В среду завершился CTF Cyber Apocalypse 2023 от Hack The Box, который проходил с 18.03 по 23.03. В рамках CTF участникам предлагали решить 74 задания в разных областях от PWN до Crypto и с разными уровнями сложности от very easy до insane.
С 23.03 по 26.03 началось After Party, а это значит, что самое время делиться Write-Up’ами =)
Это вторая статья из цикла “BlueTeam Trainings”. CyberDefenders является учебно-тренировочной платформой, которая предоставляет возможность на практике проверять уже имеющиеся навыки и приобретать новые в области информационной безопасности.
В этой статье нам вновь предстоит провести расследование двух инцидентов в файлах виртуальных машин. Расследовать будем фишинговую атаку и заражение трояном, доберёмся до чужих переписок в дампах памяти, почитаем письма, изучим фишинговые вложения и другие артефакты в памяти.
Работать будем с известной многим утилитой volatility и её плагинами, а также с утилитами: readpst, mactime из TheSleuthKit и olevba из oletools.
Как и многие специалисты по ИБ, я очень люблю разминать мозг различными головоломками. Идеальным для меня является формат CTF, позволяющий проверить свои знания и толику нестандартного мышления на различных типах задач.
Сегодня я хочу рассказать о первой из трёх задач из категории Crypto с прошлогоднего CTF HTB «Cyber Apocalypse». Задачи на криптографию моя отдельная любовь, поскольку позволяют нетрадиционно взглянуть как на привычные криптографические алгоритмы, так и на неудачные попытки их использования. Особенно интересно искать уязвимость в самописных алгоритмах. Последнее наиболее опасно в реальной жизни, поскольку некоторые разработчики уверены, что уж они то смогут как минимум правильно реализовать известный алгоритм, а не тянуть за собой OpenSSL. Некоторые даже стараются написать свой собственный алгоритм и тем самым обеспечить надежную защиту данных! Множество CTF задач разной сложности обычно позволяют быстро развенчать этот миф :-)
Прошел почти год с того момента, как я написал свою первую сатью на Хабр. Начал этот путь именно с разбора задания MCTF 2021. Решил продолжить традицию в этом году и написать writeup на интересный таск с MCTF 2022.
Квест окончен! Это было сложно... Но интересно! Постараюсь рассказать вам обо всех загадках последнего этапа квеста от ютубера.
Начинается 3-я неделя наших приключений в квесте от NoobGameDev. Как и ожидалось - квест сложный, но затягивающий. Размах впечатляет... Появляется всё больше и больше новых загадок, но при этом общая картина рисуется всё яснее. В этот раз мы продвинулись очень далеко и нашли ещё больше интересного...
В далеком 2020 году независимый исследователь Imre Rad опубликовал статью с уязвимостью в компоненте операционной системы Windows - msdt.exe (тот самый =) ). Microsoft посчитала найденную уязвимость недостаточно критичной, чтобы на нее реагировать. Однако после истории с Follina вендор решил выпустить патч, закрывающий уязвимость DogWalk.
16 сентября мы проведем наш воркшоп по практической информационной безопасности Practical Security Village в формате оффлайн.
Воркшоп пройдет в Сочи, на территории горнолыжного курорта Роза Хутор. Вас ожидает: обучение, живое общение, прогулки по черноморскому побережью, горные пейзажи и особая атмосфера бархатного сезона.
Традиционно для участников мы подготовили инфраструктуру с заложенными в ней уязвимостями. У вас будет возможность познакомиться с актуальными уязвимостями и способами их эксплуатации.
Capture The Flag - название ряда соревнований в информатике, чаще всего - в информационной безопасности. Как веб-разработчик, я интересуюсь только CTF в области web'а - поиск уязвимостей, атаки, сетевое взаимодействие. На старте решения первого CTF было трудно понять, как же именно рассуждают проф. игроки, участвующие в турнирах, и я решил написать несколько статей о том, как можно искать зацепки в исходных данных и как раскручивать их до победы.
Это первая статья из цикла “BlueTeam Trainings”. CyberDefenders является учебно-тренировочной платформой, которая предоставляет возможность на практике проверять уже имеющиеся навыки и приобретать новые в области информационной безопасности.
Всем привет! 7 июля мы проведем наш воркшоп по практической информационной безопасности Practical Security Village.
Воркшоп пройдет в формате Online, принять участие в нем может любой желающий. Участие бесплатное.
Для участников мы подготовили инфраструктуру с заложенными в ней уязвимостями. Основная идея воркшопа заключается в том, чтобы вы могли познакомиться с новыми технологиями, получить новые знания об интересных уязвимостях, способах их эксплуатации и методах, позволяющих не допустить возникновения таких уязвимостей.
Успешно эксплуатируя уязвимости, вы будете захватывать флаги и получать очки. Мы создавали задания такими, чтобы они были интересны как новичкам, так и опытным специалистам по информационной безопасности.
Перед началом воркшопа мы опубликуем справочные материалы, которые помогут в выполнении заданий. Также мы организуем чат, в котором участники смогут задавать вопросы по заданиям.
Лучшие участники получат памятные призы.
Регистрация на воркшоп доступна на сайте: www.practicalsecurityvillage.ru
Уже традиционно в рамках PHDays мы организовали AI CTF — соревнование в формате capture the flag, затрагивающее риски безопасности систем ИИ. Что было интересного в этом году, расскажем ниже в посте.
Но сейчас немного истории:
AI CTF 2019: habr.com/ru/company/pt/blog/454206/
AI CTF 2021: habr.com/ru/company/pt/blog/560474/
с 18 по 19 мая 2022 года проходил всем известный международный форум по практической безопасности Positive Hack Days.На мероприятии как всегда были представлены различные вендоры из сферы IT, каждый из которых раздавал свои именные товары. Самыми интересными на мой взгляд были Positive Technologies. Как было организовано испытание для получения мерча под катом.
В этой статье вы получите минимально необходимую теорию для вашего первого шаг на пути обучения этичному хакеру. Для тренировки мы будем использовать сервис HTB. Темы которые мы бегло рассмотрим: Kali Linux, SSH, FTP, Telnet. Статья будет разделена на две части: Необходимая теория, Где применять.
Коллекционеры уже давно не хранят произведения искусства в сейфах — галереи и музеи по уровню безопасности не уступают самым надежным хранилищам. Но можно ли украсть картину, не выходя из дома?
На PHDays 2022 в мае пройдет обновленный The Standoff Digital Art. Аазартные исследователи снова попытаются завладеть крипто-артом настоящих художников прямо в метавселенной, а гости форума побывают в Лондоне, не покидая Москвы.
В минувшем году OWASP обновил список TOP-10 самых распространенных векторов атак на современные веб-приложения. Этот список претерпел ряд изменений по сравнению с его последней редакцией, которая была в далеком 2017 году. В связи с чем мне бы хотелось рассказать о наиболее серьезной угрозе современных веб-приложений, которая перешла с пятого на первое место, а именно про A01:2021-Broken Access Control.
Не сомневаюсь, что все прекрасно знают о том, что авторизация предоставляет пользователю права на выполнение определённых действий, а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий. Авторизация не эквивалентна аутентификации. После успешной аутентификации авторизация определяет, к каким функциям и данным может получить доступ пользователь, обеспечивая при этом надлежащее разграничение прав доступа.
Именно поэтому веб-приложению необходимы средства контроля доступа, позволяющие его пользователям использовать веб-приложение с различными привилегиями. Контроль доступа — это применение ограничений на то, кто (или что) может выполнять различные функции и получать доступ к запрошенным ресурсам. Нарушенный контроль доступа часто встречающаяся и часто критическая уязвимость в системе безопасности. Существуют несколько типов контроля доступа, равно как и уязвимостей, связанных с их нарушением.
