Знакомьтесь – команда этичных хакеров::Журнал СА 10.2013
www.samag.ru
Журнал «БИТ. Бизнес&Информационные технологии»      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Сетевая инфраструктура  

Как удаленная работа меняет подход к сетевой инфраструктуре?

С увеличением числа сотрудников, работающих из дома, организации сталкиваются с необходимостью создания

 Читать далее...

Мониторинг  

Какой мониторинг нужен сегодня?

По мнению экспертов ГК InfoWatch, действия сотрудников – самая распространенная причина инцидентов

 Читать далее...

Книжная полка  

Руководство для тех, кто увлечен ИИ, программированием. И дизайном

Накануне лета издательство «БХВ» выпустило книжные новинки, от которых любителям чтения будет

 Читать далее...

Мобильные приложения  

Искусственный интеллект в мобильных приложениях: возможности и перспективы

Обзор современных применений ИИ в мобильных приложениях, анализ перспектив развития этой технологии,

 Читать далее...

ИТ-образование  

Как сделать ИТ-образование эффективным?

Эксперты ИТ-отрасли отвечают на вопросы «СА». Обсуждаем ключевые аспекты для улучшения образовательных

 Читать далее...

Work-life balance  

Как айтишнику найти баланс между работой и личной жизнью?

Обсуждаем инструменты для эффективного управления временем, снижения уровня стресса и достижения гармонии. На

 Читать далее...

Книжная полка  

Всё самое нужное – под одной обложкой

Отличительная черта книжных новинок, выпущенных недавно издательством «БХВ» – это их универсальность. Не просто

 Читать далее...

ИТ-инфраструктура  

Системы мониторинга ИТ-инфраструктуры-2025

Без мониторинга ИТ-инфраструктуры не обходится ни одна компания, хотя бы потому, что

 Читать далее...

Открытое ПО  

Безопасность Open Source: рискуем или контролируем?

Компания «Кросс технолоджис» изучила, как используется ПО с открытым кодом в компаниях

 Читать далее...

Работа с нейросетью  

Скажи, есть ли у тебя AI, и я скажу, кто ты

Недавно сервис по поиску работы SuperJob выяснил, что каждый второй россиянин уже

 Читать далее...

Опрос  

Защита личных и клиентских данных: как мошенники используют ИИ и как защититься?

По данным RED Security, общее число кибератак на российские компании в 2024

 Читать далее...

Опрос  

Облачные инструменты для разработчиков

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Как с помощью облака сделать

 Читать далее...

Опрос  

Рынок мобильных приложений: что будет актуальным в 2025 году?

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Ваши прогнозы: чего ожидать от

 Читать далее...

Рынок труда  

Как успешно пройти все этапы собеседования на ИТ-должность?

По оценкам государства, дефицит ИТ-специалистов составляет от 740 тысяч до 1 миллиона

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 8134
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 8393
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 5722
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3602
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 4388
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 4397
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6947
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3743
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 4014
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7915
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 11276
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12996
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14758
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9700
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7652
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5942
Комментарии: 4
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 5121
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3966
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3669
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3893
Комментарии: 1
Рецензия на книгу «MongoDB в действии»

 Читать далее...

Друзья сайта  

 Знакомьтесь – команда этичных хакеров

Архив номеров / 2013 / Выпуск №10 (131) / Знакомьтесь – команда этичных хакеров

Рубрика: Карьера/Образование /  Стартап

Знакомьтесь –
команда этичных хакеров

В марте 2013 года командой энтузиастов была организована первая «Test.lab» – лаборатория тестирования на проникновение от PentestIT. Ее цель – дать всем желающим возможность проверить свои навыки в реальных условиях

Главное отличие лабораторий PentestIT от CTF-соревнований заключается в том, что «Test.lab» создается на основе ИТ-структуры реальных компаний (AD, GW, File, телефония и пр.), хотя уязвимости схожи (связанные с недостатками вреализациях сетевых протоколов, ошибками в конфигурациях и коде, человеческим фактором).

Константин Левин

Константин Левин (PentestIT Team)

«Мы создаем лаборатории, максимально приближенные к реальной ИТ-структуре компаний, чтобы участники могли работать с полноценными уязвимостями, а не наигранными по какому-нибудь сценарию».

Участники (атакующие) выполняют действия, аналогичные действиям специалистов, проводящих пентест по методу «Серый ящик» («Grey Box»). Это метод проведения тестирования на проникновение, при котором доступна только часть информации об атакуемой среде/системе. Участие в «Test.lab» включает в себя практически все фазы «этичного взлома» – от сбора информации до получения доступа к системе.

В момент запуска каждой лаборатории (на сегодняшний день было запущено четыре) участники получают подробную схему сети, доступ к технической площадке и модулю статистики.

Константин Ковалев

Константин Ковалев (PentestIT Team)

«Разрабатывая веб-приложения (например, модули статистики lab.pentestit.ru, samag.pentestit.ru) с учетом нашей аудитории, необходимо писать максимально безопасный код».

«Test.lab» представляют собой варианты типичных компьютерных сетей (с серверами и рабочими станциями), в которые намеренно вносятся уязвимости, охватывающие практически все направления ИБ (сетевая безопасность, безопасность веб-приложений, криптография, реверс-инженерия, анализ кода и т.д.).

Вадим Колисниченко

Вадим Колисниченко (PentestIT Team)

«На каждом узле в «Test.lab» имеется как минимум один вектор атаки. Для стабильной работы серверов важно учитывать все возможные варианты эксплуатации не только заложенных уязвимостей, но и других компонентов, доступных участникам».

Компоненты лаборатории разделяются на логические сегменты (External, DMZ, Internal) для большей реалистичности. Все участники начинают атаки из зоны External и в случае успеха получают доступ к DMZ и Internal-зонам. На каждом атакуемом узле в «Test.lab» заложен как минимум один вектор атаки.

Обнаружив уязвимость, участник пытается выполнить ее эксплуатацию и в случае успеха получает доступ к узлу, на котором находится флаг. Полученный флаг вносится в модуль статистики.

Победителем считается тот участник, кто собрал все флаги первым, то есть, по сути, тот, кому первому удастся выполнить компрометацию всей ИТ-структуры виртуальной компании.

Срок работы каждой из лабораторий – примерно календарный месяц.

Максим Майоровский

Максим Майоровский (PentestIT Team)

«При разработке заданий мы используем не только бинарные уязвимости, но и ошибки конфигурации, что в реальных условиях встречается чаще».

Кстати, лаборатория разрабатывается таким образом, что даже после эксплуатации заложенных «дыр» она сохраняет свое первоначальное состояние, позволяя другим участникам продолжать сбор флагов. Это очень важный и сложный момент, поскольку в большинстве случаев эксплуатация уязвимости позволяет атакующему ограничить доступ других участников к серверу или службе.

Организовать доступность сервера с заложенной уязвимостью даже после эксплуатации – вот одна из главных и сложных задач для команды PentestIT.

Алексей Белоусов

Алексей Белоусов (PentestIT Team)

«Лабораторные задания с заложенными уязвимостями требуют разработки очень безопасного кода, который не позволит атакующему выходить за пределы заложенных уязвимостей».

Запуск новой лаборатории для команды PentestIT – это целый процесс, включающий согласование заданий (обязательно актуальных, распространенных), принципы взаимодействия узлов, реализацию и контроль доступа. Такая работа требует от команды не только глубоких знаний в области обеспечения ИБ, но и большой практической подготовки. Также необходимо обеспечивать защиту других ресурсов, не входящих в лабораторию, но позволяющих ей функционировать.

Лука Сафонов

Лука Сафонов (PentestIT Team)

«Это пентест-лаборатория, а не конкурс домохозяек».

Также PentestIT проводит «Train.lab» – обучающие лаборатории, в которых рассказывает о методах выполнения тестирования на проникновение, способах и инструментах. Такие занятия позволяют расширитькругозор в области обеспечения ИБ, освоить способы проведения пентеста, повысить свою квалификацию.

На занятиях в «Train.lab» специалисты из PentestIT делятся опытом проведения тестирования на проникновение, рассказывают о различных способах эксплуатации «дыр» (таких как SQLi, XSS, Shell, MiTM и прочих).

PentestIT Team – команда этичных хакеров, специалистов в области ИБ, выполняющих консультирование, аудит и тестирование на проникновение информационных систем.

Роман Романов (PentestIT Team): «Для того чтобы успешно выполнять пентест, необходимо знать не только уязвимости и способы их эксплуатации, но и модель поведения предполагаемого злоумышленника. Каждая лаборатория для нас – это работа со специфической аудиторией, способ проверить себя, свои возможности обеспечения ИБ, и мы с этим успешно справляемся».

Действительно, учитывая специфику аудитории PentestIT, очень сложно обеспечить безопасность технических компонентов проекта, поскольку у многих появляется желание проверить «на стойкость» всю техническую площадку, а не только узлы лаборатории.

Приглашаем всех желающих принять участия в лабораториях PentestIT, которые собирают вокруг себя людей с абсолютно разным уровнем подготовки – от начинающих специалистов в области ИБ до профессиональных хакеров, при этом каждый открывает для себя что-то новое в области обеспечения ИБ. Информация о прошедших, текущих и будущих лабораториях доступна на сайте www.pentestit.ru.

«PentesIT «Test.lab» – это атмосфера реальных угроз и нестандартного мышления, это – вызов!»


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru