Первый апдейт по стажировке Positive Technologies

Вчера оказалось, что первая домашняя работа была ошибкой, потому что индексирование директории должно было быть выключено. Задание слегка изменили, индексирование выключили и запустили задание заново. В этот раз флаги любезно сгенерировали в виде FLAG_NUM_MD5HASH.

Читать далее Первый апдейт по стажировке Positive Technologies

Летняя стажировка в Positive Technologies

Сегодня прошёл первый вебинар летней стажировки Positive Technologies, посвящённой безопасности веб-приложений. Пост о наборе, насколько я понимаю, размещался только на Хабре, но даже этого хватило, чтобы заявки подали 952 человека! По мне, так это довольно много.

Читать далее Летняя стажировка в Positive Technologies

Приехал с Positive Hack Days VI

Как обычно, пока свежи впечатления, стоит высказаться в воздух по поводу состоявшейся поездки на Positive Hack Days VI. Впечатления, в целом, остались крайне положительные, но возникает всего один вопрос — откуда стооолько людей? Очередь на вход в этот раз выстроилась на улице массивной змейкой, а регистрацию отменили перед открытием, потому что люди всё не кончались (потом, впрочем, нужно было вернуться за бейджем). Увеличение аудитории было заметно и в залах, особенно маленьких — «А» и «Б», куда и раньше было не протолкнуться на интересные воркшопы, а в этот раз и вообще можно было встретить нелепую смерть в коридорной давке. Стоя слушать доклад можно было и в относительно вместительном пресс-зале и в огромном «Селигере». В общем, в первый день народу было просто несметное количество, во второй уже не напрягало. В остальном организация, как обычно, была замечательной. В этом году серьёзно проапгрейдили игровую зону, что связано с изменённым форматом традиционного для форума CTF, теперь включающим не только хакеров, но ещё и защитников и мониторинг.

Читать далее Приехал с Positive Hack Days VI

Еду на Positive Hack Days VI

Позади ещё полгода с осенней поездки на ZeroNights 2015. Снова наступило время Positive Hack Days.

Решил посвятить целый абзац сакральному значению PHD для меня. Всё дело в том, что именно статья о конкурсе «конкурентная разведка» с Positive Hack Days III побудила меня прийти в информационную безопасность и остаться здесь навсегда. Думаю, это именно то, чего добивается Positive Technologies, организуя каждый год событие подобного масштаба. Когда-то обыкновенная статья с описанием применения довольно скромного набора навыков сподвигла студента наполовину технической специальности с головой уйти в относительно редкую и навыкоёмкую техническую область. С тех пор я скрипт-кидди. Positive Hack Days IV был обидно пропущен из-за классического написания выпускной квалификационной работы бакалавра в последние три недели. Positive Hack Days V стал моей первой конференцией в этой сфере.

По этой причине я предвзято отношусь к PHD, хотя и у ZN есть множество плюсов и особенностей. Думаю, что эти два мероприятия здорово сосуществуют на российский сцене практической информационной безопасности.

Как обычно, отчёт будет в отдельном посте.

Взял на заметку киберприступников

Дисклеймер гласит, что вся информация представлена исключительно в образовательных целях, все запросы выполняются к имитациям систем, все данные выдуманы, все совпадения случайны.

Такое бывает. Сидишь и пытаешься читать книжку, необходимую для того, чтобы начать, наконец, писать магистерскую диссертацию. Полная концентрация. И тут приходит СМС с предложением обменяться с доплатой, а детали предложено узнать, перейдя по ссылке mms24(тчк)net/t. Это ли не наглость? На Avito активных объявлений нет, но ноги точно растут оттуда.

Читать далее Взял на заметку киберприступников

Переехал на Vscale

Давно назрела необходимость покинуть сиротскую конфигурацию DigitalOcen с 512 мегабайт оперативной памяти. Утомили постоянные падения из-за недостатка RAM, а хочется и WAF поднять и всё такое.

В довесок, с нынешним курсом доллара тарифы у DigicalOcean перестали быть привлекательными и Vsacle стал выглядеть совсем уж выгодным решением. В результате за те же деньги получил необходимые мне 1 гигабайт RAM и рад. Переезд, вроде как, прошёл вполне безболезненно.

Углубился в изучение всякого

В последние недели блог откровенно пустует. Всё потому что я вовсю осваиваю материалы таких площадок, как Udemy, Cybrary и Pentester Academy. Поскольку материалы исключительно обучающие, то глубины, достойной записи в блог, ожидать не стоит, пока я с ними не закончу.

В настоящее время, в зависимости от настроения, я изучаю попеременно одно из трёх направлений:

  • Программирование на Python для offensive-целей (шелл-скриптинг, базовые техники обхода антивирусного ПО и систем обнаружения/предотвращения вторжений), а также безопасность веб-кода;
  • Web Application Penetration Testing. Весь сопутствующий набор техник (XSS, SQLi, CSRF, LFI, RFI и т.д.), а также инструментария (Burp, w3af, sqlmap, fimap, dirbuster и т.д.). Надеюсь вскоре попробовать себя в программе bug bounty;
  • Виртуализация с применением GNS3. Не покидает желание научиться воспроизводить лаборатории со сложной сетевой инфраструктурой.

Нужно придумать какую-нибудь постоянную и довольно короткую рубрику, чтобы блог не пустовал месяцами. Пока что на ум не пришло ничего лучше обзора инструментов Kali, прямо по разделам. Возможно, я придумаю что-то более интересное. По идее, неплохо было бы также формулировать что-то вроде краткого изложения, когда я закончу с тем или иным разделом, описанным выше. Тут уже в процесс написания постов вмешивается такой фактор, как лень.

Перешёл на Kali Rolling Edition

К Kali Linux можно относиться по-разному. Как и любой мейнстрим, дистрибутив начал подвергаться критике, иногда совершенно беспочвенно. Но одна позиция точно имеет под собой основание — инструментарий просто перестал успевать освежаться, что было доказано в том числе и долгим появлением исправно функционирующей атаки Pixie Dust в Kali. Многие стали переходить на Black Arch, называть Kali дистрибутивом для школоты и мамкиных хакеров. Кто-то даже под шумок перестал стесняться своих извращённых наклонностей и рекламирует сборку Windows с похожей идеологией. Хотя Black Arch и содержит больше инструментов, лишён глянцевых менюшек и наборов иконок, я продолжаю уважать то, что создали Offensive Security и не разделяю большую часть недовольства и критики.

На днях Kali переходит в режим обновления под названием роллинг-релиз. Сегодня наконец-то дошли руки перейти на него всеми устройствами и виртуалками. Вернее, почти всеми. Nexus 7 с Nethunter 3.0 на борту (кстати, давно же обещал обзор, а) не осилил переход из-за неких конфликтов в пакетах. Наверное, позже пофиксят. Будем надеяться, что постоянное обновление дистрибутива пойдёт ему на пользу и позволит инструментарию всегда оставаться актуальным, а не привнесёт еженедельные падения и глюки.

Приехал с ZeroNights 2015

День 1.

Пока ждал открытия конференции, обратил внимание на то, что робот, который катался в фойе, раздаёт вай-фай. Взломав сеть, наверняка можно было получить над ним контроль. Выяснил, что сеть уязвима к атаке Pixie Dust, но с пары попыток пробиться не удалось, точка отвечала, что попыток перебора слишком много и надо подождать. Посмотрел, сколько пробилось народу — подключено было человек 5. Не стал никого деаутентифицировать, потому что добрый. Решил, что взломаю сеть после открытия, но робота выключили, а потом и вообще убрали. Возможно, кто-то сделал нечто непредусмотренное.

Читать далее Приехал с ZeroNights 2015

Еду на ZeroNights 2015

Собственно, это всё. Из конференций такого рода, эта — вторая, которую я посещу. Первой была Positive Hack Days V и произвела на меня впечатление, которое невозможно переоценить. Но о своём особом отношении к PHD я опишусь когда-нибудь позже, а пока нахожусь в предвкушении ещё одной крутой хакерской тусовки. Больше всего ожиданий от знаменитой Harware Village.

В блоге впечатления, наверное, появятся скопом по результатам обоих дней конференции. Как раз будет чем заняться на обратном пути домой. Постараюсь делать заметки и, возможно, фотографии, по ходу дела. Из всего этого в конце концов надеюсь собрать некий отчёт.