20 мая 2016 г. будет запущена лаборатория «Test lab v.9» — открытая площадка для проверки и закрепления навыков тестирования на проникновение. Как и предыдущие версии, новая лаборатория будет представлять собой корпоративную сеть с заложенными уязвимостями и ошибками конфигураций. Принять участие сможет любой желающий.

Лаборатории «Test lab» позволяют специалистам в области информационной безопасности проверить навыки тестирования на проникновение информационных систем и подготовиться к отражению кибер-угроз на свои системы. Концепция заложенных актуальных уязвимостей способствует осознанию слабых мест и улучшению защитных средств, а также адекватной оценке собственных навыков пентеста легально, не нарушая законодательство, в среде, максимально приближенной к реальным.

Начну с короткого анекдота, который довольно хорошо можно спроецировать на тему ИБ:

— А объявления в газетах дают результаты?
— Конечно! В понедельник вышло объявление о том, что мы ищем сторожа, а уже в среду нас обокрали.

«Чтобы защититься от хакеров, нужно уметь думать и действовать, как хакер. Иначе невозможно понять, что является уязвимостью, которая сможет помочь злоумышленнику преодолеть ваши системы защиты, а что — нет».

В середине 2014 года мы запустили первые «Корпоративные лаборатории», суть которых заключалась в предоставлении наиболее актуальных знаний в области практической информационной безопасности: методология, методы, инструменты поиска уязвимостей, а также выработка наиболее эффективных мер противодействия. За полтора года программа существенно обновилась и дополнилась «хардкорным» материалом в виде модуля «Эксперт». С новыми тарифами можно ознакомиться на сайте.

Мы решили опубликовать часть устаревших записей «Корпоративные лаборатории 2015» модуля «Стандарт» (модуль, по своей сути, представляет собой введение в программу). Обратите внимание, вебинары (теоретическая подготовка) составляют только 20% программы, остальные 80% — практическая подготовка в лабораториях, максимально приближенных по своему составу к корпоративным сетям реальных компаний.

13 ноября 2015 г. была запущена очередная, восьмая по счету лаборатория тестирования на проникновение «Test lab v.8», которая представляла собой виртуальный банк. К моменту открытия лаборатории количество зарегистрированных участников превышало отметку в 5 000. Ниже будет представлена информация о результатах участия и ИТ-структуре лаборатории, а также имена и комментарии победителей с частичным прохождением. Итак, начнем.

Сегодня, в пятницу, 13-го, в 22 часа по московскому времени, состоится запуск новой лаборатории «Test lab», представляющей собой виртуальный банк, с присущей ему инфраструктурой и уязвимостями. Участникам предлагается произвести компрометацию всей ИТ-структуры банка.

«Test lab» — пентест-лаборатории, построенные на базе сетей реальных компаний

В отличие от CTF-соревнований, лаборатории тестирования на проникновение «Test lab» имитируют ИТ структуру настоящих компаний и имеют полноценную легенду. Созданные для легальной проверки и закрепления навыков пентеста, лаборатории всегда уникальны и содержат самые актуальные уязвимости, а участие в лабораториях бесплатно и требует хорошей практической подготовки.

Разрабатывая лаборатории «Test lab» мы стараемся охватить практически все области ИБ: безопасность сетей, систем и приложений. Участникам предлагается выполнить эксплуатацию различных уязвимостей, связанных с работой сетевых и веб-компонентов, криптографических механизмов, ошибками конфигурации и кода, а также с человеческим фактором. Подключение к лаборатории осуществляется через VPN-соединение.

Участники, выступающие в роли пентестеров, пытаются эксплуатировать уязвимости, и, в случае удачи, получают доступ к серверам и рабочим станциям, каждые из которых содержат токен. Победителем считается участник, первым собравший все токены. Работа в лаборатории осуществляется на основе методики «серый ящик»: перед началом исследования предоставляется информация об инфраструктуре «Test lab» в виде схемы и описания деятельности виртуальной компании. Собирая специалистов со всего мира, мы разрабатываем лаборатории «Test lab» для различных мероприятий, таких как всероссийский конкурс ПрофИТ-2013, ZeroNights'13, PHD IV.

Лаборатория тестирования на проникновение «Test lab v.8»

Предыдущая лаборатория (Test lab v.7) представляла собой виртуальную компанию, специализирующуюся на разработке систем ИБ.

Сегодня будет запущена очередная, восьмая по счету лаборатория PENTESTIT, разработка которой велась практически полгода. «Test lab v.8» будет представлять собой виртуальный банк c присущей ему инфраструктурой и уязвимостями. Кроме этого, отличительной особенностью текущей лаборатории будет являться активно используемая система противодействия атакам, поэтому участникам необходимо будет быть максимально «незаметными». Это прибавит атмосферности!

2 октября 2015 года в Культурно-деловом центре «Club House» состоится конференция по информационной безопасности «Secure IT World 2015», в которой, помимо основной программы, будет доступен специальный стенд, позволяющий участникам мероприятия наблюдать за хакерскими атаками на корпоративную сеть лаборатории «Test lab» в режиме реального времени. Оснащенный большим дисплеем с мировой картой онлайн атак, стенд позволит получить визуальное представление о географической распределенности хакеров и интенсивности взлома, а сотрудники PENTESTIT проконсультируют и ответят на любые интересующие вопросы, связанные с современными ИБ-угрозами.

Одним из основных направлений PENTESTIT является разработка специализированных программ начальной (Zero Security: A) и профессиональной (Корпоративные лаборатории) подготовки в области информационной безопасности. Вне зависимости от программ обучения, их ключевыми особенностями являются актуальный материал и практическая подготовка в пентест-лабораториях, составляющая 80% от общей программы курса. В данной статье мы разберем несколько примеров практических заданий «Zero Security: A».

Большинство специалистов, проходящих обучение, являются действующими сотрудниками подразделений информационной безопасности, системными администраторами или техническими специалистами, желающими повысить свой профессиональный уровень в области практической ИБ.

«Корпоративные лаборатории» — программа профессиональной подготовки в области информационной безопасности, состоящая из теоретической (курсы-вебинары) и практической подготовки (работа в пентест-лабораториях). В данной статье будет рассмотрено содержание именно практической базы, составляющей порядка 80% от общей программы обучения. В статье содержится краткий разбор одного из заданий практической подготовки.

Во всех делах очень полезно периодически ставить знак вопроса к тому, что Вы с давних пор считали не требующим доказательств. Бертран Рассел.

Несмотря на высокую популярность профессии, связанной с информационной безопасностью, даже в условиях кризиса рынок испытыват нехватку квалифицированных кадров. Как правило, уровнь подготовки соискателей не соответвует их финансовым ожиданиям. Таким образом, компании вынуждены нанимать низкоквалифицированных специалистов, что негативно отражается как на качестве работы, так и на мотивации и лояльности к работодателю.

За безопасность нужно платить, а за ее отсутствие — расплачиваться. Уинстон Черчилль.

Открыт набор в новые группы «Корпоративных лабораторий» — уникальной в России и СНГ программы подготовки в области практической безопасности от компании PENTESTIT. Уникальность «Корпоративных лабораторий» заключается в симбиозе формата обучения, качества материала и специализированных ресурсов, на которых производится обучение. Помимо сильнейшей практической подготовки, программа включает интересные курсы-вебинары, по уровню сравнимые с материалом профессиональных конференций по практической безопасности. Дата начала обучения: 11.10.2015 г.

Отсуствите обязательного согласования программы с различными инстансами позволяют производить акутализацию материала с каждым набором, таким образом «Корпоративные лаборатории» включают на момент начала обучения наиболее современные техники и инструменты поиска и эксплуатации уязвимостей, а также самые эффективные инструменты защиты.

В отличие от CTF-соревнований, лаборатории тестирования на проникновение «Test lab» имитируют ИТ структуру настоящих компаний и имеют полноценную легенду. Созданные для легальной проверки и закрепления навыков пентеста, лаборатории всегда уникальны и содержат самые актуальные уязвимости, а участие в лабораториях требует хорошей практической подготовки.

Разрабатывая лаборатории «Test lab» мы стараемся охватить практически все области ИБ: безопасность сетей, ОС и приложений. Участникам предлагается выполнить эксплуатацию различных уязвимостей, связанных с работой сетевых компонентов и криптографических механизмов, ошибками конфигурации и кода, а также с человеческим фактором. Участники, выступающие в роли пентестеров, пытаются эксплуатировать их, и, в случае удачи, получают доступ к серверам и рабочим станциям, каждый из которых содержит токен. Победителем считается участник, первым собравший все токены. Работа в лаборатории осуществляется на основе методики «серый ящик»: перед началом исследования предоставляется информация об инфраструктуре «Test lab» в виде схемы и описания деятельности виртуальной компании. Собирая пентестеров со всего мира, мы разрабатываем лаборатории «Test lab» для различных мероприятий, таких как всероссийский конкурс ПрофИТ-2013, ZeroNights'13, PHD IV.

Test lab v.7

В предыдущей лаборатории «Test lab v.7», запущенной 01 мая 2015 г, приняло участие более 2000 участников из 73 стран мира. Большинство активных участников были из России, Украины, США, Германии и Китая. По мнению пентестеров, наиболее интересные задания были связаны с эксплуатацией уязвимостей веб-приложений, в то время как брутфорс не представлял особого интереса и реализовывался в последнюю очередь, несмотря на то, что по мировой статистике уязвимости, связанные с использованием нестойких паролей, являются одной из основных причин компрометации корпоративных сетей.

Актуальность кибергуроз

В последнее время участились случаи т.н. целенаправленных хакерских атак (APT), основной целью которых являются финансовый, промышленный и государственный сектор. Такие атаки характеризуются своей молниеносностью (от нескольких минут до нескольких часов) и высоким профессионализмом нападающих.

Зачастую ИБ-специалисты, сталкиваясь с несколькими попытками вторжений (в том числе и с отвлекающими), не успевают вовремя отреагировать на реальную атаку. Более того, большинство подобных попыток вторжений оказываются выявленными уже постфактум – после утечки критичных данных. Уровень осведомленности сотрудников ИБ-подразделений о современных угрозах обычно не ставится под сомнение, но, тем не менее, количество атак и их масштабность растет год от года. Даже такие крупные вендоры ИБ, как «Лаборатория Касперского», подвергаются подобным атакам:

Ранней весной 2015 года «Лаборатория Касперского» зафиксировала кибервторжение в свою корпоративную сеть. В ходе последовавшего за этим расследования была обнаружена новая вредоносная платформа, имеющая непосредственное отношение к одной из самых сложных и загадочных кампаний кибершпионажа – Duqu, раскрытой в 2011 году. Новая платформа получила название Duqu 2.0.

Как защитить ИТ-инфраструктуру компании перед лицом киберугроз?

Три фактора готовности

Важно определить три фактора готовности отдела информационной безопасности, позволяющих бороться с APT:

• уровень знаний современных угроз;
• умение думать как злоумышленник и предугадывать его действия;
• навыки обеспечения безопасности инфраструктуры и минимизации рисков.

В программе профессиональной подготовки «Корпоративные лаборатории PENTESTIT» основной упор сделан именно на практику в реализации современных сценариях атаки и выработку адекватных защитных мер, в том числе при защите от инсайдерских атак — попытки сотрудником компании изнутри атаковать корпоративную сеть, хорошо защищенную снаружи.

«Если вам интересна информационная безопасность, и вы с восхищением смотрите на CTF, но не знаете, кого спросить и с чего начать — пройдите обучение в «Zero Security: A»

«Zero Security: A» — курсы этичного хакинга от PENTESTIT, в которых под руководством опытных инструкторов вы освоите различный инструментарий тестирования на проникновение, изучите основы этичного хакинга: от разведки и сбора информации до закрепления в системе. Обучение включает в себя уникальные занятия, в том числе по социальной инженерии.

Сегодня вопрос информационной безопасности стоит особенно остро — «громкие» скандалы с утечкой данных, критические уязвимости, обнаруженные в самых популярных коммерческих и opensource продуктах, постоянные хакерские атаки, освещенные в газетах и на телевидение — список можно продолжать долго. Рынок ИБ насыщен различными решениями, призванными решить вопросы безопасности, а компании, не смотря на кризис, активно финансируют средства на поддержание должного уровня ИБ, при этом в целом на рынке наблюдается «кадровый голод» квалифицированных ИБ-специалистов.

Для качественного обеспечения безопасности корпоративной сети необходимо понимать, что представляют собой уязвимости, позволяющие злоумышленнику преодолеть системы безопасности, а также понимать, как он действует. Общая ИБ-осведомленность сотрудников, а также знание инструментов и способов работы злоумышленников позволяют реализовывать наиболее эффективные меры противодействия угрозам информационной безопасности.

Для того, чтобы овладеть такими знаниями (при условии наличия знаний в области системного администрирования и функционировании сети и систем), необходимы годы подготовки, включающей постоянное изучение материала и активную практику. К счастью, существует множество ресурсов, как платных, так и бесплатных. Недостаток такой подготовки заключается в необходимости обрабатывать огромный объем информации. Из-за нехватки свободного времени это может стать непосильной задачей. Кроме этого, процесс самообучения должен быть системным — необходимо для начала определиться с направлением (безопасность сетей, веб-приложений, систем и прикладного ПО, криптографии, баз данных и т.д.). Из-за растянутости и отсутствия системности при самообучении может возникнуть ситуация, когда полученные на момент окончания обучения знания частично или полностью потеряют свою актуальность.

В интернете доступно множество видео-курсов, позволяющих систематизировать процесс обучения. Несомненно, такой формат обучения позволит получать знания более качественно, однако имеет существенный недостаток — отсутствие практической подготовки и помощи куратора. Говоря об информационной безопасности стоит отметить, что, как правило, успешная атака предполагает успешную эксплуатацию группы уязвимостей.

Если вам интересна практическая информационная безопасность и вы хотите получить актуальные знания «здесь и сейчас», предлагаем ознакомиться с «Корпоративными лабораториями» — программой профессиональной подготовки в области практической ИБ от Pentestit.

Обновляя содержимое курсов с каждым набором, мы стараемся передавать наиболее актуальный материал в области практической безопасности. Помимо сильнейшей практической подготовки, программа обучения «Корпоративные лаборатории» включает интересные курсы-вебинары, по содержанию сравнимые с материалом профессиональных ИБ-конференций. Кроме этого, «Корпоративные лаборатории» значительно расширяют кругозор и осведомленность в области информационной безопасности.

Обзорная статья о результатах участия в бесплатной пентест-лаборатории «Test lab v.7» под кодовым названием «Ахиллесова пята». Статья содержит информацию о работах по подготовке лаборатории, частичное прохождение, а также комментарии победителей.

Пара слов о лаборатории

«Test lab v.7» представляет собой корпоративную сеть виртуальной компании «SecureSoft LLC» на базе ОС Windows и Linux. Виртуальная компания специализируется на разработке программного обеспечения и имеет некоторые бреши в безопасности. Участникам предлагается, используя найденные уязвимости, проникнуть в сеть и получить доступ ко всем узлам «SecureSoft LLC», каждый из которых содержит секретный токен (их всего 10).

Если вы увлекаетесь информационной безопасностью и хотите усовершенствовать свои навыки в короткое время, то содержание статьи, скорее всего, покажется вам достаточно интересным. Статья носит обзорный характер обновленных программ обучения в области практической ИБ от PENTESTIT.

Разрабатывая уникальные по своему формату и методике обучения курсы: «Zero Security: A» и «Корпоративные лаборатории», мы стараемся сделать курсы не только эффективными, но и удобными. Основное отличие программ обучения заключается в том, что первая рассчитана на базовую подготовку в области этичного хакинга, а вторая — на профессиональную подготовку не только этичного хакинга, но и построения эффективных систем ИБ. В любом случае, даже опытные специалисты, посетившие первую программу, открывают для себя что-то новое, не говоря уже о «Корпоративных лабораториях», включающих материал, по уровню сравнимый с докладами на профессиональных хакерских конференциях. Кроме этого, каждый набор пополняется новым материалом, что позволяет передать специалистам, проходящим обучения, наиболее актуальную на момент обучения информацию.

Уникальность программ обучения заключается в симбиозе формата обучения (полностью дистанционное, не требующее отрыва от работы и учебы), качества материала и специализированных ресурсов, на которых производится обучение.

Рады сообщить об открытии новой пентест-лаборатории «Test lab v.7» под кодовым названием «Ахиллесова пята».

01 мая 2015 г. начиная с 22:00 по московскому времени лаборатория будет открыта для участия. Как сообщалось ранее, лаборатория представляет собой типичную корпоративную сеть виртуальной компании «SecureSoft LLC», которая занимается разработкой систем обеспечения информационной безопасности.

Мировая карта атак на лабораторию

Сюжет

На этот раз вам, профессиональным хакерам, предстоит произвести взлом реальной сети виртуальной компании «SecureSoft LLC», занимающейся разработкой программного обеспечения. Ситуацию усложняет факт высокой осведомленности в области ИБ сотрудников компании. Согласно отчету наших агентов о состоянии информационной безопасности компании, ИТ-структура «SecureSoft LLC» достаточно хорошо защищена от атак. Однако, есть предположение, что уязвимые места все же имеются. Ваша цель — первыми обнаружить «Ахиллесову пяту» и получить доступ к системам «SecureSoft LLC».

«Zero Security: A» — программа практической подготовки в области ИБ

Рады сообщить о новом наборе на программу практической подготовки в области информационной безопасности — «Zero Security: A», которая состоится 16 мая 2015 г. Программа, в первую очередь, нацелена на практическую подготовку, которая осуществляется в специализированной пентест-лаборатории, содержащей распространенные уязвимости разных типов.

Вся практика подкрепляется интересными курсами-вебинарами, на которых инструктора из PENTESTIT расскажут о законодательстве в сфере компьютерной безопасности РФ, продемонстрируют работу различных инструментах тестирования на проникновение и поделятся собственным опытом. Кроме этого, программа включает уникальные занятия по социальной инженерии.

Добрый день!

Хотим поприветствовать всех поклонников нашего блога и подвести краткие итоги уходящего 2014 года. В этом году компания PENTESTIT запустила две программы подготовки специалистов в сфере практической ИБ: «Zero Security: A» и «Корпоративные лаборатории тестирования на проникновение».

Программы, как и задумывалось, получились разные: как по уровню подготовки, так и по сложности преподаваемого материала. Хотелось бы рассказать вам, чего мы добились по каждой из программ.

Добрый день уважаемые хабрачитатели, сегодня специалисты нашей компании хотели бы представить вашему взору разбор одного попавшегося не так давно нам на глаза Android вируса, если можно его так назвать, SimpleLocker. Для того, чтобы узнать о нём побольше, мы проделали немалую работу, которою в общем можно разбить на 3 шага:

Шаг 1. Анализ манифеста и ресурсов
Шаг 2. Декомпиляция приложения
Шаг 3. Анализ кода