Summ3r of h4ck 2021. Итоги программы
Было ли ваше лето настолько же продуктивным, как у стажеров Digital Security? Вопрос с подвохом, конечно. Сегодня поделимся впечатлениями наших подопечных и кураторов о летней обучающей программе Summ3r 0f h4ck 2021.
О летней обучающей программе
Летняя программа в Digital Security длится 4 недели, в ней участвуют два отдела нашей компании — отдел анализа защищенности и отдел исследований. Первый занимается тестами на проникновение, аудитом веб-приложений и корпоративного ПО, а специалисты второго — задачами reverse engineering, поиском уязвимостей в бинарных приложениях и устройствах и написанием эксплоитов.
Территориально программа Summ3r of h4ck проходит только в Санкт-Петербурге, но мы рады видеть участников и из других городов. Это прекрасная возможность провести свой отпуск с пользой в городе на Неве.
Посмотреть, чем занимались наши практиканты в прошлые годы, можно здесь:
Процедура отбора
Попасть к нам не так уж просто. Этим летом отдел анализа защищенности сменил привычный уклад набора стажеров, было решено усложнить анкету и не проводить собеседований. Всем, кто прорешал задания, но не получил приглашение на обучающую программу, мы отправили промокод на месяц для Академии Digital Security. Отдел исследований придерживался проверенной практики: сначала анкета, потом удаленное собеседование.
Никогда такого не делали, но в этот раз решились: делимся статистикой Summ3r of h4ck. Каждый год самые успешные кандидаты вступают в ряды Digital Security, шанс есть у каждого.
Статистика Summ3r of h4ck 2016–2021
* В 2016 году отдел анализа защищенности практически не проводил начального отбора, поэтому на программу было приглашено рекордное количество участников.
** В 2020 году отдел исследований не проводил набор в штат по результатам летней программы. Но всех успешных кандидатов запомнили и пригласили на собеседование через год, когда появились вакантные места.
Ход обучающей программы
Основной активностью были исследования под руководством ментора. Хотя каждый год мы стараемся составить список наиболее актуальных и интересных тем, всё равно рады, когда стажеры приходят со своими идеями.
Второстепенными активностями являлись лекции и воркшопы. Участники могли сами выбирать, какие лекции посещать, а в конце выступлений получали практические задания для закрепления материала.
Темы лекций в этом году были следующими.
Отдел анализа защищенности:
Разбор вступительной анкеты
Базовые Мобилки
Advanced ServerSide
Базовая лекция по безопасности kubernetes
Повышение привилегий
Отдел исследований:
Про Frida
Поговорим о Фаззинге
Про Taint анализ
Современная модель безопасности архитектуры Intel x64
Темой для проведения воркшопов в этом году был выбран аудит внутреннего периметра. Наши аудиторы разработали лабораторную среду, основанную на AD инфраструктуре, включающую две изолированные сети с единственным связующим их сервером. Доступ в первую сеть стажеры могли получить через выданные VPN конфиги, а во вторую — после компрометации беспроводной точки доступа или значительного продвижения в первой сети до связующего сервера. Всего было развернуто 13 машин различного типа. Стажеры смогли получить навыки аудита веб-приложений, как кастомных, так и широко известных, освоить проверки сегментации и пивотинга в сети, а также получить базовые знания об атаках на AD инфраструктуры и продвижении по сети компании в целом.
Активность на лекциях и воркшопах засчитывалась при выборе кандидатов в сотрудники Digital Security.
Защита проекта
В конце программы Summ3r of h4ck прошла защита проектов. Участники выступали перед всеми и рассказывали, какие задачи перед ними стояли и чего удалось добиться, с каким трудностями они столкнулись и какие проблемы решали. Некоторые объединились в группы, чтобы поработать над общей темой, — мы всегда это приветствуем.
Все, кто успешно прошел практику, получили сертификат Summ3r of h4ck 2021 и приятный мерч.
Мерч 2021 года
Отзывы участников летней программы
По традиции мы попросили наших практикантов поделиться своими впечатлениями и ответить на вопросы мини-интервью:
Почему решили стажироваться именно в Digital Security? Чем привлекла вас компания?
Понравилась ли стажировка? Что особенно запомнилось? Насколько реальность совпала с вашими ожиданиями?
Расскажите о своей задаче/задачах.
Показались ли интересными задачи, над которыми вы работали в процессе стажировки? Было ли что-то, чем вы хотели заняться, но не удалось?
Готовы ли вернуться в компанию на стажировку или на работу? Что посоветуете начинающим?
Орфография, пунктуация и стиль авторов сохранены.
Тимур Абдуллин, тема исследования «Поиск уязвимостей и типичных мисконфигураций Sentry»:
Я решил стажироваться в Digital Security, потому что меня привлекла открытость к студентам и начинающим инфосекерам.
В прошлом я уже участвовал в Summ3r of H4ck и мне тогда всё понравилось. Именно поэтому я решил пройти этот путь ещё раз. И не ошибся, стажировка снова оказалась отличной. Особенно запомнилось нахождение раскрутки существующей баги за три дня до конца стажировки и лабораторные, построенные в виде инфраструктуры виртуального офиса.
Я занимался аудитом приложения для репортинга багов Sentry. В результате аудита были собраны типичные мисконфигурации, а также найдена возможность энумерации существующих пользователей и была раскручена одна известная уязвимость. Однако докрутить её до чего-то сильно критичного не удалось в связи с ограниченностью времени.
Задачи во время стажировки были интересными, я рассмотрел различные компоненты Sentry. Cпасибо моему ментору, который советовал места для возможного поиска уязвимостей и помогал раскручивать найденную багу.
По результатам стажировки я получил предложение по трудоустройству в отдел аудита, чему очень рад. Совет для начинающих коллег: Try harder.
Энумерация. Пользователь не существует.Энумерация. Пользователь существует.
Сергей Канибор, работал над темой «Обход ограничений безопасности Istio»:
Digital Security была на слуху уже несколько лет. Как по мне, это одна из топовых ИБ компаний в стране. Несомненно, огромный плюс это то, что DSec даёт возможность молодым студентам проявить себя в реальных кейсах. Это и привлекло.
Однозначно могу сказать, что стажировка понравилась. Было много интересных лекций, где можно было найти для себя что-то новое и развиваться в этом. Считаю, что все спикеры дали неплохую базу. Отдельное спасибо хочу сказать своему ментору — он быстро ввёл в курс дело, оперативно отвечал, когда появлялись вопросы, да и вообще поддерживал нас всем чем мог. В целом, когда я подавал заявку на Summer of Hack 2021, я читал отзывы участников прошлых лет и понял что меня ждёт, так что ожидание совпало с реальностью.
По итогу стажировки нужно было представить проект (ресерч, разработку), по сути это и было главной целью Summer of Hack«а. Тема моего (и моего коллеги) исследования: Обход ограничений безопасности Istio. Мы рассмотрели различные способы обнаружения и обхода Istio Sidecar, при условии того, что атакующий находится в Поде, а также рассказали о возможных методах защиты от таких атак. В скором времени полная версия ресерча будет доступна на GitHub в профиле Dsec«а.
В интернете было мало инфы по поводу обхода Istio (мало конкретики), несмотря на то что это самое популярное Service Mesh решение. Ввиду этого, многое что приходилось делать вслепую и пробовать все возможные варианты, что-то получалось, что-то нет. Но это и подогревало интерес! Благодаря этому исследованию я открыл для себя что-то новое, то чем ранее не приходилось заниматься. И мне это понравилось.
Напоследок хочу сказать, что найти дело по душе это супер важно. Не стесняйтесь, не бойтесь, пробуйте и у вас обязательно все получится! С удовольствием вернусь в стены Dsec’a =)
Mind Map
Никита Добровольский, тема исследования «Поиск типовых уязвимостей в мобильных приложениях для умного дома»:
Как-то давно изучал уязвимость SSRF и в процессе поиска информации наткнулся на интересную презентацию от уже бывшего сотрудника Digital Security (youtube). В тот момент понял, что было бы здорово оказаться на работе/стажировке именно в этой компании, т.к. можно узнать много нового, интересного и полезного для дальнейшего профессионального развития.
Стажировка однозначно понравилась и удивила приятными сюрпризами: основным направлением была исследовательская работа, но помимо этого сотрудники компании подготовили нам недельную CTF-лабораторную, которую можно было порешать в командах и получить за это призы. Кроме лабы было много лекций от сотрудников, на которых можно было узнать что-то новое для себя, каждая лекция, кстати, тоже закреплялась небольшими тасками.
Темой моего исследования были мобильные приложения для управления умным домом, для меня это был первый опыт анализа безопасности мобильных приложений и столкнулся я, наверное, с базовыми сложностями для исследователей мобилок: защита приложений от проксирования трафика, SSL-pinning и анализ обфусцированного исходного кода. Справиться со всем этим удалось с помощью использования специальных инструментов (Frida, Objection), динамического анализа поведения приложений и небольшого патчинга в отдельных случаях.
Исследование было интересным и понравилось по нескольким причинам: во-первых, удалось изучить новую для себя тему и получить навыки анализа мобильных приложений, во-вторых, была свобода при выборе исследуемых приложений и можно было самостоятельно сделать акцент на наиболее интересных для меня моментах, если возникали какие-то сомнения, то всегда можно было посоветоваться с менторами, чтобы понять, в верном ли направлении я двигаюсь. Во время исследования удалось посмотреть только приложения для Android, на iOS времени, к сожалению, не хватило, но это стало отличным поводом для продолжения моего исследования уже после стажировки.
Если подвести краткий итог, то это был очень продуктивный и интересный месяц, понравились все мероприятия и атмосфера, которые были во время стажировки, а этот отзыв я пишу уже как сотрудник компании :) Начинающим коллегам точно могу посоветовать идти на стажировку, если есть желание узнавать что-то новое и прокачиваться в своих навыках, время точно будет проведено с пользой.
Николай К., тема исследования «Уязвимости в виртуальной обучающей среде Moodle (веб-приложение, открытый исходный код)»:
Digital Security знают все. Это одна из ведущих и крупнейших компаний в отрасли. Эта компания хорошо представлена в сообществе. DSec — это мощнейший узел, на который завязано множество имен, событий, экспертных знаний, находок и продуктов. Стажировка в Digital Security — это прекрасная возможность и проверить свои силы и подхватить ценнейший опыт у старших коллег. Если Ваши намерения в ИБ серьезны, Вам определенно следует оказаться здесь, пройти этот увлекательный квест.
Определенно понравилась. На несколько дней для нас развернули лабораторную среду, имитирующую реальную инфраструктуру целевой компании. Это классно. Состав списка лекций, вообще тематическое наполнение стажировки определялось голосованием. Каждый стажер мог выбрать только 4 лекции из общего списка. Не всё, из того что определило голосование соответствовало моим предпочтениям :) И между тем, большая часть — это попадание. Конечно, были темы и задачи о которых я лишь слышал или бегло читал, где-то не хватало практики. Но лекции были содержательны и сжаты, каждая задача разбиралась, к ней прилагалось прохождение. Вообще, всё было на уровне.
Над проектом нас работало двое. Нашей задачей было обследовать Moodle, найти уязвимости, проверить их, ну и возможно сообщить разработчикам о наших находках. Приложение большое, много функционала. Много строчек кода на php, документация малоинформативна. Пожалуй, это именно то, чего я и хотел на самом деле. Мне хотелось закрепить и усилить уже имеющиеся знания и навыки, и подглядеть как к этим задачам подходят более опытные коллеги. Здесь мне повезло и с наставником (Даниил М.) и с напарником по проекту (Дмитрий). Показательно, обнаружить для себя, что есть куда более простые и эффективные способы решить ту или иную задачу, чем то как ты решал её раньше. Наставник подскажет на что в коде следует обратить внимание в первую очередь, а на что не следует расходовать времени вовсе. А время летело быстро. Огляделись внутри, познакомились с функционалом, в-первую очередь посмотрели кто и как уже исследовал Moodle (439 CVE). Изучили механизмы безопасности (их реализацию в коде). Собственно, было две основных тактики работы. Либо разбираемся в хитросплетениях функций (что за что отвечает и как это работает в разных контекстах), прочесываем код на предмет выявления слабо защищенных мест в приложении и лишь потом запускаем Burp. Либо сразу запускаем Burp и идем интуитивно, в поисках интересных запросов и лишь потом обращаемся к исходникам. Эти тактики у нас чередовались. Итог: около 10 претендентов на багу, разного веса. 8 зарепортили (Moodle присутствует на bugcrowd, hackerone).
Как я уже писал выше, большая часть — это попадание в мой внутренний топ 10. Но были темы, о которых до этого я только слышал.
Да. Ведь для профессионального становления так необходима творческая среда, сообщество. Стремительный обмен знаниями, инструментами и опытом. И еще, важно вместе делать одно крутое дело.
Мнения менторов
С 2016 года летняя программа Summ3r of h4ck проводится регулярно и уже обзавелась своей историей. Интересно наблюдать за развитием не только наших стажеров, менторы тоже не отстают в развитии. Успешные кандидаты устраиваются в штат и нередко быстро дорастают до роли наставника. В этот раз мы попросили наших кураторов рассказать, каково быть ментором и чем могут удивить подопечные.
Егор, принят в штат по результатам Summ3r 0f H4ck 2020:
На Summ3r 0f H4ck 2021 я первый раз решил попробовать себя в роли ментора, помочь стажеру разработать интересный для него проект и получить много новых знаний. Поводом для этого стала интересная тема для исследования: «Изучение способов закрепления в Windows и Linux. Автоматизации процессов закрепления», которую я сам с радостью параллельно изучал всю стажировку, а также чувство долга, ведь когда-то и мне так же помогали изучать что-то новое и погружаться в сферу информационной безопасности.
Наша команда состояла из 2 менторов и стажера. После знакомства мы сразу же разработали план дальнейшего изучения нашей темы. Все дни стажировки наш чат кипел от обсуждения различных вопросов и нюансов, даже посреди ночи хотелось отвлечься ото сна из-за интереса к исследуемой области. Я считаю это отличным опытом работы в команде, потому что все смогли адаптироваться к новым условиям, новым знакомствам и чувствовать себя комфортно.
Не менее важным событием был «киберполигон» в самом центре стажировки — большая лаборатория, созданная специально для Summ3r 0f H4ck 2021, представляющая сеть с большим количеством различных связанных между собой уязвимых узлов, предназначенных для отработки старых и получения новых навыков тестирования на проникновение. Нам было интересно не только разрабатывать ее командой Digital Security, но и наблюдать за тем, как стажеры находят интересные решения, узнают новые методы и вектора атак, а также не останавливаются ни перед какими сложностями.
В последний день Summ3r 0f H4ck 2021 происходила демонстрация и защита всей проделанной работы. Интерес пронизывал всех до единого, а переживания за моего стажера зашкаливали, как будто я сам должен был выступать. Опыт был незабываемый, я узнал много нового как из чужих докладов, так и из менторства в целом.
В заключении хочется сказать, что все стажеры большие молодцы, проделали много интересной и полезной работы. Никогда не останавливайтесь в познании всего, что вам интересно, всегда идите к своей цели!
Даниил, тема исследования стажеров «Поиск уязвимостей в Moodle»:
Изначально был предложен список тем для стажировки и одна из них показалась мне достаточно интересной, так как мне нравится проводить исследование работы систем, кроме того, участие в качестве ментора является возможностью проявить себя.
Сама стажировка прошла достаточно гладко, хотя ощущение того, что уже скоро дедлайн присутствовало :) Стажеры проявили старание, а также интерес и энтузиазм к выбранной теме, были на связи почти 24/7. Рад, что нам было легко общаться между собой и что мы смогли обнаружить потенциальные уязвимости, которые ожидают подтверждения.
Всем, кто любит исследования, — стажировка в DSec отличный способ проверить свои навыки в данном направлении.
Екатерина, тема исследования стажера «Поиск типовых уязвимостей в мобильных приложениях для умного дома»:
Стажировка Summer of hack 2021 была для меня первым опытом выступления в качестве куратора, поэтому логичным показалось, в первую очередь, выстроить грамотную схему общения и взаимодействия с подопечным. Общались мы, в основном, посредством чата в телеграмме, где стажер задавал вопросы по теме, а я и мой коллега присылали ему нужные тематические источники. Очень кстати оказалась парочка лекций от Digital Security, поскольку они затрагивали мобильные приложения, а выбранная тема как раз имела к ним непосредственное отношение. Мне кажется, это очень удобно, поскольку можно заниматься практикой параллельно с прослушиванием теории и сразу же пытаться применять какие-то трюки и подсказки на лабораторном стенде.
Итоговое выступление получилось очень достойным и наглядным. Мы обсудили, как лучше представить результаты стажировки — ведь финальные выступления слушают люди из разных отделов, поэтому важно всех заинтересовать. Кроме того презентация — это плюсик в ваше своеобразное «портфолио», по которому потом происходит отбор на работу в DS. И я была очень рада, когда мой подопечный успешно прошел собеседование. Никита, ты молодец! :)
Очень круто видеть, как человек открывает для себя что-то новое и увлекательное. Надеюсь, что к нам придет ещё много талантов :)
Владислав Акименко, руководитель стажировки в отделе анализа защищенности:
Мы всегда позиционировали Summ3r 0f H4ck как место, где мы можем неформально поделиться накопленными знаниями и опытом с ребятами, которые начинают свой путь в мире ИБ, а также самим узнать много нового, общаясь со стажерами и готовя программу. Этот год не стал исключением :)
Почти все ребята, кто заполнил вступительную анкету, показали хороший начальный уровень знаний, учитывая, что сложность самой анкеты была значительно повышена в сравнении с предыдущими годами. Это дало нам возможность убрать этап собеседований и подготовить более интересную программу для стажеров. Так, например, лекции стажеры могли выбрать самостоятельно из общего списка, а мы получили возможность рассказать о том, что ребятам действительно было интересно, а не бубнить о том, что они и так уже знают.
Ставшие уже неотъемлемой частью нашей стажировки исследования тоже были распределены исходя из предпочтений самих стажеров. К сожалению, опция с предложением своей темы пока все еще не пользуется большой популярностью, в этом году мы получили одну тему от стажера. Тем не менее, все ребята проявили большую заинтересованность в выбранных исследованиях и слушать представления результатов в конце стажировки было действительно интересно и приятно.
Спасибо команде Digital Security, которая задействована в процессе организации, а задействовано действительно много людей из разных отделов, и спасибо ребятам-стажерам за интерес к стажировке!
Заключительное слово
В очередной раз Summ3r of h4ck стал для начинающих специалистов прекрасной возможностью попробовать себя в деле. Нам было очень приятно поработать с ребятами, надеемся, что это взаимно :)
Для тех, кто планирует присоединиться к нам в следующем году: отбор обычно открывается в апреле-мае. Следите за анонсами, встретимся на Summ3r of h4ck 2022!