В глазах рябит, в горле хрип, бэкап не пишется… Ничего не получается! Зачем я вообще за это взялся? Как так вышло, что я с ангиной сижу за 5 тысяч километров от дома и раз за разом натыкаюсь на разбросанные вокруг грабли? Наверное, стоит начать с самого начала.
Как мы реализовали авторизацию пользователей ALD Pro через Keycloak на примере Grafana
Один из наших заказчиков пришел к нам с запросом по комплексному импортозамещению — требовалось организовать переход на новую службу каталогов. В качестве основного решения по замене была выбрана система ALD Pro. Но по ходу проработки решения мы столкнулись с рядом сложностей. Самые большие из них были связаны с заменой компонентов AD FS и публикацией веб-сервисов с помощью WAP. В этом посте рассказываем, как мы решали эту задачу.
BSCP — разгадываем тайны сертификации от академии PortSwigger
Привет, Хабр! Меня зовут Никита, я пентестер, специализируюсь на веб-тестировании. Наверняка многие из вас задумывались о подтверждении своей экспертизы с помощью некоторых сертификаций. Сегодня хочу поговорить о популярной сертификации от академии PortSwigger — BSCP, посвященной тестированию веб-приложений. Прежде чем приступить к изучению материалов для подготовки к BSCP, я уже имел хорошее представление об основных веб-уязвимостях из списка OWASP TOP-10. Также я знал, как эксплуатировать базовые уязвимости, такие как SQL-injection, XSS, Server-Side Template Injection и многие другие. Но на одном из этапов я задался вопросом: как всё-таки к нему эффективно подготовиться?
В этой статье я поделюсь лайфхаками по подготовке к сертификации, покажу, как может помочь встроенный в Burp Suite сканер уязвимостей, и подробно разберу каждый из этапов самого экзамена.
Увеличиваем Attack Surface на пентесте периметра
Привет, Хабр!
Типичная проблема: компании часто сами не подозревают, какие ресурсы у них могут «торчать наружу». А раз их может нарыть потенциальный злоумышленник — это проблема. На пентестах внешнего периметра не всегда сразу доступен полный скоуп IP-адресов, доменов и поддоменов. В таких случаях нам, пентестерам, приходится recon-ить все ресурсы компании. Ну и конечно же, чем больше скоуп, тем больше Attack Surface, тем больше потенциальных файндингов, в итоге — больше вероятность пробива периметра.
Под катом разберемся, что с этим делать.
Вспомним лучшее. Мы на Хабре 10 лет
Ровно десять лет назад, 2 апреля 2014 года, мы завели техноблог на Хабре. За это время мы опубликовали 500 статей, 100 новостей, дважды стали спонсорами «Технотекста» и получили награду «Лучший блог». Многие из тех, кто написал первые тексты, работают с нами до сих пор.
Мы решили поностальгировать — собрали ТОП лучших статей за всё время. Пользуясь случаем, хотим сказать спасибо всем неравнодушным, кто читает и поддерживает наш блог. Дальше — больше!
Шесть вредных советов по работе с Patroni на случай, если вы не хотите спать ночью
Привет, Хабр!
О том, как правильно готовить кластеризацию для PostgreSQL, написано уже достаточно. А потому сегодня вашему вниманию предлагается небольшой сборник рекомендаций, как администратору СУБД под управлением Patroni гарантированно проснуться в три часа ночи от звонка из отдела мониторинга.
Это база. MITRE ATT&CK
Полезного контента по проекту MITRE ATT&CK в сети огромное количество, с чего начать новичку? Чтобы сократить время на поиск и чтение (зачастую перепечатанного друг у друга материала), я собрал и агрегировал статьи, видео и книги, чтобы вы могли последовательно познакомиться с проектом.
Чистка ленточных библиотек: инструментарий инженера
Хабр, привет!
Сегодня поговорим о чистке ленточных приводов — драйвов. Этот вопрос частенько оставляют без внимания, а между тем от этого зависит стабильность работы СРК и срок службы самих приводов.
Сначала в формате вопрос-ответ разберем частые ошибки, которые допускают администраторы, почему так происходит и к чему это ведет, а потом погрузимся в увлекательный мир документации от HPE :)
Разбираемся в BIA: популярные вопросы и неочевидные кейсы
Анализ воздействия на бизнес (BIA, Business Impact Analysis) — один из фундаментов управления непрерывностью бизнеса, который, как кажется, позволяет решить основные вопросы: оценить потери от простоя критичных процессов, выделить эти критичные процессы, узнать, от чего зависит их непрерывное функционирование и какие требования выдвигаются к обеспечивающим ресурсам со стороны бизнеса. В конечном итоге именно благодаря BIA (а не методу «трех П» — пол-палец-потолок) мы можем получить обоснованную бизнесом оценку целевого времени восстановления (RTO) и целевой точки восстановления (RPO) для информационных систем. Без BIA невозможно внедрение и дальнейшее эффективное развитие системы управления непрерывностью деятельности в компании, подготовка стратегии реагирования, Business Continuity и Disaster Recovery планов.
В статье мы рассмотрим наиболее часто встречающиеся на практике вопросы и трудности, которые могут помешать достигнуть лучших результатов при проведении BIA и анализе бизнес-функций, и разберемся, как же решать такие кейсы, чтобы и целей достигнуть, и удовольствие от процесса получить!
Сканирование 300 раз в секунду: как мы решали проблему в SAP ERP
Недавно решая проблему заказчика – крупного ритейлера, мы значительно ускорили работу одного из процессов, реализованных в SAP ERP. Периодически задания по загрузке цен работали ооооооооооооооооооооооооооочень медленно, причем задержка составляла не каких-нибудь 10 минут, а могла доходить до нескольких часов.
Для сравнения приводим два скрина. На первом отображено нормальное время выполнения задачи:
Standoff 365. Самое красивое недопустимое событие в деталях
Привет, Хабр. Меня зовут Виктор, я работаю в компании «Инфосистемы Джет» пентестером и активно играю на киберполигоне Standoff 365 под ником VeeZy. Сегодня я хочу поделиться с тобой, на мой взгляд, самым красивым критическим событием, которое есть на платформе!
Инцидент, который мы реализуем, называется «Оплата товаров по QR-кодам за счет украденных средств», и за него можно получить 7500 баллов.
Взлом новостного портала, путешествие в страну Kubernetes, кража денежных средств с клиентских счетов, и это далеко не всё! Разумеется, это всё в рамках закона и служит исключительно в образовательных целях! Устраивайся поудобней, а мы начинаем.
RHEL: создание локального репозитория-зеркала для просветленных
Пришёл ученик к мастеру. И спросил:
— Что вы делали до просветления? Как жили?
Мастер ответил:
— Колол дрова, носил воду, готовил еду.
— А что вы делаете после просветления? — спросил ученик.
— Колю дрова, ношу воду, готовлю еду, — ответил мастер.
— А что изменилось?
— Да всё!
Совместимость (или нет?) MLOps-инструментов
Как и любой уважающий себя инженер, в детстве я любил конструкторы и всякого рода головоломки. Не растерял я эту любовь и сейчас, правда, на смену простеньким детским головоломкам пришли сложные программные системы. Как Lead Data Scientist я решил автоматизировать процессы в разработке для себя и своей команды. Изучил десяток различных MLOps-инструментов, дело оставалось за малым — соединить их в одну общую удобную систему. Вот только этот конструктор отказывался легко собираться…
В этом посте я буду говорить в первую очередь об Open Source решениях в мире MLOps. Статья будет в меньшей степени практической, но в конце я разберу существующие открытые MLOps-системы и подведу итоги. Я хочу показать существующую проблему несовместимости, порассуждать, в чем причины ее возникновения, и можно ли ее преодолеть. Мы не будем разбирать полный цикл автоматизации, а задержимся только на вопросах автоматизации пайплайна обучения модели и инструментах организации разработки в команде.
Как мы создали лабораторию pLTE и при чем тут экскаваторщики
Хабр, привет! В прошлом году мы решили взять курс на развитие в направлении частных сетей сотовой связи. Чтобы нарастить компетенции в этой области и в будущем легко демонстрировать заказчикам, что такое частная LTE-сеть, мы купили в свою лабораторию полнофункциональный тестовый стенд.
Под катом рассказываем, как мы развернули демостенд, который можем привезти к заказчику в любую точку мира и показать на примере, как работает частная сеть LTE.
Инфраструктура 1С сегодня. Как выбрать компоненты, не привлекая санитаров?
При развертывании информационных систем на базе 1С до 2022 года многие компании шли проторенной дорожкой. Брали Windows Server, MS SQL, терминальный сервер Citrix/RDS. Запирали с этим всем админа на недельку, и всё готово.
А теперь годами отработанные методы не работают. Сайт 1С однозначных рекомендаций не дает. При попытке разобраться самостоятельно возникает ряд вопросов:
— На какой операционной системе сейчас строить информационные системы 1С?
— Какую базу данных взять?
— Какие компоненты выбрать, чтобы не потерять в производительности и надежности?
— Есть ли жизнь без Microsoft?
В этом посте предлагаю рассмотреть все компоненты инфраструктуры информационных систем на базе 1С и выбрать оптимальные решения.
Эксперименты с Golden Ticket
Пожалуй, одной из самых опасных и крайне нежелательных сущностей, которые могут завестись в скомпрометированной Windows-инфраструктуре, является Golden Ticket. Это абсолютно легитимный Kerberos-билет, содержащий специально созданные данные, позволяющие злоумышленнику обойти нормальные механизмы проверки и получить высокие привилегии в сети.
С помощью золотого билета злоумышленник может получить доступ к любому ресурсу в Active Directory, притворяясь валидным пользователем, без фактической аутентификации.
Про Golden Ticket написано уже очень много статей, и аналитики знают, что такую атаку очень сложно обнаружить (большой труд в этом направлении проделали коллеги из R-Vision, рекомендуем к прочтению статью о Golden Ticket).
Не так давно Microsoft выпустила поэтапные обновления безопасности, которые меняют правила использования Golden Ticket. В этой статье мы постараемся разобраться, как обстоят дела с этой атакой сейчас и как Microsoft упростила ее детектирование своими обновлениями. Мы возьмем два инструмента (Mimikatz и Rubeus), сделаем с помощью них Golden Ticket с разными параметрами, а потом попробуем ими воспользоваться и посмотрим, какие сгенерируются события и как отследить их в SOC.
IT Elements: день инфры. Делимся презентациями спикеров
Привет, Хабр!
В этом году мы стали генеральным партнером новой технологической конфы IT Elements. Первый день конференции был посвящен сетям, второй – инфраструктуре. Про сетевой день мы рассказали в этом посте. Пришло время инфры! :)
Под катом делимся тезисами с выступлений инфраструктурного дня – из технологического и бизнес залов – и презентациями спикеров. Поехали.
IT Elements, день сетей: White Box, импортозамещение и SD-WAN
Привет, Хабр! В конце ноября в Москве отшумела IT Elements — конференция про сети и инфраструктуру. За два дня мероприятие посетили более 1000 ИТ-архитекторов, сетевых и DevOps-инженеров, сетевых администраторов, производителей сетевых и инфраструктурных решений.
В последние несколько лет мероприятий, где специалисты по сетям могут обменяться опытом, практически не осталось, а тем для обсуждения стало только больше — начиная с того, что делать в отсутствие вендорской поддержки, и заканчивая внедрением продуктов на основе открытого кода и импортозамещенных решений, а также их совместимостью.
О чем говорили и даже спорили эксперты, какие решения продемонстрировали вендоры на своих стендах и где скачать презентации спикеров, если вы всё пропустили, ― читайте под катом.
Как обнаружить хакера на этапе дампа учетных данных в Windows?
Одна из самых часто используемых техник при атаках — получение учетных данных из операционной системы. В этом можно убедиться, читая аналитические отчеты различных компаний: техника T1003 OS Credential Dumping в подавляющем большинстве случаев входит в ТОП-5. После проникновения в систему злоумышленникам необходимы учетки для перемещения по сети и доступа к конфиденциальной информации, а данная техника направлена на извлечение локальных и доменных учетных записей из системных файлов, реестра и памяти процессов.
В этой статье мы акцентируем внимание на своевременном выявлении подозрительной активности с помощью мониторинга ИБ и расскажем, как на основе событий штатной подсистемы аудита ОС обнаружить, что пытаются сдампить учетные данные в Windows. Логика детектирования будет представлена в общем виде по полям событий, а также в виде псевдокода, который можно адаптировать под синтаксис любой системы мониторинга. Ну и для возможности тестирования правил корреляции будут приведены краткая справка по атакам и способы их реализации.
Рассмотрим покрытие таких подтехник, как:
· дамп процесса lsass.exe;
· кража данных из базы SAM;
· дамп базы NTDS;
· извлечение секретов LSA;
· получение кэшированных данных;
· атака DCSync.
Как не провалить аудит в новых условиях?
Время от времени компании проводят аудит. Это комплексный взгляд на ИТ-инфраструктуру и варианты ее развития. Когда чаще всего проводят аудит?
• Непонятна картина реального состояния ИТ-инфраструктуры. Такая ситуация может возникнуть, например, при смене руководства или уходе/замене ключевых сотрудников.
• Общее состояние ИТ-инфраструктуры с точки зрения бизнеса «какое-то не такое». Слишком большие расходы, частые инциденты, нарушение SLA.
• Впереди большой проект (например, назревшая замена CRM) и вопросов пока больше, чем ответов (на что, как, поможет ли).
Аудит должен ответить на главные вопросы:
— Как выглядит реальная картина ИТ?
— Какие есть проблемы и узкие места в инфраструктуре?
К этим вопросам добавилась и тема перехода на российские решения. Многие существующие продукты невозможно заменить «один к одному». Важно определить, какой функционал используется, какой висит мертвым грузом, а от чего можно отказаться.
В этом посте мы пройдемся по ключевым блокам, которые должны быть включены в аудит ИТ-инфраструктуры, и основным доступным сейчас инструментам.