💬 На Тринадцатую Летнюю школу CTF, как мы объявляли ранее, спикером приезжал Вадим Михайлов — консультант по инфраструктуре координационного центра доменов .RU/.РФ.

В своем интервью Вадим рассказал в чем суть работы координационного центра и какова роль Вадима в КЦ. Поделился мнением об организации Школы и о чем рассказал участникам в своем докладе в этом году. Рассказал, как он успевает совмещать множество спортивных увлечений с работой.

💬 Совместно с Вадимом гостем приехала Ольга Баскакова — руководитель проектов в области ИБ КЦ доменов .RU/.РФ, ранее приезжала на Школу спикером.

Ольга в своем интервью поделилась, какие знания нужны руководителю проектов, какие увлечения помогают отдохнуть от работы и о чем рассказывала на Летней школе CTF, будучи спикером.

Также Вадим и Ольга поделились с участниками советами, как лучше всего начинать свой путь в области информационной безопасности 💗

Помните мы рассказывали, что на Летней школе проходили A/D-соревнования?

Так вот, техническая группа Школы подготовила разбор сервисов с соревнований:
*️⃣Grep as a Service
— Всем знакомая unix утилита, позволяющая искать текст по регулярным выражениям, но в виде веб-сервиса — с возможностью загружать файлы в личное хранилище и искать в них текст.
🔘Уязвимости:
SSRF, позволяющий прочитать внутренний файл логов системы содержащий чувствительную информацию;
LFI, позволяющий прочитать файлы содержащие критически важные переменные среды.

*️⃣Ancient AI
— запуск предшественника современных LLM (bigram language model) на ОС, соответствующей времени его открытия — DOS. Сверху накрутили современный Web UI на flask.
🔘Уязвимости:
Command injection в DOS, позволяющая выгрузить env_file, в котором хранится пароль пользователя prest writer_user;
использование DES с ключом малой длины — 16 бит, что позволяет брутфорсом подобрать ключ, которым зашифрован флаг.

*️⃣DipPic:
— хранилище изображений a.k.a. Image Stock, предоставляющее доступ к множеству картинок с котиками и не только.
🔘Уязвимости:
Слабая генерация ключа подписки, позволяющая скомпрометировать алгоритм проверки премиум-ключа и бесплатно получить подписку;
IDOR на ручке /photo/{photo_id}/file, позволяющий получить доступ к премиум изображениям без подписки;
отсутствие проверки авторизации на ручках админ-панели, позволяющее просматривать хранящиеся на сервисе данные — учетные записи пользователей, премиум изображения.

Ловите репозиторий с райтапами к ним😑

💬 Представляем интервью с Артемом Калашниковым — управляющим директором центра ИБ дочерних и зависимых обществ Газпромбанка, а также членом АРСИБ.

На интервью Артем поделился впечатлениями о Летней школе, на которую приезжает уже не первый год, ранее даже в роли спикера. В этом году он был одним из участников круглого стола АРСИБ, в данном ролике рассказал, что это такое и зачем он проводится.

Также Артем поделился своей идеей структуры программы обучения специалистов сферы информационной безопасности.

🌸 И по традиции интервью не могло завершиться без советов для начинающих специалистов в сфере ИБ.

😎 В новом интервью поговорили со спикером XIII Летней школы CTF, разработчиком языков программирования и компиляторов в АО «Аксиом» — Дмитрием Соломенниковым.

Работа Дмитрия — его любимое дело. Поэтому в своем докладе он поделился с участниками, как легко скомпрометировать компилятор языка и почему важно задуматься о его безопасности.

💫 Также на интервью обсудили почему для разработки языков программирования важен широкий кругозор специалиста, а не углубление в определенные языки.