Запись MEPhI CTF Meetup 10.02уже доступна. Для удобства расставил таймстемпики.
48:12 Welcome-слово. Евгений Волошин, директор по стратегии, BI ZONE 48:50 Открытие MEPhI CTF Meetup. Павел Блинников, капитан CTF-команды, SPRUSH; ENZO, community manager, BI ZONE —- 51:38 Малварные техники Windows в Linux. Илья Титов, младший специалист TI, BI ZONE 2:16:24 ZKP: кому и зачем мы что-то доказываем. Александр Соколов, независимый исследователь 3:04:27 Пентест через призму ресерча. Данила Сащенко, старший специалист по тестированию на проникновение, BI ZONE 3:42:16 Аутопсия бинарных CTF-тасков. Георгий Кигурадзе, CTF-игрок на пенсии 4:46:33 Интересные баги из жизни пентестера. Денис Погонин, старший специалист по тестированию на проникновение, BI ZONE
Контента много, пока только урывками смотрел. Георгий Кигурадзе очень крут, интересно рассказывает и кажется вообще без понтов. 👍 Вроде раньше не пересекались, постараюсь теперь отслеживать выступления. 🙂
Честно говоря, я к CTF-ам всегда как-то с прохладцей относился и практически никогда в них не участвовал. В чем смысл тратить время на эти надуманные головоломки? Берем полностью обновленную и максимально захардененную Ubuntu, зарезаем все ненужные сервисы, самописные веб-сервисы закрываем WAF-ом (а то и тоже просто зарезаем к ним доступ). Вот это таска так таска! Ну давайте теперь, ребята, атакуйте. 🙂
Но это, мягко говоря, не очень правильный взгляд на вещи. Насколько я сейчас вижу, CTF-команды, особенно университетские, это такие первичные ячейки для людей интересующихся хардкорной практической безопасностью. Причем наиболее живые и массовые. Например, в отборочном туре VI Кубке CTF России участвовало почти 298 команд (70 городов, 115 учебных заведений). Вот это размах! И это только Россия (и чуть-чуть Казахстан). Даже собрать столько заинтересованных людей это уже успех. Кроме того, участники этих команд не только ведь в соревнованиях участвуют. Они встречаются, общаются, готовятся, организуют митапы, разбирают таски с прошлых CTF-ов и т.п. И в процессе подготовки к CTF-ам происходит обучение полезным навыкам, которые затем пригодятся на работе в ресерче, пентестах, безопасной разработке, харденинге, vulnerability management-е и т.д. Этому, как правило, в ВУЗах не особенно-то и учат. А сами CTF-ы это такие практические лабораторные работы. Ещё и с мощным игровым соревновательным элементом. Круто же!
В общем, митап есть смысл заслушать. Наиболее интересными мне видятся доклады "Аутопсия бинарных CTF-тасков" и "Интересные баги из жизни пентестера".
Некоторые заметки по итогам митапа Яндекс-а. Зафиксирую, чтобы не забылось. Для тех, кто не смотрел, полное видео уже доступно.
1. Прикольная тема из Яндекс Финтех про "одна команда - один Golden Image":
"У нас большой стек. У нас сервисы пишутся и на Kotlin, и на плюсах, и для разных языков мы используем разные Golden Image-ы. Но стараемся, чтобы внутри команды, которая пишет на одном фреймворке и на одном языке сформировался какой-то единый образ, который будет использоваться внутри этой команды. У нас есть набор этих золотых образов, которые используются конкретными командами. Все контейнеры, которые получаются мы пушим в наш registry. Вопрос сколько их сложный, т.к. у нас микросервисная архитектура и у нас очень много микросервисов."
➡️ Вопрос: Используете ли вы distroless образы в Банке, да и в Яндексе в целом, к примеру Google distroless, чтобы минимизировать поверхность атаки и уменьшить размер самих образов? Ответ: нет, но очень хотим к этому прийти ➡️ Вопрос: Если не секрет, что у вас за базовый образ? Аstra Linux? 😉 Ответ: отвечу, что такой же как и во всем Яндексе )
Вполне возможно это секрет полишинеля на основе какого Linux-дистрибутива базовые образы в Яндексе делают, но я не знаю. Если кто знает - шепните в личку, любопытно. 😉
2. То, что Яндекс Финтеху комфортно в Яндекс Облаке это понятное дело. Но будет ли так же комфортно другим банкам и финтехам?
➡️Вопрос: Возвращаясь к сертификации банка в облаке по стандартам PCI DSS и ГОСТам. Я смогу запустить такой банк в я.облаке и получить содействие при прохождении аудита со стороны Команды облака или это единичный случай для «родственной» компании? Ответ: Можно это получить как отдельную услугу в Облаке. ➡️ Вопрос: прям услуга Облака или рекомендованная внешняя команда? Ответ: В Облаке есть архитекторы и premium support.
3. В Wildberries и Яндекс Финтех для организации привилегированного доступа к Linux-инфраструктуре используют Teleport. Почему именно его? Как минимум половина доклада команды Wildberries была про обоснование этого выбора. Очень подробно и убедительно. Единственное жаль, что тема в основном крутилась про то как безопасно дать доступ до нужных серверов и дать/не дать root-а, но не про хитрое ограничение прав пользователя на хосте. А это у Wildberries есть, т.к. Teleport у них сильно допиленный:
"Команда переписала админку Teleport-а полностью с нуля. Написала свой PAM-модуль, который учитывает роли, которые передаются телепортом при аутентификации и на основе этого настраивает sudo. Но мы сегодня про это подробно не рассказывали, потому что оно опять же не поместилось."
Про sudo тема интересная, будем ждать следующего раза. 🙂
Свести к минимуму непредсказуемый интерактивчик в текущей ситуации и правда выглядит весьма разумным решением. Мало ли что журналисты по итогам свободной дискуссии ИБшников могли себе додумать и нагенерить. Яндексу сейчас такое точно ни к чему. 🤫
Яндекс проведет Yet Another Security Meetup на следующей неделе в четверг. Мероприятие похоже планировалось заранее, но на фоне недавних новостей получилось иронично. 🙂
"После докладов мы проведём круглый стол про фокусы и вызовы для информационной безопасности в 2023 году."
Фокус с 44.7 ГБ слитых исходников в среду был и правда эффектный. 🙂 Хотя разумеется от такого никто на 100% не застрахован. Нужно делать выводы, учиться на ошибках. Причем желательно чужих.
Про борьбу с утечками в программе мероприятия ничего не видно, но вряд ли эту тему проигнорируют. Из заявленных наиболее интересным кажется доклад "Организация привилегированного доступа к Linux-инфраструктуре" от команды Wildberries.
Часть 1 * 1:05 - 2:32Управление мисконфигурациями и управление уязвимостями, можно ли делать в рамках одного процесса? Леонов * 2:32 - 3:45А уязвимость процесса это часть VM? Какая функциональность входит в VM? Можно ли отталкиваться от функциональности САЗ? Родыгин, Леонов * 3:45 - 6:15А есть ли устоявшаяся терминология в VM? Пример: что такое Compliance Scan? Assessment и Mitigation plan. Ермаков 6:20 - 6:38 Smart Install в Cisco это уязвимость или мисконфигруация? Хлапов 6:42 - 7:34 Vulnerability, Weakness и Misconfiguration. О доверии экспертному мнению. Кузнецов 7:53 - 9:44 Уровни уязвимостей. Мисконфигурации это уязвимости. Волчков * 10:12 - 14:53А всякая ли небезопасная настройка приводит к уязвимости? На примере CIS Benchmarks. Нам нужны более лучшие стандарты. Кузнецов, Волчков, Леонов, Ермаков 14:55 - 15:44 Реализуемость уязвимости для конкретной системы. Родыгин * 16:15 - 22:37Трендовые эксплуатируемые уязвимости. Кузнецов, Леонов, Хлапов, Ермаков, Родыгин 22:50 - 26:27 Стандарты и требования по безопасной конфигурации: регуляторные и корпоративные. Волчков * 26:27 - 27:55Требования по управлению уязвимостями. Методичка по управлению патчами и уязвимостями для MaxPatrol на 300 страниц. Кузнецов 28:00 - 29:30 Стоит ли вообще устранять уязвимости? Родыгин, Волчков 29:30 - 52:58 Стоит ли устранять все уязвимости? Кузнецов, Леонов, Ермаков, Волчков, Хлапов, Родыгин * -> 29:30 - 30:33Не стоит устранять все, фокусироваться на детекте и реагированием на действия злоумышленника. Кузнецов * -> 30:41 - 36:16Нужно исправлять все уязвимости, если вы доверяете вендору. Леонов. Оппонируют Ермаков, Кузнецов, Родыгин -> 36:16 - 36:55 Уязвимости могут становиться нереализуемыми из-за изменения архитектуры. Родыгин, Кузнецов -> 36:55 - 38:41 Нужно ли оценивать реализуемость? Родыгин - да, Кузнецов - нет -> 38:41 - 39:47 Все патчить невозможно. Хлапов, Родыгин * -> 39:47 - 41:15А почему нам больно патчиться? Леонов -> 41:30 - 42:41 Пример кейса, когда патчиться не вариант. Кузнецов -> 42:41 - 44:06 Переконфигурирование как способ ремедиации. Волчков -> 44:06 - 47:07 Архитектурные изменения лучше патчинга. Родыгин. Оппонирует Кузнецов * -> 47:07 - 48:19Комментируем результаты опроса. Леонов, Родыгин, Волчков -> 48:50 - 50:51 Автоматическая приоритизация на основе сетевых сегментов и ассетов. Хлапов, Кузнецов * -> 50:51 - 52:58Патчить нужно всё, потому что хорошая качественная сетевая сегментов это иллюзия. Ермаков
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
