PCI DSS & Practical Security Village от Deiteriy

21-22 ноября 2019 года в городе Алматы состоялся авторский семинар PCI DSS Training и воркшоп по практической безопасности Practical Security Village от сертифицированного QSA аудитора из России компании Deiteriy.

Сами лабораторные задания со слов авторов воркшопа, представляли из себя готовые, хорошо продуманные виртуальные машины собранные на подобии «OSCP-like» о самом OSCP Вы можете ознакомится на форуме наших друзей Codeby.

Так выглядел сервис приема флагов

submit_flags

Это так называемый Score Board

Score board

 

Решение данных машин строилось от совсем простого MS17-010

ms17-010 ethernalblue ms17-010 psexec

до более сложных, не входящих в состав Metasploit Framework готовых модулей с github и необходимо было докопаться до истины, успокоится, еще раз хорошо подумать и внимательно модифицировать и применить доработанный эксплоит.

Warkzeugjdwp-shellifierjdb

Очень много веба, очень прилично сделаны мисконфиги и конечно же без «rabbit holes» не обходилась почти не одна машина. Все сделано для того, чтобы участники проверили свои навыки, новички научились обращать внимание на детали и получили необходимый навык для поиска самых нашумевших уязвимостей за последние несколько лет, тем более, что организаторы подготовили не только машины, но и очень подробную документацию по эксплуатации ряда уязвимостей применимых к лабораторным, а так же читшит.

Apache Tomcat

tomcat metasploit  Flags

Естественно одну нашумевшую и ужасную уязвимость MS19-0708 на протокол RDP организаторы все же забыли, вернее даже я с ними согласен — т.к. ее эксплуатация приводит зачастую к синим экранам смерти атакуемых хостов и к незапланированным перезагрузкам.

clevergod

Я лично безмерно благодарен Авторам и активным участникам данного воркшопа за проделанную работу, а именно Антона, Артема и Татьяну.

АнтонclevergodТатьяна

От себя хочу добавить, что подобных машин очень сильно не хватает для тренировок кадрового состава, так и для освоения новых навыков, не смотря на HTB (Hack the box) и Vulnhub. Очень буду благодарен если Авторы в будущем предоставят доступ к лабораторным и все желающие смогут дорешать все таски.

В рамках семинара на второй день рассматривались вопросы применимости PCI DSS к организациям, связи стандарта с другими нормативными документами индустрии платежных карт, схемы и подходы внедрения стандарта PCI DSS в организации, особенности выполнения требований.  Семинар предназначен для всех работников организаций, вовлеченных в процессы хранения, обработки или передачи данных платежных карт, а также для специалистов, которые занимаются ИТ-поддержкой и обеспечением ИБ информационной инфраструктуры среды обработки данных платежных карт. Немного позднее, в следующей статье сделаем свод стандарта, нюансы и новинки нового стандарта PCI DSS, которым Вы сможете пользоваться как заметкой, за что отдельное спасибо эксперту Deiteriy — Петру.

Хотел поблагодарить основателей и лидеров компании за верные шаги к популяризации стандарта, вопросов ИБ и объединения круга общения в рамках PCI DSS и этичного хакинга в Казахстане. Так же хотел упомянуть ребят с которыми познакомился и надеюсь успел обменяться информацией — Санжарсултан из PS.kz, наш добрый и активный друг Маргулан и Станислав из PayBox.