В этой статье мы хотим рассказать, как проводим ежегодную стажировку. Вообще мы делаем это каждый год на Хабре, но сейчас, когда сфера IT все больше расширяет границы, думаем, наш опыт может быть интересен многим.
Итак, традиционная стажировка Summ3r 0f h4ck, или, как мы ее называем, летняя обучающая программа длится 4 недели и проходит, как вы поняли, непременно летом. В программе участвуют два отдела нашей компании – отдел анализа защищенности (aka пентестеры) и отдел исследований. Первый занимается собственно пентестами, аудитом веб-приложений и корпоративного ПО, а специалисты второго – задачами reverse engineering, поиском уязвимостей в бинарных приложениях и устройствах и написанием эксплоитов.
Summ3r of h4ck проходит только в нашем офисе в Санкт-Петербурге, но мы рады видеть участников и из других городов: к нам не раз доезжали ребята из Сибири, Краснодарского края и Дальнего Востока.
Процедура отбора
Чаще всего в программу подаются студенты старших курсов направлений ИБ (информационная безопасность) и молодые специалисты, но возрастного ценза у нас нет — при желании попробовать свои силы может каждый. Попасть к нам не так уж просто. Мы заранее готовим вступительное испытание и в апреле-мае открываем прием анкет и тестовых заданий. С прошедшими первый этап проводится собеседование.
В этом году отдел анализа защищенности изменил привычную процедуру набора стажеров: было решено значительно усложнить вступительное задание, зато не проводить собеседований. Как показала практика, произошел сильный отсев кандидатов: не многие смогли податься. Всем, кто хорошо прорешал задания, но не получил приглашение на стажировку, мы отправили промокод на месяц обучения в Академии Digital Security. Отдел исследований придерживался проверенной практики: сначала тестовое, потом удаленное собеседование.
Впервые делимся статистикой Summ3r of h4ck: сколько молодых специалистов с 2016 года проходили обучение под крылом мастеров Digital Security и сколько в итоге получили не только знания, но и оффер.
* В 2016 году отдел анализа защищенности практически не проводил начального отбора, поэтому в программу попало рекордное количество участников.
** В 2020 году отдел исследований не проводил набор в штат по результатам программы. Но всех успешных кандидатов запомнили и пригласили на собеседование через год, когда появились вакантные места.
Ход программы
Основная активность во время обучения – это собственное исследование под руководством ментора. Каждый год мы составляем список наиболее актуальных тем, но рады, если стажеры приходят со своими идеями. Также можно объединяться в группы, чтобы поработать над общей темой.
Помимо исследования у нас есть программа лекций и воркшопов. На контрасте с университетскими занятиями мы даем только практику и реальные кейсы, ведь в роли лекторов – сотрудники Digital Security. Стажеры сами выбирают, какие лекции посещать, а в конце каждой получают задания для закрепления материала.
Вот так выглядел список лекций в этом году:
- Разбор вступительных заданий
- Базовые Мобилки
- Advanced ServerSide
- Базовая лекция по безопасности kubernetes
- Повышение привилегий
- Про Frida
- Поговорим о Фаззинге
- Про Taint анализ
- Современная модель безопасности архитектуры Intel x64
Темой воркшопов в этом году был выбран аудит внутреннего периметра. Наши аудиторы разработали лабораторную среду, основанную на AD-инфраструктуре, включающую две изолированные сети с единственным связующим их сервером. Доступ в первую сеть стажеры могли получить через выданные VPN конфиги, а во вторую — после компрометации беспроводной точки доступа или значительного продвижения в первой сети до связующего сервера. Всего было развернуто 13 машин различного типа. Стажеры смогли получить навыки аудита веб-приложений, как кастомных, так и широко известных, освоить проверки сегментации и пивотинга в сети, а также получить базовые знания об атаках на AD-инфраструктуры и продвижении по сети компании в целом.
Активность на лекциях и воркшопах, конечно, учитывается при выборе тех, кто получит оффер.
В конце программы Summ3r of h4ck проходит защита проектов. Участники презентуют свои исследования, рассказывают, какие задачи перед ними стояли и чего удалось добиться, с каким трудностями они столкнулись и какие проблемы решали.
Все, кто успешно прошел практику, получили сертификат Summ3r of h4ck 2021 и памятный мерч.
Отзывы стажеров
Мы попросили наших стажеров поделиться своими впечатлениями и ответить на вопросы мини-интервью:
- Почему вы решили стажироваться именно в Digital Security? Чем привлекла вас компания?
- Понравилась ли стажировка? Что особенно запомнилось? Насколько реальность совпала с вашими ожиданиями?
- Расскажите о своей задаче/задачах.
- Задачи, над которыми вы работали в процессе стажировки, были интересными? Было ли что-то, чем вы хотели заняться, но не удалось?
- Готовы ли вы вернуться в компанию на стажировку или на работу? Что посоветуете начинающим?
1. Я решил стажироваться в Digital Security, потому что меня привлекла открытость к студентам и начинающим инфосекерам.
2. В прошлом я уже участвовал в Summ3r of H4ck и мне тогда все понравилось. Именно поэтому я решил пройти этот путь еще раз. И не ошибся, стажировка снова оказалась отличной. Особенно запомнилось нахождение раскрутки существующей баги за три дня до конца стажировки и лабораторные, построенные в виде инфраструктуры виртуального офиса.
3. Я занимался аудитом приложения для репортинга багов Sentry. В результате аудита были собраны типичные мисконфигурации, а также найдена возможность энумерации существующих пользователей и была раскручена одна известная уязвимость.
4. Задачи во время стажировки были интересными, я рассмотрел различные компоненты Sentry. Cпасибо моему ментору, который советовал места для возможного поиска уязвимостей и помогал раскручивать найденную багу.
5. По результатам стажировки я получил предложение по трудоустройству в отдел аудита, чему очень рад. Совет для начинающих коллег: Try harder.
1. Digital Security была на слуху уже несколько лет. Как по мне, это одна из топовых ИБ компаний в стране. Несомненно, огромный плюс это то, что DSec дает возможность молодым студентам проявить себя в реальных кейсах. Это меня и привлекло.
2. Однозначно могу сказать, что стажировка понравилась. Было много интересных лекций, считаю, что все спикеры дали неплохую базу. Отдельное спасибо хочу сказать своему ментору — он быстро ввел в курс дела, оперативно отвечал на вопросы, да и вообще поддерживал нас всем, чем мог. Когда я подавал заявку на Summer of Hack 2021, я читал отзывы участников прошлых лет и понял что меня ждет, так что ожидание совпало с реальностью.
3. По итогу стажировки нужно было представить проект (ресерч, разработку), по сути это и было главной целью Summer of Hack’а. Тема моего с напарником исследования: Обход ограничений безопасности Istio. Мы рассмотрели различные способы обнаружения и обхода Istio Sidecar, при условии того, что атакующий находится в Поде, а также рассказали о возможных методах защиты от таких атак. В скором времени полная версия ресерча будет доступна на GitHub в профиле Dsec’а.
4. В интернете было мало конкретики по поводу обхода Istio, несмотря на то что это самое популярное Service Mesh решение. Ввиду этого многое приходилось делать вслепую и пробовать все возможные варианты, что-то получалось, что-то нет. Но это и подогревало интерес! Благодаря этому исследованию я открыл для себя что-то новое, и мне это понравилось.
5. Напоследок хочу сказать, что найти дело по душе это супер важно. Не стесняйтесь, не бойтесь, пробуйте и у вас обязательно все получится! С удовольствием вернусь в стены Dsec’a =)
1. Как-то давно изучал уязвимость SSRF и в процессе поиска информации наткнулся на интересную презентацию от уже бывшего сотрудника Digital Security. В тот момент понял, что было бы здорово оказаться на работе/стажировке именно в этой компании, т.к. можно узнать много нового, интересного и полезного для дальнейшего профессионального развития.
2. Стажировка однозначно понравилась и удивила приятными сюрпризами: основным направлением была исследовательская работа, но помимо этого сотрудники компании подготовили нам недельную CTF-лабораторную, которую можно было порешать в командах и получить за это призы. Кроме лабы было много лекций от сотрудников, на которых можно было узнать что-то новое для себя, каждая лекция, кстати, тоже закреплялась небольшими тасками.
3. Темой моего исследования были мобильные приложения для управления умным домом, для меня это был первый опыт анализа безопасности мобильных приложений и столкнулся я, наверное, с базовыми сложностями для исследователей мобилок: защита приложений от проксирования трафика, SSL-pinning и анализ обфусцированного исходного кода. Справиться со всем этим удалось с помощью использования специальных инструментов (Frida, Objection), динамического анализа поведения приложений и небольшого патчинга в отдельных случаях.
4. Исследование было интересным и понравилось по нескольким причинам: во-первых, удалось изучить новую тему и получить навыки анализа мобильных приложений, во-вторых, была свобода при выборе исследуемых приложений и можно было самостоятельно сделать акцент на наиболее интересных для меня моментах, если возникали какие-то сомнения, то всегда можно было посоветоваться с менторами, чтобы понять, в верном ли направлении я двигаюсь.
Во время исследования удалось посмотреть только приложения для Android, на iOS времени, к сожалению, не хватило, но это стало отличным поводом для продолжения моего исследования уже после стажировки.
5. Если подвести краткий итог, то это был очень продуктивный и интересный месяц, понравились все мероприятия и атмосфера, которые были во время стажировки, а этот отзыв я пишу уже как сотрудник компании. Начинающим коллегам точно могу посоветовать идти на стажировку, если есть желание узнавать что-то новое и прокачиваться в своих навыках, время точно будет проведено с пользой.
1. Digital Security — одна из ведущих и крупнейших компаний в нашей отрасли, это мощнейший узел, на который завязано множество имен, событий, экспертных знаний, находок и продуктов. Стажировка в Digital Security — это прекрасная возможность и проверить свои силы и подхватить ценнейший опыт у старших коллег. Если Ваши намерения в ИБ серьезны, Вам определенно следует оказаться здесь, пройти этот увлекательный квест.
2. Определенно понравилась. На несколько дней для нас развернули лабораторную среду, имитирующую реальную инфраструктуру целевой компании. Это классно.
Состав списка лекций, вообще тематическое наполнение стажировки определялось голосованием. Каждый стажер мог выбрать 4 лекции из общего списка. Не все из того, что определило голосование, соответствовало моим предпочтениям, и между тем, большая часть — это попадание. Конечно, были темы и задачи, о которых я лишь слышал или бегло читал, где-то не хватало практики. Но лекции были содержательны и сжаты, каждая задача разбиралась, к ней прилагалось прохождение. Вообще все было на уровне.
3. Над проектом нас работало двое. Нашей задачей было обследовать Moodle, найти уязвимости, проверить их, ну и, возможно, сообщить разработчикам о наших находках. Приложение большое, много функционала. Много строчек кода на php, документация малоинформативна. Пожалуй, это именно то, чего я и хотел на самом деле. Мне хотелось закрепить и усилить уже имеющиеся знания и навыки, и подглядеть как к этим задачам подходят более опытные коллеги. Здесь мне повезло и с наставником, и с напарником по проекту.
Показательно, обнаружить для себя, что есть куда более простые и эффективные способы решить ту или иную задачу, чем то, как ты решал ее раньше. Наставник подскажет, на что в коде следует обратить внимание в первую очередь, а на что не следует расходовать времени вовсе.
А время летело быстро. Огляделись внутри, познакомились с функционалом, в первую очередь посмотрели кто и как уже исследовал Moodle (439 CVE). Изучили механизмы безопасности (их реализацию в коде). Собственно, было две основные тактики работы. Либо разбираемся в хитросплетениях функций (что за что отвечает и как это работает в разных контекстах), прочесываем код на предмет выявления слабо защищенных мест в приложении и лишь потом запускаем Burp. Либо сразу запускаем Burp и идем интуитивно, в поисках интересных запросов и лишь потом обращаемся к исходникам. Эти тактики у нас чередовались. Итог: около 10 претендентов на багу, разного веса, 8 из них зарепортили (Moodle присутствует на bugcrowd, hackerone).
4. Как я уже писал выше, большая часть — это попадание в мой внутренний топ 10. Но были темы, о которых до этого я только слышал.
5. Да. Ведь для профессионального становления так необходима творческая среда, сообщество. Стремительный обмен знаниями, инструментами и опытом. И еще, важно вместе делать одно крутое дело.
Мнения менторов
Интересно наблюдать за развитием наших стажеров: успешные кандидаты устраиваются в штат и нередко сами дорастают до роли наставника, некоторые очень быстро. Мы попросили и наших кураторов рассказать, каково быть ментором и чем могут удивить стажеры.
На Summ3r 0f H4ck 2021 я впервые попробовал себя в роли ментора. Поводом для этого стала интересная тема исследования: “Изучение способов закрепления в Windows и Linux. Автоматизации процессов закрепления”, (которую я сам с радостью параллельно изучал всю стажировку), а также чувство долга: ведь когда-то и мне также помогали изучать что-то новое и погружаться в сферу информационной безопасности.
Наша команда состояла из 2 менторов и стажера. После знакомства мы сразу же разработали план дальнейшего изучения нашей темы. Все дни стажировки наш чат кипел от обсуждения различных вопросов и нюансов. Я считаю это отличным опытом работы в команде, потому что все смогли адаптироваться к новым условиям, новым знакомствам и чувствовать себя комфортно.
Не менее важным событием был “киберполигон” в самом центре стажировки — большая лаборатория, созданная специально для Summ3r 0f H4ck 2021. Она представляла собой сеть с большим количеством различных связанных уязвимых узлов, предназначенных для отработки старых и получения новых навыков тестирования на проникновение. Нам было интересно не только разрабатывать ее командой Digital Security, но и наблюдать за тем, как стажеры находят интересные решения, узнают новые методы и вектора атак и не останавливаются ни перед какими сложностями.
В последний день Summ3r 0f H4ck 2021 происходила демонстрация и защита всей проделанной работы. Интерес пронизывал всех до единого, а переживания за моего стажера зашкаливали, как будто я сам должен был выступать. Опыт был незабываемый, я узнал много нового как из чужих докладов, так и из менторства в целом.
В заключении хочется сказать, что все стажеры большие молодцы, проделали много интересной и полезной работы. Никогда не останавливайтесь в познании всего, что вам интересно, всегда идите к своей цели!
Изначально был предложен список тем для стажировки и одна из них показалось мне достаточно интересной, кроме того, участие в качестве ментора является возможностью проявить себя.
Сама стажировка прошла достаточно гладко. Стажеры проявили старание, а также интерес и энтузиазм к выбранной теме, были на связи почти 24/7. Рад, что нам было легко общаться и что мы смогли обнаружить потенциальные уязвимости, которые ожидают подтверждения. Всем, кто любит исследования, — стажировка в DSec отличный способ проверить свои навыки в данном направлении.
Стажировка Summer of hack 2021 была для меня первым опытом выступления в качестве куратора, поэтому логичным показалось, в первую очередь, выстроить грамотную схему общения и взаимодействия с подопечным. Общались мы, в основном, посредством чата в телеграмме, где стажер задавал вопросы по теме, а я и мой коллега присылали ему нужные тематические источники. Очень кстати оказалась парочка лекций, поскольку они затрагивали мобильные приложения, а выбранная тема как раз имела к ним непосредственное отношение. Мне кажется, это очень удобно, поскольку можно заниматься практикой параллельно с прослушиванием теории и сразу же пытаться применять какие-то трюки и подсказки на лабораторном стенде.
Итоговое выступление получилось очень достойным и наглядным. Мы обсудили, как лучше представить результаты стажировки — ведь финальные выступления слушают люди из разных отделов, поэтому важно всех заинтересовать. Кроме того презентация — это плюсик в ваше своеобразное «портфолио», по которому потом происходит отбор на работу в DS. И я была очень рада, когда мой подопечный успешно прошел собеседование.
Очень круто видеть, как человек открывает для себя что-то новое и увлекательное. Надеюсь, что к нам придет еще немало талантов.
Мы всегда позиционировали Summ3r 0f H4ck как место, где мы можем неформально поделиться накопленными знаниями и опытом с ребятами, которые начинают свой путь в мире ИБ, а также самим узнать много нового, общаясь со стажерами и готовя программу. Этот год не стал исключением.
Почти все, кто заполнил вступительную анкету, показали хороший начальный уровень знаний, учитывая, что сложность самой анкеты была значительно повышена в сравнении с предыдущими годами. Это дало нам возможность убрать этап собеседований и подготовить более интересную программу для стажеров. Так, например, лекции стажеры могли выбрать самостоятельно из общего списка, а мы получили возможность рассказать о том, что ребятам действительно было интересно, а не бубнить о том, что они и так уже знают.
Ставшие уже неотъемлемой частью нашей стажировки исследования тоже были распределены исходя из предпочтений самих стажеров. К сожалению, опция с предложением своей темы пока все еще не пользуется большой популярностью, в этом году мы получили одну тему от стажера. Тем не менее, все проявили большую заинтересованность в выбранных исследованиях и слушать представления результатов в конце стажировки было действительно интересно и приятно.
Спасибо команде Digital Security, которая задействована в процессе организации, а задействовано действительно много людей из разных отделов, и спасибо ребятам-стажерам за интерес к стажировке!
Заключительное слово
В очередной раз Summ3r of h4ck стал для начинающих специалистов прекрасной возможностью попробовать себя в деле. Нам было очень приятно поработать с ребятами, а вам, надеемся, было интересно/полезно прочитать о нашем опыте.