Рубрика «Блог компании КРОК» - 29

Отчёты с прошедших хакерских турниров C^2
С хакерского турнира в Южной Африке

Российский C^2: Cyber Challenge — не первый хакерский турнир в мире. Symantec довольно регулярно проводит Cyber Readiness Challenge в разных странах.

Прямо сейчас идёт онлайн-часть хакерского турнира, плюс продолжается регистрация на оффлайновую часть турнира по информационной безопасности и конференцию. Пока «этичные хакеры» ломают сеть в симуляторе, я расскажу о том, как уже прошли несколько таких турниров по всему миру.Читать полностью »

Летающий робот к конкурсу и куча грабель с ним
Платформа

В прошлом году мы объявили конкурс летающих роботов с призом в один миллион рублей. Задача казалось бы простая — взлететь, обойти препятствие и сесть на посадочный маркер. Препятствие и маркер сдвигаются от задания к заданию. Робот летит сам, без команд с земли (точнее, он принимает только две: «старт» и «экстренное выключение»).

На момент начала конкурса наша команда инженеров и программистов из департамента информационных технологий никогда не занималась разработкой беспилотников. Но мы решили купить своего робота и участвовать в конкурсе наравне со всеми. Точнее, не совсем наравне — мы не сможем занять призовое место или получить приз по условиям, то есть идём вне зачёта.

Первый раз мы взяли робота в руки летом 2012 года, когда посылка приехала из бельгийского интернет-магазина. Кстати, нам повезло — робот шел всего 3 недели. Часть команд снялась с конкурса из-за того, что их платформы не успели вовремя приехать.

Это было первое и последнее везение в подготовке. С этого момента началась история грабель длиной в несколько месяцев. Читать полностью »

Как готовиться к хакерскому турниру Привет!
Меня несколько раз спросили, как лучше готовиться к предстоящему первому турниру по информационной безопасности. Я опросила наших безопасников и админов, в том числе, тестировавших игру, и составила небольшой список ниже. Думаю, это уже будет полезно тем, кто только делает первые шаги в инфобезопасности.

Ну и плюс в конце топика есть небольшая задача, которая может наглядно продемонстрировать разные подходы ко взломам.

Коротко, сюжет будущего турнира: вы должны доказать, сможет или нет кто-либо проникнуть в корпоративную сеть извне и получить информацию, оставшись незамеченным.Читать полностью »

Приглашаю на хак квест CRC — турнир по информационной безопасности
«Этичный хакер» ломает сеть

Сразу скажу, что под понятием «хакерский» имеем в виду «для IT-специалистов». Проще говоря, вы не обязаны обладать навыками атаки на компьютерные системы, но должны понимать, как работает защита и сетевые технологии. И, главное — иметь IT-мышление, позволяющее решать нестандартные задачи.

В рамках турнира каждый из участников погружается в имитацию реальной среды (вы будете кем-то вроде одного из сисадминов или IT-консультантов крупной корпорации) и начинает работать над возникающими задачами. Большая часть задач заточена не только под знание серверных ОС и практических ситуаций с ними, но и под умение мыслить и быстро принимать решения. Дело в том, что умение думать, как безопасник, может прийти только с опытом.

Именно этот опыт мы и постараемся дать. Если вы занимаетесь ИБ, серверным администрированием или сисадмините в сети с кучей пользователей — заходите, это точно про вас.Читать полностью »

Ликбез по информационной безопасности сегодня

Для начала – совсем простая модель. Есть три концептуальных угрозы безопасности конкретных данных: нарушение целостности, доступности и конфиденциальности информации.

Когда хакер Вася находит в мусорнике письмо вашей любовницы – это нарушение конфиденциальности, когда хомяк Билл перегрызает кабель сервера с репозиторием — это нарушение доступности, а когда админ Пупкин заливает бекап в обратную сторону — это нарушение целостности.

При этом эти три примера связаны с тремя разными факторами: хакер Вася специально охотился за вашим мусором; хомяк Билл показал нам отказ оборудования; а администратор Пупкин просто клинический раздолбай. За последний год только 37% проблем с данными были результатом действий запланированных атак. 29% случаев пришлось на сбои систем. И оставшиеся примерно 34% – на человеческий фактор, то есть халатность персонала.

Поэтому не надо представлять героя, в одиночку отбивающего хакерские орды, когда вам говорят «информационная безопасность». Читать полностью »

Голосовые отпечатки: скорее всего, вы уже успели «наследить»

Если в колл-центрах, куда вы иногда звоните, есть система создания голосовых отпечатков, вас могут легко опознать. Если такой системы ещё нет, ваши отпечатки можно создать в один клик по ранее записанным записям.

Работает это так: каждый раз, когда вы звоните, например, в банк, где есть система определения клиента по голосу, ваш разговор записывается. Скажем, 1-2 минут вашей беседы с оператором достаточно для того, чтобы создать достаточно точный профиль вашего голоса. В дальнейшем вас будут определять по первой фразе.

Процесс создания голосового отпечатка и его проверки несимметричный. Для создания используется больше данных (больше времени разговора), для проверки – меньше примерно на порядок. Максимум, который я видел в условиях сильно зашумлённой линии – 15 секунд на проверку. Читать полностью »

Поиграем в RAR квест?

Привет!
Я принесла вам лёгкий RAR-квест. Принцип игры очень простой — нужно спускаться всё глубже в архив, используя в качестве паролей данные из уже открытых файлов.

Итак, представьте себе, что несколько часов назад один ваш друг, занимающийся IT-консалтингом, получил письмо от помощника некой Алекс Локвуд, директора секретной спутниковой программы корпорации EDC.

Вот файл по ссылке.

Читать полностью »

Инфраструктура отказоустойчивого ЦОДа класса TIER III

В средней части первого этажа ЦОД «Компрессор» два машзала, строго над ними — два машзала на втором этаже. В каждом зале по 1 МВт электромощности на стойки. На первом этаже трансформаторная подстанция, распредпункт, электрощитовая. Слева-сверху на схеме бытовой комплекс, помещение охраны. Справа от машзалов – помещение системы охлаждения – насосная станция. Рядом с машзалами (по бокам) коридоры с фанкойлами, по центру — коридор с распредщитами.

Второй этаж в принципе повторяет планировку первого этажа:

Инфраструктура отказоустойчивого ЦОДа класса TIER III

На месте трансформаторных подстанций — ИБП и аккумуляторы. Холодильная часть второго этажа — это насосная станция гликолевого контура (второй контур охлаждения). Плюс справа от машзалов установлен бак-аккумулятор на 100 кубометров на 15 минут автономного холодоснабжения ЦОДа (при отключении внешнего электроснабжения на время запуска дизельной электростанции для охлаждения машзалов используется уже заранее захоложенная вода из бака, которая подаётся в контур охлаждения).Читать полностью »

В 2009 году здесь был уже давно не использующийся склад уникальных компрессоров (в частности для системы «Энергия-Буран»), куда когда-то заезжал для разгрузки поезд.

Как мы строили отказоусточивый дата центр уровня TIER III

Здание нам сразу понравилось. Мы выкупили его для строительства собственного ЦОД повышенной ответственности. Через несколько лет на месте цеха появился современный ЦОД, который стал третьим в России, сертифицированным по уровню Tier III Uptime Institute как объект.

Недавно я нашел довольно много фотографий со строительства. Думаю, вам будет интересно посмотреть, как всё это выглядит в процессе, обычно такие штуки не показывают.

Как мы строили отказоусточивый дата центр уровня TIER III
А это 2012 год, машинный зал только начинает заполняться

Осторожно, под катом много фотографийЧитать полностью »

Отчёт со Всероссийского Открытого Чемпионата по программированию
Первый день: как видите, многие финалисты со своими ноутбуками

В эту пятницу закончился Всероссийский Открытый Чемпионат по программированию, где нужно сначала решать задачи, а потом «взламывать» решения других участников.

Кто и откуда приехал?

Участвовало 3500 программистов со всей России, из стран СНГ и совсем немного — из других стран. К первому туру было отобрано 2000 участников, ко второму — 400, а в финал в Москве вышло 50 человек. Уровень в этом году был явно выше чем в прошлом: либо сказались тренировки и то, что турнир набирает известность, либо то, что в игру включились гости из других стран. Приезжали участники финалов прошлых лет.

В финал попало 16 москвичей, 14 петербуржцев, по двое жителей Екатеринбурга, Нижнего Новгорода, Саратова, один участник приехал из Новосибирска. Также в финал вышли по трое из Беларуси, Польши, Украины и даже один человек из Японии. По правилам турнира мы оплачивали дорогу всем, кроме жителей Польши и Японии, а проживание оплатили каждому участнику.Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js