Sum3r 0f h4ck: डिजिटल सुरक्षा पर ग्रीष्मकालीन इंटर्नशिप

लगातार तीसरे वर्ष, हमने ग्रीष्मकालीन इंटर्नशिप की परंपरा को सफलतापूर्वक जारी रखा है। पिछले वर्षों की तरह, हमने दो तकनीकी क्षेत्रों में इंटर्न लिया: अनुसंधान विभाग और सुरक्षा विश्लेषण विभाग। पिछले इंटर्नशिप के परिणाम यहां देखे जा सकते हैं:

• अनुसंधान विभाग 2016
• सुरक्षा विश्लेषण विभाग 2017
• अनुसंधान विभाग 2017

और आज हम आपको बताएंगे कि हमारे H4ck 2018 की समर कैसे चली ।

जैसा कि अभ्यास से पता चलता है, इंटर्न रिज्यूमे की मुख्य धारा सुरक्षा विश्लेषण विभाग में आती है; गर्मियों में डिजिटल सुरक्षा पर खर्च करने के इच्छुक कई और लोग थे, और इसलिए हमने उम्मीदवारों के लिए एक विशेष प्रश्नावली बनाई, जो हमारी वेबसाइट पर उपलब्ध थी। आवेदकों को खुद को एक्सर्ट करना था और न केवल अपने ज्ञान और कौशल का प्रदर्शन करना था, बल्कि पेशेवर रूप से विकसित होने की इच्छा भी थी। इसके लिए धन्यवाद, हम भविष्य के प्रशिक्षुओं के प्रशिक्षण के स्तर का आकलन करने और उनमें से सबसे योग्य चुनने में सक्षम थे। इसके अलावा, इस बार डिजिटल सुरक्षा ने विशेष रूप से कार्यालय इंटर्नशिप पर ध्यान केंद्रित किया - हमने रिमोट इंटर्नशिप विकल्प पर विचार नहीं किया।

संक्षिप्त जानकारी

सुरक्षा विश्लेषण विभाग के कर्मचारी कॉर्पोरेट नेटवर्क में पड़ोसी वाई-फाई के प्रवेश परीक्षण को तोड़ते हैं, वेब एप्लिकेशन और कॉर्पोरेट सॉफ़्टवेयर की सुरक्षा का विश्लेषण करते हैं, और मोबाइल और बैंकिंग अनुप्रयोगों सहित स्रोत कोड को भी ध्यान से देखते हैं।

अनुसंधान विभाग के कर्मचारी रिवर्स इंजीनियरिंग, कमजोरियों की खोज और शोषण, प्रणाली विकास और C / C ++ कोड के ऑडिट से संबंधित समस्याओं का समाधान करते हैं; मशीन लर्निंग, ब्लॉकचेन और अन्य दिलचस्प क्षेत्रों में शोध करना। टीम सक्रिय रूप से प्लगइन्स, स्क्रिप्ट, टूल विकसित कर रही है ताकि स्थिर और गतिशील (फ़ज़िंग) दोनों में कमजोरियों की खोज को स्वचालित किया जा सके।

हम किसका इंतजार कर रहे थे? दिलचस्प कार्यों के प्रेमी जो कठिनाइयों में नहीं देते हैं और जो वे करते हैं उससे प्यार करते हैं!

परिचय

हमें इंटर्नशिप के लिए उम्मीदवारों की सूचियों में फिर से परिचित नामों और उपनामों को देखकर खुशी हुई - हम में से कुछ ने पिछले साल ही हमसे मुलाकात की थी, और उन्हें वास्तव में सब कुछ पसंद आया :) कंपनी केवल इस पहल का समर्थन करती है। इसके अलावा, यदि आप फिर से आते हैं, तो आपको अधिक ब्रांडेड DSec-merch मिलता है!


ये उपहार हैं जो हमने इस वर्ष तैयार किए हैं

चयन प्रक्रिया के बारे में थोड़ा और अधिक। इलेक्ट्रॉनिक प्रश्नावली हमारी वेबसाइट पर पोस्ट की गई थीं: अनुसंधान विभाग से प्रश्नावली ने संभावित प्रशिक्षु के कौशल का एक उल्टा विचार करने की अनुमति दी थी, और सुरक्षा विश्लेषण विभाग से प्रश्नावली में दस छोटे कार्य थे जिन्हें हल किया जाना चाहिए था। हमने सभी कार्यों के समाधान की मांग नहीं की, लेकिन उम्मीदवार ने जितने अधिक सही उत्तर दिए और बेहतर ढंग से अपने तर्क के पाठ्यक्रम को समझाया, मूल्यांकन के दौरान उन्हें उतना ही अधिक ध्यान मिला। हालांकि, इसका मतलब यह नहीं है कि अनुसंधान विभाग में प्रवेश आसान था :) एक विस्तृत प्रश्नावली के बजाय, कर्मचारियों ने एक व्यक्ति-साक्षात्कार साक्षात्कार का संचालन करना पसंद किया, जहां उन्हें व्यक्तिगत बातचीत में प्रशिक्षण के स्तर के बारे में विवरण मिला।

पहले की तरह, प्रशिक्षुओं को उन विषयों की सूची की पेशकश की गई थी जो वे इंटर्नशिप के दौरान कर सकते थे। इसके अलावा, लोग अपना विषय प्रस्तुत कर सकते हैं, हम उन्हें सुनने के लिए हमेशा तैयार थे।

हमने विभिन्न विषय क्षेत्रों पर प्रशिक्षुओं के व्याख्यान दिए; बेशक, मैं चाहता था कि ये व्याख्यान प्रशिक्षु के प्रशिक्षण के स्तर की परवाह किए बिना सभी के लिए दिलचस्प और उपयोगी हों।

व्याख्यान में शामिल थे:

• सक्रिय निर्देशिका सुरक्षा ऑडिट
• डिवाइस नेटवर्क और नेटवर्क प्रोटोकॉल
• वेब भेद्यता
• लिनक्स और विंडोज पर विशेषाधिकार वृद्धि
• इंटेल 64 वास्तुकला का प्रदर्शन
• क्रोमियम के उदाहरण पर बड़े C ++ प्रोजेक्ट्स का अध्ययन
• प्रतीकात्मक जानकारी की अनुपस्थिति में फ़ंक्शन नामों की पुनर्प्राप्ति
• कोड इंस्ट्रूमेंटेशन
• श्रीमती, Z3, SSE, DSE, ...
• और अन्य ...

Sum3r 0f h4ck के अंत में , प्रतिभागियों ने हमारे लिए व्याख्यान दिया - उन्होंने हमें बताया कि क्या उन्होंने अपने लक्ष्यों को प्राप्त किया है, शोध के दौरान उन्हें किन कठिनाइयों का सामना करना पड़ा और इंटर्नशिप के परिणाम क्या थे। फाइनल में सफलतापूर्वक पहुंचने वाले सभी लोगों को भागीदारी का समर 3 एफ 0 एच 4 सीके 2018 प्रमाण पत्र दिया गया। कुछ प्रशिक्षुओं ने टीम बनाने और एक साथ काम करना पसंद किया, और हम, निश्चित रूप से, केवल इस इच्छा का स्वागत किया।

एक अच्छी परंपरा के द्वारा, हमने प्रतिभागियों का एक छोटा सर्वेक्षण किया, जो सफलतापूर्वक अंतिम छोर पर पहुंच गए हैं और अब आपके साथ डिजिटल सुरक्षा में गर्मियों के बारे में अपनी प्रतिक्रिया साझा करते हैं।

मिनी साक्षात्कार के लिए प्रश्न इस प्रकार थे:

1. आपने डिजिटल सुरक्षा में इंटर्नशिप करने का फैसला क्यों किया? क्या आप कंपनी के लिए आकर्षित किया?
2. क्या आपको इंटर्नशिप पसंद है? विशेष रूप से यादगार क्या था? वास्तविकता आपकी उम्मीदों के साथ कैसे मेल खाती है?
3. हमें अपने कार्य / कार्यों के बारे में बताएं।
4. इंटर्नशिप के दौरान आपके द्वारा काम किए गए कार्य दिलचस्प लग रहे थे? क्या ऐसा कुछ था जो आप करना चाहते थे लेकिन असफल रहे?
5. क्या आप इंटर्नशिप या काम करने के लिए कंपनी में लौटने के लिए तैयार हैं?

और यहाँ कुछ इंटर्न द्वारा दिए गए उत्तर दिए गए हैं:

पावेल कनीज़ेव, विषय "एआरएम वास्तुकला का दागी-विश्लेषण":

1. दूसरे वर्ष के समापन के बाद, मुझे एहसास हुआ कि मुझे सूचना सुरक्षा में कौशल की कमी है। मैं न केवल पाठ्यक्रमों को सुनना चाहता था, बल्कि अपने हाथों से काम करना चाहता था। सबसे पहली बात जो मेरे सामने आई, वह थी गर्मियों के H3ck के बारे में डिजिटल सुरक्षा से Habré पर एक लेख। लगभग शून्य अनुभव होने के बाद, मैंने जाने का फैसला किया।
2. मुझे इंटर्नशिप पसंद है। एक विशाल कमरा, एक बड़ी मेज और खामोशी - मुझे इंटर्न के लिए कमरे में एक कार्यस्थल दिया गया था। पास में बैठे हैं प्रशिक्षुओं के एक जोड़े, एक काम करने वाले। समय-समय पर, संरक्षक हमारे पास योजनाओं, आगे की कार्रवाई पर चर्चा करने के लिए आते हैं। आवश्यक लिंक लगाने के लिए वे हमेशा कुछ समझाने के लिए तैयार रहते हैं। मुझे विशेष रूप से उनके साथ संवाद करने में आसानी याद है - सिर्फ एंटोन, साशा, दीमा। आप थोड़ी देर के लिए भूल सकते हैं कि आपके सामने एक बड़ा मालिक बैठा है, और बस बात करें।
3. मेरे पास था, यह मुझे लगता है, एक बहुत ही विदेशी विषय है: "एआरएम वास्तुकला का दागी-विश्लेषण।" यह देखते हुए कि न तो दागी विश्लेषण और न ही एआरएम वास्तुकला वास्तव में कुछ भी जानता है, मुझे "अविश्वसनीय रूप से खुशी" थी कि मेरा ऐसा विषय था। इसके साथ शुरू करने के लिए, एआरएम और x86 के बीच अंतर को समझना आवश्यक था (मैं केवल इसके साथ परिचित था), इस वास्तुकला के कोडांतरक का अध्ययन करें, और संबोधित करने के तरीके। तब मौजूदा साधनों से निपटना जरूरी था, जो ... नहीं थे। बल्कि, वे थे, हालांकि, एक उपकरण सूचना सुरक्षा कार्यों के लिए उपयुक्त नहीं था, दूसरे में पर्याप्त लचीलापन और कार्यक्षमता नहीं थी, और तीसरा, DrTaint पुस्तकालय, हाल ही में अस्तित्व में था। मेरा काम इस लाइब्रेरी को अंतिम रूप देना था। एक सुखद आश्चर्य का मुझे यहां इंतजार था: ड्रेंट लाइब्रेरी डायनमोआरआईओ पर आधारित है, और मैं इसे थोड़ा जानता था। इस तथ्य के बावजूद कि DrTaint बहुत छोटा था, स्रोत कोड का अध्ययन करने और इसके संचालन के सिद्धांतों को समझने में लगभग दो सप्ताह लग गए। इन दो हफ्तों के बाद ही मुझे लगा कि मैं नीचे नहीं जा रहा हूं। एक और सप्ताह बीत गया, और सब कुछ सुधरने लगा। मैंने डरना बंद कर दिया और स्रोत कोड बदलना शुरू कर दिया। अगर कुछ गलत हुआ, तो डायनेमोआरआईओ ने तुरंत इसकी सूचना दी। इंटर्नशिप के परिणामस्वरूप, मैं पुस्तकालय में कई त्रुटियों को खोजने और सही करने में कामयाब रहा, नई विशेषताओं को जोड़ा और अपने प्रदर्शन का प्रदर्शन किया। अंत में, मुझे यह जानकर आश्चर्य हुआ कि मैं एआरएम के लिए डीबीआई और कोडांतरक को समझता हूं।
4. जब मुझे पता चला कि टेंट विश्लेषण से रिवर्सर्स के काम में आसानी होती है और यहां तक ​​कि सॉफ्टवेयर कमजोरियों का पता लगाने में मदद मिलती है, DrTaint डेवलपमेंट ने वास्तव में मुझे दिलचस्पी दी। मैंने जो किया वह मेरे लिए काफी था।
5. मैं चीजें इकट्ठा करता हूं।

परीक्षणों में से एक चल रहा है

यूजीन ल्यूकिन, गोलंग सोशल बॉट थीम:

1. इस तथ्य से कि DSek छात्रों के साथ सामान्य व्यवहार करता है और उन्हें वास्तविक कार्यशील परियोजनाओं के साथ काम करने की अनुमति देता है। इसके अलावा, मैंने लंबे समय तक कंपनी के बारे में सुना है और मुझे पता है कि इसमें शांत लोग काम करते हैं।
2. यह शायद मैंने जितना सोचा था उससे भी बेहतर था। मुझे पसंद आया कि विभाग का हर कोई आपको लगभग किसी भी विषय पर बता सकता है, और यदि कोई समस्या है, तो उसे हल करें। अधिक औपचारिकताओं की उम्मीद है, इसलिए बोलने के लिए
3. मेरे पास गोलंग सोशल बॉट थीम थी। इस बॉट का उपयोग पैठ परीक्षण के दौरान किया जाता है। मुख्य लक्ष्य उन मॉड्यूल को लिखना था जो आवश्यक डेटा एकत्र करते हैं, उदाहरण के लिए पासवर्ड, कॉन्फ़िगरेशन फ़ाइलें और फाइलें, सिद्धांत रूप में, आपको फ़ाइल सिस्टम के साथ बातचीत करने की अनुमति मिलती है। कॉर्पोरेट नेटवर्क के अंदर सिस्टम और नेटवर्क के काम में फिक्सिंग के बारे में सोचना भी आवश्यक था।
4. हां, जैसा कि मैंने कहा, मैंने मॉड्यूल लिखे। और यद्यपि बहुत काम किया जा चुका है, फिर भी बहुत कुछ किया जाना बाकी है।
5. हां, शांत लोग यहां काम करते हैं, जिनसे आप बहुत कुछ सीख सकते हैं।

काम का एक हिस्सा यहां पाया जा सकता है ।

दिमित्री फ्रोलोव, विषय "UEFITool नए इंजन का अंतिम रूप":

1. पिछले वर्षों के इंटर्न से समीक्षा पढ़ने के बाद, मुझे एहसास हुआ कि रिवर्स से संबंधित दिलचस्प परियोजनाएं यहां मेरा इंतजार कर रही हैं। और मैं नहीं हारी।
2. मुझे वास्तव में इंटर्नशिप पसंद है, और वास्तविकता ने मेरी सभी उम्मीदों को पार कर लिया है। टीम में बहुत ही दोस्ताना माहौल ने परियोजना पर काम करने के लिए अनुकूल परिस्थितियों का निर्माण किया, और मेरे लिए निर्धारित कार्यों का समाधान खुशी लाया।
3. मैं लंबे समय से विभिन्न निम्न-स्तरीय टुकड़ों के रिवर्स विकास में रुचि रखता हूं, विशेष रूप से BIOS में, इसलिए मैंने उपयुक्त कार्य चुना। इसमें UEFITool NE प्रोग्राम को अंतिम रूप देना शामिल है, जिसे UEFI BIOS छवियों के साथ काम करने के लिए डिज़ाइन किया गया है। NE सदस्यता का अर्थ है नया इंजन: मूल UEFITool को एक बार फिर से लिखने का निर्णय लिया गया था, और इसलिए इसकी नई NE शाखा का जन्म हुआ। लेकिन यूईफिटूल न्यू इंजन ने फ़र्मवेयर को संशोधित करने की संभावना का समर्थन नहीं किया, क्योंकि यह मूल शाखा में था, और मेरे पास इस कार्य को वापस करने का कार्य था, और यहां तक ​​कि एनवीआरएएम अनुभागों को संशोधित करने की क्षमता भी थी (जो पुराने टूल में समर्थित नहीं थे। )। मैंने कार्य के साथ सामना किया और एक जोड़े को और अधिक अतिरिक्त प्रदर्शन किया (उदाहरण के लिए, कुछ जटिल संरचनाओं को पार्स करने की क्षमता को जोड़ना आवश्यक था)। मेरे क्यूरेटर और मैंने टूल के डेवलपर से संपर्क किया, और जल्द ही एक पुल अनुरोध भेजा जाएगा।
4. कार्य बहुत दिलचस्प हैं। उन्हें हल करने की प्रक्रिया में, मुझे BIOS के क्षेत्र में बहुत अच्छा ज्ञान का आधार मिला, और मैं इसे विकसित करना जारी रखना चाहता हूं।
5. मुझे इंटर्नशिप और नौकरी दोनों में वापसी करना अच्छा लगेगा।

संशोधित UEFITool नए इंजन की सामान्यीकृत वास्तुकला

मुख्य यूईएफ इटूल भंडार के लिए एक अनुरोध स्वीकार करने की प्रगति यहाँ देखी जा सकती है ।

थीम "सिस्को विन्यास विश्लेषण उपकरण"

निम्नलिखित इंटर्न ने एक सामान्य विषय पर एक समूह में काम किया, सिस्को कॉन्फिग एनालिसिस टूल। उनके काम का परिणाम यहां पाया जा सकता है ।

नतालिया खोदुकिना :

1. मैंने लंबे समय से रूस में सूचना सुरक्षा के क्षेत्र में अग्रणी कंपनियों में से एक के रूप में कंपनी के बारे में सुना है।
2. मुझे यह पसंद आया, और वास्तविकता पूरी तरह से उम्मीदों के साथ मेल खाती है। यह पता चला कि हम तीनों ने इस विषय पर काम किया, इसलिए, व्यावहारिक और सैद्धांतिक कौशल के अलावा, मैंने एक टीम में काम करना सीखा। चर्चाओं में, नए विचारों और समाधानों का जन्म हुआ, इसके अलावा, हमने गलतियों और कमियों को खोजने और सही करने के लिए एक दूसरे की मदद की, हमारे (छोटे) अनुभव को साझा किया और एक नया प्राप्त किया। कर्मचारियों के साथ संवाद करना भी अच्छा था, उन्होंने सभी को सबसे अधिक समझने योग्य तरीके से जानकारी देने की कोशिश की, सभी सवालों के जवाब देने और यह समझाने के लिए तैयार थे कि क्या समझ से बाहर है।
3. हमें कमजोरियों और असुरक्षित सेटिंग्स की उपस्थिति के लिए नेटवर्क उपकरणों की कॉन्फ़िगरेशन फ़ाइलों का विश्लेषण करने के लिए एक उपयोगिता विकसित करने के कार्य के साथ सामना करना पड़ा। ऐसा करने के लिए, नेटवर्क उपकरण से परिचित होना आवश्यक था, विभिन्न सेटिंग्स के बारे में जानें, स्विच को कॉन्फ़िगर करने की कोशिश करें और इसके संचालन और हमलों के प्रतिरोध की जांच करें।
4. कार्य वास्तव में दिलचस्प थे, क्योंकि मैंने इंटर्नशिप से पहले नेटवर्क तकनीकों का अध्ययन किया। जो कुछ भी योजना बनाई गई थी, वह पूरा किया गया। हालांकि, अनुसंधान और विकास की प्रक्रिया में, बहुत सारे नए विचार प्रकट हुए हैं, जो मुझे आशा है, हम महसूस करेंगे।
5. बेशक हाँ।

मिखाइल ड्रायगुनोव:

1. प्रसिद्ध सुरक्षा कंपनी। अन्य लोगों के बीच, यह विभिन्न अध्ययनों और प्रकाशनों से बाहर है।
2. हाँ, सब कुछ सुपर है! दिलचस्प रिपोर्ट और परियोजना विषय। सबसे अधिक याद किया गया - टीम विकास, और इससे जुड़ी हर चीज।
3. मेरा एक ग्रुप प्रोजेक्ट था। सबसे पहले, हमने बुनियादी कार्यक्षमता पर फैसला किया, फिर विषयों को विभाजित किया (यह समझने के लिए कि यह सब लिखने के लिए क्या और कैसे काम करता है यह समझना आवश्यक था), स्विच में संभावित कमजोर स्पॉट और सुरक्षा सुविधाओं के लिए एक तरह की विकी बनाया। जब सब कुछ तैयार हो गया, तो हमने कार्यक्रम लिखना शुरू कर दिया। इंटर्नशिप के अंत की ओर, हमने कार्यक्षमता लिखी थी जो मूल रूप से नियोजित थी, लेकिन इससे भी अधिक विचार और वांछित विशेषताएं दिखाई दीं। हमने उन्हें पूरा करने और ZN पर एक प्रस्तुति देने की योजना बनाई है।
4. पहले तो मैं PayPass / PayWave के साथ काम करने के विषय से निपटना चाहता था, लेकिन यह पहले ही ले लिया गया था। डायनामिक रूटिंग प्रोटोकॉल पर शोध का विषय भी दिलचस्प था, लेकिन यह मुझे बहुत खुला लगा।
5. बेशक!

एकातेरिना फेडोशेंको, विषय "गतिशील पथों के साथ डेटा संरचनाओं को पुनर्स्थापित करना":

1. DSec की प्रतिष्ठा लगभग पौराणिक है। कंपनी की अनुसंधान गतिविधियों के बारे में सुना, यह सब छूने के लिए अविश्वसनीय रूप से दिलचस्प था। मुझे ऐसा लग रहा था कि यह इस बात का पता लगाने का एक शानदार मौका है कि व्यावहारिक सूचना सुरक्षा में कैसे काम किया जा रहा है, कौशल की क्या आवश्यकता है।
2. यह कहने के लिए कि आपको यह पसंद है कि कुछ भी नहीं कहना है। मुझे बहुत सी बातें याद थीं: और अद्भुत व्याख्यान, भाषण तैयार करने वाले लोगों को बहुत धन्यवाद; और इंटर्नशिप पर आकाओं और साथियों के साथ संवाद - किस तरह के उत्साही, उद्देश्यपूर्ण लोग हैं, आप उनसे कितना सीख सकते हैं। वास्तविकता और अपेक्षाएं - न तो आदर्शवादी और न ही निराशावादी - पूरी तरह से मेल खाती है, और यह सिर्फ सबसे अच्छा अनुभव था। और मैं भी एक अविश्वसनीय भावना का अनुभव करने में कामयाब रहा जब प्राप्त ज्ञान इंटर्नशिप के हिस्से के रूप में उपयोगी नहीं था।
3. मेरी इंटर्नशिप का विषय गतिशील निशान के साथ डेटा संरचनाओं की बहाली था। सार्वजनिक डोमेन में शैक्षिक कार्यों की एक उचित मात्रा है, लेकिन इस समस्या को हल करने वाले उपकरण उंगलियों पर गिने जा सकते हैं। काम के दौरान, यह दो ऐसे उपकरणों पर विचार करने के लिए निकला - रिकवर और डायस्ट्रोस्ट ; यह पता चला कि केवल एक (dynStruct) का प्रबंधन कर रहा है, लेकिन इसे शोधन की आवश्यकता है। मेरे गुरु द्वारा लिखित आईडीए प्रो के लिए एक शांत प्लगइन - हेक्सरेप्सटूल के स्टैटिक्स के साथ परिणामों को संयोजित करना भी आवश्यक था। इस तथ्य के बावजूद कि कुछ सफलताएं प्राप्त हुईं, अभी भी कई अनसुलझी समस्याएं हैं। इसके अलावा, दिमित्री की सलाह पर, एक परीक्षण एप्लिकेशन पर काम शुरू किया गया था जो मौजूदा उपकरणों की प्रभावशीलता की जांच करने के लिए संरचनाओं और कक्षाओं के साथ काम करने के लिए यथासंभव कई तरीकों को कवर करना चाहिए, क्योंकि यह भी एक काफी जरूरी काम है।
4. सब कुछ बहुत दिलचस्प था। मैं चाहता था, लेकिन इंटर्नशिप के कार्यों के लिए अधिक समय नहीं दे सकता था: काम के साथ संयोजन करना काफी संभव है, हालांकि कई बार पर्याप्त ताकत और मनोवैज्ञानिक अनुशासन नहीं था। एक उत्कृष्ट, हालांकि, अपने आप को जानने और समझने के लिए कि क्या काम करना है।
5. बहुत खुशी के साथ। आयोजकों और प्रशिक्षुओं को बहुत-बहुत धन्यवाद!

DynStruct के लिए नए मॉड्यूल

विटाली एस।, विषय "हाइपरविजर के वेब इंटरफेस (प्रॉक्समोक्स / किम्ची / ओविर्ट्स) में बग की तलाश:"

1. यह शहर की एकमात्र कंपनी है जो इस तरह के आयोजन करती है। अन्य कंपनियां भी हो सकती हैं, लेकिन वे मेरे लिए अज्ञात हैं। मुझे लगता है कि कुछ विश्वविद्यालय सूचना सुरक्षा कंपनियों के साथ सीधे बातचीत कर सकते हैं, बिना इंटर्नशिप उपलब्ध कराए, जैसे डिजिटल सुरक्षा है। मुझे ऐसी प्रथाओं के बारे में पता है। मेरा मानना ​​है कि अन्य कंपनियों को डिजिटल सुरक्षा से सीख लेनी चाहिए। यदि संगठन में नहीं है, तो कम से कम विचार और पहुंच में है। कंपनी पेशेवर रूप से व्यावहारिक सूचना सुरक्षा में लगी हुई है।
2. मुझे इंटर्नशिप पसंद है। वह मदद नहीं कर सकती लेकिन पसंद करती है। मुझे इस तथ्य को याद है कि मैंने विश्वविद्यालय में पढ़ने वाले लोगों के साथ बात की थी, जिसे मैंने एक बार स्नातक किया था। एक प्रसिद्ध शिक्षण स्टाफ :) के साथ मुझे परिचित विशिष्टताओं पर :)। लैब ठंडी हैं। मुझे उम्मीद नहीं थी कि इतनी सारी वर्चुअल मशीनें होंगी। अपेक्षा / वास्तविकता। मैंने महसूस किया कि मेरे कौशल ने वांछित होने के लिए बहुत कुछ छोड़ दिया है। मुझे महसूस हुआ कि मुझे किस दिशा में बढ़ना चाहिए। क्या पढ़ना है और कहां देखना है।
3. मेरा कार्य नियंत्रण प्रणालियों (वेब) वर्चुअलाइजेशन (ओपन सोर्स) में कमजोरियों और कमजोरियों का पता लगाना था। इस मामले में, ये ऐसी परियोजनाएं हैं जहां डेवलपर्स अपने विकास की सुरक्षा की निगरानी करते हैं, लेकिन हर जगह नहीं। विषय काफी बड़ा हो गया है, और इंटर्नशिप के दायरे से परे काम जारी है।
4. अधिकांश कार्य दिलचस्प हैं। मैं उन्हें प्रकाश नहीं कहूंगा। जब कोई विषय चुनते हैं, तो चरम सीमा पर पहुंचे बिना निर्णय करना कठिन होता है। विषय शीर्षक में परिचित शब्दों को देखना अच्छा है। वहाँ जीवन हैक्स के एक जोड़े हैं। एक से अधिक विषय न लें। जब तक कि विषय आपके मुख्य कार्य के साथ मेल नहीं खाता है, तब तक आपके लिए स्वयं और कार्य दोनों विषयों को संयोजित करना मुश्किल होगा। एक विषय लें, जिसमें वे क्षेत्र शामिल हैं जिनका आपने सामना किया है या वर्तमान में काम कर रहे हैं। कई व्यक्तिगत निर्देश हैं, लेकिन वे बहुत छोटे हैं। मूल रूप से, आप व्यावहारिक कार्यों में क्या मुठभेड़ करते हैं, और यह विचार हैं, लेकिन जांचने का समय नहीं है।
5. इंटर्नशिप के लिए लौटने के लिए तैयार। काम - भविष्य में हो सकता है।

अध्ययन में प्रभावित पर्यवेक्षक:

• Proxmox
• Kimchi
• Ovirt
• Webvirtmgr

निकिता निझोव, "फीडबैक द्वारा संचालित ओपन सोर्स प्रोजेक्ट्स की प्रतिक्रिया" का विषय:

1. क्योंकि मैं केवल डिजिटल सुरक्षा के अलावा कुछ कंपनियों को जानता हूं जो अनुसंधान विभाग में समान दिलचस्प चीजों से निपटते हैं।
2. मुझे बहुत अच्छा लगा। यह उन लोगों के साथ बात करने के लिए विशेष रूप से दिलचस्प था जो पेशेवर रूप से क्षेत्र में काम करते हैं, जीवन से उदाहरण के साथ कुछ उपयोगी व्याख्यान बहुत उपयोगी हैं।
3. मेरा काम फ़र्ज़र्स (फोर्क्स और एफएल से संबंधित) का एक अध्ययन करना था, काम के सिद्धांतों, संरचना को समझना और एक परीक्षण आवेदन पर तुलना करना जो फ़्यूज़र ने पाया कि कितनी कमजोरियां हैं।
4. एक बहुत ही दिलचस्प कार्य, क्षेत्र विज्ञान और उद्योग में प्रासंगिक है। मुझे नहीं पता था कि फ़ज़र्स इतने चालाक और व्यवस्थित करने के लिए मुश्किल हैं। मैं भी इंटर्नशिप के दौरान ffmpeg में डॉस-भेद्यता से प्रभावित था।
5. बेशक मैं तैयार हूँ!

ओपन सोर्स फीजिंग सारांश

Stepan Besklubov, विषय "एआरएम प्रोसेसर की हार्डवेयर क्षमताओं के आधार पर ट्रेसिंग":

1. मैं लंबे समय से डीएसईसी के बारे में जानता हूं, मुख्य रूप से दोस्तों और परिचितों से सूचना सुरक्षा के क्षेत्र में, मैं रूसी और अंतर्राष्ट्रीय सूचना सुरक्षा के जीवन में कंपनी की सक्रिय भागीदारी के लिए भी बहुत आकर्षित हूं।
2. मुझे निश्चित रूप से इंटर्नशिप पसंद है। , . .
3. « ARM ». ARM CoreSight, IDA Pro. ARM TrustZone, , .
4. . ARM-. , .
5. .

IDA Pro

, , ( CoreSight ).

, “ ”:

1. , , , .
2. , : , , , , (/), () () .
3. « ». IDA PRO. , , , , () . , () , , , , . .
4. हां। , , , .
5. बेशक!

IDA PRO



, , , , . , , :)

!