В субботу, 15 апреля, в нашем офисе прошел уже третий Zabbix-митап. Для всех, кому не удалось послушать выступления живьем, публикуем видео докладов. Enjoy!
zone1508 @zone1508
User
Как мы внедряем ITSM. Четыре порока обслуживания
6 min
Мы решили поделиться опытом от внедрения этой непростой методологии внутри нашей компании и планируем написать ряд статей о том, как внедряем ITSM, какие сложности преодолеваем, и какие решения у нас есть. Надеемся, что статьи будут интересны IT-менеджменту.
Установка OTRS 5 на сервер с Nginx
8 min
Tutorial
Устанавливая Helpdesk OTRS я столкнулся с тем, что работа официально поддерживается только с Apache HTTP Server, а мне нужен был Nginx. Как оказалось, подробного руководства по установке OTRS на WEB-сервер под управлением Nginx в интернете нет, попробуем это исправить. В этой статье будет описана только установка OTRS версии 5.0.13, а его настройка это отдельная тема. В качестве ОС, на которой будет развернут сервер, выступит CentOS 7.
Начальный уровень подготовки в области практической информационной безопасности
6 min
Вне зависимости от программ обучения, их ключевыми особенностями являются актуальный материал и практическая подготовка в пентест-лабораториях, составляющая 80% от общей программы курса. В данной статье мы разберем базис команд и полезных трюков при проведении тестирования на проникновение внешнего периметра.
Вас атакует искусственный интеллект
13 min
В конце прошлого года “искусственный интеллект” многократно упоминали в итогах и прогнозах IT-индустрии. И в нашу компанию, которая занимается информационной безопасностью, всё чаще стали присылать из различных изданий вопросы про перспективы AI. Но эксперты по безопасности не любят комментировать эту тему: возможно, их отталкивает именно эффект “жёлтой прессы”. Легко заметить, как возникают такие вопросы: после очередной новости типа “Искусственный интеллект научился рисовать как Ван Гог” журналисты хватаются за горячую технологию и идут опрашивать по ней всех подряд – а чего может достичь AI в животноводстве? А в сфере образования? Где-то в этом списке автоматически оказывается и безопасность, без особого понимания её специфики.
Кроме того, журналистика, щедро подкормленная IT-индустрией, обожает рассказывать о достижениях этой индустрии в рекламно-восхищенных тонах. Именно поэтому СМИ прожужжали вам все уши о победе машинного интеллекта в игре Го (хотя от этого нет никакой пользы в реальной жизни), но не особенно жужжали о том, что в прошлом году погибло уже как минимум два человека, которые доверили свою жизнь автопилоту автомобиля Tesla.
В этой статье я собрал некоторые наблюдения об искусственном интеллекте с эволюционной точки зрения. Это необычный подход, но как мне кажется, именно он лучше всего позволяет оценить роль AI-агентов в безопасности, а также безопасность AI в других сферах.
Интернет-контрразведка в действии: создаем персональную систему менеджмента информационной безопасности
16 min
В предыдущих статьях мы рассматривали разведывательные способы добывания информации о человеке в интернете, но ни разу не затронули тему защиты от подобных действий со стороны наших недоброжелателей. Теперь время пришло, и мы это сделаем. Перед погружением в сегодняшнюю тему небольшой дисклеймер:
Все события и участники являются вымышленными. Любые совпадения случайны. Автор не несет ответственности за любые негативные последствия в случае внедрения рассматриваемых контрмер, в том числе физические травмы, полученные в результате неконтролируемого приступа ревности, возникшего у вашей второй половинки. Помните: усиление мер защиты может привлечь ненужное внимание и вызвать подозрения.
Состоялся релиз OpenVAS 9
3 min
OpenVAS (Open Vulnerability Assessment System, Открытая Система Оценки Уязвимости, первоначальное название GNessUs) фреймворк состоящий из нескольких сервисов и утилит, позволяющий производить сканирование узлов сети на наличие уязвимостей и управление уязвимостями.
Сертификаты CISSP, CISA, CISM: как получить и стоит ли овчинка выделки?
10 min
А почему у тебя на визитке написано «КИСА»?
Ты вроде серьезный человек…
(из разговора с приятелем)
Мы все знаем, что нас встречают всегда по одежке, но не всегда задумываемся, а что именно стоит за этим словом «одежка». «Одежкой» являются наши атрибуты, которые позволяют другим людям легко вписать нас в свое представление о мире или, проще говоря, навесить на нас ярлык. Соответственно, управляя своими атрибутами, мы можем управлять тем, как нас воспринимают другие люди. В среде специалистов по информационной безопасности устоявшимися атрибутами, позволяющие другим причислять вас к серьезным ИБ-специалистам, являются такие статусы, как CISSP, CISA, CISM.
В данной статье подробно рассмотрим, что стоит за этими сертификациями, как подготовиться к сдаче соответствующих экзаменов и стоит ли их получать.
Hack.me: Ещё одна площадка для оттачивания навыков в области ИБ
3 min
Tutorial
Всем доброго времени суток, сегодня не будет VulnHub'a. Сегодня рассмотрим его альтернативу hack.me. На котором содержится не мало интересных площадок для взлома, на различные темы. В этой статье рассмотрим BeachResort. Как пишет автор, это не типичный CTF,
10 вопросов для осознанного выбора SIEM-системы
5 min
Translation
Прим.переводчика: в оригинальном документе 2017 года также приводится краткий обзор 24 SIEM решений и смежных технологий. Дополнительно рекомендую отчет Gartner за 2014, 2015 и 2016 года.
Security Information and Event Management является сложным и дорогим решением по сбору, нормализации, анализу и корреляции информации из лог-файлов всех ИТ-систем, однако и результаты ее работы при правильной эксплуатации являются выдающимися. Портал Solutions Review подготовил список из 5 вопросов к себе и 5 вопросов к потенциальному поставщику, собрав ответы на которые, вы сможете более осознанно сделать выбор достойной SIEM системы для внедрения в вашей организации.
Экзамен для будущих «русских хакеров» в Московском Политехе
8 min
И снова здравствуйте. Обычно я пишу статьи в качестве разработчика, но сегодня хочется поделиться опытом проведения экзамена по информационной безопасности в Московском Политехе. По-моему получилось довольно интересно. Задание даже может быть полезным начинающим тестировщикам и пентестерам. Но вначале я немного расскажу про то, как проходили занятия в течении семестра — чтобы было понятно, как мы дошли до жизни такой.
Правильный путь становления безопасника: от ламера до практического эксплойтинга
4 min
Приветствую, тебя %хабраюзер%. Прочитал я тут статью на хабре «Экзамен для будущих «русских хакеров» в Московском Политехе». И мой мозг вошел в бесконечный цикл непонимания происходящего. То ли я сейчас заглянул на школофорум «хакеров», то ли действительно на хабр. Уж извините, с таким подходом текущему поколению вайтов просто некому будет заменить.
В данной статье я хотел бы написать, как по моему скромному мнению (ранее багхантера на стороне блэков) стоило бы действительно начинать путь. И ни к в коем случае не с Kali linux ( как оказываются преподают в политехе столицы.
Если вам интересен отчасти и мой путь, добро пожаловать под кат.
В данной статье я хотел бы написать, как по моему скромному мнению (ранее багхантера на стороне блэков) стоило бы действительно начинать путь. И ни к в коем случае не с Kali linux ( как оказываются преподают в политехе столицы.
Если вам интересен отчасти и мой путь, добро пожаловать под кат.
VulnHub: Погружаемся в хакинг в стиле сериала Mr. Robot
2 min
Tutorial
Я думаю многие смотрели сериал Mr. Robot, с каждым сезоном, о нем узнаёт всё больше народу, вот и VulnHub не остался в стороне. И не так уж давно там появилась Boot2Root виртуальная машина Mr-Robot: 1. Её решение, мы сегодня и рассмотрим.
Реверса тут не будет, но будет несколько примеров демонстрирующих, то как из-за не верного назначения прав на критически важные файлы, ваша система может быть взломана. И так, начнём, нужно добыть 3 ключа.
VulnHub: USV 2016. CTF в Румынии, какие они?
6 min
Tutorial
Всем доброго времени суток, в этой статье рассмотрим решение Румынского CTF-USV 2016, на тему: «Игра престолов». Скачать образ виртуальной машины можно по ссылке с VulnHub.
Если вам интересно как проходят межвузовские CTF в Румынии, прошу под кат
Exploit Exercises или ещё один сайт для любителей VulnHub
20 min
Tutorial
Всем доброго времени суток, спасибо, что читаете мои райтапы. Сегодня речь пойдёт ещё об одном сайте, который похож на VulnHub. Это Exploit Exercises. Несмотря на небольшое количество виртуалок, и их относительно давнюю публикацию, почерпнуть что-то новое можно и там. Тем более это компенсируется разнообразием и количеством уровней.
Начать предлагается с виртуальной машины под названием Nebula. Её мы сегодня и разберём.
Методы защиты от CSRF-атаки
5 min
Что такое CSRF атака?
Ознакомиться с самой идеей атаки CSRF можно на классических ресурсах:
Выдержка из ответа на SO:
Причина CSRF кроется в том, что браузеры не понимают, как различить, было ли действие явно совершено пользователем (как, скажем, нажатие кнопки на форме или переход по ссылке) или пользователь неумышленно выполнил это действие (например, при посещении bad.com, ресурсом был отправлен запрос на good.com/some_action, в то время как пользователь уже был залогинен на good.com).
Как от нее защититься?
Эффективным и общепринятым на сегодня способом защиты от CSRF-Атаки является токен. Под токеном имеется в виду случайный набор байт, который сервер передает клиенту, а клиент возвращает серверу.
Защита сводится к проверке токена, который сгенерировал сервер, и токена, который прислал пользователь.
Личный опыт: как мы выбирали DLP-систему
10 min
Добрый день всем! В статье расскажу, как тестировали 5 систем, что в них понравилось, а что нет. Мнение субъективное, зато на практике, а этого в сети мало (anti-malware приводит сравнение и подчеркивает, что оно базисное + на Хабре об этом писали, но получилась сравнительная таблица, что у кого есть/нет). Мы же пробовали функционал и меряли под себя, потратили почти полгода и можем поделиться опытом. Заранее приношу извинения разработчикам – по минусам продуктов пройдусь как есть (о плюсах они и сами хорошо рассказывают).
О наблюдении за сотрудниками — как это было у нас
4 min
А знаете ли вы, чем занимаются ваши сотрудники на работе?
Работая в должности начальника IT отдела в компании, я занимался абсолютно всеми вопросами, связанными с IT, около IT и даже немного больше. Думаю, всем вам знакомо, когда в IT-поддержку звонят люди и жалуются, что кулер не работает. Да-да, тот самый, который воду охлаждает. На вопрос зачем звонить в IT, а не АХО, ответить внятно не могут, лишь бормочут что-то типа «провода, элетричество». Впрочем, меня данные проблемы мало волновали, хоть временами и доставали, внутри отдела поржали и ладно, своих задач стояло много: бюджеты, сервера, телефония, службы и помощь пользователям. Вот о них, о пользователях и хотелось бы поговорить. Наверняка, все сталкивались с резюме людей, в которых написано, что-то типа «отличное владение MS Office» или что-то в том же духе, при этом на рабочем месте они зовут IT-поддержку, чтобы вставить таблицу в документ Word… Ладно, бывает, поможем, научим… Так и проходят дни, то сервис новый поднастроить, то людям помочь. А видя такой уровень пользователей, приходится делать им какие-либо ограничения, так называемая «защита от дурака» — лишить прав, запретить удалять файлы на шаре, запретить некоторые сайты.
просто картинка для привлечения внимания. Вообще, все картинки в данной статье просто для привлечения внимания и взяты из интернета.
Работая в должности начальника IT отдела в компании, я занимался абсолютно всеми вопросами, связанными с IT, около IT и даже немного больше. Думаю, всем вам знакомо, когда в IT-поддержку звонят люди и жалуются, что кулер не работает. Да-да, тот самый, который воду охлаждает. На вопрос зачем звонить в IT, а не АХО, ответить внятно не могут, лишь бормочут что-то типа «провода, элетричество». Впрочем, меня данные проблемы мало волновали, хоть временами и доставали, внутри отдела поржали и ладно, своих задач стояло много: бюджеты, сервера, телефония, службы и помощь пользователям. Вот о них, о пользователях и хотелось бы поговорить. Наверняка, все сталкивались с резюме людей, в которых написано, что-то типа «отличное владение MS Office» или что-то в том же духе, при этом на рабочем месте они зовут IT-поддержку, чтобы вставить таблицу в документ Word… Ладно, бывает, поможем, научим… Так и проходят дни, то сервис новый поднастроить, то людям помочь. А видя такой уровень пользователей, приходится делать им какие-либо ограничения, так называемая «защита от дурака» — лишить прав, запретить удалять файлы на шаре, запретить некоторые сайты.
просто картинка для привлечения внимания. Вообще, все картинки в данной статье просто для привлечения внимания и взяты из интернета.
Что такое архитектура предприятия, и почему Захман ошибся?
6 min
Вторая статья про мифологическое сознание тоже будет короткой. Сегодня я расскажу, к каким проблемам приводит мифологическое сознание при моделировании архитектуры предприятия.
Известная модель Захмана пытается ответить на вопрос, что такое архитектура предприятия, и рассказывает о том, как она должна моделироваться. Основой этой модели являются вопросы, на которые предлагается ответить: кто, когда, где, почему и как совершает что-то над чем-то. Кажется, что это логичный фреймворк для описания архитектуры предприятия, и многие думают, что так оно и есть.
Однако, даже беглый взгляд на этот фреймворк оставляет чувство неудовлетворенности, потому что не понятно, как ответить на вопрос: кто и почему выточил деталь? Кто: Иван Иванович, или токарь, роль которого исполнял Иван Иванович? Почему: потому что токарь получил задание, или потому что Иван Иванович заключил контракт, в соответствии с которым он обязуется выполнять роль токаря в обмен на еду? Почему: потому что Иван Иванович хочет покушать, или затем, что деталь нужна в сборочном цехе?
Более глубокое изучение этого фреймворка заставляет задуматься над его применимостью к описанию технологических процессов. Например, пусть кукуруза растет в поле. Применяя модель Захмана, я должен ответить на вопросы. Кто? Кукуруза. Что делает? Растет. Почему? Потому что так устроен мир. Зачем? Да кто же его знает, зачем растет кукуруза?!
Известная модель Захмана пытается ответить на вопрос, что такое архитектура предприятия, и рассказывает о том, как она должна моделироваться. Основой этой модели являются вопросы, на которые предлагается ответить: кто, когда, где, почему и как совершает что-то над чем-то. Кажется, что это логичный фреймворк для описания архитектуры предприятия, и многие думают, что так оно и есть.
Однако, даже беглый взгляд на этот фреймворк оставляет чувство неудовлетворенности, потому что не понятно, как ответить на вопрос: кто и почему выточил деталь? Кто: Иван Иванович, или токарь, роль которого исполнял Иван Иванович? Почему: потому что токарь получил задание, или потому что Иван Иванович заключил контракт, в соответствии с которым он обязуется выполнять роль токаря в обмен на еду? Почему: потому что Иван Иванович хочет покушать, или затем, что деталь нужна в сборочном цехе?
Более глубокое изучение этого фреймворка заставляет задуматься над его применимостью к описанию технологических процессов. Например, пусть кукуруза растет в поле. Применяя модель Захмана, я должен ответить на вопросы. Кто? Кукуруза. Что делает? Растет. Почему? Потому что так устроен мир. Зачем? Да кто же его знает, зачем растет кукуруза?!
Экзотичные заголовки HTTP
12 min
Translation
Привет Хабрахабр! В этой статье будут наглядно продемонстрирован результат применения некоторых важных и экзотичных HTTP заголовков, большинство из которых связаны с безопасностью.