^{С хакерского турнира Symantec Cyber Challenge. Барселона, 2012.}

У нас много вопросов по хакерскому турниру CRC, проводимому Symantec и КРОК. Продолжаю про подготовку к прохождению игры. Слово участнику первой части — Андрею Леонову:

Нужно видеть, чувствовать зацепки по всем фронтам:

— Уязвимости приложений — тут нужны не только знания, но и чутьё. RCE, XSS, SQLinj, XXE, SSFR, CSRF, ошибки в загрузке файлов, alax/backround скриптах (встречаются на порядок чаще, чем в основных скриптах). На моём личном опыте, тут сканер может потратить на порядок больше времени, чем ручная проверка. Тем более, что в последнее время, всё реже встречаются «уязвимости из примеров», почти всегда нужна доработка по месту.

В последнее время очень популярны судебные споры, посвященные авторскому праву, защите своих прав и деловой репутации в сети. Связано это с законодательством РФ в сфере интернета и авторского права, а точнее — со сложностью его понимания и применения. Законы написаны витиеватым языком, каждый день появляются новые нормативные документы и вносятся поправки в старые. Пользователям не всегда понятно, что можно в интернете, а за что можно понести административную, а порой и уголовную ответственность. Однако, незнание законов не освобождает от ответственности.

Сегодня мы отвечаем на любые ваши вопросы об интеллектуальном праве. Все, что вы хотели узнать о интеллектуальной собственности в интернете. Спрашивайте...

Под катом пример вопроса и ответа

Мы продолжаем рубрику «задаем вопросы экспертам Intel». В предыдущем посте мы озвучили тему диалога — «интеллектуальная собственность в области ПО» и представили нашего эксперта — старшего инженера исследователя Intel, специалиста по вопросам интеллектуальной собственности, патентного и авторского права в области программного обеспечения Станислава Братанова. В комментариях и личных сообщениях было получено достаточное количество ваших вопросов, теперь время публиковать ответы на них. Вопросы, заданные публично, для удобства поиска снабжены ником автора.

Ввиду возможной неоднозначности реакции Хаброобитателей на излагаемое, начнём издалека.

Один из наиболее универсальных советов, которые мы даем в Y Combinator, это браться за сложную работу. Многие начинающие основатели верят, что стартапы или «взлетают» или нет. Вы создаете что-то, делаете это доступным, и, если вы придумали самую лучшую мышеловку, люди, как и было обещано, сами придут к вам. Или не придут, в таком случае у вас нет рынка. [1]

На самом деле стартапы взлетают, потому что основатели заставляют их взлетать. Существует лишь небольшое количество стартапов, которые выросли сами, поскольку обычно для их раскачки требуются определенные усилия. Здесь можно провести сравнение с заводной ручкой, которой комплектовались автомобили до появления электрических стартеров. Если двигатель заводили, он работал, однако запуск представлял собой отдельный трудоемкий процесс.

Привлечение клиентов

Самая распространенная сложная работа, за которую основатели должны браться на старте, это самостоятельное привлечение пользователей. Этим должны заниматься почти все стартапы. Нельзя ждать, когда пользователи к вам придут. Вы должны сами пойти и привести их.

Данная заметка является шпаргалкой для новичков в установке нормально работающего комплекса, описанного в заголовке. Все пункты установки протестированы несколько раз на разных vds, поэтому проблем с нехваткой чего-то быть не должно, как это обычно бывает, когда ставишь что-то по мануалам, надерганных из разных источников. Подробно описания настроек и «тюнинга» в заметке нет, т.к. это всё очень индивидуально и требует понимания что, как и зачем делается, а это невозможно охватить в одной даже очень большой шпоре.

Привет!
Меня несколько раз спросили, как лучше готовиться к предстоящему первому турниру по информационной безопасности. Я опросила наших безопасников и админов, в том числе, тестировавших игру, и составила небольшой список ниже. Думаю, это уже будет полезно тем, кто только делает первые шаги в инфобезопасности.

Ну и плюс в конце топика есть небольшая задача, которая может наглядно продемонстрировать разные подходы ко взломам.

Коротко, сюжет будущего турнира: вы должны доказать, сможет или нет кто-либо проникнуть в корпоративную сеть извне и получить информацию, оставшись незамеченным.