Summ3r h4ck 2019. Departemen Analisis Keamanan

Summ3r dari program h4ck 2019 musim panas telah berakhir dan saatnya untuk mengambil stok. Dalam artikel ini kami akan memberi tahu Anda hasil apa yang telah dicapai oleh para peserta dari departemen analisis keamanan.



Di sini Anda dapat melihat hasil tahun lalu:

• departemen penelitian 2016
• Departemen Analisis Keamanan 2017
• departemen penelitian 2017
• Summ3r 0f h4ck: magang musim panas di Digital Security

Kami berpegang pada praktik sebelumnya: para peserta ditawari daftar topik yang bisa mereka kerjakan selama program. Seseorang memiliki ide menarik untuk diteliti, dan kami selalu siap untuk membahasnya.

Jadi, bagaimana seleksi masuk ke departemen? Tahap pertama adalah mengisi kuesioner, yang kami posting di situs web perusahaan. Isinya 10 tugas menarik. Mereka membantu mengevaluasi tingkat pelatihan orang tersebut, pengetahuannya dan beberapa keterampilan praktis.

Bekerja sama dengan Korgik_0, kami telah membuat analisis terperinci tentang tes masuk ; Selain itu, sistem untuk mengevaluasi tanggapan dan beberapa statistik menarik disajikan. Karena itu, kita tidak akan memikirkannya lagi, tetapi beralih ke yang paling menarik.

Apa yang dilakukan departemen analisis keamanan?

Karyawan kami memecah Wi-Fi tetangga, melakukan tes penetrasi di jaringan perusahaan, menganalisis keamanan aplikasi web dan perangkat lunak perusahaan, dan dengan cermat melihat kode sumber, termasuk aplikasi seluler dan perbankan. (c)

Pendahuluan

Tahun ini, ada banyak orang yang ingin berpartisipasi, termasuk dari kota-kota lain. Secara geografis, Summ3r h4ck selalu terjadi di kota St. Petersburg yang indah.

Rekrutmen tahun ini mencakup wajah-wajah baru dan yang sudah akrab: seseorang telah menjalani magang mahasiswa di universitas kami dan sekarang telah berurusan dengan kuesioner kualifikasi pada tingkat yang layak, dan seseorang pada tahun-tahun sebelumnya telah mendatangi kami pada Summ3r h4ck melihat ke dalam. Kami selalu senang mengamati pertumbuhan profesional spesialis muda, terutama jika kami sendiri berkontribusi terhadap hal ini :)

Bagian penting dari pelatihan adalah ceramah dari karyawan kami. Daftar kuliah departemen analisis keamanan tahun ini adalah sesuatu seperti ini:

• Keamanan AD
• Bersendawa dan plugin yang bermanfaat
• Linux LPE
• Windows LPE
• Kuliah Keamanan Web
• Keamanan Wi-Fi
• Menjelajahi (dalam) keamanan aplikasi Android

Para peserta sendiri juga bertindak sebagai dosen - lebih dekat dengan penyelesaian Summ3r h4ck, mereka membuat presentasi tentang hasil penelitian mereka, berbagi masalah yang muncul dalam proses kerja, dan memberi tahu tujuan apa yang dicapai. Beberapa orang bekerja sama dan mengerjakan proyek bersama.

Selain itu, kami telah mengembangkan lingkungan laboratorium di mana Anda dapat mempraktikkan keterampilan keamanan informasi praktis. Tugas tidak hanya berguna, tetapi juga penting - pada akhir Summ3r h4ck 2019, manajer program melihat statistik umum dan mengidentifikasi orang-orang yang menyelesaikan sebagian besar tugas. Ini, seperti yang Anda pahami, nantinya akan mempengaruhi pemilihan calon staf Keamanan Digital.

Semua pembicara yang sukses secara tulus dianugerahi Summ3r dari h4ck 2019 sertifikat penyelesaian.



Mereka yang berhasil mencapai final, kami diminta untuk melakukan survei singkat untuk kami.

Pertanyaan untuk wawancara mini adalah sebagai berikut:

1. Mengapa Anda memutuskan untuk magang di Digital Security? Apa yang menarik Anda ke perusahaan?
2. Apakah Anda suka Summ3r dari h4ck? Apa yang paling berkesan? Bagaimana kenyataan itu sesuai dengan harapan Anda?
3. Ceritakan tentang tugas / tugas Anda.
4. Apakah tugas yang Anda kerjakan selama proses persiapan tampak menarik? Apakah ada sesuatu yang ingin Anda lakukan tetapi gagal?
5. Apakah Anda siap untuk kembali ke perusahaan untuk putaran baru Summ3r dari h4ck atau untuk pekerjaan?

Ejaan, tanda baca, dan gaya penulis dipertahankan.

Alexander Chernenkov, topik cheat-sheet MITM

1. Sering memperhatikan perusahaan di Internet pada publikasi dan penelitiannya. Saya mendapat kesan sebagai perusahaan di mana ada peluang nyata untuk terlibat dalam kegiatan penelitian praktis yang dapat diterapkan dalam keamanan informasi.

2. Saya menyukai magang. Saya sudah lama menginginkan diri saya di prof. bidang bisnis yang akan membantu saya tumbuh dan pada saat yang sama membawa manfaat bagi masyarakat. Proyek, yang saya ikuti, hanya memberi kesempatan seperti itu. Realitas bertepatan dengan harapan yang lebih baik.

3. Dia berpartisipasi dalam penulisan cheat pada serangan mitm, mengambil level jaringan, yang sudah lama ingin dia pompakan dalam konteks keamanan.

4. Tugasnya sangat menarik, memberikan banyak kebebasan, karena tugas pertama adalah mencari tahu sendiri untuk menyampaikannya kepada orang-orang secara normal.

5. Siap untuk kembali ke magang, mungkin untuk bekerja.

Hasil penelitian dapat ditemukan di sini (proyek sedang dalam penyuntingan dan pengembangan aktif).

Vladimir Dushkevich, topik cheat-sheet MITM, phishing web Layar penuh

1. Saya sangat tertarik untuk mengerjakan tugas-tugas yang dapat digunakan dalam praktik. Saya suka tugas-tugas praktis dalam kerangka perlindungan informasi (dan bukan hanya perlindungan :)). Selain itu, selalu menyenangkan bekerja dengan orang-orang pintar yang tahu dan tahu lebih banyak dari Anda :)

2. Saya benar-benar menyukai magang, sekarang saya memiliki lebih banyak pengetahuan tentang javascript di kepala saya - dan saya mempraktikkannya. Saya biasanya berpikir js adalah sesuatu yang membosankan, tetapi sekarang saya tahu itu tidak membosankan.

Saya terutama ingat bagaimana saya menguji serangan pengalihan ICMP - ternyata beberapa distribusi masih rentan terhadap itu (meskipun serangan itu sangat kuno)

3. Saya dapat berpartisipasi dalam dua tugas - menyusun mitm cheatsheet dan javascript phishing layar penuh. Sebagai bagian dari yang pertama, kami menyusun lembar contekan kecil tentang serangan mitm, memeriksa mereka dan memilih dana untuk mereka. Dan sebagai bagian dari yang kedua, kami membuat halaman phishing kecil yang mirip dengan jendela entri kata sandi di windows 7 - ternyata menarik :)

4. Sangat disayangkan bahwa hanya saya yang sangat sibuk di tempat kerja - hanya ada sedikit waktu untuk menyelesaikan tugas. Kami berhasil menyelesaikan proyek hanya sebagian - kami akan menyelesaikannya pada musim gugur, ternyata cukup menarik.

5. Kembali ke perusahaan untuk magang - pastikan tahun depan. Di tempat kerja - itu juga akan menarik, satu-satunya kendala adalah bahwa saya tinggal di Arkhangelsk :)))


Halaman phishing dalam proses tata letak

Danila Leontiev, Amazon Network Digger Theme

1. Keamanan Digital memungkinkan Anda untuk mewujudkan impian hampir semua phera CTF - ini memberi Anda kesempatan untuk terlibat secara profesional dalam hal favorit Anda. Menjawab pertanyaan "Apa yang menarik perusahaan?" - hanya kesempatan ini.

2. Karena biaya perjalanan yang sangat tinggi, yang terdiri dari pindah, hidup, dan secara umum biaya hidup di kota, dan hanya karena ini saya tidak bisa menilai program ini terlalu tinggi. Saya akan menilai 3,8-4,3 poin. Koefisien estimasi terdiri dari formula seperti itu - pengetahuan baru / uang yang dihabiskan = utilitas.

Hanya untuk membuatmu mengerti. Agar saya datang ke program Anda, saya harus membayar sekitar 55 ribu rubel. Ini terlalu banyak. Uang ini dapat digunakan untuk pelatihan lanjutan atau untuk pelatihan prof. Bahasa inggris Ini secara bodoh lebih menguntungkan daripada “musim panas hack”. Saya pikir perusahaan harus memperhatikan Sirius sebagai platform untuk melatih siswa. Dan ambil contoh dari rekan kerja dari Solar Security. Saya cenderung pada kenyataan bahwa program-program ini sepenuhnya gratis untuk siswa. Anda tahu, saya tidak memiliki interaksi "murid-guru". Ini akan menjadi nilai tambah besar dalam karma bagi guru, dan bukan hanya dia, jika ada pertukaran pengalaman dalam proyek tersebut. Mungkin kurator sudah memiliki pengalaman dengan cloud atau dia memiliki beberapa perkembangan pada topik ini (review yang sama akan sangat membantu).

3. Tujuan proyek - esensi pekerjaan saya bermuara pada menemukan kelemahan dalam mengkonfigurasi AWS. Dan berdasarkan masalah yang ditemukan, menulis skrip untuk memetakan infrastruktur cloud.

4. Tentu saja, untuk diri saya sendiri, saya memilih proyek di mana saya bisa mulai dari awal. Dan menjawab pertanyaan apakah itu menarik bagi saya - tentu saja.

5. Saya pikir pada “musim panas hack 2020” saya akan kembali lagi untuk menguji diri saya. Periksa pada level apa saya sekarang. Masih terlalu dini untuk berbicara tentang pekerjaan, karena saya perlu sekitar 2 tahun untuk menyelesaikan studi saya dan satu tahun lagi untuk mengumpulkan jumlah yang ke-3 untuk pindah ke St. Petersburg. Tetapi bagaimanapun juga, Digital Security akan menjadi tempat kerja yang diprioritaskan.


Warna hitam - diimplementasikan; Warna merah - tidak diterapkan

Timur Abdullin, tema Bot Sosial Golang

1. Saya memutuskan untuk magang di DSek karena itu adalah salah satu dari sedikit perusahaan yang memberikan kesempatan keren untuk mempraktikkan keselamatan praktis saat masih menjadi mahasiswa. Saya juga menarik sejumlah besar publikasi oleh spesialis perusahaan tentang berbagai sumber daya (tentu saja kebanyakan dari mereka Habr) dan partisipasi mereka dalam program bugbount.

2. Saya sangat menyukai magang, dan kenyataan jelas melebihi harapan. Ceramahnya sangat menarik dan bermanfaat, banyak informasi baru. Laboratoriumnya sangat menarik dan kompleks, setelah mereka mobil-mobil di HackTheBox mungkin akan tampak mudah.

3. Tugas saya adalah menambahkan modul ke utilitas yang digunakan di pentest untuk mengumpulkan informasi yang berguna dari mesin yang ditangkap. Saya menerapkan pengumpulan informasi dari klien jaringan populer ( Putty , MobaXterm , FileZilla ), host yang diekstraksi, nama pengguna, kunci. Tautan ke modul.

Dia juga menulis port scanner yang tersedia untuk klien di jaringan eksternal. Pemindai seperti itu diperlukan jika firewall digunakan pada jaringan yang memblokir akses ke port tertentu. Bagian klien pemindai sedang mencoba untuk terhubung ke daftar port yang ditentukan. Sisi server menerima paket tcp yang masuk, membuat koneksi dan menuliskan nomor port yang menjadi tujuan paket tersebut. Di sisi ini, kami bekerja dengan soket tcp mentah, karena lebih cepat dan lebih menarik secara tertulis :)

4. Mengerjakan tugas-tugas itu sangat menarik. Misalnya, tulis pada Golang yang sebelumnya tidak dikenal, pahami bidang perangkat dari paket tcp, dan pelajari run asinkron. Akan menyenangkan untuk mempelajari cara mendekripsi data MobaXterm, program FileZilla, tetapi kebalikan dari proyek-proyek besar seperti itu sulit untuk pentester pemula). Juga, tidak ada cukup waktu untuk sepenuhnya berurusan dengan asinkronisme, tapi saya pikir saya akan melakukannya dalam waktu dekat.

5. Ya, pasti! Banyak terima kasih kepada panitia untuk musim panas yang menarik)

Vladislav Trofimov, tema Golang Social Bot

1. Teman-teman memberi saya ide untuk mengirim kuesioner, mengatakan bahwa perusahaan adalah salah satu perusahaan terkemuka di pasar keamanan informasi, di samping itu, proyek-proyek akan sangat menarik, dan ini adalah peluang besar untuk meningkatkan keterampilan.

2. Saya menyukainya, dan kenyataan melebihi harapan saya. Suasana luar biasa di kantor, hubungan persahabatan dengan karyawan dan karyawan magang lainnya, proses kerja yang mengasyikkan - itulah yang tersisa di memori.

3. Saya mengerjakan topik “Golang Social Bot” - bot yang digunakan dalam pengujian penetrasi. Tujuan utamanya adalah untuk menulis modul yang mengumpulkan data berguna, entah bagaimana berinteraksi dengan sumber daya komputer.

4. Ada banyak tugas, beberapa lebih mudah, beberapa lebih sulit, tetapi tidak kalah menarik. Tampaknya bagi saya bahwa banyak pekerjaan telah dilakukan, walaupun, jika diringkas, saya mengerti bahwa saya dapat melakukan lebih banyak lagi.

5. tentu saja! Magang memberikan kesempatan yang sangat baik untuk mempelajari tidak hanya topik proyek Anda, tetapi juga untuk mengembangkan keterampilan, mendapatkan pengetahuan tentang topik lain, yang banyak terima kasih kepada perusahaan!

Danil Beltyukov, tema Kubernetes cheat-sheet

1. Setelah bermain CTF selama setahun, saya memutuskan untuk mencoba proyek-proyek nyata. Saya melihat magang dari Digital Security, menjadi tertarik. Pada saat itu, banyak orang yang saya kenal sudah bekerja di sana, yang memberi keyakinan pada keputusan saya.

2. Ya! Ada banyak kuliah yang menarik, juga sebuah "lab" di mana ada banyak gerobak dorong. Itu mungkin untuk menerapkan pengetahuan yang diperoleh di kuliah untuk memecahkan mesin dari lab.

3. Tema saya adalah pembuatan lembar keamanan untuk kluster Kubernetes.
Kesalahan konfigurasi utama, apa yang harus diaktifkan, sehingga "sekuler" dan sebagainya.

4. tentu saja Setelah mempelajari studi sebelumnya, saya menyadari bahwa sebagian sudah usang atau dilakukan pada kubernet versi lama, di mana sebagian besar fitur aman tidak diaktifkan secara default. Dalam versi baru, sulit untuk menemukan sesuatu yang merupakan lubang "di luar kotak". Saya melihat studi dari sisi lain dan mulai mengandalkan skenario khas dengan aplikasi yang rentan. Bagaimanapun, kita harus melindungi data terlebih dahulu, bukan cluster. Akibatnya, saya menemukan opsi yang dapat menyulitkan kehidupan penyerang, tetapi tidak diaktifkan secara default.

5. Ya!


Skrip bash K8numerator untuk beralih pada layanan di kluster Kubernetes

Hasil penelitian dapat ditemukan di sini .

Kesimpulan

Kami terus meningkatkan Summ3r program h4ck, dan tahun ini kami menerima dari para peserta kami beberapa harapan berharga yang akan kami coba penuhi.

Dari diri kami sendiri kami ingin mengatakan, "Terima kasih!" mereka yang menyelesaikan tugas kami dan mengerjakan penelitian - Anda adalah orang-orang hebat!

Sampai jumpa di Summ3r h4ck 2020;)