CTF прошел отлично 🔥
Знаете, когда организуешь мероприятие, всегда немного переживаешь: а наберутся ли? а зайдёт ли формат?
Ansible Security CTF в Failover Bar развеял все сомнения! 🚀
Что меня зацепило больше всего:
👀 Горящие глаза участников, когда находили флаги
💪 Реальная боевая атмосфера (ребята РЕАЛЬНО взламывали и учились защищаться)
🤝 Незнакомые люди помогали друг другу разбираться с уязвимостями
А ещё:
🛡 Закрывали уязвимости на скорость
🔎 Сканировали, брутфорсили и искали подсказки
💻 Писали Ansible-код прямо на месте
🍻 Общались и нетворкались между раундами
🏆 Победители получили призы, все остальные - реальный опыт и контакты крутых спецов
📍 Кстати, стенды с кейсами ещё месяц будут в баре - можете прийти и дорешать! В этом вам поможет 🤖 бот для CTF - @DebugProCTF_bot
📆 Не хотите пропустить следующие мероприятия? Подписывайтесь на 🤖 бота DebugSkills - @DebugProBot
👀 Ссылка на запись мастер-класса тут - https://vkvideo.ru/playlist/-232485571_2/video-232485571_456239019?linked=1
P.S. Спасибо каждому, кто пришёл. Вы делаете эти встречи живыми 💪
Фото с мероприятия - в комментах 👇
#debugskills #ansible #ctf #devops #какэтобыло
Знаете, когда организуешь мероприятие, всегда немного переживаешь: а наберутся ли? а зайдёт ли формат?
Ansible Security CTF в Failover Bar развеял все сомнения! 🚀
Что меня зацепило больше всего:
👀 Горящие глаза участников, когда находили флаги
💪 Реальная боевая атмосфера (ребята РЕАЛЬНО взламывали и учились защищаться)
🤝 Незнакомые люди помогали друг другу разбираться с уязвимостями
А ещё:
🛡 Закрывали уязвимости на скорость
🔎 Сканировали, брутфорсили и искали подсказки
💻 Писали Ansible-код прямо на месте
🍻 Общались и нетворкались между раундами
🏆 Победители получили призы, все остальные - реальный опыт и контакты крутых спецов
📍 Кстати, стенды с кейсами ещё месяц будут в баре - можете прийти и дорешать! В этом вам поможет 🤖 бот для CTF - @DebugProCTF_bot
P.S. Спасибо каждому, кто пришёл. Вы делаете эти встречи живыми 💪
Фото с мероприятия - в комментах 👇
#debugskills #ansible #ctf #devops #какэтобыло
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍1
📊 Две недели в Grafana & Prometheus - и вот что вышло
Друзья, привет! Последние пару недель я занимался разработкой новой лабораторки по мониторингу. Между правками методичек по Linux сделал то, чем реально горжусь 🔥
Что получилось:
• Симулятор реального приложения с SLA (как в боевой среде!)
• Генератор пользовательских запросов
• Кнопочные сценарии хаоса (да-да, ломаем всё по щелчку 😈)
• Телеграм-бот для алертов при инцидентах
Весь макет будет доступен участникам для экспериментов. Хочу, чтобы участники не просто строили дашборды, а понимали, что мониторят и зачем.
Цель простая:
Научить создавать умные дашборды и алертинг, который реально работает, а не спамит в 3 ночи по пустякам 😅
Бонусом: научимся разговаривать с бизнесом на языке SLA и SLO - объяснять, почему система "работает медленно" конкретными цифрами, а не ощущениями.
Кому будет полезно:
✅ Системным аналитикам - формулировать NFR через метрики
✅ SRE-инженерам - настраивать мониторинг под бизнес-цели
✅ DevOps - строить observability с нуля
Сейчас дошлифовываю детали. Проводить буду регулярно👌
А у вас какой любимый инструмент мониторинга? Или вы из тех, кто проверяет логи руками? 👀
#DevOps #Prometheus #Grafana #SystemAnalyst #SRE #закулисье
Друзья, привет! Последние пару недель я занимался разработкой новой лабораторки по мониторингу. Между правками методичек по Linux сделал то, чем реально горжусь 🔥
Что получилось:
• Симулятор реального приложения с SLA (как в боевой среде!)
• Генератор пользовательских запросов
• Кнопочные сценарии хаоса (да-да, ломаем всё по щелчку 😈)
• Телеграм-бот для алертов при инцидентах
Весь макет будет доступен участникам для экспериментов. Хочу, чтобы участники не просто строили дашборды, а понимали, что мониторят и зачем.
Цель простая:
Научить создавать умные дашборды и алертинг, который реально работает, а не спамит в 3 ночи по пустякам 😅
Бонусом: научимся разговаривать с бизнесом на языке SLA и SLO - объяснять, почему система "работает медленно" конкретными цифрами, а не ощущениями.
Кому будет полезно:
✅ Системным аналитикам - формулировать NFR через метрики
✅ SRE-инженерам - настраивать мониторинг под бизнес-цели
✅ DevOps - строить observability с нуля
Сейчас дошлифовываю детали. Проводить буду регулярно
А у вас какой любимый инструмент мониторинга? Или вы из тех, кто проверяет логи руками? 👀
#DevOps #Prometheus #Grafana #SystemAnalyst #SRE #закулисье
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1
🔥 Как прошёл наш методический интенсив
Во вторник 5 ноября собрались с коллегами-преподами на закрытую встречу — тестировали новое место для оффлайна и делились секретами подготовки занятий.
Что обсуждали:
- Как AI помогает генерить структуру и задания (показал свои промпты)
- Почему Marp круче PowerPoint для IT-курсов
- Инструменты для live-coding и визуализации
- Как вовлекать аудиторию, когда все молчат в чате👀
Самое живое:
Делали практику прямо на встрече — взяли случайную тему и за 15 минут собрали черновик занятия с нуля. Участники подкидывали идеи, я показывал весь процесс на экране. Кайф, когда видишь, как загораются глаза: «А, так вот как это делается!»
Инсайты от коллег:
- Кто-то любит рисовать на занятиях для структурирования идей
- Кто-то геймифицирует занятия через баллы
- А кто-то честно говорит «не знаю, давайте разберём вместе» — и это работает лучше, чем пытаться выкручиваться
Место, в целом, зашло - в перспективе будем там проводить живые мастер-классы для Debug Skills 🚀
Если преподаёте или планируете — пишите, расскажу детальнее. У нас формируется сообщество, где можно обмениваться опытом просто и эффективно.
А вы как готовите занятия — сразу в слайды или сначала структура на бумаге? 🤔
#DebugSkills #методички
Во вторник 5 ноября собрались с коллегами-преподами на закрытую встречу — тестировали новое место для оффлайна и делились секретами подготовки занятий.
Что обсуждали:
- Как AI помогает генерить структуру и задания (показал свои промпты)
- Почему Marp круче PowerPoint для IT-курсов
- Инструменты для live-coding и визуализации
- Как вовлекать аудиторию, когда все молчат в чате
Самое живое:
Делали практику прямо на встрече — взяли случайную тему и за 15 минут собрали черновик занятия с нуля. Участники подкидывали идеи, я показывал весь процесс на экране. Кайф, когда видишь, как загораются глаза: «А, так вот как это делается!»
Инсайты от коллег:
- Кто-то любит рисовать на занятиях для структурирования идей
- Кто-то геймифицирует занятия через баллы
- А кто-то честно говорит «не знаю, давайте разберём вместе» — и это работает лучше, чем пытаться выкручиваться
Место, в целом, зашло - в перспективе будем там проводить живые мастер-классы для Debug Skills 🚀
Если преподаёте или планируете — пишите, расскажу детальнее. У нас формируется сообщество, где можно обмениваться опытом просто и эффективно.
А вы как готовите занятия — сразу в слайды или сначала структура на бумаге? 🤔
#DebugSkills #методички
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2🔥2
Если ты не знаешь о IT-мероприятиях Санкт-Петербурга, значит ты не подписан на нашего бота! Регулярный дайджест - рассылка📍
Подключайся, чтобы не пропустить полезные события! 🔥
🤖 https://news.1rj.ru/str/DebugProBot
Подключайся, чтобы не пропустить полезные события! 🔥
🤖 https://news.1rj.ru/str/DebugProBot
👍1
Только что созвонился с Евгением - обсудили завтрашний мастер-класс, который он проводит.
Между нами: идею с ботом-детективом я ему сам подкинул 😃 Недавно гуглил себя и был удивлен, где всплывают ссылки на мои мероприятия. Приятно, конечно, но каждый раз вручную проверять - та еще морока.
Вот и решили: сделаем бота, который сам будет шерстить интернет и считать медийность по упоминаниям.
Завтра в 19:00 Евгений за полтора часа научит делать такого бота с нуля:
• парсинг Google без блокировок
• система оценки популярности
• автоматические отчёты в Telegram
Получите готовый код + инструкцию по запуску. Бот будет работать на вас 24/7.
Мест всего 30, мы развиваемся, поэтому мероприятие бесплатное. Кому интересно - вот ссылка https://debug-skills.timepad.ru/event/3666816/
P.S. Я сам буду на созвоне - с интересом посмотрю, как Женя нашу идею реализовал 😉
Между нами: идею с ботом-детективом я ему сам подкинул 😃 Недавно гуглил себя и был удивлен, где всплывают ссылки на мои мероприятия. Приятно, конечно, но каждый раз вручную проверять - та еще морока.
Вот и решили: сделаем бота, который сам будет шерстить интернет и считать медийность по упоминаниям.
Завтра в 19:00 Евгений за полтора часа научит делать такого бота с нуля:
• парсинг Google без блокировок
• система оценки популярности
• автоматические отчёты в Telegram
Получите готовый код + инструкцию по запуску. Бот будет работать на вас 24/7.
Мест всего 30, мы развиваемся, поэтому мероприятие бесплатное. Кому интересно - вот ссылка https://debug-skills.timepad.ru/event/3666816/
P.S. Я сам буду на созвоне - с интересом посмотрю, как Женя нашу идею реализовал 😉
debug-skills.timepad.ru
Создай медиа-детектива: бот для мониторинга упоминаний в Google / События на TimePad.ru
Практический онлайн мастер-класс по созданию умного бота на Python для автоматического отслеживания упоминаний в интернете. Научитесь парсить Google, анализировать медийность и получать ежедневные отчёты в Telegram. Готовый код, пошаговая инструкция и реальный…
👍3🔥2
🧪 Провел 4 часовую лабораторную Grafana & Prometheus. Пока жду обратной связи, решил порефлексировать.
Лабораторная была насыщенной, 85% практики. Такой формат утомляет, но при этом крайне эффективен - мощный буст знаний!
Я люблю преподавание, если это не превращается в рутину. Пробуешь подход - сразу видишь реакцию. Моментальная обратная связь от слушателей.
Что нового попробовал:
📐 Схемы от руки - рисую процессы прямо в реальном времени. Это как сценарий фильма: сам контролируешь темп, акценты, паузы. Вижу по вопросам, где зависло - останавливаюсь и объясняю подробнее.
🎭 Детектив-подход - всю рутину автоматизировал за кадром. Участники видят только эффект: "раз и метрики поплыли!". Дальше расследование: что сломалось и почему?
Все это работает. Но есть над чем работать 👇
К 4-му часу вижу усталость. Концентрация падает, даже при интересной практике. Думаю про геймификацию, командные челленджи, может чаще менять активности...
Вопрос к вам: как вы боретесь с усталостью на длинных практических занятиях? Что реально работает для вовлечённости?
Делитесь в комментариях опытом, коллеги 👇 Буду тестировать ваши идеи на следующих группах!
#закулисье #педагогика #grafana #prometheus
Лабораторная была насыщенной, 85% практики. Такой формат утомляет, но при этом крайне эффективен - мощный буст знаний!
Я люблю преподавание, если это не превращается в рутину. Пробуешь подход - сразу видишь реакцию. Моментальная обратная связь от слушателей.
Что нового попробовал:
📐 Схемы от руки - рисую процессы прямо в реальном времени. Это как сценарий фильма: сам контролируешь темп, акценты, паузы. Вижу по вопросам, где зависло - останавливаюсь и объясняю подробнее.
🎭 Детектив-подход - всю рутину автоматизировал за кадром. Участники видят только эффект: "раз и метрики поплыли!". Дальше расследование: что сломалось и почему?
Все это работает. Но есть над чем работать 👇
К 4-му часу вижу усталость. Концентрация падает, даже при интересной практике. Думаю про геймификацию, командные челленджи, может чаще менять активности...
Вопрос к вам: как вы боретесь с усталостью на длинных практических занятиях? Что реально работает для вовлечённости?
Делитесь в комментариях опытом, коллеги 👇 Буду тестировать ваши идеи на следующих группах!
#закулисье #педагогика #grafana #prometheus
🔥4
🎂 Сегодня день рождения у человека, которого хочу отметить
Знакомьтесь - Арина, руководитель б2б-маркетинга в Хабре и со-автор проекта ДИВЫ @divas_work
Мы знакомы уже год. Личное знакомство — оно самое крепкое. Теперь я смотрю за её успехами из своего медиамирка, а она периодически заглядывает в мой.
Такое вот взаимодействие двух занятых людей, у которых нет возможности встретиться вживую, но есть общие интересы и желание поддержать друг друга 🤝
Почему стоит подписаться на Арину:
📝 Пишет отличные посты про маркетинг и креатив - @arintutdelo
💼 Развивает крутой проект про карьеру и женщин в бизнесе - @divas_work
🎯 Делится закулисьем крупнейшего русскоязычного IT-ресурса
Её контент будет полезен, если вы:
- пишете или планируете писать статьи на Хабре
- интересуетесь маркетингом
- хотите узнать больше о том, как устроен Хабр изнутри
А ещё Арина просто душевный человек ❤️
Лучший подарок для неё сегодня - новые читатели. Так что заходите, читайте, вдохновляйтесь!
Знакомьтесь - Арина, руководитель б2б-маркетинга в Хабре и со-автор проекта ДИВЫ @divas_work
Мы знакомы уже год. Личное знакомство — оно самое крепкое. Теперь я смотрю за её успехами из своего медиамирка, а она периодически заглядывает в мой.
Такое вот взаимодействие двух занятых людей, у которых нет возможности встретиться вживую, но есть общие интересы и желание поддержать друг друга 🤝
Почему стоит подписаться на Арину:
📝 Пишет отличные посты про маркетинг и креатив - @arintutdelo
💼 Развивает крутой проект про карьеру и женщин в бизнесе - @divas_work
🎯 Делится закулисьем крупнейшего русскоязычного IT-ресурса
Её контент будет полезен, если вы:
- пишете или планируете писать статьи на Хабре
- интересуетесь маркетингом
- хотите узнать больше о том, как устроен Хабр изнутри
А ещё Арина просто душевный человек ❤️
Лучший подарок для неё сегодня - новые читатели. Так что заходите, читайте, вдохновляйтесь!
👍4❤1
📐 Неделю назад после мастер-класса по промт-инжинирингу поймал себя на мысли: раньше я общался с AI как с мудрым, но слепым старцем - задал вопрос, получил ответ. А теперь это уже не просто чат, а полноценный помощник с руками, глазами и даже своими задачами.
❓ Захотелось проверить, насколько глубоко можно интегрировать AI в рабочие процессы. Взял реальную задачу: анализировать отзывы с мероприятий и собирать отчёт с учётом контекста сообщества, статистики, истории прошлых отзывов. Плюс - найти предел эффективности этой связки.
Первые пару дней был эффект "вау", потом он чутка поутих, когда стали очевидны ограничения системы и включился режим оптимизации:
- всё, что требует точности и повторяемости - автоматизировал скриптами (подготовка директорий, шаблоны, навигация)
- анализ больших объёмов данных и поиск инсайтов - доверил AI
💡 Результат: там, где раньше тратил пол часа на рутину, теперь справляюсь за 3 минуты. А главное - AI реально помогает увидеть то, что сам бы пропустил.
⚠️ Из минусов - вывод всегда надо перепроверять и закладывать максимально подробные инструкции. Ну и искать способы экономии токенов, не перегружать контекст. Больше входных данных разом - больше галлюцинаций и затраченных денег, конечно.
🤔Уже думаю о следующем шаге: построить графовую базу знаний для поиска по своим материалам. В перспективе это может быть крайне полезно.
❓ А вы как используете AI в своих задачах? Делитесь кейсами - интересно, где ещё можно выжать максимум из этой связки.
P.S. Тут я правда немного лукавлю насчет 5 минут, так как оптимизация и настройка заняла у меня пару дней 😅. Но, надеюсь это стоит того и теперь этот навык будет работать)
---
#ai #devops #автоматизация #закулисье
Первые пару дней был эффект "вау", потом он чутка поутих, когда стали очевидны ограничения системы и включился режим оптимизации:
- всё, что требует точности и повторяемости - автоматизировал скриптами (подготовка директорий, шаблоны, навигация)
- анализ больших объёмов данных и поиск инсайтов - доверил AI
🤔Уже думаю о следующем шаге: построить графовую базу знаний для поиска по своим материалам. В перспективе это может быть крайне полезно.
P.S. Тут я правда немного лукавлю насчет 5 минут, так как оптимизация и настройка заняла у меня пару дней 😅. Но, надеюсь это стоит того и теперь этот навык будет работать)
---
#ai #devops #автоматизация #закулисье
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5💯1
При интенсивной нагрузке и дефиците времени сложно быть объективным.
Мероприятия, курсы, гипотезы, горы обратной связи. Сложно разобраться в своей же куче достижений и провалов. Особенно когда в голове одновременно крутятся задачи, рутина, планы на завтра.
Решение нашел банальное - обращаюсь за обратной связью к знакомым и друзьям. Но этого недостаточно.
Дальше пошёл по более интересному пути. 👀
Экспериментирую с AI для качественной рефлексии
Последние недели я активно оптимизирую работу настраивая режимы roo code под атомарные и конкретные задачи о чем говорил в посте выше. Поговорим о частном случае: личные итоги за месяц. Решил скормить массивы информации - о мероприятиях, целях, новых навыках - и получить качественный анализ с инсайтами.
В итоге вижу результаты, которые не заметил бы самостоятельно. Этакий взгляд со стороны.
Как это выглядит в боевых условиях:
Запускаю
- и создаётся вся структура для заполнения с шаблонами:
Чтобы нейросеть работала эффективно, нужно подготовить ей информацию в форме максимально удобной для ее восприятия. Я активно экспериментирую с этим. Нужно научить модель видеть мир так же, как я.
Результат
Рефлексия становится не размытым чувством "кажется, что-то получилось", а конкретным анализом: какие методики работают, какие процессы можно оптимизировать, какие новые навыки я прокачал.
Это экономит много времени на обдумывание и делает анализ объективнее. Планирую делать такие сессии ежемесячно.
Вопрос к вам:
Интересна ли вам тема оптимизации работы с AI? Если да, я могу поделиться наработками на мастер-классе или CTF. Расскажу о шаблонах, как структурировать информацию, сэкономлю вам время используя свой опыт. Напишите об этом в комментарии или просто поставьте плюсик под постом в чате.
На картинке скрин части документа с личными инсайтами, что были мне полезны. В тайминги я, конечно, не уложусь, но вектор мне ясен 😃. А еще нейросеть рекомендует меньше работать и больше отдыхать, так что накидаем часть задач ей😉
#ai #инструменты #рефлексия
Мероприятия, курсы, гипотезы, горы обратной связи. Сложно разобраться в своей же куче достижений и провалов. Особенно когда в голове одновременно крутятся задачи, рутина, планы на завтра.
Решение нашел банальное - обращаюсь за обратной связью к знакомым и друзьям. Но этого недостаточно.
Дальше пошёл по более интересному пути. 👀
Экспериментирую с AI для качественной рефлексии
Последние недели я активно оптимизирую работу настраивая режимы roo code под атомарные и конкретные задачи о чем говорил в посте выше. Поговорим о частном случае: личные итоги за месяц. Решил скормить массивы информации - о мероприятиях, целях, новых навыках - и получить качественный анализ с инсайтами.
В итоге вижу результаты, которые не заметил бы самостоятельно. Этакий взгляд со стороны.
Как это выглядит в боевых условиях:
Запускаю
make Chuyan_new_reflexy- и создаётся вся структура для заполнения с шаблонами:
.
├── assets
├── draft.md
├── reflection.md
├── skills.md
└── structure.md
draft.md <- 📄 Мысли и прогресс, на основе которых строится рефлексия
.roo/Chuyan/skills.md <- Лендинг пользователя
skills.md <- 🎯 Развитие навыков с историей прогресса
reflection.md <- ✍️ Финальная рефлексия
_structure.md <- 🗂 Навигация и описание для AI
.roo/Chuyan/templates/reflection-template.md <- 📋 Шаблон для создания reflection.md
Чтобы нейросеть работала эффективно, нужно подготовить ей информацию в форме максимально удобной для ее восприятия. Я активно экспериментирую с этим. Нужно научить модель видеть мир так же, как я.
Результат
Рефлексия становится не размытым чувством "кажется, что-то получилось", а конкретным анализом: какие методики работают, какие процессы можно оптимизировать, какие новые навыки я прокачал.
Это экономит много времени на обдумывание и делает анализ объективнее. Планирую делать такие сессии ежемесячно.
Вопрос к вам:
Интересна ли вам тема оптимизации работы с AI? Если да, я могу поделиться наработками на мастер-классе или CTF. Расскажу о шаблонах, как структурировать информацию, сэкономлю вам время используя свой опыт. Напишите об этом в комментарии или просто поставьте плюсик под постом в чате.
На картинке скрин части документа с личными инсайтами, что были мне полезны. В тайминги я, конечно, не уложусь, но вектор мне ясен 😃. А еще нейросеть рекомендует меньше работать и больше отдыхать, так что накидаем часть задач ей
#ai #инструменты #рефлексия
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍2
🎯 Как создавать CTF-задания, которые учат
Последние 2 недели в перерывах между задачами занимаюсь подготовкой CTF-соревнования оффлайн в Санкт-Петербурге (Capture The Flag - это такой формат хакерских головоломок по кибербезопасности). Сижу, балансирую сложность, пишу подсказки для бота... И открыл для себя, что это крайне увлекательно и полезно!
Уязвимости как примеры из книги, только в гротескной форме, дают понимание неверных паттернов разработки. Отличный способ научиться строить системы правильно, учитывая чужие ошибки.
В 2 заданиях мне помогли ребята из duckerz.ru - они мастера создавать реалистичные уязвимости. При этом важно всегда помнить, что "сложная задача" и "обучающая задача" - это разное 👀
Что уже сделал
Создал еще 3 задания от 100 до 250 баллов. Планирую еще сделать 2-3 сложных чуть ближе к дате. Каждое - реальная уязвимость из OWASP Top 10 (это список самых опасных багов в веб-приложениях):
• IDOR в API (150 баллов) - когда можно посмотреть чужие данные, просто поменяв ID в запросе. Классика! Многие путают "пользователь вошел в систему" (аутентификация) и "пользователь имеет право это видеть" (авторизация)
• SSTI в генераторе открыток (250 баллов) - уязвимость в шаблонах, когда сервер выполняет твой код вместо простого текста. Тут уже думать надо
• Race Condition в банке (225 баллов) - моя любимая! Когда можно купить что-то дважды за одни и те же деньги, если отправить два запроса одновременно. Многопоточность ломает мозг даже опытным
Главная сложность
Подсказки. Прям как в преподавании - найти баланс между "дай подумать" и "не бросай в отчаянии".
Делаю 3 уровня хинтов (подсказок), покупаемые за баллы, которые бот будет выдавать по запросу:
1️⃣ Куда смотреть ("обрати внимание на DevTools")
2️⃣ Что искать ("посмотри на параметр page в URL")
3️⃣ Почти готовое решение (но без копипаста)
Бот будет принимать ваши ответы (флаги) и давать подсказки - так вы не застрянете, но и не получите решение на блюдечке.
Цель простая: чтобы участник сам дошел до решения, но не застрял на 2 часа в тупике. Это же обучение, а не хардкорный CTF для профи.
Что понял
В кибербезопасности легко скатиться в "магию для посвященных". А лучше делать так, чтобы после решения человек сказал: "Ааа, вот как это работает! Теперь буду писать код иначе".
Вопрос к вам: если участвовали в CTF - что реально помогало учиться? Хочу сделать мероприятие максимально полезным 👇
---
P.S. Если хочется попробовать эти задания вживую - приходите 5 января на CTF в Failover Bar. 3 часа практики, оффлайн общение с комьюнити, мастер-классы для тех, кто не возьмет ноутбук. Детали тут: https://debug-skills.timepad.ru/event/3723897/
Мест всего 20, так что поторопитесь 😉
#кибербезопасность #CTF #закулисье #педагогика #DevOps #OWASP
Последние 2 недели в перерывах между задачами занимаюсь подготовкой CTF-соревнования оффлайн в Санкт-Петербурге (Capture The Flag - это такой формат хакерских головоломок по кибербезопасности). Сижу, балансирую сложность, пишу подсказки для бота... И открыл для себя, что это крайне увлекательно и полезно!
Уязвимости как примеры из книги, только в гротескной форме, дают понимание неверных паттернов разработки. Отличный способ научиться строить системы правильно, учитывая чужие ошибки.
В 2 заданиях мне помогли ребята из duckerz.ru - они мастера создавать реалистичные уязвимости. При этом важно всегда помнить, что "сложная задача" и "обучающая задача" - это разное 👀
Что уже сделал
Создал еще 3 задания от 100 до 250 баллов. Планирую еще сделать 2-3 сложных чуть ближе к дате. Каждое - реальная уязвимость из OWASP Top 10 (это список самых опасных багов в веб-приложениях):
• IDOR в API (150 баллов) - когда можно посмотреть чужие данные, просто поменяв ID в запросе. Классика! Многие путают "пользователь вошел в систему" (аутентификация) и "пользователь имеет право это видеть" (авторизация)
• SSTI в генераторе открыток (250 баллов) - уязвимость в шаблонах, когда сервер выполняет твой код вместо простого текста. Тут уже думать надо
• Race Condition в банке (225 баллов) - моя любимая! Когда можно купить что-то дважды за одни и те же деньги, если отправить два запроса одновременно. Многопоточность ломает мозг даже опытным
Главная сложность
Подсказки. Прям как в преподавании - найти баланс между "дай подумать" и "не бросай в отчаянии".
Делаю 3 уровня хинтов (подсказок), покупаемые за баллы, которые бот будет выдавать по запросу:
1️⃣ Куда смотреть ("обрати внимание на DevTools")
2️⃣ Что искать ("посмотри на параметр page в URL")
3️⃣ Почти готовое решение (но без копипаста)
Бот будет принимать ваши ответы (флаги) и давать подсказки - так вы не застрянете, но и не получите решение на блюдечке.
Цель простая: чтобы участник сам дошел до решения, но не застрял на 2 часа в тупике. Это же обучение, а не хардкорный CTF для профи.
Что понял
В кибербезопасности легко скатиться в "магию для посвященных". А лучше делать так, чтобы после решения человек сказал: "Ааа, вот как это работает! Теперь буду писать код иначе".
Вопрос к вам: если участвовали в CTF - что реально помогало учиться? Хочу сделать мероприятие максимально полезным 👇
---
P.S. Если хочется попробовать эти задания вживую - приходите 5 января на CTF в Failover Bar. 3 часа практики, оффлайн общение с комьюнити, мастер-классы для тех, кто не возьмет ноутбук. Детали тут: https://debug-skills.timepad.ru/event/3723897/
Мест всего 20, так что поторопитесь 😉
#кибербезопасность #CTF #закулисье #педагогика #DevOps #OWASP
🔥9
О чем не пишут в официальных отчетах
5 января провел первое мероприятие года - CTF с параллельными мастер-классами в Failover Bar. На бумаге все выглядело отлично: практические задания по кибербезопасности + доклады по автоматизации с AI. В голове формат казался идеальным - каждый выбирает, что ему интереснее.
Реальность оказалась сложнее.
Участники писали в отзывах: "Приходилось выбирать - либо слушать доклад, либо решать задачку". Один человек прямо сказал, что докладчики скорее отвлекали от CTF. И знаете, я его понимаю. Это классическая ловушка организатора - хочется дать больше ценности, а получается конфликт внимания.
Открыл для себя важную вещь: "больше активностей" не равно "лучше мероприятие". Параллельность работает только когда активности не требуют одинакового уровня концентрации. CTF-задания требуют фокуса. Доклады тоже. Совмещать их - все равно что слушать подкаст во время написания кода. Можно, но эффективность падает.
Что сработало хорошо:
• Живое общение в баре создало комфортную атмосферу - люди не стеснялись задавать вопросы
• CTF-задания зашли отлично - интересные и достаточно сложные
• Темы по информационной безопасности оказались востребованы
Что попробую в следующий раз:
• Разделю временные блоки: сначала доклад, потом CTF и нетвокркинг для тех, кто не участвует. Понимаю что динамика просядет, но участникам будет комфортнее.
• Назначу консультанта для CTF, чтобы не отвлекать докладчиков
• Добавлю официальные паузы - люди стесняются отвлекаться от процесса
Еще один инсайт про инфраструктуру. Розетки. Кажется мелочью, пока у третьего участника не разряжается ноутбук. Теперь в чеклисте подготовки у меня пункт: "Проверить розетки + взять 2-3 удлинителя".
Самое ценное в таких мероприятиях - обратная связь. 4 человека написали развернутые отзывы с конкретными предложениями. Это золото для организатора. Без честного фидбека просто повторяешь одни и те же ошибки.
Вопрос к вам: если вы были на мероприятиях формата "несколько активностей одновременно" - что вам помогало не терять фокус? Или наоборот, что раздражало?
Хочу сделать следующий CTF максимально комфортным для участников.
---
#кибербезопасность #мероприятия #организация #инсайты
5 января провел первое мероприятие года - CTF с параллельными мастер-классами в Failover Bar. На бумаге все выглядело отлично: практические задания по кибербезопасности + доклады по автоматизации с AI. В голове формат казался идеальным - каждый выбирает, что ему интереснее.
Реальность оказалась сложнее.
Участники писали в отзывах: "Приходилось выбирать - либо слушать доклад, либо решать задачку". Один человек прямо сказал, что докладчики скорее отвлекали от CTF. И знаете, я его понимаю. Это классическая ловушка организатора - хочется дать больше ценности, а получается конфликт внимания.
Открыл для себя важную вещь: "больше активностей" не равно "лучше мероприятие". Параллельность работает только когда активности не требуют одинакового уровня концентрации. CTF-задания требуют фокуса. Доклады тоже. Совмещать их - все равно что слушать подкаст во время написания кода. Можно, но эффективность падает.
Что сработало хорошо:
• Живое общение в баре создало комфортную атмосферу - люди не стеснялись задавать вопросы
• CTF-задания зашли отлично - интересные и достаточно сложные
• Темы по информационной безопасности оказались востребованы
Что попробую в следующий раз:
• Разделю временные блоки: сначала доклад, потом CTF и нетвокркинг для тех, кто не участвует. Понимаю что динамика просядет, но участникам будет комфортнее.
• Назначу консультанта для CTF, чтобы не отвлекать докладчиков
• Добавлю официальные паузы - люди стесняются отвлекаться от процесса
Еще один инсайт про инфраструктуру. Розетки. Кажется мелочью, пока у третьего участника не разряжается ноутбук. Теперь в чеклисте подготовки у меня пункт: "Проверить розетки + взять 2-3 удлинителя".
Самое ценное в таких мероприятиях - обратная связь. 4 человека написали развернутые отзывы с конкретными предложениями. Это золото для организатора. Без честного фидбека просто повторяешь одни и те же ошибки.
Вопрос к вам: если вы были на мероприятиях формата "несколько активностей одновременно" - что вам помогало не терять фокус? Или наоборот, что раздражало?
Хочу сделать следующий CTF максимально комфортным для участников.
---
#кибербезопасность #мероприятия #организация #инсайты
🔥9
21 января выступал на вебинаре Mentor in Tech с темой OpenTelemetry 🔭. Разбирали мою статью с Habr про масштабируемый сбор телеметрии.
Очень дружелюбная аудитория. После записи посыпались живые вопросы - про интеграцию с legacy-системами, про масштабирование, про проблемы в production. Сразу ясно, что люди не просто слушали, а реально примеряли решение на свои задачи 💡.
Самый частый вопрос - с чего стоит начать мониторинг. Я всегда рекомендую развернуть в тестовой среде Prometheus и Grafana и начать инструментировать приложение через клиентские библиотеки, а потом самостоятельно внедрять те метрики, которые нужны именно вам. Тогда проявляется вся мощь мониторинга!
Еще сделал вывод, что выступления на разных площадках прокачивают иначе. Знакомая аудитория уже знает твой стиль, понимает с полуслова. Новая - заставляет быть четче, объяснять детальнее, не использовать внутренние шутки и отсылки.
Мои форматы - Воркшопы и Лабораторные работы, вебинар был немного непривычен, но мне все понравилось . Стоит чаще выходить за пределы привычного 🚀
Запись занятия тут👇
📹 Запись на YouTube
📹 Запись в ВК
📝 Моя статья на Habr
#devops #opentelemetry #выступления #observability #мониторинг
Очень дружелюбная аудитория. После записи посыпались живые вопросы - про интеграцию с legacy-системами, про масштабирование, про проблемы в production. Сразу ясно, что люди не просто слушали, а реально примеряли решение на свои задачи 💡.
Самый частый вопрос - с чего стоит начать мониторинг. Я всегда рекомендую развернуть в тестовой среде Prometheus и Grafana и начать инструментировать приложение через клиентские библиотеки, а потом самостоятельно внедрять те метрики, которые нужны именно вам. Тогда проявляется вся мощь мониторинга!
Еще сделал вывод, что выступления на разных площадках прокачивают иначе. Знакомая аудитория уже знает твой стиль, понимает с полуслова. Новая - заставляет быть четче, объяснять детальнее, не использовать внутренние шутки и отсылки.
Мои форматы - Воркшопы и Лабораторные работы, вебинар был немного непривычен, но мне все понравилось . Стоит чаще выходить за пределы привычного 🚀
Запись занятия тут
📹 Запись на YouTube
📹 Запись в ВК
📝 Моя статья на Habr
#devops #opentelemetry #выступления #observability #мониторинг
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥2