Сделать это раньше всех

Вот и прошел большой киберфестиваль Positive Hack Days 12, а вместе с ним и наш конкурс IDS Bypass  — соревнование, в котором уязвимости даются участникам на блюдечке, а забрать их им мешает система IPS. Кто не знает, мы проводим его уже в четвертый раз. В этом году рекорд по количеству участников обновился: 138 участников реализовали 39 уникальных взломов. По традиции делаем разбор тасков и обзор их решений, которых, как всегда, несколько. Поехали!

Кстати, задания все еще доступны — вы можете порешать их для себя.

Вслед за пандемией пришла настоящая эпидемия кибератак, и форум PHDays в новых реалиях как никогда актуален. Как обычно, скучать не придется.

Помимо серьезных докладов по информационной безопасности вас ждет кибербитва The Standoff, а захватывающие конкурсы помогут не только развлечься, но и получить новые знания и ценный опыт. Соревнования открыты для всех заинтересованных исследователей. Принять участие в них можно как онлайн, так и офлайн.

Конкурс IDS Bypass проходил на конференции Positive Hack Days уже в четвертый раз (разбор одного из прошлых конкурсов). В этом году мы сделали шесть игровых узлов с флагом на каждом. Для получения флага участнику предлагалось либо проэксплуатировать уязвимость на сервере, либо выполнить другое условие, например перебрать списки пользователей в домене.

Сами задания и уязвимости были достаточно простыми. Сложность представлял обход IDS: система инспектирует сетевой трафик от участников специальными правилами, которые ищут атаки. Если такое правило срабатывает, сетевой запрос участника блокируется и бот присылает ему текст сработавшего правила в Телеграм.

И да, в этом году мы попробовали уйти от привычных CTFd и журналов IDS в сторону более удобного телеграм-бота. Для участия необходимо было всего лишь написать боту и выбрать имя пользователя. Затем он присылал OVPN-файл для подключения к игровой сети, и в дальнейшем все взаимодействие (просмотр заданий и игрового дашборда, сдача флагов) происходило только через бота. Этот подход оправдал себя на 100%!

The IDS Bypass contest was held at the Positive Hack Days conference for the third time (for retrospective, here's . This year we created six game hosts, each with a flag. To get the flag, participants had either to exploit a vulnerability on the server or to fulfill another condition, for example, to enumerate lists of domain users.

The tasks and vulnerabilities themselves were quite straightforward. The difficulty laid in bypassing the IDS: the system inspected network traffic from participants using special rules that look for attacks. If such a rule was triggered, the participant's network request was blocked, and the bot sent them the text of the triggered rule in Telegram.

And yes, this year we tried to move away from the usual CTFd and IDS logs towards a more convenient Telegram bot. All that was needed to take part was to message the bot and pick a username. The bot then sent an OVPN file to connect to the game network, after which all interaction (viewing tasks and the game dashboard, delivering flags) took place solely through the bot. This approach paid off 100%!

IDS Системы обнаружения вторжений

Пришло время выйти за рамки брандмауэров и начать говорить о системах обнаружения вторжений. Далее я поделюсь с вами более подробной информацией о том, как системы могут идентифицировать злоумышленников в сети или файловой системе.

Само название IDS говорит само за себя. Мы говорим об устройстве или программном приложении, предназначенном для выявления вредоносной активности. Эта вредоносная активность может быть в сети, но может быть и в системе, и очень часто в файловой системе.

Варианты обхода IDS

Давайте посмотрим на некоторые механизмы уклонения от обфускации, называемые полиморфным кодом. Это популярный шаблон не только для обхода IDS-ов, но и для обхода некоторых антивирусов. Здесь мы говорим о возможности видоизменять или модифицировать код. Таким образом, исходный алгоритм по-прежнему работает так, как задумано, но больше не придерживается предсказуемого шаблона. Это также может означать, что код меняется при каждом запуске. Это полиморфная природа, так как он может принимать несколько разных форм. Часто это также означает шифрование компонентов полезной нагрузки. Поэтому мы говорим о том, чтобы написать один и тот же код, сделать одно и то же, но заставить его выглядеть иначе, чтобы его нельзя было обнаружить.

Идеальных решений по безопасности не существует, особенно, когда речь идет о многофункциональных устройствах, которые выполняют разноплановые задачи. Функционал каждого из решений имеет сильные и слабые стороны. Имея большой опыт внедрения, наша команда задала себе вопрос – чем отличаются модули защиты от вторжений систем различных производителей, которые популярны на рынке РФ, и провели их сравнение путем проведения серии тестов. В этой статье приведу сравнение качества работы IPS- и IDS-модулей популярных решений, доступных на рынке, и приведу некоторые выводы.