Это да, но информация по тестам конфиденциальна и строго для служебного пользования, так что показать их довольно-таки проблематично, хотя мы подумаем, что можно сделать.
1. Видео конкретно этого доклада нет (архив других выступлений на сайте), все выступления мы позже зальем на ютуб. Слайды также выкладываем на SlideShare, но пока не все до конца собрали.
2. Как таковой рассылки мероприятий у нас нет — есть анонсы вебинаров на сайте, а про PHDays можно прочитать, помимо хабра, на оф. сайте, в блоге, и в соц. сетях (вк, фб, твиттер) — где удобнее.
3-4. Можно, в целом, объединить ответы. В прошлом году этот конкурс также проводился, мы в блоге выкладывали задания и прохождения плюс были райтапы от участников конкурса, что в том году, что в этом, также можно поискать информацию в них.
По поводу SSH на сетевом оборудовании «да». Это имеет место быть в крупных сетях, где количество сетевого оборудования исчисляется несколькими тысячами устройств.
По поводу отрезание ААА: все шаги в ходе анализа защищенности согласовываются с заказчиком. Поэтому ответ «да», было :)
Атаки на телеком, где речь идет о нескольких тысячах роутеров происходят именно в лоб. И вероятность ошибки в настройке оборудования в этом случае не нулевая. И поверьте cisco/cisco – вполне жизненная ситуация ;)
Наше задание было по максимуму приближено к реальности. В большинстве случаев, анализ защищенности компаний начинается с изучения внешнего периметра, доступных сервисов и тп. Если же предполагается, что вы будете находится на площадке провайдера и снифить трафик, то вероятность получения конфиденциальных данных равна 99,999%. :) Поэтому и выбран путь с дефолтными учетными записями, тем самым намекая, что мы прошли через внешний периметр.
Пока в планах нет, поскольку подготовка заданий требует определённых усилий. Но у нас есть образовательная программа, в рамках которой проводятся вебинары.
Как обычно, пригласили несколько коллег и друзей, предложили попробовать свои силы. Получилось 50 минут — среднее время прохождения. Скорее всего мы не учли присутствие некоторого стресса и отвлекающих факторов для участников на площадке, вот и промахнулись на 15 минут :).
О да, всех веселят статьи о взломе с правами админа :) Но не придирайтесь, тут совсем другое дело: это все таки конкурс для проверки знаний и как в любом конкурсе сложность заданий возрастает постепенно. Можно было бы предложить участниками брутить учетки, но, сами понимаете, на это может уйти много времени, а значит динамика состязания исчезнет.
Да, любой желающий. На самом деле возраст не имеет значения. Михаил, к примеру, моложе вас, но вполне себе выступает на серьезных мероприятиях http://blog.ptsecurity.ru/2012/11/mongo-db.html
1. Видео конкретно этого доклада нет (архив других выступлений на сайте), все выступления мы позже зальем на ютуб. Слайды также выкладываем на SlideShare, но пока не все до конца собрали.
2. Как таковой рассылки мероприятий у нас нет — есть анонсы вебинаров на сайте, а про PHDays можно прочитать, помимо хабра, на оф. сайте, в блоге, и в соц. сетях (вк, фб, твиттер) — где удобнее.
3-4. Можно, в целом, объединить ответы. В прошлом году этот конкурс также проводился, мы в блоге выкладывали задания и прохождения плюс были райтапы от участников конкурса, что в том году, что в этом, также можно поискать информацию в них.
По поводу отрезание ААА: все шаги в ходе анализа защищенности согласовываются с заказчиком. Поэтому ответ «да», было :)