Как москвичей знакомили с белыми хакерами и азами кибербезопасности

На фестивале Positive Hack Days в Парке Горького.

Материал подготовлен при поддержке компании «Positive Technologies»

Positive Hack Days — ежегодный форум по кибербезопасности — прошёл в Москве в двенадцатый раз. В этом году он превратился в полноценный городской фестиваль, впервые став доступным широкой аудитории, а не только профильным специалистам. В Парке Горького построили Кибергород с развлечениями для всех желающих — всего мероприятие посетило несколько десятков тысяч человек.

Автор vc.ru отправился туда на разведку. Потестировал квесты на сетевую уязвимость, послушал предсказания кибергадалки (да-да) и истории «кибербездомных».

Предыдущие одиннадцать Positive Hack Days были ориентированы больше на специалистов-киберезопасников. Но в этот раз организаторы — Positive Technologies — решили максимально расширить аудиторию. Мероприятия для профи остались (о них читайте во второй части текста), но одна из частей фестиваля стала более развлекательной: компания хотела заинтересовать кибербезопасностью как можно больше рядовых пользователей. Сам фестиваль, таким образом, переехал из конференц-центра в крупный московский парк.

Получение разрешений, организация научпоп-лекций, написание сценариев и поиск актёров для развлекательной части, не говоря уже о самом строительстве павильонов, — на всю подготовку у Positive Technologies ушло 8 месяцев. Всего в организации задействовали более 300 человек, в том числе 120 волонтёров, работавших на мероприятии.

Фестиваль разделили на две части: набережную, которую назвали «территорией кибербезопасности», отдали форуму для специалистов, а зону рядом с главным входом отвели под Кибергород — он стал главным центром притяжения фестиваля для широкой аудитории.

По задумке, Кибергород — это пространство будущего, где люди ежедневно сталкиваются с технологиями. Организаторы рассказали, что монтировали вымышленный город немало — восемь дней. За концепцию отвечали две команды: одна писала сценарий для актёров в декорациях, другая — эти декорации придумывала. Каждый стенд должен был научить посетителей бороться с определённой проблемой: утечками, фишингом, взломами.

Чтобы прогулки по городу имели смысл, на входе мне предложили подключиться к чат-боту «Коди PHD» в Telegram (за два дня бот использовали почти 5000 человек). В некоторых павильонах можно было просканировать QR-код и получить квест от бота. Например, в первой игре мне пришлось восстанавливать работу светофоров на «Шоссе киберэнтузиастов», соединяя друг с другом нужные провода.

За каждое выполненное задание начисляли 30 баллов Кибергорода. За 100 баллов можно было получить приз — комплект наклеек и переводных тату и билет в балконную зону кибербитвы Standoff. Правда, доступ на кибербитву у меня, как у аккредитованного журналиста, и так был. Так что я ограничился четырьмя квестами, чтобы успеть всё остальное: на фестивале и без этого было много развлечений.

Теперь подробнее о локациях.

Первая зона рядом с главным входом в парк называлась «Шоссе киберэнтузиастов». Здесь на билборде транслировали новости Кибергорода: ведущие «Первого кибернетического канала» рассказывали о сбое светофоров на Шоссе (устранять его как раз пришлось в первом квесте), растущем уровне киберкриминала и разных происшествиях в городе. Каждый раз, как запускалась заставка шоу, тележурналисты начинали приседать, чтобы привлечь внимание прохожих. А затем они вскакивали и подбегали к посетителям: спрашивали, нравится ли Кибергород и что думают про киберкриминальную обстановку в нём.

У входа в павильон «Троян vs Кибергеоргий» меня встретила статуя Кибергеоргия, протыкающего троянского коня.

Внутри павильон состоял из интерактивных стендов — все они рассказывали о разных вирусах и фишинговых программах, способных обнародовать приватную информацию. Например, на стенде «Киберлаборатория» можно было нажимать на кнопки — и получить информацию о разных «сбежавших» компьютерных вирусах и их опасности. А в игровом автомате я покрутил рулетку: на ней было три блока с разными кусками информации о вирусах. Подходящие блоки нужно было совместить друг с другом — тогда получишь информацию о наиболее известных вирусах современности — например, о программе-вымогателе Petya.

Ещё в павильоне предложили выбрать карточку, которая точнее всего описывает мой опыт: сталкивался ли я с мошенниками, и если да, то каким образом. Затем её нужно было прикрепить на доску.

Зона на открытом воздухе с аниматорами и играми называлась «Скамотопией», поскольку погружала в мир афер кибермошенников. Там зазывали поучаствовать в лотерее, перейдя по QR-коду. Лотерея оказалась проверкой: если посетитель попадался, то получал предупреждение о возможной утечке личных данных из-за переходов по неизвестным адресам. Я переходить не стал — очень уж подозрительно выглядела накидка актёра со множеством QR-кодов на ней.

В главной части «Скамотопии» я увидел QR-код и после лотереи-обманки подумал, что стоит внимательно посмотреть на ссылку, прежде чем переходить. Ссылка не оказалась сомнительной — по ней я получил новый квест: пройти киберспиритический сеанс. Я взял талончик электронной очереди (как в поликлинике) и оказался десятым. Чтобы попасть внутрь, я простоял 15 минут. А некоторым посетителям приходилось ждать и все полчаса, хотя в шатре было четыре гадалки. Но при мне никто из очереди не ушёл.

Что предлагала Кибергадалка? Предсказать судьбу, лишь взглянув на банковскую карту, паспорт или права. Тех, кто отказывался, ждало оптимистичное предсказание и похвала. А согласившимся — после сеанса объясняли, что им не стоит показывать личную информацию потенциальным кибермошенникам.

В шатре «Маски» меня встретили бездомные жители Кибергорода, пострадавшие от уловок мошенников. Кибербездомные ходили с магазинными тележками, куда собирали подержанные системные блоки и другие необходимые для выживания в Кибергороде вещи.

Они предложили пройти тест, в котором нужно было отличить настоящие письма от фишинговых. Среди них была и нестареющая классика: например, письмо от нигерийского принца, который завещал адресату наследство в несколько миллионов долларов. И что-то поновее: в одном письме некий человек утверждал, что вам нужно забрать потерянный документ в охранной будке университета.

Больше заданий меня увлекла история кибербездомного Драйвера Васильевича — в прошлом успешного бизнесмена, который однажды доверился девушке из интернета. Он перечислил ей все заработанные деньги и даже продал ради неё бизнес. Но его провели: никакой девушки не было, за её профилем прятались ловкие кибермошенники. Оказавшись на улице, Драйвер Васильевич поклялся отомстить — и стал рассказывать людям о кибермошенничестве, чтобы преступники больше не могли достичь своих целей.

Дальше я двинулся к сцене «Доверие технологиям». Там выступали с научпоп-докладами: объясняли, зачем нужна двухфакторная аутентификация, как создать безопасный умный дом и использовать нейросети. Слушать оказалось комфортно: там выдали мягкий пуфик, на котором можно было расположиться, вытянув ноги.

Одно из главных событий фестиваля — Standoff: кибербитва между командами хакеров в виртуальном мире (билет на неё можно было купить или выиграть, пройдя 4 квеста в развлекательной зоне). 22 команды атаковали инфраструктурные объекты, а 7 команд защиты — расследовали их действия в сети. Победителя определяли по количеству очков: чем больше необходимых действий по атаке они совершали, тем лучше. У команд защиты были свои условия победы. Всего через зону Standoff прошли более 15 000 посетителей за два дня.

В Standoff ежегодно участвуют сотни «белых хакеров» и исследователей информационной безопасности — специалистов, которые проверяют на прочность киберзащиту компаний. В этот раз в кибербитве сражались десятки команд с участниками из разных стран — России, Италии, Беларуси, Казахстана и Франции. А зрители (их тут было немало) могли посмотреть, как хакеры реализуют масштабные атаки, и увидеть последствия их действий.

«Киберкрепость» и «Кибербашня» оказались шатрами с лекциями для профессионалов. В «Киберкрепости» я послушал об инновационных технологиях (в том числе о тёмных и светлых сторонах ChatGPT) и будущем хайтек-индустрии. Правда, информация оказалась слишком специализированной. В «Кибербашне» я застал доклад об инвестициях в технологический сегмент и багбаунти — лучших практиках поиска уязвимостей компаний сторонними специалистами за вознаграждение. Ещё в программе были лекции о методах кибербезопасности.

В «Школе самообороны» проходила конференция по Defensive security — защите систем и расследовании инцидентов. Там выступали с докладами про киберразведку, атаки на Linux-инфраструктуру и open-source-инструменты для повышения видимости сети. А в «Зале боевых искусств» — по Offensive security: эксперты делились, как тестируют защищённость системы и ищут в ней уязвимости. Я послушал доклад про современные атаки на Google Chrome и методы фишинговых атак.

Последней точкой, куда я зашёл, был шатёр с докладами по блокчейну, применению искусственного интеллекта и машинному обучению — «Будущее уже здесь». Там рассказывали о конфиденциальной межбанковской скоринговой инфраструктуре — системе оценки кредитных рейтингов клиентов. А также о технологиях в блокчейне, которые помогут выдержать атаки с квантовых суперкомпьютеров. Правда, без опыта в кибербезопасности я понял доклады лишь в общих чертах.

Мне понадобилось пять часов (время пролетело незаметно), чтобы обойти все павильоны на фестивале. Я увидел всё своими глазами — и вы тоже можете, посмотрев запись на сайте PHDays. А заодно — узнать больше о кибербезопасности, нейросетях и умных домах.