SlideShare ist ein Scribd-Unternehmen logo

Что общего у CTF и тестов на проникновение?

Als PPTX, PDF herunterladen
B
beched

Доклад на летней школе "Развитие движения CTF в России", Дубна, 19.08.2013.

Bildung
1 von 17
Что общего у CTF и тестов на проникновение? Летняя школа «Развитие CTF в России» Ганиев Омар Отдел анализа защищенности
Curriculum vitae • Увлекаюсь ИБ со школьного времени • Образование – факультет математики НИУ-ВШЭ • CTF-команда RDot.Org • Работаю пентестером в компании «Информзащита»
О чём пойдёт речь? • Что такое испытание на проникновение (пентест)? • Рассмотрим некоторых «персонажей» хакерского мира и навыки, необходимые для их работы • Польза от CTF-навыков в практической деятельности • Что делать?
• Метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника • Может ставить целью как проверку факта возможности проникновения хотя бы одним способом (после исправления недостатков, обнаруженных в ходе аудита), так и обнаружение максимального количества уязвимостей Penetration testing
Penetration testing Методология проведения тестов на проникновение подразумевает наличие нескольких этапов: • Определение области обследования • Составление модели угроз • Сбор информации об объекте исследования • Поиск уязвимостей • Попытки эксплуатации обнаруженных уязвимостей • Получение доступа к критичным ресурсам • Составление отчѐтной документации
Penetration testing Существует 3 типа пентестов: • White box Заведомо известна структура информационной системы (ИС). Это может быть схема сети, конфигурация оборудования, исходные тексты ПО. • Black box Известны лишь точки входа – адреса, через которые следует пытаться проникнуть в ИС Заказчика. • Grey box Комбинация white и black box
Хакеры • Студенты и любители участвуют в CTF • Black-hat'ы занимаются взломом, нарушая закон • Исследователи разрабатывают новые методики • Пентестеры занимаются взломом, не нарушая закон Какие есть особенности у задач, возникающих у каждого из этих персонажей, и как правильно применить навыки, полученные в соревнованиях?
Особенности CTF-задач • Главные цели – самообучение, получение (соревновательного) опыта • Фиксированное количество различных задач, конкретный формат ответа (не всегда) • Лаконичные формулировки задач • Сильно ограничено время, поэтому требуется уметь очень быстро поглощать новую информацию и решать большое количество задач
Особенности задач black-хакера • Главная цель – длительное получение денежной выгоды (если взлом не политизирован) • Нет ограничения законодательством • Нельзя оставлять следов • Ограничения по времени нет, главное чтобы временные затраты окупались • Романтика обманчива, денежная выгода тоже
Особенности задач исследователя ИБ • Главные цели – денежная выгода (0-day рынок), научное признание, востребованность работодателями • Как правило, нет точных формулировок задач • Как следствие, неизвестно сколько времени потребуется для их достижения • Требуются глубокие знания, терпение, удача
Особенности задач пентестера • Главные цели – получение контроля над ИС заказчика, получение доступа к критичным данным (таким как данные платѐжных карт) и обнаружение максимального количества недостатков • О системе может быть известно многое (white-box) или почти ничего (black-box) • Время ограничено, но не так сильно как в CTF • Требуются практические навыки эксплуатации, знание инструментария, встречаются и нестандартные задачи
Чему CTF научит? • Искать уязвимости в коде, сетевых и веб-сервисах • Быстро разобраться в совершенно незнакомой технологии (языке программирования, прикладном ПО, инструментах, и т. п.) • Распознавать в реальных системах задачи, уже встречавшиеся в CTF (ведь их не выдумывают, а делают по мотивам реальных случаев) • Делать смелые и нестандартные догадки • Быстро программировать и использовать инструментарий для рутины • Иметь широкий кругозор, зная в той или иной мере все сферы, связанные со взломом
Чему CTF не научит? • Несколько месяцев скрупулѐзно изучать одну область, решая конкретную задачу • Проводить некоторые атаки, типичные для тестов на проникновение (например, сетевые атаки, социальная инженерия) • Действовать при этом осторожно, не нарушая работоспособность информационной системы • Писать отчѐтную документацию (написание write- up'ов облегчает эту задачу)
Какие прикладные задачи есть в CTF? • Успешное проникновение в корпоративную ИС часто начинается со взлома web-приложения • Поэтому, для будущего пентестера целесообразно акцентировать в CTF-соревнованиях внимание на заданиях категории web • Понятие «анализ защищѐнности» включает в себя не только собственно пентесты ИС, но и анализ ПО • Поэтому задания на reverse engineering и binary exploitation также очень важны
Выводы • CTF учит за короткое время решать много различных задач • Это умение полезно для пентестера, поскольку пентест тоже ограничен сроками • Однако, в пентесте нужно также целостное понимание процессов обеспечения ИБ, структуры корпоративных информационных систем, а также умение использовать комбинации обнаруженных уязвимостей для проникновения (пост-эксплуатация) • Кроме того, пентестер должен уметь грамотно резюмировать свою работу и давать рекомендации по снижению обнаруженного риска
Так что всё-таки делать? • Программировать. Причѐм и спортивное программирование тоже полезно и развивает нужные качества, однако это большая отдельная тема сама по себе • Решать задачи. Причѐм полезны не только CTF- задачи – математика, программирование к вашим услугам • Читать bugtrack’и и блоги исследователей, мониторить твиттер-ленту. Нельзя упускать свежие новости • Читать и писать write-up’ы по итогам CTF-событий. Углубляет знания и учит приводить свои мысли в порядок • Следить за новыми технологиями. Скоро и они станут целью атак
Ганиев Омар Аркадьевич Отдел анализа защищенности admin@ahack.ru Развитие CTF в России Вопросы?

Empfohlen

Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012beched
 
Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеПост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеbeched
 
Воркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийВоркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийbeched
 
[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivationbeched
 
Blackbox-тестирование веб-приложений
Blackbox-тестирование веб-приложенийBlackbox-тестирование веб-приложений
Blackbox-тестирование веб-приложенийbeched
 
Криптология в анализе защищённости
Криптология в анализе защищённостиКриптология в анализе защищённости
Криптология в анализе защищённостиbeched
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 

Empfohlen

Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012beched
 
Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеПост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеbeched
 
Воркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийВоркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийbeched
 
[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivationbeched
 
Blackbox-тестирование веб-приложений
Blackbox-тестирование веб-приложенийBlackbox-тестирование веб-приложений
Blackbox-тестирование веб-приложенийbeched
 
Криптология в анализе защищённости
Криптология в анализе защищённостиКриптология в анализе защищённости
Криптология в анализе защищённостиbeched
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновениеУчебный центр "Эшелон"
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Development User Group
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Sergey Soldatov
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Услуги PT для банков
Услуги PT для банковУслуги PT для банков
Услуги PT для банковDmitry Evteev
 
Подходы к сигнатурному статическому анализу
Подходы к сигнатурному статическому анализуПодходы к сигнатурному статическому анализу
Подходы к сигнатурному статическому анализуPositive Development User Group
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Development User Group
 
Технологии анализа бинарного кода приложений: требования, проблемы, инструменты
Технологии анализа бинарного кода приложений: требования, проблемы, инструментыТехнологии анализа бинарного кода приложений: требования, проблемы, инструменты
Технологии анализа бинарного кода приложений: требования, проблемы, инструментыPositive Development User Group
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future NowDmitry Evteev
 
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системDmitry Evteev
 
Кто сказал «WAF»?
Кто сказал «WAF»?Кто сказал «WAF»?
Кто сказал «WAF»?Positive Development User Group
 
AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAlexey Kachalin
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Development User Group
 
Трудовые будни охотника на угрозы
Трудовые будни охотника на угрозыТрудовые будни охотника на угрозы
Трудовые будни охотника на угрозыSergey Soldatov
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Development User Group
 
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процессCodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процессCodeFest
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Mobile Device Security
Mobile Device SecurityMobile Device Security
Mobile Device Securityqqlan
 

Weitere ähnliche Inhalte

Was ist angesagt?

Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Development User Group
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Sergey Soldatov
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Услуги PT для банков
Услуги PT для банковУслуги PT для банков
Услуги PT для банковDmitry Evteev
 
Подходы к сигнатурному статическому анализу
Подходы к сигнатурному статическому анализуПодходы к сигнатурному статическому анализу
Подходы к сигнатурному статическому анализуPositive Development User Group
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Development User Group
 
Технологии анализа бинарного кода приложений: требования, проблемы, инструменты
Технологии анализа бинарного кода приложений: требования, проблемы, инструментыТехнологии анализа бинарного кода приложений: требования, проблемы, инструменты
Технологии анализа бинарного кода приложений: требования, проблемы, инструментыPositive Development User Group
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future NowDmitry Evteev
 
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системDmitry Evteev
 
AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAlexey Kachalin
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Development User Group
 
Трудовые будни охотника на угрозы
Трудовые будни охотника на угрозыТрудовые будни охотника на угрозы
Трудовые будни охотника на угрозыSergey Soldatov
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Development User Group
 
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процессCodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процессCodeFest
 

Was ist angesagt? (20)

Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновение
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструменты
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Услуги PT для банков
Услуги PT для банковУслуги PT для банков
Услуги PT для банков
 
Подходы к сигнатурному статическому анализу
Подходы к сигнатурному статическому анализуПодходы к сигнатурному статическому анализу
Подходы к сигнатурному статическому анализу
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Технологии анализа бинарного кода приложений: требования, проблемы, инструменты
Технологии анализа бинарного кода приложений: требования, проблемы, инструментыТехнологии анализа бинарного кода приложений: требования, проблемы, инструменты
Технологии анализа бинарного кода приложений: требования, проблемы, инструменты
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future Now
 
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских систем
 
Кто сказал «WAF»?
Кто сказал «WAF»?Кто сказал «WAF»?
Кто сказал «WAF»?
 
AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условия
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Трудовые будни охотника на угрозы
Трудовые будни охотника на угрозыТрудовые будни охотника на угрозы
Трудовые будни охотника на угрозы
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процессCodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
 

Andere mochten auch

тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Mobile Device Security
Mobile Device SecurityMobile Device Security
Mobile Device Securityqqlan
 
Alexey Sintsov - Where do the money lie
Alexey Sintsov - Where do the money lieAlexey Sintsov - Where do the money lie
Alexey Sintsov - Where do the money lieDefconRussia
 
Kaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the CloudKaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the Cloudqqlan
 
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"Defcon Moscow
 
Database honeypot by design
Database honeypot by designDatabase honeypot by design
Database honeypot by designqqlan
 
Web security
Web securityWeb security
Web securitySync.NET
 
С чего начать свой путь этичного хакера?
С чего начать свой путь этичного хакера?С чего начать свой путь этичного хакера?
С чего начать свой путь этичного хакера?Vadym_Chakrian
 
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиOlesya Shelestova
 
Wps pixie dust attack
Wps pixie dust attackWps pixie dust attack
Wps pixie dust attackinvad3rsam
 
#root это только начало
#root это только начало#root это только начало
#root это только началоVlad Styran
 
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, ЯндексСканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндексyaevents
 
Кое-что о Wi-Fi (Денис Жевнер)
Кое-что о Wi-Fi (Денис Жевнер)Кое-что о Wi-Fi (Денис Жевнер)
Кое-что о Wi-Fi (Денис Жевнер)IT Club Mykolayiv
 
Угадываем пароль за минуту
Угадываем пароль за минутуУгадываем пароль за минуту
Угадываем пароль за минутуPositive Hack Days
 
Миссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТПМиссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТПqqlan
 
D1 t1 t. yunusov k. nesterov - bootkit via sms
D1 t1 t. yunusov k. nesterov - bootkit via smsD1 t1 t. yunusov k. nesterov - bootkit via sms
D1 t1 t. yunusov k. nesterov - bootkit via smsqqlan
 

Andere mochten auch (19)

тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
 
Mobile Device Security
Mobile Device SecurityMobile Device Security
Mobile Device Security
 
Pentest requirements
Pentest requirementsPentest requirements
Pentest requirements
 
Alexey Sintsov - Where do the money lie
Alexey Sintsov - Where do the money lieAlexey Sintsov - Where do the money lie
Alexey Sintsov - Where do the money lie
 
Avoid the Hack
Avoid the HackAvoid the Hack
Avoid the Hack
 
Kaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the CloudKaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the Cloud
 
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
 
Database honeypot by design
Database honeypot by designDatabase honeypot by design
Database honeypot by design
 
Web security
Web securityWeb security
Web security
 
С чего начать свой путь этичного хакера?
С чего начать свой путь этичного хакера?С чего начать свой путь этичного хакера?
С чего начать свой путь этичного хакера?
 
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сети
 
Wps pixie dust attack
Wps pixie dust attackWps pixie dust attack
Wps pixie dust attack
 
#root это только начало
#root это только начало#root это только начало
#root это только начало
 
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, ЯндексСканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
 
Кое-что о Wi-Fi (Денис Жевнер)
Кое-что о Wi-Fi (Денис Жевнер)Кое-что о Wi-Fi (Денис Жевнер)
Кое-что о Wi-Fi (Денис Жевнер)
 
Wi Fi Security
Wi Fi SecurityWi Fi Security
Wi Fi Security
 
Угадываем пароль за минуту
Угадываем пароль за минутуУгадываем пароль за минуту
Угадываем пароль за минуту
 
Миссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТПМиссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТП
 
D1 t1 t. yunusov k. nesterov - bootkit via sms
D1 t1 t. yunusov k. nesterov - bootkit via smsD1 t1 t. yunusov k. nesterov - bootkit via sms
D1 t1 t. yunusov k. nesterov - bootkit via sms
 

Ähnlich wie Что общего у CTF и тестов на проникновение?

Сколько надо SOC?
Сколько надо SOC?Сколько надо SOC?
Сколько надо SOC?Sergey Soldatov
 
Что DevOps должен знать про статический анализ кода?
Что DevOps должен знать про статический анализ кода?Что DevOps должен знать про статический анализ кода?
Что DevOps должен знать про статический анализ кода?Andrey Karpov
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Alexey Kachalin
 
AgileBaseCamp 2013 - Start Up and Get Done
AgileBaseCamp 2013 - Start Up and Get DoneAgileBaseCamp 2013 - Start Up and Get Done
AgileBaseCamp 2013 - Start Up and Get DoneMax Klymyshyn
 
Проектирование программных систем. Занятие 4
Проектирование программных систем. Занятие 4Проектирование программных систем. Занятие 4
Проектирование программных систем. Занятие 4Dima Dzuba
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Доклад "Мониторинг серверных приложений"
Доклад "Мониторинг серверных приложений"Доклад "Мониторинг серверных приложений"
Доклад "Мониторинг серверных приложений"Grigoriy Orlov
 
Attacks against machine learning algorithms
Attacks against machine learning algorithmsAttacks against machine learning algorithms
Attacks against machine learning algorithmsbeched
 
Омар Ганиев (Россия). Обзор атак на модели машинного обучения
Омар Ганиев (Россия). Обзор атак на модели машинного обученияОмар Ганиев (Россия). Обзор атак на модели машинного обучения
Омар Ганиев (Россия). Обзор атак на модели машинного обученияKazHackStan
 
Infosec Research Group
Infosec Research GroupInfosec Research Group
Infosec Research Grouptegia
 
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUAREТехники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARESQALab
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьVsevolod Shabad
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Uladzislau Murashka
 
Tech Talks @NSU: Рассказ о разных профессиях в IT-индустрии, или почему не вс...
Tech Talks @NSU: Рассказ о разных профессиях в IT-индустрии, или почему не вс...Tech Talks @NSU: Рассказ о разных профессиях в IT-индустрии, или почему не вс...
Tech Talks @NSU: Рассказ о разных профессиях в IT-индустрии, или почему не вс...Tech Talks @NSU
 
Формирование технической команды на старте
Формирование технической команды на старте Формирование технической команды на старте
Формирование технической команды на старте Sergey Xek
 
Добро пожаловать в практическую безопасность (Сергей Белов)
Добро пожаловать в практическую безопасность (Сергей Белов)Добро пожаловать в практическую безопасность (Сергей Белов)
Добро пожаловать в практическую безопасность (Сергей Белов)defcon_kz
 
Добро пожаловать в практическую безопасность (Сергей Белов)
Добро пожаловать в практическую безопасность (Сергей Белов)Добро пожаловать в практическую безопасность (Сергей Белов)
Добро пожаловать в практическую безопасность (Сергей Белов)Kristina Pomozova
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Alexey Kachalin
 

Ähnlich wie Что общего у CTF и тестов на проникновение? (20)

Сколько надо SOC?
Сколько надо SOC?Сколько надо SOC?
Сколько надо SOC?
 
Что DevOps должен знать про статический анализ кода?
Что DevOps должен знать про статический анализ кода?Что DevOps должен знать про статический анализ кода?
Что DevOps должен знать про статический анализ кода?
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
 
AgileBaseCamp 2013 - Start Up and Get Done
AgileBaseCamp 2013 - Start Up and Get DoneAgileBaseCamp 2013 - Start Up and Get Done
AgileBaseCamp 2013 - Start Up and Get Done
 
Проектирование программных систем. Занятие 4
Проектирование программных систем. Занятие 4Проектирование программных систем. Занятие 4
Проектирование программных систем. Занятие 4
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
Доклад "Мониторинг серверных приложений"
Доклад "Мониторинг серверных приложений"Доклад "Мониторинг серверных приложений"
Доклад "Мониторинг серверных приложений"
 
Attacks against machine learning algorithms
Attacks against machine learning algorithmsAttacks against machine learning algorithms
Attacks against machine learning algorithms
 
Омар Ганиев (Россия). Обзор атак на модели машинного обучения
Омар Ганиев (Россия). Обзор атак на модели машинного обученияОмар Ганиев (Россия). Обзор атак на модели машинного обучения
Омар Ганиев (Россия). Обзор атак на модели машинного обучения
 
Infosec Research Group
Infosec Research GroupInfosec Research Group
Infosec Research Group
 
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUAREТехники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
 
Tech Talks @NSU: Рассказ о разных профессиях в IT-индустрии, или почему не вс...
Tech Talks @NSU: Рассказ о разных профессиях в IT-индустрии, или почему не вс...Tech Talks @NSU: Рассказ о разных профессиях в IT-индустрии, или почему не вс...
Tech Talks @NSU: Рассказ о разных профессиях в IT-индустрии, или почему не вс...
 
Формирование технической команды на старте
Формирование технической команды на старте Формирование технической команды на старте
Формирование технической команды на старте
 
Добро пожаловать в практическую безопасность (Сергей Белов)
Добро пожаловать в практическую безопасность (Сергей Белов)Добро пожаловать в практическую безопасность (Сергей Белов)
Добро пожаловать в практическую безопасность (Сергей Белов)
 
Добро пожаловать в практическую безопасность (Сергей Белов)
Добро пожаловать в практическую безопасность (Сергей Белов)Добро пожаловать в практическую безопасность (Сергей Белов)
Добро пожаловать в практическую безопасность (Сергей Белов)
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13
 
Team workflow
Team workflowTeam workflow
Team workflow
 
Analyst Days 2014
Analyst Days 2014Analyst Days 2014
Analyst Days 2014
 

Mehr von beched

Hacking as eSports
Hacking as eSportsHacking as eSports
Hacking as eSportsbeched
 
BlackBox testing
BlackBox testingBlackBox testing
BlackBox testingbeched
 
Data mining for nmap acceleration
Data mining for nmap accelerationData mining for nmap acceleration
Data mining for nmap accelerationbeched
 
Find maximum bugs in limited time
Find maximum bugs in limited timeFind maximum bugs in limited time
Find maximum bugs in limited timebeched
 
Owasp web application security trends
Owasp web application security trendsOwasp web application security trends
Owasp web application security trendsbeched
 
Vulnerabilities in data processing levels
Vulnerabilities in data processing levelsVulnerabilities in data processing levels
Vulnerabilities in data processing levelsbeched
 

Mehr von beched (6)

Hacking as eSports
Hacking as eSportsHacking as eSports
Hacking as eSports
 
BlackBox testing
BlackBox testingBlackBox testing
BlackBox testing
 
Data mining for nmap acceleration
Data mining for nmap accelerationData mining for nmap acceleration
Data mining for nmap acceleration
 
Find maximum bugs in limited time
Find maximum bugs in limited timeFind maximum bugs in limited time
Find maximum bugs in limited time
 
Owasp web application security trends
Owasp web application security trendsOwasp web application security trends
Owasp web application security trends
 
Vulnerabilities in data processing levels
Vulnerabilities in data processing levelsVulnerabilities in data processing levels
Vulnerabilities in data processing levels
 

Что общего у CTF и тестов на проникновение?

  • 1. Что общего у CTF и тестов на проникновение? Летняя школа «Развитие CTF в России» Ганиев Омар Отдел анализа защищенности
  • 2. Curriculum vitae • Увлекаюсь ИБ со школьного времени • Образование – факультет математики НИУ-ВШЭ • CTF-команда RDot.Org • Работаю пентестером в компании «Информзащита»
  • 3. О чём пойдёт речь? • Что такое испытание на проникновение (пентест)? • Рассмотрим некоторых «персонажей» хакерского мира и навыки, необходимые для их работы • Польза от CTF-навыков в практической деятельности • Что делать?
  • 4. • Метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника • Может ставить целью как проверку факта возможности проникновения хотя бы одним способом (после исправления недостатков, обнаруженных в ходе аудита), так и обнаружение максимального количества уязвимостей Penetration testing
  • 5. Penetration testing Методология проведения тестов на проникновение подразумевает наличие нескольких этапов: • Определение области обследования • Составление модели угроз • Сбор информации об объекте исследования • Поиск уязвимостей • Попытки эксплуатации обнаруженных уязвимостей • Получение доступа к критичным ресурсам • Составление отчѐтной документации
  • 6. Penetration testing Существует 3 типа пентестов: • White box Заведомо известна структура информационной системы (ИС). Это может быть схема сети, конфигурация оборудования, исходные тексты ПО. • Black box Известны лишь точки входа – адреса, через которые следует пытаться проникнуть в ИС Заказчика. • Grey box Комбинация white и black box
  • 7. Хакеры • Студенты и любители участвуют в CTF • Black-hat'ы занимаются взломом, нарушая закон • Исследователи разрабатывают новые методики • Пентестеры занимаются взломом, не нарушая закон Какие есть особенности у задач, возникающих у каждого из этих персонажей, и как правильно применить навыки, полученные в соревнованиях?
  • 8. Особенности CTF-задач • Главные цели – самообучение, получение (соревновательного) опыта • Фиксированное количество различных задач, конкретный формат ответа (не всегда) • Лаконичные формулировки задач • Сильно ограничено время, поэтому требуется уметь очень быстро поглощать новую информацию и решать большое количество задач
  • 9. Особенности задач black-хакера • Главная цель – длительное получение денежной выгоды (если взлом не политизирован) • Нет ограничения законодательством • Нельзя оставлять следов • Ограничения по времени нет, главное чтобы временные затраты окупались • Романтика обманчива, денежная выгода тоже
  • 10. Особенности задач исследователя ИБ • Главные цели – денежная выгода (0-day рынок), научное признание, востребованность работодателями • Как правило, нет точных формулировок задач • Как следствие, неизвестно сколько времени потребуется для их достижения • Требуются глубокие знания, терпение, удача
  • 11. Особенности задач пентестера • Главные цели – получение контроля над ИС заказчика, получение доступа к критичным данным (таким как данные платѐжных карт) и обнаружение максимального количества недостатков • О системе может быть известно многое (white-box) или почти ничего (black-box) • Время ограничено, но не так сильно как в CTF • Требуются практические навыки эксплуатации, знание инструментария, встречаются и нестандартные задачи
  • 12. Чему CTF научит? • Искать уязвимости в коде, сетевых и веб-сервисах • Быстро разобраться в совершенно незнакомой технологии (языке программирования, прикладном ПО, инструментах, и т. п.) • Распознавать в реальных системах задачи, уже встречавшиеся в CTF (ведь их не выдумывают, а делают по мотивам реальных случаев) • Делать смелые и нестандартные догадки • Быстро программировать и использовать инструментарий для рутины • Иметь широкий кругозор, зная в той или иной мере все сферы, связанные со взломом
  • 13. Чему CTF не научит? • Несколько месяцев скрупулѐзно изучать одну область, решая конкретную задачу • Проводить некоторые атаки, типичные для тестов на проникновение (например, сетевые атаки, социальная инженерия) • Действовать при этом осторожно, не нарушая работоспособность информационной системы • Писать отчѐтную документацию (написание write- up'ов облегчает эту задачу)
  • 14. Какие прикладные задачи есть в CTF? • Успешное проникновение в корпоративную ИС часто начинается со взлома web-приложения • Поэтому, для будущего пентестера целесообразно акцентировать в CTF-соревнованиях внимание на заданиях категории web • Понятие «анализ защищѐнности» включает в себя не только собственно пентесты ИС, но и анализ ПО • Поэтому задания на reverse engineering и binary exploitation также очень важны
  • 15. Выводы • CTF учит за короткое время решать много различных задач • Это умение полезно для пентестера, поскольку пентест тоже ограничен сроками • Однако, в пентесте нужно также целостное понимание процессов обеспечения ИБ, структуры корпоративных информационных систем, а также умение использовать комбинации обнаруженных уязвимостей для проникновения (пост-эксплуатация) • Кроме того, пентестер должен уметь грамотно резюмировать свою работу и давать рекомендации по снижению обнаруженного риска
  • 16. Так что всё-таки делать? • Программировать. Причѐм и спортивное программирование тоже полезно и развивает нужные качества, однако это большая отдельная тема сама по себе • Решать задачи. Причѐм полезны не только CTF- задачи – математика, программирование к вашим услугам • Читать bugtrack’и и блоги исследователей, мониторить твиттер-ленту. Нельзя упускать свежие новости • Читать и писать write-up’ы по итогам CTF-событий. Углубляет знания и учит приводить свои мысли в порядок • Следить за новыми технологиями. Скоро и они станут целью атак
  • 17. Ганиев Омар Аркадьевич Отдел анализа защищенности admin@ahack.ru Развитие CTF в России Вопросы?