Анатолий Иванов, руководитель направления багбаунти Standoff 365, на лекции в МТУСИ рассказал о том, как стать этичным хакером 🥷👨‍💻

Запись выступления с 15-ой минуты по ссылке 👈

#PositiveEducation #видео

Ох... вот и подошел к концу Standoff 101

Я скажу так... это было круто! Было приятно увидится с людьми которых знал только по переписке... спасибо всем за крутые 2 денька и общение, это было прям реально круто!
Огромное спасибо организаторам за такой классный ивент и возможность там выступить 😊

Ну и вот собственно мое выступление на этом мероприятии.

Тема: Extreme ways, или История о том, как я стал специалистом по ИБ
Ссылка: https://www.youtube.com/watch?v=jjvSNNz10Kk&ab_channel=Standoff365

Знаете... скажу честно, я безумно переживал прямо перед началом выступления, но когда вышел и начал рассказывать... все волнение куда-то испарилось! 🌌

И да... пора приводить свой внешний вид в нормальное русло... а то это не дело >:c

Вот и подошел к концу очередной M*CTF… 🙂

Знаете по сравнению с тем, что мы делали в прошлом году… мы очень сильно выросли… как с точки зрения качества организации, так и с точки зрения качества тасков и деплоя…

Сегодня я был приятно удивлен таким интересом к нашему ивенту со стороны очень крутых ребят из сообщества цтф :3
Было приятно познакомиться и пообщаться

Мы получили очень много информации для обдумывания и доработки M*CTF 2024, спасибо всем за ивент… наверное это пока лучшее, что нам удавалось провести!

Чтобы я делал без вас ребята, спасибо всем тем кто участвовал в создании этого прекрасного ивента, это было правда круто 🙂

Фух... ну и год выдался, местами даже хорошо... что он подходит к концу.

Сильно много писать не хочется... поэтому наверное... подведем итоги одной картиночкой и парочкой предложений.

- Да в целом, все круто блин.. 🥹
- Спасибо вам крутышки! 😏
- С наступающим вас :3 🕺

Ну чтож.. думаю можно прервать молчание 🌌

Эти полгода обещают быть довольно насыщенными... в планах:

- Опубликовать 2 статьи на ХАКЕР
- Отвести блок в курсе "Безопасность компьютерных систем" в части "Безопасность ОС Linux" в рамках программы ДПО для студентов МФТИ
- Начать подготовку к следующему M*CTF
- (Вероятно) Опубликовать пачку крутых темплейтов под Ansible роли и прочие вкусности по части автоматизации, но при условии, что все звезды сойдутся
- Подготовить платформу для запуска новых блоков в рамках факультативов МТУСИ, планируем освятить в следующем году темы:
- AppSec
- DevOps с точки зрения ИБ специалиста

Как-то так... посмотрим чего выйдет, а чего нет, если все сложится, весь материальчик обязательно приложу и сюда ☕️

Хее, ну чтож, вроде как можно об этом объявить 🥰
У нас с вами будет прекрасная возможность повидаться на PHD 2, буду там кое... что рассказывать, так что приходите!

Тема: Долой романтические стереотипы: почему кибербез - это не только хакеры?

Где: Научпоп-сцена
Когда: 26 мая, 12:05–12:30

Мое желание... делать все в одном месте меня порой поражает... немного истории 🤣

Ранее, для того чтобы развернуть всю игровую инфраструктуру для финалов MCTF, я использовал жесткий такой - bashsible... в строк так 500.
После... проведения на этом MCTF 2023 Finals, я пришел к мнению... что это все конечно хорошо, но очень громоздко и практически не читабельно, даже с учетом кучи моих комментариев...

Решили прийти к варианту:
- Развернуть VM - Terraform
- Настроить VM - Ansible

Но тут я задумался... а, что если кто-то вдруг случайно... уже написал кастомный модуль для создания VM на YCC через ansible... и о ЧУДО:

💫 Модуль ycc_vm

Это довольно сильно меня порадовало... но модуль довольно староват и кажется особо не поддерживается, поэтому проблем было не избежать.

В целом... я подумал, а почему бы не вести отчетики как мы автоматизируем деплой M*CTF, так что встречайте... первая часть...

💻 Автоматизируем M*CTF - разворачиваем тачки с помощью ansible на YCC [часть 1]

p.s. я не стал описывать как работать с Yandex Cloud CLI, если что, вот их дока, разберетесь сами, ничего сложного.

Отдельные благодарности:
- @nelande
- @i_013K

Спасибо парни 💌

По итогу... роли по разворачиванию тачек на YC успешно написаны и протестированы. На мое удивление, сейчас с YC стало работать куда проще чем условно год назад. 🫠

Не приходится своими руками удалять множество сущностей, что он плодит при создании тачек, теперь вместе с тачкой сносится вообще, все, что он наделал.
Это немного упрощает будущий допил модуля ycc_vm.

Но ладно... далее мне нужно было приступить к написанию ролей для настройки самих тачек и тут меня ждала небольшая проблема, собственно о которой я пишу и которую я решаю тута

💻 Автоматизируем M*CTF - разворачиваем тачки с помощью ansible на YCC [часть 2] - Миша все... давай по новой

Думаю прям молодым ребяткам будет полезно посетить 🙂

Молодежный день киберфестиваля Positive Hack Days 2 🔴

😮 Как получить заветный оффер, прокачать скиллы, работать на удаленке, быть востребованным и зарабатывать большие деньги?

Об этом и не только — на самом грандиозном ИТ-мероприятии, в котором принять участие может каждый желающий. 25 мая в Москве пройдет Молодежный день Positive Hack Days 2

Харизматичные эксперты из Касперский, МТС-Red, OZON, Jet, Positive Technologies, МГУ расскажут:

🔣 как выполнять интересные задачи и получать высокую зарплату

🔣 как перестать получать отказы от HR и стать востребованным специалистом

🔣 как с ноги войти в топовые и высокооплачиваемые профессии

🔣 как попасть на стажировки и работу в ведущие ИТ компании

😎 А еще на наших воркшопах каждый сможет попробовать себя в роли: хакера, аналитика SOC, исследователя угроз и специалиста по безопасной разработке.

Также на сцене 25 мая пройдёт концерт при участии трех секретных хедлайнеров! 🔥

И все это бесплатно! Регистрируйся прямо сейчас: https://forms.phdays.com/

Пока я жду запись выступления... поделюсь с вами немного не стандартной информацией для данного места.. 🙃

Эта неделька у меня вышла безумно насыщенной на события... за неделю я успел:

- Просрать все к чему готовился на протяжении полугода
- Почувствовать на себе ощущения после первой операции в жизни
- Полежать недельку в больнице и понять, что операция была самым приятным из того... что меня ждало дальше
- Выписаться из больницы
- Выступить на PHD 2
- Получить приятненькую наградку на Positive Education Award

На самом деле... ощущения дико паршивые, с одной стороны очень сильно хотелось помочь своим коллегам на PHD и попробовать там реализовать парочку прикольных идей по части мониторинга, но с другой и здоровьем своим нужно было заниматься... та и возможно предстоит им заниматься на протяжении всего лета, если все же все пойдет по грустному сценарию... то улечу еще на пару недель, а то и месяцев в состояние амёбы.

Но как говорится... "наше путешествие не конец, а новое начало", поэтому думаю это повод перезагрузится 😑

Что касаемо выступления, думаю оно прошло хорошо, от себя мягко говоря я ожидал худшего, ибо на репетицию текста... я потратил всего ничего и все выступление проходило исключительно по той структуре, что лежала у меня в голове и вышло довольно неплохо!

Ну и само собой... неожиданная поддержка на протяжении всей этой недели от моих ребят и коллег, что было очень приятно, спасибо вам еще раз всем! 😍

А вот собственно и докладик подъехал 🐰

😁 Долой романтические стереотипы: почему кибербез — это не только хакеры? 😁

Автоматизация нашей M*CTF инфраструктуры подошло к концу... на выходных постараюсь написать об этом и возможно даже залить это к нам на гит, благо сегодня все тесты прошли успешно 🥹

А пока немного про другое, последнее время из-за определенного рода задач в PT... сфокусировался на автоматизации определенных процессов в Windows.. и хочу поделится 3-я крутыми источниками которые во многом упростили мне жизнь в ряде вопросом:

- system32.eventsentry - в основном использовал как большую базу с информацией о том или ином Event ID... и Audit Policy Compliance Validator там крутейший :)
- gpsearch / admx - базы с темплейтами групповых политик
- KodeKloud_Engineer_Labs - довольно полезный набор тасочек для тех кто только залетает в админскую движуху... особенно когда хочется попрактиковаться на конкретных задачах.

Я конечно не такой большой любитель компании Яндекс... особенно после определенного периода стажировки там (правда это было очень давно и неправда...)

Как-то мне мой коллега скинул 2 достаточно крутых "базовых" лекции по Linux... с задачкой посмотреть и возможно чем-то дополнить свой собственный курс:
➡️ Как всё организовано в Linux — КИТ 2024
➡️ Инструменты Linux— КИТ 2024

И "о боже", это просто великолепно, далее я открыл для себя их прошлые стримы... и мне показалось это довольно крутым набором, там конечно в большинстве своем уклон в сторону R'n'D, но мало ли кому будет полезно

➡️ Ссылочка

Я не знаю как мой организм еще ведется на мои охеренные идеи и эксперименты над ним... 👏

Это была одна из самых продуктивных недель... за последние полгода.

Начну пожалуй с новостей:
➡️ Записал теоретическую часть... в студии, для вебинара по школе преподавателей кибербезопасности, надеюсь потом будет возможность вытащить запись сюды...
➡️ Записал подкаст на тему образования кибербеза с Димой, вроде как на следующей недельке должно выйти... эту запись мы откладывали по разным причинам... около месяца, но она все же состоялась, да-п
➡️ Отправили свое рабочее детище под названием PTLAB... на "жесткий" стресс тест (воркшопы и демка Carbon) под названием PSD, ГОСПАДЕ за 3 дня ни одной проблемы, мой мальчик справился... горжусь.
➡️ Принял решение... закончить по окончанию этого учебного года с введением лекций в МТУСИ, это довольно неприятное и тяжелое решение, но кажется пора двигаться дальше и осваивать новые рубежи... иначе у меня не хватит нервных клеток отстаивать то... что было создано мной и моим ребятками, поэтому наша активность под названием "Тестирование уязвимостей" продолжит свою жизнь где-то в другом месте.
➡️ Все забываю отписать, дальнейшие топики по автоматизации откладываются, ибо сейчас я все кое где обкатываю и мне пришло много идей как можно улучшить определенные участки... и я в целом этим и занимаюсь, думаю к ноябрю с этим закончу.

Чего-б... вам сюда скинуть, чтобы этот пост содержал хотя бы какую-то полезную составляющую... а держите вот такое 😁

Седьмой выпуск подкаста про кибербез образование 🎶

В этот раз поговорили с Владимиром Николаевым, инженером отдела эксплуатация систем кибербезопасности в Positive Technologies.

Владимир в 22 года, будучи студентом четвертого курса, решил глубже погрузиться в кибербез и начал самостоятельно изучать разные направления. Первое время он никак не мог устроиться на работу и только коллекционировал отказы. Сейчас он работает в Positive Technologies и преподает в МТУСИ 👨‍🏫

👉 Подкаст доступен на Яндекс.Музыке , видео на RuTube и VK.

Таймкоды:
00:22 - О своей деятельности.
5:56 - Путь в кибербезопасность через ROM хакинг.
9:20 - Ожидания от университета.
10:28 - Про платное обучение в вузе.
13:34 - Физика в вузе и поиск первой работы, стажировка в Positive Technologies.
18:30 - Базовые знания и собеседования.
19:25 - Идея создания факультатива в вузе и обучение на старших курсах.
22:50 - Очередная попытка пройти собеседование.
27:48 - Три оффера одновременно и путь в Positive Technologies.
32:34 - Создание образовательной программы по кибербезу в вузе.
40:43 - Как правильно относиться к университету?
44:34 - Что вдохновляет преподавать?
48:41 - Про выбор темы для новой лекции.
54:34 - Как начать преподавать?
01:02:48 - Пожелания студентам первого курса.

Дополнительно: выступление Владимира на Standoff101 и выступление на PHDays 2 👷

#подкаст

Очередной M*CTF позади, а это значит... что можно подвести итоги

Если говорить касательно M*CTF, то было проведено 4 основных ивента:
- M*CTF 2024 Junior Quals
- M*CTF 2024 Quals
- M*CTF 2024 Junior Finals
- M*CTF 2024 Finals

Общий итог по всем ивентам?
- Мы не справились 🙂

Причин на самом деле много и как-то оправдывать себя не хочется, результат плохой и он наводит на довольно резкие выводы, которые озвучивать не очень хочется.

Были и хорошие моменты, которые на самом деле я больше скидываю на "удачу", мы очень хорошо провели школьную часть ивентов, но не без своих косяков.

Я бы мог обвинить ребят в том, что они недобросовестно отнеслись к разработке, плохо прошлись по всем рекомендациям, что были даны заранее, но я придерживаюсь такого мнения "рыба всегда гниет с головы".
Очень вероятно, что все проблемы шли от того, как именно я подошел к организации самих ивентов и отнесся ко многим в формате "ну они и без меня уже могут справиться", это была самая большая ошибка, пустить определенный этап на самотек.

В этом году я провел на самом деле куда больше CTF ивентов... нежели чем просто M*CTF... были как ивенты в RU регионе, так и в EU, но самым важным всегда был и оставался M*CTF Finals, и мне очень грустно, что именно в этом году, он получится таким каким получился.

Ну чтож... все технические проебы я напишу в "Реквием по M*CTF 2024" или как это модно сейчас называть "ретро"

Наверное, самое главное, что я получил очень много вещей которые нужно будет дорабатывать в течение года, думаю можно будет еще разочек попробовать 🥳

Ну и давайте, чтобы этот пост нес какую-то пользу, я приложу довольно интересное чтиво... одного из разработчиков M*CTF 2021, тогда ребята тоже попали не в самую простую ситуацию.

Как-то так...

Конец этого года... был довольно насыщенный на самые разные события... повторю фразу написанную в прошлом году "местами даже хорошо... что он подходит к концу."
Ну и многословным быть тоже не хочется... в этом году подводим итоги так:

- Спасибо всем, кто читает и интересуется всем, что тут происходит, я думаю у нас с вами много крутого впереди 💖
- Я думаю все будет круто 😻
- С наступающим вас, будьте умничками :3 🕺

Ну и давайте под завершение года все же запульну... тот самый обещанный "реквием"

🟠Реквием по MCTF 2024 Finals

Рубрика "интересные факты"

Сидел я тут как-то с одной задачкой сбора всех снепшотов ВМок с конкретных датасторов на vSphere
Собрал довольно нехитрый ps скритец, который под капотом юзает модуль VMware PowerCLI.

Вот его часть:

      $datastore = Read-Host `n"Enter datastore (Example: DATASTORE-01)"
        Get-Datastore -Name $datastore | Get-VM | Get-Snapshot |
        Select VM,
        Name,
        @{Name="Creator"; Expression = { ($_.Denoscription | Select-String -Pattern "SnapshotCreator: (.*)").Matches[0].Groups[1].Value -replace "XXXX" }},
        @{Name="Size_snapshot (GB)";Expression={"{0:N2}" -f ($_.SizeGB)}},
        Created,
        @{Name="Days Old";Expression={(New-TimeSpan -End (Get-Date) -Start $_.Created).Days }},
        @{Name="Datastore";Expression={Get-Datastore -Id($_.vm).datastoreidlist}} | Sort-Object -Property SizeGB -Descending | Export-Excel -Path "C:\tmp\Snapshots_$($datastore).xlsx" -TableName "Snapshots" -TableStyle "Medium27" -AutoSize

И заметил такую странную вещь... значения в столбце SizeGB иногда довольно сильно разнятся с тем, что я вижу в UI vSphere, а иногда и совсем это значение равняется - 0

Начал копать... и как выяснилось Get-Snapshot и веб морда сферы ссылаются на разные значения.
Одно возвращает явный размер VMDK файлов которые лежат внутри датастора, а другой размер так называемых delta дисков.

🌟 вот даже маленький топик на эту тему 🌟

Вот такие пироги... 🙃

Ненавижу, но люблю 🤯

В чем история, познакомился я тут как-то с модулем win_package, чтобы удалить виндовый пакетик по его GUID... и лучше бы я этого не делал.

Все делал довольно базово, коннект у меня шел по winrm к доменному хосту по порту 5985:

ansible_connection: winrm
ansible_winrm_transport: ntlm

Казалось бы что тут может пойти не так, а вот что:

[WARNING]: Failed to cleanup running WinRM command, resources might still be in use on the target server
...'Connection aborted.', error(104, 'Connection reset by peer')

Хм... окей, пошли смотреть в winrm.py, что это за warning интересный... обнаруживается вот это:

        except requests.exceptions.Timeout as exc:
            raise AnsibleConnectionFailure('winrm connection error: %s' % to_native(exc))
        finally:
            if command_id:
                # Due to a bug in how pywinrm works with message encryption we
                # ignore a 400 error which can occur when a task timeout is
                # set and the code tries to clean up the command. This happens
                # as the cleanup msg is sent over a new socket but still uses
                # the already encrypted payload bound to the other socket
                # causing the server to reply with 400 Bad Request.
                try:
                    self.protocol.cleanup_command(self.shell_id, command_id)
                except WinRMTransportError as e:
                    if e.code != 400:
                        raise

                    display.warning("Failed to cleanup running WinRM command, resources might still be in use on the target server")

Ладно подумал я... возможно проблема в транспорте и типе подключения, давай поменяет на CredSSP

ansible_connection: psrp
ansible_winrm_transport: credssp

И тут такая же история... но уже с другой ошибкой, которая так же тянется из winrm.py:

  msg: 'Unexpected failure during module execution: Received a WSManFault message. (Code: 995, Machine: xxxxx, Reason: The I/O operation has been aborted because of either a thread exit or an application request.)'
  stdout: ''

Думаю надо еще потыкаться и попробовать удалить пакетик не через модуль win_package, а напрямую через shell модуль, спойлер, наткнулся я на такие же ошибки, но обнаружил любопытный моментик:

[WARNING]: Failure cleaning temp path 'C:\Users\Administrator\AppData\Local\Temp\ansible-moduletmp-XXXXXXXXXXXXXXXXXXXXX': Win32Exception NtSetInformationFile() failed 0x00000001: Incorrect function
changed: [XXXXXXXXXX] => changed=true 
...
...
  rc: 0
  reboot_required: false

То есть когда модуль не может очистить временный файлик, тогда удаление пакета проходит успешно.
Океееей... я пошел гуглить и разбираться почему такое происходит и оказалось, что после исполнения удаления пакетика с помощью транспорта winrm он уходит в ребут и рвет соединение 🙃

ВСЕ, с этим ничего не сделаешь, так работает winrm

Какие остались варианты...
1) Обработка ошибки - обрабатывать конкретную ошибку не стал... ибо увидел, что у неё есть определенная вариативность и страшно представить, сколько я еще потенциальных проблем из-за транспорта мог не поймать
2) ignore_errors: true - ну это совсем плохой вариант
3) block / rescue - а вот это то что нужно, по сути после ошибки мы производим повторное выполнение таски и восстанавливаем winrm подключение

Вот такие пироги...

Ну чтож... видимо не суждено мне обойти PHD стороной...
В этом году меняю доклады на воркшопы, аж на 2... и примерно в одном временном промежутке 😊

Поэтому если кому интересно, рад буду с вами повидаться! 👋

Сперва вы меня сможете найти тут
🪟 Воркшоп: Автоматизация настройки источников SIEM с помощью Ansible
📔 Описание: Воркшоп предоставит участникам практические навыки по автоматизации настройки источников MaxPatrol 10 с помощью Ansible — этот инструмент существенно упростит повседневную работу и повысит эффективность управления системами безопасности.

🌎 Местоположение: Зал 14 «Маркони»
💬 Дата && Время: 24 мая, 10:30 - 12:00
📎 Ссылочка на регистрацию 📎

А потом я пулей побегу на второй воркшоп, где меня попросили помочь и рассказывать вам про платформу GoPhish

🪟 Воркшоп: Создание антифишинговой кампании
📔 Описание: В ходе мастер-класса мы разберем на составные части процесс подготовки сотрудников к выявлению фишинговых атак, научимся разбираться в видах фишинга, попрактикуемся в составлении тестовой атаки для контроля готовности сотрудников и обсудим методы повышения мотивации сотрудников.

🌎 Местоположение: Зал 13 «Гальвани»
💬 Дата && Время: 24 мая, 10:00 - 13:30 (именно я буду в промежутке ~12:15 - 13:30)
📎 Ссылочка на регистрацию 📎