Ох, уж эти пентесты

Никогда не перестану удивляться человеческой глупости! :) Себя я в полной мере отношу к человекам, потому и сам не редко допускаю разного рода оплошности. Довольно часто можно услышать, что однофакторная аутентификация с использованием паролей без каких-либо механизмов противодействия удаленному атакующему в контексте большого числа идентификаторов – это всегда реализация успеха для (не)плохого парня. Более того на руках вполне живые метрики: "удаленный атакующий способен скомпрометировать 10-15% учетных записей системы", "40% паролей могут быть взломаны из-за простоты".

Так к чему этот пост? Дело в том, что цифры цифрами, а реалии могут быть совершенно иными. Так случилось и вчера. Проводимый внутренний пентест растянулся на целый день, лишь потому, что словари не содержали некоторые комбинации слабых паролей. И каково же было удивление, когда пароли вроде обфусцированного слова "пассворд" для учетных записей с высокими привилегиями стали попадаться через череду порутанных серверов и сетевых девайсов... но это случилось уже ближе к вечеру.

Мораль сей басни такова: не всегда после пары неудачных попыток перебора стоит переходить к тяжелой артиллерии вроде yersinia, мегасплоита, мегаканваса и им подобным. Иногда стоит просто включить интуицию и смекалку для получения всех желаемых привилегий в информационной системе за короткое время.

А что дальше, после такого пентеста? А дальше переход от черного-ящика к белому-, но это уже другая история.

11 комментариев :

  1. Немного оффтоп, может выскажетесь, а то инсайдеров у вас найти сложно: http://www.rsdn.ru/forum/job/3886369.aspx

    ОтветитьУдалить
  2. Предполагаю, что sumson на собеседовании, после вводной части, показал себя не с лучшей стороны. После чего, по всей видимости, не имело смысла задавать вопросы по технической части.

    Относительно текущего места дислокации компании, да! район не оч. Но в ближайших планах переезд в более приятные места в центр города.

    В части разработки, мы творим MaxPatrol :) И нам нужны хорошие люди! И не только по части разработки. Есть направления по написанию контролей, консалтинг, аудит, реверсинг и пр. you a welcome!

    ОтветитьУдалить
  3. Меня больше интересуют ответы на вопросы в первом посте.

    И кстати, что подразумевается под " знание основных классов уязвимостей операционных систем, СУБД, Web-приложений, телекоммуникационной инфраструктуры, а также методов эксплуатации этих уязвимостей"? Перечислить какие типы знаешь и как в общем с ними работать, или показать как сделать стек оверфлоу в уязвимом коде? Т.к. разброс то нехилый.

    ОтветитьУдалить
  4. >> 1) Как коллектив?
    Самый дружественный и позитивный! (без преукрас)

    >> 2) Как офис? Далеко ли добираться от метро.
    Сейчас неудобно, но после переезда будет в минуте от метро.

    >> 3) Повышают ли зарплату?
    Да.

    >> Бывают ли премии?
    Да.

    >> 4) Существует ли карьерный рост, т.е. было ли такое, чтобы специалист становился управленцем?
    У нас довольно скромная компания < 100 человек, потому бюрократия с "ярлычками" начальников только начинает развиваться. Ну, а в целом, как у всех. ЗЫ: по данным CNews мы одна из пяти Российских компаний, которая активно расширяется в последнее время.

    >> 5) Что на собеседовании спрашивают?
    Общие вопросы; вопросы по знаниям в предметной области, на которую человек претендует. "Заваливающих" вопросов тут никто не задает.

    >> И кстати, что подразумевается…<..>Т.к. разброс то нехилый.
    Все верно. Дело в том, что у нас существует несколько направлений. Например, разработчик систем ИБ должен разбираться, как в уязвимостях, так и в методах их использования. Другой пример, претендент на должность реверсера может не разбираться в классах уязвимостей, но должен суметь расковырять чужой протокол, написать сплоитс и т.п.

    ОтветитьУдалить
  5. Спасибо за ответы :)

    ОтветитьУдалить
  6. всегда, пожалуйста :)

    PS. вижу в топике rsdn разгорелась целая дискуссия...

    ОтветитьУдалить
  7. А куда переезжаете? (Чтобы знать сколько в том районе аренда квартиры стоит)

    ОтветитьУдалить
  8. >>Другой пример, претендент на должность реверсера может не разбираться в классах уязвимостей
    Отжигаешь Дим!!!
    кому нужен ревёрсер, который не отличит heap overflow от stack overflow

    ОтветитьУдалить
  9. >> А куда переезжаете?
    пока выбираем :)

    >> Отжигаешь Дим!!!
    видимо я некорректно выразился. подразумевалась терминалогия

    ОтветитьУдалить
  10. 1) Как коллектив?

    PT в первую очередь экспертная компания. Поэтому "все офицеры". Даже наша уборщица имеет консалтинговую контору "Cleaning Servicies Inc" J.
    Это с одной стороны дает прекрасные возможности для интересной работы, а с другой не дает забиться в уголок и расслабится. Последнее не всем нравится и может расцениваться WWF как жестокая эксплуатация пушистых хомячков. И хомячки либо становятся львами, либо погибают.

    2) Как офис? Далеко ли добираться от метро.

    Угу. 15 минут пешком.

    3) Повышают ли зарплату? (Как часто?) Бывают ли премии?

    Конечно. (по человеку). Годовые + по факту (по деяниям).

    4) Существует ли карьерный рост, т.е. было ли такое, чтобы специалист становился управленцем?

    Рост существует. Пример (мну):
    - эксперт (2006)
    - руководитель отдела (2007)
    - технический директор (2010)

    Компания динамичная, много тем и направлений возникает постоянно, "шестки" не заняты.

    Но тут есть момент - с нашей точки зрения экспертные и руководящие должности не особо различаются по уровню зарплаты. Если человек сугубо знает свое дело, копает тему на мировом уровне и ему это в кайф, то проще для коллективных работ приставить к группе PM (который дешевле по факту) чем отвлекать Мозг на "управленческие задачи".
    Если человеку надоело быть "экпертом", "ведущим экпертом", можно поменять штатку и вписать ему в визитку "почетный Мегамозг всея позитива". Если, конечно, он Магамозг.

    5) Что на собеседовании спрашивают?

    Всю правду. Мы ищем таланты, поэтому в ходе собеседования человека могут "потрясти" руководители разных отделов/направлений. Иногда это вызывает непонимание, но реально мы предпочитаем один раз "промучить" стоящего человека 1,5 часа, и предложить оптимальное место в компании чем гонять на собеседования несколько раз.
    Кроме того, поскольку PT пропагандирует идею практической безопасности и ядро команды формируется экспертами-практиками, то очень любим практические подтверждения. Т.е. релизисы. Публикации, код, тестовые задания, примеры работ/отчетов. Толковые релизисы заменять резюме :)
    Это тоже иногда вызывает возмущение, но в основном у товарищей с перегретым самомнением на тему "мой гениальный моск хотят поюзать на халяву". Это смешит и умиляет :)

    Такие вот пироги. Если есть вопросы - пишите.

    ОтветитьУдалить
  11. > не всегда после пары неудачных попыток перебора стоит переходить к тяжелой артиллерии вроде yersinia, мегасплоита, мегаканваса и им подобным."
    Я как-то упустил этот пост, щас вот случайно зашел :) Дим, я правильно понимаю, что ты считаешь брутфорс более "легкой артиллерией", чем yersinia (sic!), метасплоита и канваса?

    ОтветитьУдалить