Играл в субботу в забавную игру от Касперского про иб безопаность в банке, это конечно совсем не то, но автор говорил про какие то курсы

По сути sap, rhel, rhrv, wmware, ms, oracle ...

Ну как раз типичный корп Остальное уже плюс-минус

ну по сути при пентесте банков нужно получается просто человек, кто работал в банке и знает обычные схемы взаимодействия, чтобы он мог направлять самих пентестеров

Режут поддержку, режут обучение сотрудников особенно ИТ по сути это реальность рос банкинга, когда нет ни одного сертифицирован оного абапера но полнпстьб сидят на sap

Играл в субботу в забавную игру от Касперского про иб безопаность в банке, это конечно совсем не то, но автор говорил про какие то курсы

На 10 летии клуба KL что ли?

угу

У Моны в команде или нет?

Не, вряд ли

мы пентестили успешно несколько банков, но проблема есть, что когда уже внутри работает только в основном один человек, который работал в банке и знает как там все устроено и куда копать. Задача стоит поттянуть в знаниях остальных пентестеров и вот поэтому спрашивал про курсы

ну по сути при пентесте банков нужно получается просто человек, кто работал в банке и знает обычные схемы взаимодействия, чтобы он мог направлять самих пентестеров

Очень редко, ну пентестеры всё равно накидываются опыта же при проектах по банкам

Короче просто устройся поработать а банк ведущим админомили к безорасникам

И смысл

Вот у меня где-то месяца два-три назад было расследование крупного взлома банка, по сетке с подрядчика к ним зашли, доменный админ как обычно, остальное уже по мере поступления Вам именно специфичные вектора по АБС что ли надо отрабатывать?

Там иерархическая структура

Вот у меня где-то месяца два-три назад было расследование крупного взлома банка, по сетке с подрядчика к ним зашли, доменный админ как обычно, остальное уже по мере поступления Вам именно специфичные вектора по АБС что ли надо отрабатывать?

нет, стандартные тесты на проникновение

нет, стандартные тесты на проникновение

Ну тогда обычных корп векторов хватит вполне же Если нет в скоупе каких-то АБС именно

Потому что курсов реально не видел... а пиздец в целом на общем уровне корпа

Я бы сказал в банках пиздец почище корпа

позанимайсч архитектурой корп сектора, банковского ... Отсюда и понимание ландшафта будет, опыт лишним не будет .

Работал в топ-10 банке, врядли у нас какие-то вектора сверхнеобычные чем везде. Если взлом АБС то тут 2 вектора - сломать инфраструктуру сети и сломать само приложение (веб\java). Соотв. просто будут работать 2 группы - те кто специализируется на web и те кто на сети. Если пентест ДБО (а чаще всего заказывают именно это ибо СТО БР) - то обычный web.

позанимайсч архитектурой корп сектора, банковского ... Отсюда и понимание ландшафта будет, опыт лишним не будет .

Ну тут нормальный технарь за год просто скопытится от происходящего говна :) У нас архитектурщики сидели рядом с технарями (мониторинг, администрирование ИБ, расследования), тогда от них больше толку

Но всё равно пентестеру там тяжко было бы ))

Везде по разному

Везде по разному

Не спорю, но в целом - редко когда во время пентеста пытаются найти некие 0-day, т.к. хватает "говна" в целом. Типо в сети висит ненастроенный апач с дефолтовым паролем.

Ну по идее где банк больше склонен к финтеху и этому направлению, там адекватнее Но вот регулярно общались с Киви, много друзей там... у них совсем другой мир в этом плане

Штатных я не встречал

Не спорю, но в целом - редко когда во время пентеста пытаются найти некие 0-day, т.к. хватает "говна" в целом. Типо в сети висит ненастроенный апач с дефолтовым паролем.

В общем да, только успевай ебать админов и разрабов за подобное)) А сильно их ебать нельзя, они типа полезные ?

Поэтому если изучать то на уровне ведущих админов

Тоесть совмещать

Штатных я не встречал

У нас был :) вместе в банк пришли, вместе ушли На аппсеке сидел

В киви пентест мне на всю жизнь запомнился

Разрабы это чаще отдельная тема

В киви пентест мне на всю жизнь запомнился

Ну это же уже не пентест был, я так со слов Кирилла (isox) понял, что это скорее Red Teaming

Ничем не отличается от пентеста

Разве что никаких правил

В киви пентест мне на всю жизнь запомнился

Ты был в числе тех, кого менты загребли с направленной антенной, когда вафлю атаковали?

Ты был в числе тех, кого менты загребли с направленной антенной, когда вафлю атаковали?

Да не загребли. Чел прост подошёл.

Здравия желаю, и сообщил о подозрительных личностях

О ))

Не, кого-то загребли же, мне их сэбовцы говорили такое

Я в числе тех, кто от ОМОНа пострадал

И даже так

Надо было из авто

Ничем не отличается от пентеста

Нуу.. с моего опыта (как заказчика) чуть отличается. Мы к примеру никогда не заказывали социалку. А вы вроде и с социалочкой и с попыткой "ворваться" к ним в здание делали. Или я не прав?

Сидеть

Нуу.. с моего опыта (как заказчика) чуть отличается. Мы к примеру никогда не заказывали социалку. А вы вроде и с социалочкой и с попыткой "ворваться" к ним в здание делали. Или я не прав?

Уху. Хвостом через столовую, взлом вафли, дальнейшая магия

Ну как взлом. Я просто спросил пароль на 2 этаже, сказал что новенький с 4го

Минусы крупных компаний - не все знают друг друга

Нуу.. с моего опыта (как заказчика) чуть отличается. Мы к примеру никогда не заказывали социалку. А вы вроде и с социалочкой и с попыткой "ворваться" к ним в здание делали. Или я не прав?

По сути когда ведешь, весь пролуктив sap, то социплишь постоянно внутри )) вполне удачно )) и обрастает ключами и от сетевого оборудования

Дсеки потом научили респондером пользоваться, я по старинке arp спуфы делал.

Ну после ОМОНа опыт незабываемый

Минусы крупных компаний - не все знают друг друга

Это вообще грустная реальность, у меня так до сизьпор пропуска актуальны а несколько зданий и их цод

Это вообще грустная реальность, у меня так до сизьпор пропуска актуальны а несколько зданий и их цод

*здесь должна быть картинка Малышевой с надписью "Это норма"*

Остальное так же. Процентов 60 ломали веб, остальное фейки, внутренняя инфраструктура, вокруг здания с антенами, внутри в офисе под видом работников, вот это всё.

По сути. И даже в один объект где раньше оптимизировали всю их сптку, сам главный сбшник их, до сих пор не закрыл мне доступ через бтометрию на их объект )) на днях в ости к ним ходил )

Не разрешили воровать оборудование. Так бы проект раньше сдали)

Не разрешили воровать оборудование. Так бы проект раньше сдали)

))

По сути. И даже в один объект где раньше оптимизировали всю их сптку, сам главный сбшник их, до сих пор не закрыл мне доступ через бтометрию на их объект )) на днях в ости к ним ходил )

У друга после увольнения из Позитива почта работала ещё недели три. У меня через пару лет после телекома до сих пор одна из систем (не в проде, в разработке) крутится на личном дедике Что тут сказать

У знакомого ведущего аудитора крупной аудиторской финансовой конторы так уперли, видимо просто кража, потому как если бы оттуда опубликовать отчёты по аудитам и не только это реальная бомба вроде тех самых афшороф ))

Лапоть уперли

Ну по сути да у меня долго был доступ к почтовому кластеру гос конторы, только потому, что они уже пол года не мир гут туда найти компитентное лицо, и не найдут за сеоиную зрп

Ну вот )) Тут никаких специфических векторов не надо Корп пиздец он везде корп пиздец Плюс-минус по больнице

Да он везде на постсоветском

Это грусть таска

Этот результат некомпитентного управлерия

Ну по зарубежным расследованиям инцидентов у меня схожая картина

Да он везде на постсоветском

у зарубежных корпоратов такая же фигня..

Пиздец он не то что бы Russia Exclusive

Этотрнзкльтат непонимания, не соблюдения и незнания основ и стандартов, в нашей стране сотрудники это убыточная часть бузгалтерии, а не потенциал для роста в грядущем веке , моё заключение за три года жизни в рф

За редким исклбчением

Была даже задумка организовать движение или такой тренд, как оглашение некомпетентностей, компаний дампингующих рынок ИТ, чёрный список ... Что бы движение смогло диктовать финансовому сектору свои правила...

У знакомого ведущего аудитора крупной аудиторской финансовой конторы так уперли, видимо просто кража, потому как если бы оттуда опубликовать отчёты по аудитам и не только это реальная бомба вроде тех самых афшороф ))

сам себе злобный буратино

Нет ничего рабочего на телефоне, например. На ноуте рабочее с шифрованием. Что моё - пусть воруют, чё)

Ну после ОМОНа опыт незабываемый

а чо, а чо было-то с омоном? Повязали, лицом в пол?

У знакомого ведущего аудитора крупной аудиторской финансовой конторы так уперли, видимо просто кража, потому как если бы оттуда опубликовать отчёты по аудитам и не только это реальная бомба вроде тех самых афшороф ))

Ну вообще там сразу ряд пунктов нарушается, всякие нда и прочее. Нужно сообщить компаниям, что данные попали к третьим лицам (но вангую, это просто без палева сделали).

а чо, а чо было-то с омоном? Повязали, лицом в пол?

Я думал что повяжут, а не за мной приехали, лол

А вообще NDA кто-нибудь читал из аудиторов? Там часто есть то, что нельзя рассказывать сам факт аудита компаниии, в течении 3х лет, например. Тоже не соблюдают, думаю.

сам себе злобный буратино

Понятное дело ))

лол, неплохо, когда мне пришлось общаться с омоном в одном оцеплении, были вежливы, хоть и не приветливы

В любой сфере распиздяи, короче.

Ну вообще там сразу ряд пунктов нарушается, всякие нда и прочее. Нужно сообщить компаниям, что данные попали к третьим лицам (но вангую, это просто без палева сделали).

Да как обычно, на авось все ..

У нас веселее было

Ты блин им говоришь надо лапти с чипом из за бугра везти а они хер ложили купят че побюджетней и довольны

Мы CTF делали, с таском, в котором внезапно сделали LPE, а в другой директории (opt) мы сливали приват инфу с проекта. Я тогда потушил сервак с перепуга. (но на самом деле его почистили до меня, но сам факт)

Да блин в ряде контор при аудите инфраструктуры бэкапов то нет не говоря уже о пользаках и защите данных третьих лиц

Я шелл на dev серваке одной компании находил (в корне, без ауза). Разрабы сами залили, чтоб ссш и фтп не юзать, мол, безопаснее.

Мы CTF делали, с таском, в котором внезапно сделали LPE, а в другой директории (opt) мы сливали приват инфу с проекта. Я тогда потушил сервак с перепуга. (но на самом деле его почистили до меня, но сам факт)

Что говорит о том, что используйте ... Пока дают . не заьыайте о пенсионных отчислениях на пенсионные дни )))

А я о том, что лень рулит. Двигатель прогресса.

Я шелл на dev серваке одной компании находил (в корне, без ауза). Разрабы сами залили, чтоб ссш и фтп не юзать, мол, безопаснее.

Ну да, это не редкость ))

Народ, я же верно понимаю, что если фон в наушниках пропадает при прикосновении к корупусу ноута (копрус металлический) то копать проблему в софтвере бессмысленно? Или все же бывают чудеса? )

))

Заземляй

через батарею

Заземляй

да, уже думал цепь прикрутить как у бензовоза, ноут же, мобилность, все такое :D