DC78412 / DEFCON Penza

DC78412 | Penza

______  _____ ______  _____  _____  _   _    ______                       
|  _  \|  ___||  ___|/  __ \|  _  || \ | |   | ___ \                      
| | | || |__  | |_   | /  \/| | | ||  \| |   | |_/ /___  _ __   ____ __ _ 
| | | ||  __| |  _|  | |    | | | || . ` |   |  __// _ \| '_ \ |_  // _` |
| |/ / | |___ | |    | \__/\\ \_/ /| |\  |   | |  |  __/| | | | / /| (_| |
|___/  \____/ \_|     \____/ \___/ \_| \_/   \_|   \___||_| |_|/___|\__,_|
______  _____  ______ _____    ___  __   _____ 
|  _  \/  __ \|___  /|  _  |  /   |/  | / __  \
| | | || /  \/   / /  \ V /  / /| |`| | `' / /'
| | | || |      / /   / _ \ / /_| | | |   / /  
| |/ / | \__/\./ /   | |_| |\___  |_| |_./ /___
|___/   \____/\_/    \_____/    |_/\___/\_____/

Menu

Контакты

[17 Июн 2022 ]

Прошла онлайн встреча Пензенского сообщества Defcon

Сотрудники компании SecWare выступили с докладами на темы:

  1. Дмитрий Лымбин at SecWare, Security Champions и Software Security Group: плюсы и минусы аутсорса
  2. Роман Трушин at SecWare, Чужой среди своих или как притвориться сотрудником информационной безопасности в крупной организации
  3. Дмитрий Тулупов at SecWare, Инсайдеры

Запись трансляции доступна на нашем Youtube канале.

[17 Мар 2020 ]

Прошёл первый meetup Пензенского сообщества

Встреча 0x01 - Тестирование на проникновение для всех: зачем и как?

На встречу пришли специалисты по защите информации, хакеры и пентестеры. Со своими докладами выступили сотрудники компании SecWare:

Запись встречи на нашем Youtube канале.

[11 Мар 2020 ]

Первый meetup Пензенского сообщества

Встреча 0x01 - Тестирование на проникновение для всех: зачем и как?

Обсудим что такое тестирование на проникновение и чем оно полезно не только компаниям, но и частным лицам. Поговорим про то, кто такие хакеры, какие они бывают, что ими движет и чем они занимаются.

На встрече будет два доклада:

  1. Роман Разов at SecWare, Тестирование на проникновение. Лучшая защита — это нападение
  2. Дмитрий Тулупов at SecWare, Введение в пентест. Виды, этапы, инструменты

Где и когда: 11 марта 2020г, 19:30, г. Пенза, Офисный центр Гермес, Московская 29, 7 этаж, офис 704.

Регистрация

[17 Окт 2019 ]

Встреча Ульяновского сообщества

DEFCON Ульяновск анонсировали встречу 0x07 - “Вычислю по айпи”, “Неуловимый джо”, игры, читы, фан и многое другое.

Ожидается что эта встреча будет "не такой как все", она будет из нескольких частей, а именно:

  1. Встречаемся, читаем доклады для всех желаюших
  2. Закрываемся на ночь в компьютерном клубе, устраивая “закрытую пати” с воркшопами
  3. После окончания воркшопов устраиваем чемпионат и выбираем самого крутого пенетратора :)

Где и когда: 16-17 ноября 2019г, г. Ульяновск, компьютерный клуб HEADSHOT ЦЕНТР

$

./Сообщество

DEFCON Пенза - сообщество ИТ энтузиастов интересующихся внутренним устройством и глубинными принципами функционирования современых программных и аппаратных систем и сетей.

В нашеми сообществе приветствуются легальные и этичные исследования по оптимальному применению информационных технологий, направленные на улучшение качества и безопансости разрабатываемых программных и аппаратных решений.

Мы открыты для всех кто готов учиться новому и делиться полученными заниниями и открытиями!

$

./Причины создания

Большинство современных программистов, тестировщиков, системных администраторов и прочих ИТ специалистов в погоне за новыми технологиями, фреймворками и модными библиотеками довольствуются поверхностным пониманием на уровне умения их применять, не утруждая себя пониманием их внутреннего устройства и принципов лежащих в основе.

Подобный подход негативно влияет на качество, производительность, устойчивость и безопасность разрабатываемый программ, систем и сетей.

Важно привлечь внимание широкого круга специалистов к этому вопросу и пропагандировать осознанное и ответственное применение тех или иных технологий.

$

./Цель сообщества

  • Создание среды для личного общения специалистов и просто интересующихся
  • Запуск и развитие совместных проектов и исследований
  • Развитие уровня подготовленности специалистов Пензы в области информационной безопасности
  • Развитие и поощрение этичного подхода к созданию и применению технологий: этичного хакинга, программирования, самостоятельной и независимой творческой деятельности

$

./Задачи

  • Проведение ежемесячных митапов
  • Выстраивание отношений с коллегами из других городов
  • Развитие базы популярных обучающих материалов

$

./Мероприятия

[11 Мар 2020]

Meetup 0x01 - Тестирование на проникновение для всех: зачем и как?

Угрозы информационной безопасности становятся актуальными не только для компаний, но и для частных лиц. Жизнь все большего числа людей тесно интегрирована с Internet: мы делимся подробностями личной жизни в социальных сетях, наши телефоны, телевизоры, часы и даже автомобили в существенной части управляются удаленно облачными сервисами, а государственные и коммерческие услуги мы заказываем и получаем в цифровом виде.

В такой ситуации информационные системы и циркулирующие в них данные могут стать рычагом давления на конкретную личность. Поэтому важно знать какая наша персональная информация и личные системы находятся в общем доступе и как они могут быть использованы злоумышленниками. Для того чтобы ответить на эти вопросы мы можем использовать уже давно используемый в мире бизнеса практический подход — тестирование на проникновение. Что это такое и как это использовать, предлагаем обсудить на нашей встрече.

Встречу ведет Роман Разов, специалист в сфере информационной безопасности с более чем 10-летним опытом работы.

Выступления

Тестирование на проникновение. Лучшая защита — это нападение

Роман Разов at SecWare

  • руководитель отдела исследований безопасности программного обеспечения и пентеста
  • соавтор 8 НИР по информационной безопаности
  • автор более 15 научных публикаций по темам специальных исследований, инженерно-криптографических исследований, разработке ASIC по требованиям безопасности информации

Введение в пентест. Виды, этапы, инструменты

Дмитрий Тулупов at SecWare

  • руководитель проектов по пентесту
  • специализируется на пентесте web-приложений и онлайн-сервисов
  • участник программ Bug Bounty, Hacker One и OpenBugBounty компаний: Mail.ru, ВКонтакте, Yahoo, Dr.Web, 1С, Beget, Nic.ru и других

Где и когда: 11 марта 2020г, 19:30, г. Пенза, Офисный центр Гермес, Московская 29, 7 этаж, офис 704.

$ ./Регистрация на мероприятие

$

./Кодекс этики сообщества

Мы выступаем за максимальную открытость и нейтральность по отношению к различным прогрессивным этическим течениям в ИТ сообществах. Мы поддерживаем, но не навязываем:

Мы категорически не приемлем:

  • Хакинг с целью нанесения урона и получения выгоды (Black Hat хакинг)
  • Унижительное и оскорбительное обращение, как внутри сообщества так и вне его пределов
  • Пренебрежение к новичкам

$

./Термины

В сообществе широко распространены следюущие термины, понимание которых необходимо для общения любому желающему присоединиться.

Что такое этичный хакинг и кто такие White & Grey & Black Hats?

  • White Hat - это специалист по информационной безопасности, хакер, занимающийся защитой компьютерных систем, который выявляет проблемы безопасности в роли атакующего. Как правило, проводит свои исследования с согласия или по заказу владельцев системы.
  • Grey Hat - это хакер, изучающий компьютерные системы без цели нанести вред, а чаще всего наоборот, добивающийся повышения безопасности систем, приватности пользователей, а также, например, с целью получить новые знания и навыки. В своей деятельности Grey Hats могут нарушать законы. Обычно это происходит, потому что существует большое количество несправедливых законов, ограничивающих свободу исследования, изучения и использования компьютерных систем в пользу корпораций.
  • Black Hat - это хакер, атакующий компьютерные системы с целью нанесения урона и получения выгоды.
Следует иметь в виду, что эта классификация не очень полная и четкая. Наше сообщество поддерживает практики White хакинг, согласующиеся с (высокими) моральными нормами сообщества и законодательством.

Что такое этичное программирование?

Очень часто корпорации создают программы, поврежденные специально (англ. defective by design) и подвергающие риску безопасность и приватность пользователей (например, цифровые наручники, DRM; сбор сведений о пользователях) с целью повысить доход корпораций, а также получить контроль над пользователями. Один из вариантов, через “vendor lock-in” или “data lock-in” (например, в “облаке” без возможности экспорта) и т.д. Эти же корпорации несправедливо обращаются с разработчиками программ: отчуждают их от результатов труда, относятся к ним как к ресурсу, мешая свободе творчества через ограничение свободы программ.

Этичные хакеры вскрывают многие проблемы таких программ и помогают устранить наиболее явные угрозы безопасности пользователей, а иногда и приватности (к примеру, добиваясь общественного резонанса). Однако, сами программисты тоже могут принять эффективное участие в этой деятельности, предлагая заказчикам только этичные варианты дизайна программ.

Этичное программирование – это создание таких программ, которые выполняют свои функции, не подвергая пользователей повышенным рискам безопасности, не нарушая приватности и анонимности, и не содержат вредных функций и анти-фич, таких как искуственные ограничения функциональности, lock-in любого рода и т.д. Этичное программирование также подразумевает уважаение к труду программистов, защиту свободы их творчества через свободу программ.

Наше сообщество поддерживает этичное программирование. Мы помогаем развивать понимание того, какие требования заказчика – приемлемы и этичны, а какие - нет. С повышением общего уровня такого понимания, всё чаще заказчикам и корпорациям будут предлагаться лишь варианты этичных решений. В случае же неэтичных требований корпорациям придется преодолевать сопротивление и терять репутацию как среди работников, так и среди пользователей. Чем сильнее сопротивление, тем больше будет компаний, для которых проще взять этичное решение, ставшее стандартом де-факто, вместо попыток получить неэтичное, но более выгодное решение (без учёта потерь от такого выбора!).