SlideShare a Scribd company logo

Добро пожаловать в практическую безопасность (Сергей Белов)

defcon_kz
defcon_kz

DEF CON Kazakhstan

Technology
1 of 23
Download to read offline
Добро пожаловать в практическую безопасность #defconkz, Almaty, 30 oct 2016 Сергей Белов @sergeybelove
# whoami • Security Researcher @ Digital Security / ZeroNights / Defcon Russia • habrahabr / журнал “Хакер” • Bugbounty / bughunting: Google, Digital Ocean, Yandex, Mail.ru Telegram, ВКонтакте, Badoo, CloudFlare и др • CodeFest (2012, 2014, 2016), ZeroNights, РИТ++, CEE-SECR, FrontendConf, Hack In Paris, BlackHat USA, OWASP (RU & PL), etc • Websec fan
План • Направления в ИБ • Жизнь в ИБ • Я нашел уязвимость!
Направления в ИБ
Направления в ИБ 1. Юридическое направление • Разработка нормативов, стандартов • Разработка внутрикорпоративных политик • Законы • Адвокаты в ИБ • Безопасность «бизнеса» 2. Техническое направление • Defensive • Offensive • Разработка • Криминалистика
Направления в ИБ 1. Юридическое направление • Разработка нормативов, стандартов • Разработка внутрикорпоративных политик • Законы • Адвокаты • Безопасность «бизнеса» 2. Техническое направление • Defensive • Offensive • Разработка • Криминалистика
Направления в ИБ - Defensive Специалисты занимаются: - Построением Security Operation Center - Внедрение SIEM / Data Leak Protection - Внедрение SDLC (https://habrahabr.ru/company/qiwi/blog/313530/) - Настройкой WAF - Работают над сокращением количества ИБ инцидентов - Защищают, как могут J
Направления в ИБ - Offensive Поиск и эксплуатация уязвимостей в различных направлениях: - Web - Network - Binary (reverse) - Binary (exploit dev: x86 / x64 / arm / mips / etc) - Crypto - Mobile (Android / iOS / Win Phone) - Hardware - …
Направления в ИБ - Offensive Специфичные направления: - Бизнес приложения (SAP, Oracle, банки …) - АСУ ТП - Car hacking - Hardware - Wireless Для меня был челлендж разобраться в том, как ломать SAP. При этом имея 2 года опыта в анализе защищенности.
Направления в ИБ - Разработка Разработка: 1) Сканеры безопасности 2) Инструменты для хакинга (IDA, Burp, r2) 3) AV индустрия 4) Hardening (binary defense (EMET) / WAF) 5) Механизмы безопасности на уровне ОС / железа Относится ли сюда разработка SIEM/DLP? Скорее нет, так как для их разработки достаточно только скиллов разработчиков с минимальным привлечением ИБ специалистов
Направления в ИБ - Криминалистика Что делают? 1) Разбор инцидентов (логи доступа, действий и т.п.) 2) Восстановление данных 3) Поиск и нахождение виновных
Жизнь в ИБ
Жизнь в ИБ Важная часть сферы: - Bug bounty - CTF - Публикация статей, ресерчей - Конференции
Жизнь в ИБ - Bugbounty Bug bounty – программы награждения исследователей за найденные уязвимости. Две основные площадки: 1) hackerone 2) bugcrowd Многие крупные вендоры хэндлят bugbounty сами, например Google и Yandex В вебе реально заработать (при «средних» навыках – $3-15k в год)
Жизнь в ИБ - Bugbounty • Нашел уязвимость без bugbounty и требуешь денег? GTFO J (https://bo0om.ru/linkedins-million-dollar-bug) • Нашел уязвимость в рамках bugbounty и дали объективно мало? Доказывай импакт, сравни свой репорт с другими (в рамках программы у этого же вендора!)
Жизнь в ИБ - CTF Capture The Flag – соревнования, позволяющие легально порешать задачи в ИБ. Плюсы: - Расширяет кругозор - Возможность изучить сферы, в которых мало знаний - Призы Минусы: - Часто придуманные ситуации, которых не бывает в реальной жизни - Соревнование «олимпиадников» (категория PPC) - Вечный баттл «CTF vs реальный ресерч» Ждем доклад про CTF в Казахстане ;)
Жизнь в ИБ – Cтатьи и ресерчи Публикация статей: 1) Желание поделиться найденным (включая PR) 2) Публикация в специальных изданиях или в личном блоге 3) Самая лучшая обратная связь (reply в твиттере после публикации + комменты) 4) Позволяет в т.ч. самому собрать и структурировать информацию 5) Позволяет «застолбить» найденные баги
Жизнь в ИБ - Конференции Конференции – отличное место для знакомств, PR, поиска работы, путешествий и… иногда заработка.
Жизнь в ИБ - Конференции Типы выступлений: 1) Доклад (fast track 10-15 мин / full ~40 мин) - Дает статус спикера - Выступил и свободен - Плохой тон выступать с одной темой много раз 2) Воркшоп (2-4 часа) - Все любят воркшопы - Изначально заинтересованная аудитория - Можно ездить неограниченное количество раз - Подготовка занимает умеренное время 3) Тренинг (1-3 дня) - Сложная и длительная подготовка - Можно ездить неограниченное количество раз и быть мега популярным - Финансовый профит (30-70% от стоимости участия) - Можно продавать напрямую организациям - Невероятный PR
Я нашел уязвимость!
Я нашел уязвимость! Что можно сделать? 1) «Ответственно репортим» (и лучше так: не просили – не ищи). Связываемся доступными методами, если не отвечают – ищем знакомых. Дожидаемся исправления и, возможно, рассказываем что и как было 2) «Законно» продаем (продажа компаниям типа ”hacking team” или в ZDI/Zerodium) 3) Продажа на «теневом» рынке, непосредственная эксплуатация против кого-либо
Stay secure & keep hacking ;) @sergeybelove

Recommended

flag{жив_ли_CTF_в _Казахстане?} (@fuzzyf10w && @n0z3r0) CTF Team: b1n4ry4rms
flag{жив_ли_CTF_в _Казахстане?} (@fuzzyf10w && @n0z3r0) CTF Team: b1n4ry4rmsflag{жив_ли_CTF_в _Казахстане?} (@fuzzyf10w && @n0z3r0) CTF Team: b1n4ry4rms
flag{жив_ли_CTF_в _Казахстане?} (@fuzzyf10w && @n0z3r0) CTF Team: b1n4ry4rmsKristina Pomozova
 
DEFCON и развитие информационной безопасности в стране
DEFCON и развитие информационной безопасности в странеDEFCON и развитие информационной безопасности в стране
DEFCON и развитие информационной безопасности в странеdefcon_kz
 
Добро пожаловать в практическую безопасность (Сергей Белов)
Добро пожаловать в практическую безопасность (Сергей Белов)Добро пожаловать в практическую безопасность (Сергей Белов)
Добро пожаловать в практическую безопасность (Сергей Белов)Kristina Pomozova
 
Разведка боем
Разведка боемРазведка боем
Разведка боемДмитрий Бумов
 
5 встреча — Информационная безопастность (А. Свириденков)
5 встреча — Информационная безопастность (А. Свириденков)5 встреча — Информационная безопастность (А. Свириденков)
5 встреча — Информационная безопастность (А. Свириденков)Smolensk Computer Science Club
 
Контроль за качеством кода
Контроль за качеством кодаКонтроль за качеством кода
Контроль за качеством кодаКирилл Борисов
 
#1 razvedka i sbor dannih
#1 razvedka i sbor dannih#1 razvedka i sbor dannih
#1 razvedka i sbor dannihUladzislau Murashka
 
[Short 10-00] Глеб Пахаренко - Криптография на каждый день
[Short 10-00] Глеб Пахаренко - Криптография на каждый день[Short 10-00] Глеб Пахаренко - Криптография на каждый день
[Short 10-00] Глеб Пахаренко - Криптография на каждый деньUISGCON
 

Recommended

flag{жив_ли_CTF_в _Казахстане?} (@fuzzyf10w && @n0z3r0) CTF Team: b1n4ry4rms
flag{жив_ли_CTF_в _Казахстане?} (@fuzzyf10w && @n0z3r0) CTF Team: b1n4ry4rmsflag{жив_ли_CTF_в _Казахстане?} (@fuzzyf10w && @n0z3r0) CTF Team: b1n4ry4rms
flag{жив_ли_CTF_в _Казахстане?} (@fuzzyf10w && @n0z3r0) CTF Team: b1n4ry4rmsKristina Pomozova
 
DEFCON и развитие информационной безопасности в стране
DEFCON и развитие информационной безопасности в странеDEFCON и развитие информационной безопасности в стране
DEFCON и развитие информационной безопасности в странеdefcon_kz
 
Добро пожаловать в практическую безопасность (Сергей Белов)
Добро пожаловать в практическую безопасность (Сергей Белов)Добро пожаловать в практическую безопасность (Сергей Белов)
Добро пожаловать в практическую безопасность (Сергей Белов)Kristina Pomozova
 
Разведка боем
Разведка боемРазведка боем
Разведка боемДмитрий Бумов
 
5 встреча — Информационная безопастность (А. Свириденков)
5 встреча — Информационная безопастность (А. Свириденков)5 встреча — Информационная безопастность (А. Свириденков)
5 встреча — Информационная безопастность (А. Свириденков)Smolensk Computer Science Club
 
Контроль за качеством кода
Контроль за качеством кодаКонтроль за качеством кода
Контроль за качеством кодаКирилл Борисов
 
#1 razvedka i sbor dannih
#1 razvedka i sbor dannih#1 razvedka i sbor dannih
#1 razvedka i sbor dannihUladzislau Murashka
 
[Short 10-00] Глеб Пахаренко - Криптография на каждый день
[Short 10-00] Глеб Пахаренко - Криптография на каждый день[Short 10-00] Глеб Пахаренко - Криптография на каждый день
[Short 10-00] Глеб Пахаренко - Криптография на каждый деньUISGCON
 
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days
 
Chat bots meetup #1 with @my pokerbot
Chat bots meetup #1 with @my pokerbotChat bots meetup #1 with @my pokerbot
Chat bots meetup #1 with @my pokerbotPavel Doronin
 
Метод тестирования Fuzzing
Метод тестирования FuzzingМетод тестирования Fuzzing
Метод тестирования FuzzingISsoft
 
SECON'2014 - Команда CTRL-PNZ - Уязвимости для самых маленьких. Что это, как ...
SECON'2014 - Команда CTRL-PNZ - Уязвимости для самых маленьких. Что это, как ...SECON'2014 - Команда CTRL-PNZ - Уязвимости для самых маленьких. Что это, как ...
SECON'2014 - Команда CTRL-PNZ - Уязвимости для самых маленьких. Что это, как ...Конференция разработчиков программного обеспечения SECON'2014
 
Белоус Екатерина
Белоус ЕкатеринаБелоус Екатерина
Белоус ЕкатеринаАКМР Corpmedia.ru
 
Истина где-то рядом или как правильно писать код
Истина где-то рядом или как правильно писать кодИстина где-то рядом или как правильно писать код
Истина где-то рядом или как правильно писать кодSQALab
 
Чем Python плох для стартапа?
Чем Python плох для стартапа?Чем Python плох для стартапа?
Чем Python плох для стартапа?PyNSK
 
How to prove programs
How to prove programsHow to prove programs
How to prove programsDenis Efremov
 
Playing CTF and Entering the World of Information Security / Играем в CTF поз...
Playing CTF and Entering the World of Information Security / Играем в CTF поз...Playing CTF and Entering the World of Information Security / Играем в CTF поз...
Playing CTF and Entering the World of Information Security / Играем в CTF поз...Mad Devs
 
Trojans, worms
Trojans, wormsTrojans, worms
Trojans, wormsBoris Kizko
 
РИФ 2016 - Chatbots Community Sections (Егор Ефименко)
РИФ 2016 - Chatbots Community Sections (Егор Ефименко)РИФ 2016 - Chatbots Community Sections (Егор Ефименко)
РИФ 2016 - Chatbots Community Sections (Егор Ефименко)chatbotscommunity
 
РИФ 2016, ФУТУРИСТИКА БОТОВ ЗАГОЛОВОК РАЗДЕЛА Что нас ждёт в будущем на сегод...
РИФ 2016, ФУТУРИСТИКА БОТОВ ЗАГОЛОВОК РАЗДЕЛА Что нас ждёт в будущем на сегод...РИФ 2016, ФУТУРИСТИКА БОТОВ ЗАГОЛОВОК РАЗДЕЛА Что нас ждёт в будущем на сегод...
РИФ 2016, ФУТУРИСТИКА БОТОВ ЗАГОЛОВОК РАЗДЕЛА Что нас ждёт в будущем на сегод...Тарасов Константин
 
Антицензура в сети
Антицензура в сети Антицензура в сети
Антицензура в сети Samson Bezmyatezhny
 
Aлександр кузнецов, александр товстолип
Aлександр кузнецов, александр товстолипAлександр кузнецов, александр товстолип
Aлександр кузнецов, александр товстолипPositive Hack Days
 
Александр Кузнецов, Александр Товстолип. Десяток способов преодоления DLP-сис...
Александр Кузнецов, Александр Товстолип. Десяток способов преодоления DLP-сис...Александр Кузнецов, Александр Товстолип. Десяток способов преодоления DLP-сис...
Александр Кузнецов, Александр Товстолип. Десяток способов преодоления DLP-сис...Positive Hack Days
 
НЕТиКЕТ, об этике в интернете
НЕТиКЕТ, об этике в интернетеНЕТиКЕТ, об этике в интернете
НЕТиКЕТ, об этике в интернетеMirsuljan Namazaaly
 
Проект Readry.net
Проект Readry.netПроект Readry.net
Проект Readry.netGreenfieldProject
 
БАЗОВАЯ ЭКСПЛУАТАЦИЯ ПЕРЕПОЛНЕНИЯ БУФЕРА (ДАНИЯР D4K3)
БАЗОВАЯ ЭКСПЛУАТАЦИЯ ПЕРЕПОЛНЕНИЯ БУФЕРА (ДАНИЯР D4K3)БАЗОВАЯ ЭКСПЛУАТАЦИЯ ПЕРЕПОЛНЕНИЯ БУФЕРА (ДАНИЯР D4K3)
БАЗОВАЯ ЭКСПЛУАТАЦИЯ ПЕРЕПОЛНЕНИЯ БУФЕРА (ДАНИЯР D4K3)defcon_kz
 
ХАРДЕНИНГ (Аринов Ильяс (determination))
ХАРДЕНИНГ (Аринов Ильяс (determination))ХАРДЕНИНГ (Аринов Ильяс (determination))
ХАРДЕНИНГ (Аринов Ильяс (determination))defcon_kz
 
Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)
Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)
Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)defcon_kz
 
flag{жив_ли_CTF_в _Казахстане?} (@fuzzyf10w && @n0z3r0) CTF Team: b1n4ry4rms
flag{жив_ли_CTF_в _Казахстане?} (@fuzzyf10w && @n0z3r0) CTF Team: b1n4ry4rmsflag{жив_ли_CTF_в _Казахстане?} (@fuzzyf10w && @n0z3r0) CTF Team: b1n4ry4rms
flag{жив_ли_CTF_в _Казахстане?} (@fuzzyf10w && @n0z3r0) CTF Team: b1n4ry4rmsdefcon_kz
 
Фишинг (Стекольников Илья)
Фишинг (Стекольников Илья)Фишинг (Стекольников Илья)
Фишинг (Стекольников Илья)defcon_kz
 

More Related Content

What's hot

Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days
 
Chat bots meetup #1 with @my pokerbot
Chat bots meetup #1 with @my pokerbotChat bots meetup #1 with @my pokerbot
Chat bots meetup #1 with @my pokerbotPavel Doronin
 
Метод тестирования Fuzzing
Метод тестирования FuzzingМетод тестирования Fuzzing
Метод тестирования FuzzingISsoft
 
Истина где-то рядом или как правильно писать код
Истина где-то рядом или как правильно писать кодИстина где-то рядом или как правильно писать код
Истина где-то рядом или как правильно писать кодSQALab
 
Чем Python плох для стартапа?
Чем Python плох для стартапа?Чем Python плох для стартапа?
Чем Python плох для стартапа?PyNSK
 
How to prove programs
How to prove programsHow to prove programs
How to prove programsDenis Efremov
 
Playing CTF and Entering the World of Information Security / Играем в CTF поз...
Playing CTF and Entering the World of Information Security / Играем в CTF поз...Playing CTF and Entering the World of Information Security / Играем в CTF поз...
Playing CTF and Entering the World of Information Security / Играем в CTF поз...Mad Devs
 
РИФ 2016 - Chatbots Community Sections (Егор Ефименко)
РИФ 2016 - Chatbots Community Sections (Егор Ефименко)РИФ 2016 - Chatbots Community Sections (Егор Ефименко)
РИФ 2016 - Chatbots Community Sections (Егор Ефименко)chatbotscommunity
 
РИФ 2016, ФУТУРИСТИКА БОТОВ ЗАГОЛОВОК РАЗДЕЛА Что нас ждёт в будущем на сегод...
РИФ 2016, ФУТУРИСТИКА БОТОВ ЗАГОЛОВОК РАЗДЕЛА Что нас ждёт в будущем на сегод...РИФ 2016, ФУТУРИСТИКА БОТОВ ЗАГОЛОВОК РАЗДЕЛА Что нас ждёт в будущем на сегод...
РИФ 2016, ФУТУРИСТИКА БОТОВ ЗАГОЛОВОК РАЗДЕЛА Что нас ждёт в будущем на сегод...Тарасов Константин
 
Антицензура в сети
Антицензура в сети Антицензура в сети
Антицензура в сети Samson Bezmyatezhny
 
Aлександр кузнецов, александр товстолип
Aлександр кузнецов, александр товстолипAлександр кузнецов, александр товстолип
Aлександр кузнецов, александр товстолипPositive Hack Days
 
Александр Кузнецов, Александр Товстолип. Десяток способов преодоления DLP-сис...
Александр Кузнецов, Александр Товстолип. Десяток способов преодоления DLP-сис...Александр Кузнецов, Александр Товстолип. Десяток способов преодоления DLP-сис...
Александр Кузнецов, Александр Товстолип. Десяток способов преодоления DLP-сис...Positive Hack Days
 
НЕТиКЕТ, об этике в интернете
НЕТиКЕТ, об этике в интернетеНЕТиКЕТ, об этике в интернете
НЕТиКЕТ, об этике в интернетеMirsuljan Namazaaly
 

What's hot (17)

Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
 
Chat bots meetup #1 with @my pokerbot
Chat bots meetup #1 with @my pokerbotChat bots meetup #1 with @my pokerbot
Chat bots meetup #1 with @my pokerbot
 
Метод тестирования Fuzzing
Метод тестирования FuzzingМетод тестирования Fuzzing
Метод тестирования Fuzzing
 
SECON'2014 - Команда CTRL-PNZ - Уязвимости для самых маленьких. Что это, как ...
SECON'2014 - Команда CTRL-PNZ - Уязвимости для самых маленьких. Что это, как ...SECON'2014 - Команда CTRL-PNZ - Уязвимости для самых маленьких. Что это, как ...
SECON'2014 - Команда CTRL-PNZ - Уязвимости для самых маленьких. Что это, как ...
 
Белоус Екатерина
Белоус ЕкатеринаБелоус Екатерина
Белоус Екатерина
 
Истина где-то рядом или как правильно писать код
Истина где-то рядом или как правильно писать кодИстина где-то рядом или как правильно писать код
Истина где-то рядом или как правильно писать код
 
Чем Python плох для стартапа?
Чем Python плох для стартапа?Чем Python плох для стартапа?
Чем Python плох для стартапа?
 
How to prove programs
How to prove programsHow to prove programs
How to prove programs
 
Playing CTF and Entering the World of Information Security / Играем в CTF поз...
Playing CTF and Entering the World of Information Security / Играем в CTF поз...Playing CTF and Entering the World of Information Security / Играем в CTF поз...
Playing CTF and Entering the World of Information Security / Играем в CTF поз...
 
Trojans, worms
Trojans, wormsTrojans, worms
Trojans, worms
 
РИФ 2016 - Chatbots Community Sections (Егор Ефименко)
РИФ 2016 - Chatbots Community Sections (Егор Ефименко)РИФ 2016 - Chatbots Community Sections (Егор Ефименко)
РИФ 2016 - Chatbots Community Sections (Егор Ефименко)
 
РИФ 2016, ФУТУРИСТИКА БОТОВ ЗАГОЛОВОК РАЗДЕЛА Что нас ждёт в будущем на сегод...
РИФ 2016, ФУТУРИСТИКА БОТОВ ЗАГОЛОВОК РАЗДЕЛА Что нас ждёт в будущем на сегод...РИФ 2016, ФУТУРИСТИКА БОТОВ ЗАГОЛОВОК РАЗДЕЛА Что нас ждёт в будущем на сегод...
РИФ 2016, ФУТУРИСТИКА БОТОВ ЗАГОЛОВОК РАЗДЕЛА Что нас ждёт в будущем на сегод...
 
Антицензура в сети
Антицензура в сети Антицензура в сети
Антицензура в сети
 
Aлександр кузнецов, александр товстолип
Aлександр кузнецов, александр товстолипAлександр кузнецов, александр товстолип
Aлександр кузнецов, александр товстолип
 
Александр Кузнецов, Александр Товстолип. Десяток способов преодоления DLP-сис...
Александр Кузнецов, Александр Товстолип. Десяток способов преодоления DLP-сис...Александр Кузнецов, Александр Товстолип. Десяток способов преодоления DLP-сис...
Александр Кузнецов, Александр Товстолип. Десяток способов преодоления DLP-сис...
 
НЕТиКЕТ, об этике в интернете
НЕТиКЕТ, об этике в интернетеНЕТиКЕТ, об этике в интернете
НЕТиКЕТ, об этике в интернете
 
Проект Readry.net
Проект Readry.netПроект Readry.net
Проект Readry.net
 

Viewers also liked

БАЗОВАЯ ЭКСПЛУАТАЦИЯ ПЕРЕПОЛНЕНИЯ БУФЕРА (ДАНИЯР D4K3)
БАЗОВАЯ ЭКСПЛУАТАЦИЯ ПЕРЕПОЛНЕНИЯ БУФЕРА (ДАНИЯР D4K3)БАЗОВАЯ ЭКСПЛУАТАЦИЯ ПЕРЕПОЛНЕНИЯ БУФЕРА (ДАНИЯР D4K3)
БАЗОВАЯ ЭКСПЛУАТАЦИЯ ПЕРЕПОЛНЕНИЯ БУФЕРА (ДАНИЯР D4K3)defcon_kz
 
ХАРДЕНИНГ (Аринов Ильяс (determination))
ХАРДЕНИНГ (Аринов Ильяс (determination))ХАРДЕНИНГ (Аринов Ильяс (determination))
ХАРДЕНИНГ (Аринов Ильяс (determination))defcon_kz
 
Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)
Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)
Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)defcon_kz
 
flag{жив_ли_CTF_в _Казахстане?} (@fuzzyf10w && @n0z3r0) CTF Team: b1n4ry4rms
flag{жив_ли_CTF_в _Казахстане?} (@fuzzyf10w && @n0z3r0) CTF Team: b1n4ry4rmsflag{жив_ли_CTF_в _Казахстане?} (@fuzzyf10w && @n0z3r0) CTF Team: b1n4ry4rms
flag{жив_ли_CTF_в _Казахстане?} (@fuzzyf10w && @n0z3r0) CTF Team: b1n4ry4rmsdefcon_kz
 
Фишинг (Стекольников Илья)
Фишинг (Стекольников Илья)Фишинг (Стекольников Илья)
Фишинг (Стекольников Илья)defcon_kz
 
ХАРДЕНИНГ (Аринов Ильяс (determination))
ХАРДЕНИНГ (Аринов Ильяс (determination))ХАРДЕНИНГ (Аринов Ильяс (determination))
ХАРДЕНИНГ (Аринов Ильяс (determination))Kristina Pomozova
 
Как парализовать государство за 60 минут. (Сатиев Олжас)
Как парализовать государство за 60 минут. (Сатиев Олжас)Как парализовать государство за 60 минут. (Сатиев Олжас)
Как парализовать государство за 60 минут. (Сатиев Олжас)defcon_kz
 
Взлом Wi-Fi, теперь это мое! Теория и практические примеры по взлому Wi-Fi се...
Взлом Wi-Fi, теперь это мое! Теория и практические примеры по взлому Wi-Fi се...Взлом Wi-Fi, теперь это мое! Теория и практические примеры по взлому Wi-Fi се...
Взлом Wi-Fi, теперь это мое! Теория и практические примеры по взлому Wi-Fi се...defcon_kz
 
SECURITY CHECKLIST (Yevgeniy Goncharov aka xck, @sysadminkz)
SECURITY CHECKLIST (Yevgeniy Goncharov aka xck, @sysadminkz)SECURITY CHECKLIST (Yevgeniy Goncharov aka xck, @sysadminkz)
SECURITY CHECKLIST (Yevgeniy Goncharov aka xck, @sysadminkz)defcon_kz
 
DEFCON и развитие информационной безопасности в стране. (Олжас Сатиев)
DEFCON и развитие информационной безопасности в стране. (Олжас Сатиев) DEFCON и развитие информационной безопасности в стране. (Олжас Сатиев)
DEFCON и развитие информационной безопасности в стране. (Олжас Сатиев) Kristina Pomozova
 
Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)
Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)
Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)Kristina Pomozova
 
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...Kristina Pomozova
 
Полезные железки или к взлому GSM сетей готов! (Ербол)
Полезные железки или к взлому GSM сетей готов! (Ербол)Полезные железки или к взлому GSM сетей готов! (Ербол)
Полезные железки или к взлому GSM сетей готов! (Ербол)defcon_kz
 
Внутренняя кухня информационных вбросов. Детектив по мотивам access_log (Анто...
Внутренняя кухня информационных вбросов. Детектив по мотивам access_log (Анто...Внутренняя кухня информационных вбросов. Детектив по мотивам access_log (Анто...
Внутренняя кухня информационных вбросов. Детектив по мотивам access_log (Анто...defcon_kz
 
Разведка боем, правильный сбор внешнего сетевого периметра (Антон Bo0oM Лопан...
Разведка боем, правильный сбор внешнего сетевого периметра (Антон Bo0oM Лопан...Разведка боем, правильный сбор внешнего сетевого периметра (Антон Bo0oM Лопан...
Разведка боем, правильный сбор внешнего сетевого периметра (Антон Bo0oM Лопан...defcon_kz
 
DEFCON и развитие информационной безопасности в стране. (Олжас Сатиев)
DEFCON и развитие информационной безопасности в стране. (Олжас Сатиев) DEFCON и развитие информационной безопасности в стране. (Олжас Сатиев)
DEFCON и развитие информационной безопасности в стране. (Олжас Сатиев) defcon_kz
 
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...defcon_kz
 
Infowar Russia against Ukraine 2014
Infowar Russia against Ukraine 2014Infowar Russia against Ukraine 2014
Infowar Russia against Ukraine 2014Denis Bohush
 
Manipulation Strategy Rus 2016
Manipulation Strategy Rus 2016Manipulation Strategy Rus 2016
Manipulation Strategy Rus 2016Denis Bohush
 
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)Ontico
 

Viewers also liked (20)

БАЗОВАЯ ЭКСПЛУАТАЦИЯ ПЕРЕПОЛНЕНИЯ БУФЕРА (ДАНИЯР D4K3)
БАЗОВАЯ ЭКСПЛУАТАЦИЯ ПЕРЕПОЛНЕНИЯ БУФЕРА (ДАНИЯР D4K3)БАЗОВАЯ ЭКСПЛУАТАЦИЯ ПЕРЕПОЛНЕНИЯ БУФЕРА (ДАНИЯР D4K3)
БАЗОВАЯ ЭКСПЛУАТАЦИЯ ПЕРЕПОЛНЕНИЯ БУФЕРА (ДАНИЯР D4K3)
 
ХАРДЕНИНГ (Аринов Ильяс (determination))
ХАРДЕНИНГ (Аринов Ильяс (determination))ХАРДЕНИНГ (Аринов Ильяс (determination))
ХАРДЕНИНГ (Аринов Ильяс (determination))
 
Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)
Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)
Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)
 
flag{жив_ли_CTF_в _Казахстане?} (@fuzzyf10w && @n0z3r0) CTF Team: b1n4ry4rms
flag{жив_ли_CTF_в _Казахстане?} (@fuzzyf10w && @n0z3r0) CTF Team: b1n4ry4rmsflag{жив_ли_CTF_в _Казахстане?} (@fuzzyf10w && @n0z3r0) CTF Team: b1n4ry4rms
flag{жив_ли_CTF_в _Казахстане?} (@fuzzyf10w && @n0z3r0) CTF Team: b1n4ry4rms
 
Фишинг (Стекольников Илья)
Фишинг (Стекольников Илья)Фишинг (Стекольников Илья)
Фишинг (Стекольников Илья)
 
ХАРДЕНИНГ (Аринов Ильяс (determination))
ХАРДЕНИНГ (Аринов Ильяс (determination))ХАРДЕНИНГ (Аринов Ильяс (determination))
ХАРДЕНИНГ (Аринов Ильяс (determination))
 
Как парализовать государство за 60 минут. (Сатиев Олжас)
Как парализовать государство за 60 минут. (Сатиев Олжас)Как парализовать государство за 60 минут. (Сатиев Олжас)
Как парализовать государство за 60 минут. (Сатиев Олжас)
 
Взлом Wi-Fi, теперь это мое! Теория и практические примеры по взлому Wi-Fi се...
Взлом Wi-Fi, теперь это мое! Теория и практические примеры по взлому Wi-Fi се...Взлом Wi-Fi, теперь это мое! Теория и практические примеры по взлому Wi-Fi се...
Взлом Wi-Fi, теперь это мое! Теория и практические примеры по взлому Wi-Fi се...
 
SECURITY CHECKLIST (Yevgeniy Goncharov aka xck, @sysadminkz)
SECURITY CHECKLIST (Yevgeniy Goncharov aka xck, @sysadminkz)SECURITY CHECKLIST (Yevgeniy Goncharov aka xck, @sysadminkz)
SECURITY CHECKLIST (Yevgeniy Goncharov aka xck, @sysadminkz)
 
DEFCON и развитие информационной безопасности в стране. (Олжас Сатиев)
DEFCON и развитие информационной безопасности в стране. (Олжас Сатиев) DEFCON и развитие информационной безопасности в стране. (Олжас Сатиев)
DEFCON и развитие информационной безопасности в стране. (Олжас Сатиев)
 
Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)
Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)
Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)
 
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...
 
Полезные железки или к взлому GSM сетей готов! (Ербол)
Полезные железки или к взлому GSM сетей готов! (Ербол)Полезные железки или к взлому GSM сетей готов! (Ербол)
Полезные железки или к взлому GSM сетей готов! (Ербол)
 
Внутренняя кухня информационных вбросов. Детектив по мотивам access_log (Анто...
Внутренняя кухня информационных вбросов. Детектив по мотивам access_log (Анто...Внутренняя кухня информационных вбросов. Детектив по мотивам access_log (Анто...
Внутренняя кухня информационных вбросов. Детектив по мотивам access_log (Анто...
 
Разведка боем, правильный сбор внешнего сетевого периметра (Антон Bo0oM Лопан...
Разведка боем, правильный сбор внешнего сетевого периметра (Антон Bo0oM Лопан...Разведка боем, правильный сбор внешнего сетевого периметра (Антон Bo0oM Лопан...
Разведка боем, правильный сбор внешнего сетевого периметра (Антон Bo0oM Лопан...
 
DEFCON и развитие информационной безопасности в стране. (Олжас Сатиев)
DEFCON и развитие информационной безопасности в стране. (Олжас Сатиев) DEFCON и развитие информационной безопасности в стране. (Олжас Сатиев)
DEFCON и развитие информационной безопасности в стране. (Олжас Сатиев)
 
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...
 
Infowar Russia against Ukraine 2014
Infowar Russia against Ukraine 2014Infowar Russia against Ukraine 2014
Infowar Russia against Ukraine 2014
 
Manipulation Strategy Rus 2016
Manipulation Strategy Rus 2016Manipulation Strategy Rus 2016
Manipulation Strategy Rus 2016
 
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
 

Similar to Добро пожаловать в практическую безопасность (Сергей Белов)

[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivationbeched
 
Мирослав Лясковец. Как самому (без команды) делать от $5000 в месяц в инфобиз...
Мирослав Лясковец. Как самому (без команды) делать от $5000 в месяц в инфобиз...Мирослав Лясковец. Как самому (без команды) делать от $5000 в месяц в инфобиз...
Мирослав Лясковец. Как самому (без команды) делать от $5000 в месяц в инфобиз...Octopus Events
 
Что ожидают работодатели от молодых специалистов?
Что ожидают работодатели от молодых специалистов?Что ожидают работодатели от молодых специалистов?
Что ожидают работодатели от молодых специалистов?Positive Hack Days
 
проектирование, поддержка и контент интернет магазина
проектирование, поддержка и контент интернет магазинапроектирование, поддержка и контент интернет магазина
проектирование, поддержка и контент интернет магазинаТауруна
 
проектирование, поддержка и контент интернет магазина
проектирование, поддержка и контент интернет магазинапроектирование, поддержка и контент интернет магазина
проектирование, поддержка и контент интернет магазинаITMsupport
 
Python-технология которую легко продавать!
Python-технология которую легко продавать!Python-технология которую легко продавать!
Python-технология которую легко продавать!Aleksey Nakorenko
 
Natural Language Processing (NLP) with .NET for #dotnetby meetup-29
Natural Language Processing (NLP) with .NET for #dotnetby meetup-29Natural Language Processing (NLP) with .NET for #dotnetby meetup-29
Natural Language Processing (NLP) with .NET for #dotnetby meetup-29Sergey Tihon
 
School IT recruiting
School IT recruiting School IT recruiting
School IT recruiting Olga Kotova
 
Инструменты оффлайн-рекрутинга или назад в будущее (Каланов Денис)
Инструменты оффлайн-рекрутинга или назад в будущее (Каланов Денис)Инструменты оффлайн-рекрутинга или назад в будущее (Каланов Денис)
Инструменты оффлайн-рекрутинга или назад в будущее (Каланов Денис)IT-Доминанта
 
организация мероприятий без упячки. герасимович. Itotvet 19 20 октября
организация мероприятий без упячки. герасимович. Itotvet 19 20 октябряорганизация мероприятий без упячки. герасимович. Itotvet 19 20 октября
организация мероприятий без упячки. герасимович. Itotvet 19 20 октябряit-people
 
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...KazHackStan
 
Практика организации ИТ-конфереций и других мероприятий для разработчиков
Практика организации ИТ-конфереций и других мероприятий для разработчиковПрактика организации ИТ-конфереций и других мероприятий для разработчиков
Практика организации ИТ-конфереций и других мероприятий для разработчиковSQALab
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Solar Security
 
Valery Boronin on DLP Russia 2010
Valery Boronin on DLP Russia 2010Valery Boronin on DLP Russia 2010
Valery Boronin on DLP Russia 2010Valery Boronin
 
5 правил успешной разработки приложений для бренда
5 правил успешной разработки приложений для бренда 5 правил успешной разработки приложений для бренда
5 правил успешной разработки приложений для бренда Heads&Hands
 
2012 i pt-devteev-phdays-ctf_2011_mifi
2012 i pt-devteev-phdays-ctf_2011_mifi2012 i pt-devteev-phdays-ctf_2011_mifi
2012 i pt-devteev-phdays-ctf_2011_mifiygoltsev
 
Конференции 2010 / описание
Конференции 2010 / описаниеКонференции 2010 / описание
Конференции 2010 / описаниеOntico
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийAleksey Lukatskiy
 

Similar to Добро пожаловать в практическую безопасность (Сергей Белов) (20)

[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation
 
Мирослав Лясковец. Как самому (без команды) делать от $5000 в месяц в инфобиз...
Мирослав Лясковец. Как самому (без команды) делать от $5000 в месяц в инфобиз...Мирослав Лясковец. Как самому (без команды) делать от $5000 в месяц в инфобиз...
Мирослав Лясковец. Как самому (без команды) делать от $5000 в месяц в инфобиз...
 
Что ожидают работодатели от молодых специалистов?
Что ожидают работодатели от молодых специалистов?Что ожидают работодатели от молодых специалистов?
Что ожидают работодатели от молодых специалистов?
 
проектирование, поддержка и контент интернет магазина
проектирование, поддержка и контент интернет магазинапроектирование, поддержка и контент интернет магазина
проектирование, поддержка и контент интернет магазина
 
проектирование, поддержка и контент интернет магазина
проектирование, поддержка и контент интернет магазинапроектирование, поддержка и контент интернет магазина
проектирование, поддержка и контент интернет магазина
 
Python-технология которую легко продавать!
Python-технология которую легко продавать!Python-технология которую легко продавать!
Python-технология которую легко продавать!
 
Natural Language Processing (NLP) with .NET for #dotnetby meetup-29
Natural Language Processing (NLP) with .NET for #dotnetby meetup-29Natural Language Processing (NLP) with .NET for #dotnetby meetup-29
Natural Language Processing (NLP) with .NET for #dotnetby meetup-29
 
School IT recruiting
School IT recruiting School IT recruiting
School IT recruiting
 
Инструменты оффлайн-рекрутинга или назад в будущее (Каланов Денис)
Инструменты оффлайн-рекрутинга или назад в будущее (Каланов Денис)Инструменты оффлайн-рекрутинга или назад в будущее (Каланов Денис)
Инструменты оффлайн-рекрутинга или назад в будущее (Каланов Денис)
 
организация мероприятий без упячки. герасимович. Itotvet 19 20 октября
организация мероприятий без упячки. герасимович. Itotvet 19 20 октябряорганизация мероприятий без упячки. герасимович. Itotvet 19 20 октября
организация мероприятий без упячки. герасимович. Itotvet 19 20 октября
 
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
 
Практика организации ИТ-конфереций и других мероприятий для разработчиков
Практика организации ИТ-конфереций и других мероприятий для разработчиковПрактика организации ИТ-конфереций и других мероприятий для разработчиков
Практика организации ИТ-конфереций и других мероприятий для разработчиков
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
 
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
 
Valery Boronin on DLP Russia 2010
Valery Boronin on DLP Russia 2010Valery Boronin on DLP Russia 2010
Valery Boronin on DLP Russia 2010
 
5 правил успешной разработки приложений для бренда
5 правил успешной разработки приложений для бренда 5 правил успешной разработки приложений для бренда
5 правил успешной разработки приложений для бренда
 
2012 i pt-devteev-phdays-ctf_2011_mifi
2012 i pt-devteev-phdays-ctf_2011_mifi2012 i pt-devteev-phdays-ctf_2011_mifi
2012 i pt-devteev-phdays-ctf_2011_mifi
 
Конференции 2010 / описание
Конференции 2010 / описаниеКонференции 2010 / описание
Конференции 2010 / описание
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
 

More from defcon_kz

Бекдоры в пхп. Остаться незамеченным или проникновение без боли
Бекдоры в пхп. Остаться незамеченным или проникновение без болиБекдоры в пхп. Остаться незамеченным или проникновение без боли
Бекдоры в пхп. Остаться незамеченным или проникновение без болиdefcon_kz
 
Маленький террорист или обзор возможностей Osmocom на мотороле с118
Маленький террорист или обзор возможностей Osmocom на мотороле с118Маленький террорист или обзор возможностей Osmocom на мотороле с118
Маленький террорист или обзор возможностей Osmocom на мотороле с118defcon_kz
 
Год в Github bugbounty, опыт участия
Год в Github bugbounty, опыт участияГод в Github bugbounty, опыт участия
Год в Github bugbounty, опыт участияdefcon_kz
 
Высокоточное геопозиционирование или "Как уничтожить урожай марихуаны в два к...
Высокоточное геопозиционирование или "Как уничтожить урожай марихуаны в два к...Высокоточное геопозиционирование или "Как уничтожить урожай марихуаны в два к...
Высокоточное геопозиционирование или "Как уничтожить урожай марихуаны в два к...defcon_kz
 
Двойное проникновение в корпоративные сети
Двойное проникновение в корпоративные сетиДвойное проникновение в корпоративные сети
Двойное проникновение в корпоративные сетиdefcon_kz
 
Эксплуатация особенностей safari в социотехническом пентесте
Эксплуатация особенностей safari в социотехническом пентестеЭксплуатация особенностей safari в социотехническом пентесте
Эксплуатация особенностей safari в социотехническом пентестеdefcon_kz
 
Истекшие домены как киберугроза
Истекшие домены как киберугрозаИстекшие домены как киберугроза
Истекшие домены как киберугрозаdefcon_kz
 
The Atomic bomb for kiddies /exploring NSA exploits/
The Atomic bomb for kiddies /exploring NSA exploits/The Atomic bomb for kiddies /exploring NSA exploits/
The Atomic bomb for kiddies /exploring NSA exploits/defcon_kz
 
Linux for newbie hackers
Linux for newbie hackersLinux for newbie hackers
Linux for newbie hackersdefcon_kz
 

More from defcon_kz (9)

Бекдоры в пхп. Остаться незамеченным или проникновение без боли
Бекдоры в пхп. Остаться незамеченным или проникновение без болиБекдоры в пхп. Остаться незамеченным или проникновение без боли
Бекдоры в пхп. Остаться незамеченным или проникновение без боли
 
Маленький террорист или обзор возможностей Osmocom на мотороле с118
Маленький террорист или обзор возможностей Osmocom на мотороле с118Маленький террорист или обзор возможностей Osmocom на мотороле с118
Маленький террорист или обзор возможностей Osmocom на мотороле с118
 
Год в Github bugbounty, опыт участия
Год в Github bugbounty, опыт участияГод в Github bugbounty, опыт участия
Год в Github bugbounty, опыт участия
 
Высокоточное геопозиционирование или "Как уничтожить урожай марихуаны в два к...
Высокоточное геопозиционирование или "Как уничтожить урожай марихуаны в два к...Высокоточное геопозиционирование или "Как уничтожить урожай марихуаны в два к...
Высокоточное геопозиционирование или "Как уничтожить урожай марихуаны в два к...
 
Двойное проникновение в корпоративные сети
Двойное проникновение в корпоративные сетиДвойное проникновение в корпоративные сети
Двойное проникновение в корпоративные сети
 
Эксплуатация особенностей safari в социотехническом пентесте
Эксплуатация особенностей safari в социотехническом пентестеЭксплуатация особенностей safari в социотехническом пентесте
Эксплуатация особенностей safari в социотехническом пентесте
 
Истекшие домены как киберугроза
Истекшие домены как киберугрозаИстекшие домены как киберугроза
Истекшие домены как киберугроза
 
The Atomic bomb for kiddies /exploring NSA exploits/
The Atomic bomb for kiddies /exploring NSA exploits/The Atomic bomb for kiddies /exploring NSA exploits/
The Atomic bomb for kiddies /exploring NSA exploits/
 
Linux for newbie hackers
Linux for newbie hackersLinux for newbie hackers
Linux for newbie hackers
 

Добро пожаловать в практическую безопасность (Сергей Белов)

  • 1.
  • 2. Добро пожаловать в практическую безопасность #defconkz, Almaty, 30 oct 2016 Сергей Белов @sergeybelove
  • 3. # whoami • Security Researcher @ Digital Security / ZeroNights / Defcon Russia • habrahabr / журнал “Хакер” • Bugbounty / bughunting: Google, Digital Ocean, Yandex, Mail.ru Telegram, ВКонтакте, Badoo, CloudFlare и др • CodeFest (2012, 2014, 2016), ZeroNights, РИТ++, CEE-SECR, FrontendConf, Hack In Paris, BlackHat USA, OWASP (RU & PL), etc • Websec fan
  • 4. План • Направления в ИБ • Жизнь в ИБ • Я нашел уязвимость!
  • 6. Направления в ИБ 1. Юридическое направление • Разработка нормативов, стандартов • Разработка внутрикорпоративных политик • Законы • Адвокаты в ИБ • Безопасность «бизнеса» 2. Техническое направление • Defensive • Offensive • Разработка • Криминалистика
  • 7. Направления в ИБ 1. Юридическое направление • Разработка нормативов, стандартов • Разработка внутрикорпоративных политик • Законы • Адвокаты • Безопасность «бизнеса» 2. Техническое направление • Defensive • Offensive • Разработка • Криминалистика
  • 8. Направления в ИБ - Defensive Специалисты занимаются: - Построением Security Operation Center - Внедрение SIEM / Data Leak Protection - Внедрение SDLC (https://habrahabr.ru/company/qiwi/blog/313530/) - Настройкой WAF - Работают над сокращением количества ИБ инцидентов - Защищают, как могут J
  • 9. Направления в ИБ - Offensive Поиск и эксплуатация уязвимостей в различных направлениях: - Web - Network - Binary (reverse) - Binary (exploit dev: x86 / x64 / arm / mips / etc) - Crypto - Mobile (Android / iOS / Win Phone) - Hardware - …
  • 10. Направления в ИБ - Offensive Специфичные направления: - Бизнес приложения (SAP, Oracle, банки …) - АСУ ТП - Car hacking - Hardware - Wireless Для меня был челлендж разобраться в том, как ломать SAP. При этом имея 2 года опыта в анализе защищенности.
  • 11. Направления в ИБ - Разработка Разработка: 1) Сканеры безопасности 2) Инструменты для хакинга (IDA, Burp, r2) 3) AV индустрия 4) Hardening (binary defense (EMET) / WAF) 5) Механизмы безопасности на уровне ОС / железа Относится ли сюда разработка SIEM/DLP? Скорее нет, так как для их разработки достаточно только скиллов разработчиков с минимальным привлечением ИБ специалистов
  • 12. Направления в ИБ - Криминалистика Что делают? 1) Разбор инцидентов (логи доступа, действий и т.п.) 2) Восстановление данных 3) Поиск и нахождение виновных
  • 14. Жизнь в ИБ Важная часть сферы: - Bug bounty - CTF - Публикация статей, ресерчей - Конференции
  • 15. Жизнь в ИБ - Bugbounty Bug bounty – программы награждения исследователей за найденные уязвимости. Две основные площадки: 1) hackerone 2) bugcrowd Многие крупные вендоры хэндлят bugbounty сами, например Google и Yandex В вебе реально заработать (при «средних» навыках – $3-15k в год)
  • 16. Жизнь в ИБ - Bugbounty • Нашел уязвимость без bugbounty и требуешь денег? GTFO J (https://bo0om.ru/linkedins-million-dollar-bug) • Нашел уязвимость в рамках bugbounty и дали объективно мало? Доказывай импакт, сравни свой репорт с другими (в рамках программы у этого же вендора!)
  • 17. Жизнь в ИБ - CTF Capture The Flag – соревнования, позволяющие легально порешать задачи в ИБ. Плюсы: - Расширяет кругозор - Возможность изучить сферы, в которых мало знаний - Призы Минусы: - Часто придуманные ситуации, которых не бывает в реальной жизни - Соревнование «олимпиадников» (категория PPC) - Вечный баттл «CTF vs реальный ресерч» Ждем доклад про CTF в Казахстане ;)
  • 18. Жизнь в ИБ – Cтатьи и ресерчи Публикация статей: 1) Желание поделиться найденным (включая PR) 2) Публикация в специальных изданиях или в личном блоге 3) Самая лучшая обратная связь (reply в твиттере после публикации + комменты) 4) Позволяет в т.ч. самому собрать и структурировать информацию 5) Позволяет «застолбить» найденные баги
  • 19. Жизнь в ИБ - Конференции Конференции – отличное место для знакомств, PR, поиска работы, путешествий и… иногда заработка.
  • 20. Жизнь в ИБ - Конференции Типы выступлений: 1) Доклад (fast track 10-15 мин / full ~40 мин) - Дает статус спикера - Выступил и свободен - Плохой тон выступать с одной темой много раз 2) Воркшоп (2-4 часа) - Все любят воркшопы - Изначально заинтересованная аудитория - Можно ездить неограниченное количество раз - Подготовка занимает умеренное время 3) Тренинг (1-3 дня) - Сложная и длительная подготовка - Можно ездить неограниченное количество раз и быть мега популярным - Финансовый профит (30-70% от стоимости участия) - Можно продавать напрямую организациям - Невероятный PR
  • 22. Я нашел уязвимость! Что можно сделать? 1) «Ответственно репортим» (и лучше так: не просили – не ищи). Связываемся доступными методами, если не отвечают – ищем знакомых. Дожидаемся исправления и, возможно, рассказываем что и как было 2) «Законно» продаем (продажа компаниям типа ”hacking team” или в ZDI/Zerodium) 3) Продажа на «теневом» рынке, непосредственная эксплуатация против кого-либо
  • 23. Stay secure & keep hacking ;) @sergeybelove