Comments 35
Добрый день. Скажите есть ли материалы ваших лекций в облаке или как можно получить эти материалы? Все по частям думаю можно найти в интернете, думаю Ваши материалы уже структурированы и будут очень полезны.
Здравствуйте. Части материалов в открытом виде, к сожалению, нет (читал по разрешению автора, а вот выкладывать некорректно), часть читалась по мотивам свежих уязвимостей, ещё часть — на основании опыта. К сожалению, пока не успел это формализовать в письменном виде. Но это лекционные материалы, которые служат по большей части для расширения кругозора и осознанию ситуации, сложившейся вокруг информационной безопасности. Их можно неплохо заменить хабром по метке «информационная безопасность» и каналом Positive Technologies (нет, они мне не платят, просто они крутые).
Что касается практических заданий — я старался давать исчерпывающее описание прямо в задании — там обычно есть и тексты и ссылки.
Что касается практических заданий — я старался давать исчерпывающее описание прямо в задании — там обычно есть и тексты и ссылки.
Сам сейчас студент, и интересует несколько моментов. Некоторые отдельные аспекты из указанных вами направлений мне известны. Но собственно самой ИБ у нас нет, посему на каком курсе был экзамен? И как вы оцениваете, насколько студентам было интересно это узнать и позже использовать свои знания пусть и в обучающих целях?
Экзамен был на третьем курсе. Раньше делать точно нет смысла — должны быть какие-то начальные знания по сетям и по разработке. Можно делать немного позже. В следующем семестре, скорее всего, буду вести в магистратуре.
Студентам было интересно, это было видно и приятно. Многие после курса успешно сломали собственные веб проекты и радостно мне об этом сообщили — это было лучшей наградой мне как преподавателю.
Студентам было интересно, это было видно и приятно. Многие после курса успешно сломали собственные веб проекты и радостно мне об этом сообщили — это было лучшей наградой мне как преподавателю.
Но нужно хотя бы знать, чем хэширование отличается от шифрованиЯ…
Это вы сспецом так на «быдлокодили» а в глаза бросаеться сразу dump.sql, sql-inj в авторизации, файлы .inc, проверка авторизации через cookie, Ну и coding style нервно курит в сторонке
Давно не секрет что один из лучших дистрибутивов линукс для пентеста — Kali.
Но не так давно встретил blackarch. И многие отзывы очень положительны. Хотелось бы узнать ваше (и других опытных товарищей) мнение об этом дистрибутиве.
Но не так давно встретил blackarch. И многие отзывы очень положительны. Хотелось бы узнать ваше (и других опытных товарищей) мнение об этом дистрибутиве.
Ммм, моё мнение — волшебный дистрибутив на все случаи жизни собирать довольно бесполезно. Вы же не будете пользоваться всеми двадцатью тысячами встроенных инструментов? Имхо, избыточный дистрибутив превращается в что-то вот такое. А конкретно актуального для вас софта там всё равно может не быть… Так что если вы серьёзно занимаетесь пентестами, то вам нужен свой дистрибутив с кучей дополнительного софта. А собирать его нужно на том, на чём быстрее и проще. В этом плане мне кажется, что лучше Kali (так как Ubuntu). Ну или что-нибудь от редахата. И при этом забить на размеры и легковесность. Вы же не на дискете с Arduino его запускаете…
Но скрины blackarch выглядят очень по-хакерски. Красиво. В особенности top.
Но скрины blackarch выглядят очень по-хакерски. Красиво. В особенности top.
Кроме Kali есть еще несколько не менее популярных дистрибутивов: лучшие дистрибутивы для проведения тестирования на проникновение.
«Криптографию я постарался свести к полному минимуму...»
и при этом курс называется Информационная безопасность?
Практики, видимо, много в курсе было, а теория была предварительно?
и при этом курс называется Информационная безопасность?
Практики, видимо, много в курсе было, а теория была предварительно?
Увы, теории предварительно не было — только то, что успел дать на лекции. Просто у меня стоял выбор — или выделить половину времени на криптографию (которую они благополучно забудут к выпуску), или попробовать дать довольное практичные вещи, которые они смогут использовать вот прямо сейчас — и есть шанс, что не забудут. Поскольку это было направление веб разработки, то я выбрал второй вариант. А вот собственно у направления информационной безопасности в Политехе программа полноценная, и там криптографии выделено много времени.
У нас только к пятому курсу появилась такая практика. Было достаточно интересно, по теории и лекциям все было сухо, пришлось все материалы самим искать…
з.ы. Студент пятого курса.
з.ы. Студент пятого курса.
А я вот смотрю на все это. И не понимаю, то ли мне улыбаться ( как бывшему блэку ), то ли грустить ( как бывшему блеку ).
Я бы не делал упор на всяких хаколинуксах, специалисты из них не вырастут. Максимум что может быть полезно из этих кали всех — это BurpSuite и sqlmap — для пентеста веба. Что прекрасно работает и под виндой. И все. Я бы добавил что-нибудь про бинарные уявзимости, вроде rce и lpe, ибо актуально.
И все эти хакосборки пентестные вбивают в голову человека, что блекбокс — это круто, а на самом деле блекбокс почти никогда не дает действенных результатов. Я не знаю, как проходил курс, но все же более подробно нужно показать именно код, код, и еще раз код, а не пентестить все эти дырявые приложения в режиме блекбокса.
Разберите не то, что специально писалось в наигранном режиме «быдлокодера», а существующие патчи и дыры. Посмотрите багфиксы на SQLi, LFI, CSRF, XSS и подобные в багтрекерах на таких движках, как Wordpress, Joomla. Пользы будет больше.
Расскажите про бинарные уязвимости. shellshock линуксовый, различные lpe виндовые.
Иначе вы растите дипломированных скрипткиддисов.
У меня все
Я бы не делал упор на всяких хаколинуксах, специалисты из них не вырастут. Максимум что может быть полезно из этих кали всех — это BurpSuite и sqlmap — для пентеста веба. Что прекрасно работает и под виндой. И все. Я бы добавил что-нибудь про бинарные уявзимости, вроде rce и lpe, ибо актуально.
И все эти хакосборки пентестные вбивают в голову человека, что блекбокс — это круто, а на самом деле блекбокс почти никогда не дает действенных результатов. Я не знаю, как проходил курс, но все же более подробно нужно показать именно код, код, и еще раз код, а не пентестить все эти дырявые приложения в режиме блекбокса.
Разберите не то, что специально писалось в наигранном режиме «быдлокодера», а существующие патчи и дыры. Посмотрите багфиксы на SQLi, LFI, CSRF, XSS и подобные в багтрекерах на таких движках, как Wordpress, Joomla. Пользы будет больше.
Расскажите про бинарные уязвимости. shellshock линуксовый, различные lpe виндовые.
Иначе вы растите дипломированных скрипткиддисов.
У меня все
А вы не грустите, а прочитайте таки статью внимательно. Специально же рассказано, как занятия проходили. Каждая лабораторная подробно описывала свой тип уязвимости, а в финале был DVWA, одна из главных фич которого — наглядная демонстрация кода нескольких уровней качества. И по большей части ребята из Kali использовали sqlmap, burp и Hydra. И проще всего было выдать им одну пентестерскую виртуалку, чем тащить весь огород по овощу отдельно. Хотя общее представление об остальных инструментах они так же получили. Тот же siege, nmap, aircrack-ng…
А на экзамене был black box… Потому что это экзамен. Поверьте, такой формат экзамена для пентестеров принят во всём мире не просто так. И его ребята ломали, исходя именно из предположений о том, что могло быть в коде. И поверьте — мой «наигранный» режим написания кода вполне отражает текущую печальную реальность. Риск получить script kiddies, показывая уязвимости реальных версий старых приложений — гораздо больше. А наглядность ровно та же самая.
И пользовались ребята не какими-то волшебными утилитами из хакерских дистрибутивов, а теми же лошадками, что указано выше. Ну да, плюс парочка утилит на поиск generic уязвимостей вроде лишних файлов — почему бы нет.
В программу могло бы войти больше — от lpe до реализации ботнетов, полиморфных вирусов, атаки на облачные инфраструктуры, взлома Android и прочих хартблидов — но тогда мне бы пришлось присвоить себе эксклюзивно студентов на пять лет, и никому не отдавать…
А на экзамене был black box… Потому что это экзамен. Поверьте, такой формат экзамена для пентестеров принят во всём мире не просто так. И его ребята ломали, исходя именно из предположений о том, что могло быть в коде. И поверьте — мой «наигранный» режим написания кода вполне отражает текущую печальную реальность. Риск получить script kiddies, показывая уязвимости реальных версий старых приложений — гораздо больше. А наглядность ровно та же самая.
И пользовались ребята не какими-то волшебными утилитами из хакерских дистрибутивов, а теми же лошадками, что указано выше. Ну да, плюс парочка утилит на поиск generic уязвимостей вроде лишних файлов — почему бы нет.
В программу могло бы войти больше — от lpe до реализации ботнетов, полиморфных вирусов, атаки на облачные инфраструктуры, взлома Android и прочих хартблидов — но тогда мне бы пришлось присвоить себе эксклюзивно студентов на пять лет, и никому не отдавать…
Тогда извиняюсь. Но в любом случае я уже опубликовал свою версию
https://habrahabr.ru/post/320286/
>> от lpe до реализации ботнетов
Все же по сложности лучше наоборот поставить «от реализации ботнетов до lpe» ;)
https://habrahabr.ru/post/320286/
>> от lpe до реализации ботнетов
Все же по сложности лучше наоборот поставить «от реализации ботнетов до lpe» ;)
Прочитал. Получается сравнение тёплого и мягкого. Как я уже упоминал в другом комментарии, у меня были ребята со специальности веб разработки. И вы очень наглядно показали в примерах, что для них и для их работы ваша версия бесполезна… Хотя хорошо уметь писать эксплойты — кто бы спорил. Но у меня было цели донести это знание до студентов. Так что я и говорю — тёплое с мягким…
Кстати да, забавная вторичная причина появления Kali в восьмой лабораторной — в том, что мне было проще показать, как поднять там тёплый ламповый стек для DVWA. На Windows я это делал в последний раз лет 7 назад, и тогда это было ужасно.
Забыл с вами согласиться ещё в одном пункте — про тест black box. Абсолютно согласен, что именно полноценное тестирование должно выполняется с наличием исходного кода, иначе это фикция, а не тест. Хотя опыт показывает, что даже этого не умеют делать — в том числе серьёзные компании, занимающиеся аудитом. Видел, как такую дичь пропускали, что хоть плачь.
Но для экзамена всё равно таки лучше подходит black box.
Но для экзамена всё равно таки лучше подходит black box.
Выбор сайта в 4-ом пункте программы сделан, наверное, исходя из возраста аудитории? ;-).
Кстати, у меня диплом как раз этого вуза (бывший МАМИ) по направлению информационная безопасность. Образования хуже, чем там, как мне кажется, быть просто не может. Это так, вкратце. Если интересно, могу рассказать об этом в личке.
Там очень многое изменилось буквально за последнюю пару лет. Очень надеюсь, что темпы сохранятся.
Все бы ничего, но закончил я его в 2016 году :) Поэтому ничего там не изменилось…
Иногда бывает так что качество полученного образования не можешь правильно оценить сразу после его получения, нужно время попробовать его применить.
Я свое образование начал ценить ~через 3 года, когда понял что фишка его не в том, каким конкретно навыкам/теории меня обучили (всякое было, и актуальное и не очень), а в том что с ним я знаю как становится и оставаться актуальным в области самостоятельно. Дали хорошую базу + рассказали как на нее надстраивать что-то и показали обзор чего вообще существует и куда можно/нужно смотреть.
Само собой оспаривать тезис о качестве не готов т.к. сам там не учился.
Я свое образование начал ценить ~через 3 года, когда понял что фишка его не в том, каким конкретно навыкам/теории меня обучили (всякое было, и актуальное и не очень), а в том что с ним я знаю как становится и оставаться актуальным в области самостоятельно. Дали хорошую базу + рассказали как на нее надстраивать что-то и показали обзор чего вообще существует и куда можно/нужно смотреть.
Само собой оспаривать тезис о качестве не готов т.к. сам там не учился.
Ну… Когда у вас ведут преподаватели, которые предпочитают выпить перед парой, а иногда и прям на паре. Или на зачете вам покурить в лицо… Преподаватели, которые не знают свой предмет в принципе. Точнее знают на уровне того, что написано в книге 1990 года.
Нет, ничему научиться там нереально. Я сейчас работаю и свою работу я получил исключительно благодаря тому, что учился сам (с ИБ никак не связано). Мой альма-матер абсолютно никак мне не помог. Разве что только дал мне бумажку, которая, возможно, даже и не пригодится.
P.S. Именно бумажку, ибо денег на корочки видимо пожалели :)
Нет, ничему научиться там нереально. Я сейчас работаю и свою работу я получил исключительно благодаря тому, что учился сам (с ИБ никак не связано). Мой альма-матер абсолютно никак мне не помог. Разве что только дал мне бумажку, которая, возможно, даже и не пригодится.
P.S. Именно бумажку, ибо денег на корочки видимо пожалели :)
То что вы говорить несомненно является грубым нарушение преподавательской этики и наверняка нарушает устав самого учебного заведения (в части курения еще и ряд общероссийских законодательных актов), но само по себе это все же не является мерилом профессиональной компетенции. По части знания учебника 1990 года издания — тут многое зависит от области.
Из IT области самая старая (по году издания) книга с которой имел дело бы учебник по Си Кернигана Ритчи 1985 года. На мой взгляд хорошо знать этот учебник не стыдно и сейчас (хотя я не сишник, могу ошибаться).
Насчет бесполезности самой «бумажки» должен вас расстроить: по моему опыту работодатели приглашают на собеседования только тех у кого выполнен ряд формальностей. Наличие диплома о ВО часто является критерием допуска на собеседование (иногда даже профильность важна).
Из IT области самая старая (по году издания) книга с которой имел дело бы учебник по Си Кернигана Ритчи 1985 года. На мой взгляд хорошо знать этот учебник не стыдно и сейчас (хотя я не сишник, могу ошибаться).
Насчет бесполезности самой «бумажки» должен вас расстроить: по моему опыту работодатели приглашают на собеседования только тех у кого выполнен ряд формальностей. Наличие диплома о ВО часто является критерием допуска на собеседование (иногда даже профильность важна).
Я не спорю, но всему надо знать меру. Есть известные всему миру книги, которые не теряют свою актуальность и сейчас. Однако, это не из нашей серии. Ибо конкретно у нас были книги малоизвестных авторов, в основном преподавателей вузов, аля «Информационная безопасность. Пособие для студентов». Я что-то крайне сомневаюсь в хотя бы даже малейшей полезности такой книги.
В плане образования зависит от рода деятельности. Много моих коллег-разработчиков говорили о том, что диплом им надо было приносить только в крупные компании, которые работают по закону и выплачивают белые ЗП. В остальном случае было достаточно только строчки в резюме.
В плане образования зависит от рода деятельности. Много моих коллег-разработчиков говорили о том, что диплом им надо было приносить только в крупные компании, которые работают по закону и выплачивают белые ЗП. В остальном случае было достаточно только строчки в резюме.
По поведению преподавателей с вами согласен — такое недопустимо. Хотя не совсем понятно, где вы встречались с преподавателем — курение на территории университета не допускается. Ну да ладно. Теоретически всякое может быть, но я такого не встречал.
Насчёт бумажки и «белой зарплаты»… По моему скромному мнению, просто не стоит идти работать в компании, которые в 2017 году платят серую зарплату — это очень стрёмно. Но соглашусь с тем, что многие хорошие компании не требуют диплом — по той простой причине, что разработчиков безумно мало, и первичный отбор по наличию мозгов проходят единицы — тут уже не до отбора по диплому. Сам знаю, поскольку набираю себе команды. Для меня наличие диплома не является сколько либо значащим критерием. Но при этом, надо сказать, все принятые ко мне разработчики имеют высшее образование.
И соглашусь с GerrAlt — парадигма «меня научат» не работает. Максимум, что может дать учебное заведение — вводную и направление движения. Дальше нужно работать самому — в любой области. А в IT в особенности. Есть базовые вещи, но 90% того, что требуют на собеседовании это тренды последних 2-3 лет.
Насчёт бумажки и «белой зарплаты»… По моему скромному мнению, просто не стоит идти работать в компании, которые в 2017 году платят серую зарплату — это очень стрёмно. Но соглашусь с тем, что многие хорошие компании не требуют диплом — по той простой причине, что разработчиков безумно мало, и первичный отбор по наличию мозгов проходят единицы — тут уже не до отбора по диплому. Сам знаю, поскольку набираю себе команды. Для меня наличие диплома не является сколько либо значащим критерием. Но при этом, надо сказать, все принятые ко мне разработчики имеют высшее образование.
И соглашусь с GerrAlt — парадигма «меня научат» не работает. Максимум, что может дать учебное заведение — вводную и направление движения. Дальше нужно работать самому — в любой области. А в IT в особенности. Есть базовые вещи, но 90% того, что требуют на собеседовании это тренды последних 2-3 лет.
Я надеюсь, вы объяснили студентам, что не все вендоры рады репортам уязвимостей, не говоря о баг баунти. Бывают угрозы, ругань, подают в суд
Читал несколько лекций по пентестингу для студентов как в вузе, так и на научных конференциях. Слушали всегда охотно, вопросов всегда была масса. Просто перед началом лекции сажусь на парту и общаюсь с ними — узнаю, кто где работает, чем интересуется и так далее. И всегда прошу задавать вопросы сразу, как только они у них возникают в голове — обычно, когда знаешь материал, тебя невозможно сбить с мысли, а вот студент со своим вопросом может не дождаться окончания твоих рассуждений. Это так, может в следующий раз поможет вам еще больше расположить к себе аудиторию.
Что касается содержания вашего курса и тд — это не так важно, как может показаться. Если курс поможет заинтересовать ребят практической стороной вопроса, сможет показать, что те знания, которые они получают в ВУЗе, действительно можно применить на практике просто немного включив голову — то курс такой очень ценен. Приятно, что в ВУЗах начинают потихоньку думать в этом направлении.
Что касается содержания вашего курса и тд — это не так важно, как может показаться. Если курс поможет заинтересовать ребят практической стороной вопроса, сможет показать, что те знания, которые они получают в ВУЗе, действительно можно применить на практике просто немного включив голову — то курс такой очень ценен. Приятно, что в ВУЗах начинают потихоньку думать в этом направлении.
хакеры, блин, одни кругом. мамины.
Sign up to leave a comment.
Экзамен для будущих «русских хакеров» в Московском Политехе