Перевод статьи подготовлен специально для студентов курса «Пентест. Практика тестирования на проникновение».
У меня было несколько клиентов, пришедших ко мне перед пентестом с уверенностью в том, что они были в хорошей форме, потому что их анализ уязвимостей не показал критических уязвимостей, и что они готовы к пентесту, лишь за тем, чтобы я получил права администратора домена за пятнадцать минут, просто воспользовавшись ошибками в конфигурациях в AD.
Читать полностью »
В конце ноября 2018 года офисные и домашние принтеры по всему миру распечатали сообщение, призывающее подписываться на ютубера PewDiePie. Произошло, это, естественно, без ведома владельцев принтеров, и скорее всего сам PewDiePie тут ни при чем. Взломщик, называющий себя TheHackerGiraffe, атаковал более 50 тысяч принтеров, настроенных так, что их службы печати (Internet Printing Protocol и Line Printer Daemon) были доступны из Интернета. Список уязвимых принтеров был собран с помощью специализированного поисковика Shodan.io, остальное было делом техники.
Атакой на принтеры история не закончилась: позднее были взломаны смарт-телевизоры, а недавно — веб-камеры Nest, с похожими ссылками на PewDiePie. Эта в целом бессмысленная затея привела к появлению уже чисто криминального сервиса по «принтерному партизанскому маркетингу». Поговорим об этих инцидентах подробнее, а заодно обсудим различия между нормальными исследователями по безопасности и такими вот IoT-вандалами.
Читать полностью »
Если вам интересна информационная безопасность и вы с восхищением смотрите на CTF, но не знаете, кого спросить и с чего начать — пройдите стажировку в «Zero Security: A». Программа стажировки включает теоретическую и практическую подготовку. В процессе обучения инструктора из PentestIT проводят специализированные обучающие курсы-вебинары по всем направлениям тестирования на проникновение.
Закрепление полученных знаний на практике производится в специально созданной лаборатории тестирования на проникновение. Стажировка проходит под руководством опытного инструктора, который всегда ответит на возникающие вопросы.
В рамках стажировки «Zero Security: A» вы познакомитесь со специальными дистрибутивами (Kali, BackTrack Linux), освоите различный инструментарий для пентеста, изучите практически все его этапы: от разведки и сбора информации до закрепления в системе. Стажировка включает в себя уникальные занятия, в том числе по социальной и реверс-инженерии.
Читать полностью »
Лаборатории тестирования на проникновение PentestIT «Test.lab» имитируют ИТ структуру настоящих компаний, с серверами и рабочими станциями. Цель лабораторий — предоставить возможность всем желающим проверить навыки пентеста в условиях, максимально приближенных к реальным, при этом полностью легально. Задания, которые закладываются в «Test.lab» берутся на основе выполненных пентестов в обезличенном виде и всегда взаимосвязаны между собой. Например, найденные логины и пароли, сохраненные в браузере пользователя, можно использовать для доступа к серверам атакуемой виртуальной компании. Таким образом лаборатории «Test.lab» получаются более реалистичными, чем и отличаются от обычных CTF соревнований.
В процессе разработки пентест-лабораторий «Test.lab» закладываются различные вектора атак, затрагивающие практически все области ИБ: безопасность сети, систем, прикладного ПО. Выполнение заданий требует не только глубоких технических знаний, но и умение пользоваться специальными инструментами: BurpSuite, IDAPro, Metasploit и т.д.
Читать полностью »
