Знакомьтесь – команда этичных хакеров::Журнал СА 10.2013
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6413
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7117
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4395
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3086
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3881
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3897
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6385
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3233
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3529
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7364
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10726
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12445
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14096
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9192
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7141
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5446
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4683
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3495
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3212
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3449
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3090
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Знакомьтесь – команда этичных хакеров

Архив номеров / 2013 / Выпуск №10 (131) / Знакомьтесь – команда этичных хакеров

Рубрика: Карьера/Образование /  Стартап

Знакомьтесь –
команда этичных хакеров

В марте 2013 года командой энтузиастов была организована первая «Test.lab» – лаборатория тестирования на проникновение от PentestIT. Ее цель – дать всем желающим возможность проверить свои навыки в реальных условиях

Главное отличие лабораторий PentestIT от CTF-соревнований заключается в том, что «Test.lab» создается на основе ИТ-структуры реальных компаний (AD, GW, File, телефония и пр.), хотя уязвимости схожи (связанные с недостатками вреализациях сетевых протоколов, ошибками в конфигурациях и коде, человеческим фактором).

Константин Левин

Константин Левин (PentestIT Team)

«Мы создаем лаборатории, максимально приближенные к реальной ИТ-структуре компаний, чтобы участники могли работать с полноценными уязвимостями, а не наигранными по какому-нибудь сценарию».

Участники (атакующие) выполняют действия, аналогичные действиям специалистов, проводящих пентест по методу «Серый ящик» («Grey Box»). Это метод проведения тестирования на проникновение, при котором доступна только часть информации об атакуемой среде/системе. Участие в «Test.lab» включает в себя практически все фазы «этичного взлома» – от сбора информации до получения доступа к системе.

В момент запуска каждой лаборатории (на сегодняшний день было запущено четыре) участники получают подробную схему сети, доступ к технической площадке и модулю статистики.

Константин Ковалев

Константин Ковалев (PentestIT Team)

«Разрабатывая веб-приложения (например, модули статистики lab.pentestit.ru, samag.pentestit.ru) с учетом нашей аудитории, необходимо писать максимально безопасный код».

«Test.lab» представляют собой варианты типичных компьютерных сетей (с серверами и рабочими станциями), в которые намеренно вносятся уязвимости, охватывающие практически все направления ИБ (сетевая безопасность, безопасность веб-приложений, криптография, реверс-инженерия, анализ кода и т.д.).

Вадим Колисниченко

Вадим Колисниченко (PentestIT Team)

«На каждом узле в «Test.lab» имеется как минимум один вектор атаки. Для стабильной работы серверов важно учитывать все возможные варианты эксплуатации не только заложенных уязвимостей, но и других компонентов, доступных участникам».

Компоненты лаборатории разделяются на логические сегменты (External, DMZ, Internal) для большей реалистичности. Все участники начинают атаки из зоны External и в случае успеха получают доступ к DMZ и Internal-зонам. На каждом атакуемом узле в «Test.lab» заложен как минимум один вектор атаки.

Обнаружив уязвимость, участник пытается выполнить ее эксплуатацию и в случае успеха получает доступ к узлу, на котором находится флаг. Полученный флаг вносится в модуль статистики.

Победителем считается тот участник, кто собрал все флаги первым, то есть, по сути, тот, кому первому удастся выполнить компрометацию всей ИТ-структуры виртуальной компании.

Срок работы каждой из лабораторий – примерно календарный месяц.

Максим Майоровский

Максим Майоровский (PentestIT Team)

«При разработке заданий мы используем не только бинарные уязвимости, но и ошибки конфигурации, что в реальных условиях встречается чаще».

Кстати, лаборатория разрабатывается таким образом, что даже после эксплуатации заложенных «дыр» она сохраняет свое первоначальное состояние, позволяя другим участникам продолжать сбор флагов. Это очень важный и сложный момент, поскольку в большинстве случаев эксплуатация уязвимости позволяет атакующему ограничить доступ других участников к серверу или службе.

Организовать доступность сервера с заложенной уязвимостью даже после эксплуатации – вот одна из главных и сложных задач для команды PentestIT.

Алексей Белоусов

Алексей Белоусов (PentestIT Team)

«Лабораторные задания с заложенными уязвимостями требуют разработки очень безопасного кода, который не позволит атакующему выходить за пределы заложенных уязвимостей».

Запуск новой лаборатории для команды PentestIT – это целый процесс, включающий согласование заданий (обязательно актуальных, распространенных), принципы взаимодействия узлов, реализацию и контроль доступа. Такая работа требует от команды не только глубоких знаний в области обеспечения ИБ, но и большой практической подготовки. Также необходимо обеспечивать защиту других ресурсов, не входящих в лабораторию, но позволяющих ей функционировать.

Лука Сафонов

Лука Сафонов (PentestIT Team)

«Это пентест-лаборатория, а не конкурс домохозяек».

Также PentestIT проводит «Train.lab» – обучающие лаборатории, в которых рассказывает о методах выполнения тестирования на проникновение, способах и инструментах. Такие занятия позволяют расширитькругозор в области обеспечения ИБ, освоить способы проведения пентеста, повысить свою квалификацию.

На занятиях в «Train.lab» специалисты из PentestIT делятся опытом проведения тестирования на проникновение, рассказывают о различных способах эксплуатации «дыр» (таких как SQLi, XSS, Shell, MiTM и прочих).

PentestIT Team – команда этичных хакеров, специалистов в области ИБ, выполняющих консультирование, аудит и тестирование на проникновение информационных систем.

Роман Романов (PentestIT Team): «Для того чтобы успешно выполнять пентест, необходимо знать не только уязвимости и способы их эксплуатации, но и модель поведения предполагаемого злоумышленника. Каждая лаборатория для нас – это работа со специфической аудиторией, способ проверить себя, свои возможности обеспечения ИБ, и мы с этим успешно справляемся».

Действительно, учитывая специфику аудитории PentestIT, очень сложно обеспечить безопасность технических компонентов проекта, поскольку у многих появляется желание проверить «на стойкость» всю техническую площадку, а не только узлы лаборатории.

Приглашаем всех желающих принять участия в лабораториях PentestIT, которые собирают вокруг себя людей с абсолютно разным уровнем подготовки – от начинающих специалистов в области ИБ до профессиональных хакеров, при этом каждый открывает для себя что-то новое в области обеспечения ИБ. Информация о прошедших, текущих и будущих лабораториях доступна на сайте www.pentestit.ru.

«PentesIT «Test.lab» – это атмосфера реальных угроз и нестандартного мышления, это – вызов!»


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru