PCI DSS & Practical Security Village от Deiteriy

21-22 ноября 2019 года в городе Алматы состоялся авторский семинар PCI DSS Training и воркшоп по практической безопасности Practical Security Village от сертифицированного QSA аудитора из России компании Deiteriy.

PCI DSS & Practical Security Village от Deiteriy

Сами лабораторные задания со слов авторов воркшопа, представляли из себя готовые, хорошо продуманные виртуальные машины собранные на подобии “OSCP-like” о самом OSCP Вы можете ознакомится на форуме наших друзей Codeby.

Так выглядел сервис приема флагов

submit_flags

Это так называемый Score Board

Score board

 

Решение данных машин строилось от совсем простого MS17-010

ms17-010 ethernalblue ms17-010 psexec

до более сложных, не входящих в состав Metasploit Framework готовых модулей с github и необходимо было докопаться до истины, успокоится, еще раз хорошо подумать и внимательно модифицировать и применить доработанный эксплоит.

Warkzeugjdwp-shellifierjdb

Очень много веба, очень прилично сделаны мисконфиги и конечно же без “rabbit holes” не обходилась почти не одна машина. Все сделано для того, чтобы участники проверили свои навыки, новички научились обращать внимание на детали и получили необходимый навык для поиска самых нашумевших уязвимостей за последние несколько лет, тем более, что организаторы подготовили не только машины, но и очень подробную документацию по эксплуатации ряда уязвимостей применимых к лабораторным, а так же читшит.

Apache Tomcat

tomcat metasploit  Flags

Естественно одну нашумевшую и ужасную уязвимость MS19-0708 на протокол RDP организаторы все же забыли, вернее даже я с ними согласен – т.к. ее эксплуатация приводит зачастую к синим экранам смерти атакуемых хостов и к незапланированным перезагрузкам.

clevergod

Я лично безмерно благодарен Авторам и активным участникам данного воркшопа за проделанную работу, а именно Антона, Артема и Татьяну.

АнтонclevergodТатьяна

От себя хочу добавить, что подобных машин очень сильно не хватает для тренировок кадрового состава, так и для освоения новых навыков, не смотря на HTB (Hack the box) и Vulnhub. Очень буду благодарен если Авторы в будущем предоставят доступ к лабораторным и все желающие смогут дорешать все таски.

PCI DSS & Practical Security Village от Deiteriy

В рамках семинара на второй день рассматривались вопросы применимости PCI DSS к организациям, связи стандарта с другими нормативными документами индустрии платежных карт, схемы и подходы внедрения стандарта PCI DSS в организации, особенности выполнения требований.  Семинар предназначен для всех работников организаций, вовлеченных в процессы хранения, обработки или передачи данных платежных карт, а также для специалистов, которые занимаются ИТ-поддержкой и обеспечением ИБ информационной инфраструктуры среды обработки данных платежных карт. Немного позднее, в следующей статье сделаем свод стандарта, нюансы и новинки нового стандарта PCI DSS, которым Вы сможете пользоваться как заметкой, за что отдельное спасибо эксперту Deiteriy – Петру.

Хотел поблагодарить основателей и лидеров компании за верные шаги к популяризации стандарта, вопросов ИБ и объединения круга общения в рамках PCI DSS и этичного хакинга в Казахстане. Так же хотел упомянуть ребят с которыми познакомился и надеюсь успел обменяться информацией – Санжарсултан из PS.kz, наш добрый и активный друг Маргулан и Станислав из PayBox.