В двух словах это hackthebox наоборот.
Привет! Меня зовут Миша, я делаю платформу где инженеры могут научиться ловить кибератаку в реальном времени. Мы разворачиваем что-то (вебсервер, базу данных, редис) и взламываем это, а пользователь должен сдетектить атаку. Делаем это так чтобы интересно было исследовать что мы развернули, находить мисконфиги, эксплойтить что-то самому перед тем как писать детекшен рулы
Подробно с деталями прочитать можно вот здесь - https://habr.com/ru/articles/785712/
#партнерский_материал
Привет! Меня зовут Миша, я делаю платформу где инженеры могут научиться ловить кибератаку в реальном времени. Мы разворачиваем что-то (вебсервер, базу данных, редис) и взламываем это, а пользователь должен сдетектить атаку. Делаем это так чтобы интересно было исследовать что мы развернули, находить мисконфиги, эксплойтить что-то самому перед тем как писать детекшен рулы
Подробно с деталями прочитать можно вот здесь - https://habr.com/ru/articles/785712/
#партнерский_материал
Хабр
Defbox — тренажер для безопасника
Defbox обучает инженеров находить и реагировать на киберугрозы. Мы запускаем уязвимую инфраструктуру, которую можно изучать и нужно защитить. Прохождение наших лаб обучит находить кибергурозы, писать...
как разлочить локального админа в гитлабе при LDAP
# попадаем в консоль
docker exec -it <container-id> gitlab-rails console
# меняем пароль
user = User.find_by(email: 'admin@example.com')
new_password = ::User.random_password
user.password = new_password
user.password_confirmation = new_password
user.password_automatically_set = false
# разлочить юзера
user.unlock_access!
user.state = 'active'
# сохраняем
user.save!
# включаем вход по паролю
Gitlab::CurrentSettings.update!(password_authentication_enabled_for_web: true)
#gitlab
# попадаем в консоль
docker exec -it <container-id> gitlab-rails console
# меняем пароль
user = User.find_by(email: 'admin@example.com')
new_password = ::User.random_password
user.password = new_password
user.password_confirmation = new_password
user.password_automatically_set = false
# разлочить юзера
user.unlock_access!
user.state = 'active'
# сохраняем
user.save!
# включаем вход по паролю
Gitlab::CurrentSettings.update!(password_authentication_enabled_for_web: true)
#gitlab
Товарищи, мартовский дайжест вакансий в BI.ZONE
В команду внутренней разработки - https://hh.ru/vacancy/93684983
(классический девопс)
Проект PAM - https://hh.ru/vacancy/93956982
(знание openshift, jenkins, helm, istio; работа с крупным заказчиком в условиях жестких ИБ требований. работа ч коробочными решениями от формирования автоматизации до поставки заказчику)
Проект EDR - https://hh.ru/vacancy/94118492
(классический девопс + немножечко знаний серверной винды + пош)
Вилка зависит от уровня кандидата. ищем и мидлов и помидоров
Удаленка только из РФ.
В команду внутренней разработки - https://hh.ru/vacancy/93684983
(классический девопс)
Проект PAM - https://hh.ru/vacancy/93956982
(знание openshift, jenkins, helm, istio; работа с крупным заказчиком в условиях жестких ИБ требований. работа ч коробочными решениями от формирования автоматизации до поставки заказчику)
Проект EDR - https://hh.ru/vacancy/94118492
(классический девопс + немножечко знаний серверной винды + пош)
Вилка зависит от уровня кандидата. ищем и мидлов и помидоров
Удаленка только из РФ.
Приглашаем на вторую конференцию по безопасности контейнеров «БеКон» 🥓
🗓 5 июня 2024
📍Москва
🌐bekon.luntry.ru
5 июня в Москве компания Luntry проведет вторую конференцию по безопасности контейнерных сред — «БеКон».
Цель мероприятия
Конференция призвана помочь компаниям перейти на новый уровень понимания контейнерной безопасности и адаптировать современные подходы по ее обеспечению.
Как прошла первая конференция «БеКон»?
В 2023 году мероприятие собрало множество положительных отзывов от участников, среди которых были архитекторы, инфраструктурные и платформенные команды, DevOps/DevSecOps, специалисты и руководители ИБ-департаментов. С докладами выступили эксперты из OZON, Tinkoff, Райффайзен Банк, Яндекс.Облако, ВКонтакте, Флант, BI.ZONE.
Подробнее – в обзоре.
Программа 2024
Программа «БеКона 2024» — такая же сочная выборка актуальных докладов от ведущих компаний, использующих контейнеризацию, из различных отраслей. Выступления будут короткими без рекламы и воды, но пропитанными многолетним практическим опытом.
Приобрести билет можно на официальном сайте конференции.
🗓 5 июня 2024
📍Москва
🌐bekon.luntry.ru
5 июня в Москве компания Luntry проведет вторую конференцию по безопасности контейнерных сред — «БеКон».
Цель мероприятия
Конференция призвана помочь компаниям перейти на новый уровень понимания контейнерной безопасности и адаптировать современные подходы по ее обеспечению.
Как прошла первая конференция «БеКон»?
В 2023 году мероприятие собрало множество положительных отзывов от участников, среди которых были архитекторы, инфраструктурные и платформенные команды, DevOps/DevSecOps, специалисты и руководители ИБ-департаментов. С докладами выступили эксперты из OZON, Tinkoff, Райффайзен Банк, Яндекс.Облако, ВКонтакте, Флант, BI.ZONE.
Подробнее – в обзоре.
Программа 2024
Программа «БеКона 2024» — такая же сочная выборка актуальных докладов от ведущих компаний, использующих контейнеризацию, из различных отраслей. Выступления будут короткими без рекламы и воды, но пропитанными многолетним практическим опытом.
Приобрести билет можно на официальном сайте конференции.
Forwarded from OFFZONE
This media is not supported in your browser
VIEW IN TELEGRAM
Пятый OFFZONE пройдет 22–23 августа в Москве, в Культурном центре ЗИЛ.
В этом году у нас еще больше зон для выступлений: добавились AI.Zone и Threat.Zone.
Ждем доклады на самые разные темы: open-source, применение AI/ML в кибербезопасности, уязвимости в парсерах, пентест Wi-Fi и не только. Не бойтесь предложить что-то свое :)
Спикеры, которые пройдут отбор, получат: бесплатные проходки на конфу и Speaker party, наш мерч, а также другие плюшки в зависимости от зоны.
Присылайте заявки на доклады до 12 июля.
Узнать больше и подать заявку
Please open Telegram to view this post
VIEW IN TELEGRAM
Тут недавно (пере)выложили исходники MS-DOS, и в своем праздношатании по ним обнаружил забавный костыль. Думаю там такого еще очень много, но читать, конечно, все это времени нет =)
https://github.com/microsoft/MS-DOS/blob/main/v4.0/src/BIOS/MSDISK.ASM#L118
Интересно, они реально проводили испытания с фокус группой что за 2 секунды нельзя успеть у флоппика дискету поменять? =))
https://github.com/microsoft/MS-DOS/blob/main/v4.0/src/BIOS/MSDISK.ASM#L118
Интересно, они реально проводили испытания с фокус группой что за 2 секунды нельзя успеть у флоппика дискету поменять? =))
GitHub
MS-DOS/v4.0/src/BIOS/MSDISK.ASM at main · microsoft/MS-DOS
The original sources of MS-DOS 1.25, 2.0, and 4.0 for reference purposes - microsoft/MS-DOS
Товарищи, устал искать, обращаюсь за помощью к комунити! Покажите мне, слепошарому, может кто-то знает, или работал, где находится описание API Yandex Vendor (янекс еда), с помощью которого я смогу обратиться к яндекс и получить список заказов в ресторане?
Спасибо😍
Спасибо
Please open Telegram to view this post
VIEW IN TELEGRAM
Повышение цен на «БеКон-2024»!
5 июня в Москве компания Luntry проведет вторую конференцию по безопасности контейнерных сред — «БеКон». Приобрести билеты по прежним ценам можно до 29 мая.
Для подписчиков канала действует скидка 10% на билет для физических лиц по промокоду BYKVAADM
промокод действует до 4 июня
Подробнее о «БеКон-2024»
Конференция призвана помочь компаниям перейти на новый уровень понимания контейнерной безопасности и адаптировать современные подходы по ее обеспечению.
Для кого: для архитекторов, инфраструктурных и платформенных команд, DevOps/DevSecOps, специалистов и руководителей ИБ-департаментов.
Что в программе:
В этом году на конференции выступят эксперты из samokat.tech, Tinkoff, Luntry, СберТех, Яндекс Финтех, Флант и Лаборатории Числитель.
На мероприятии мы создаем комфортную атмосферу для продуктивного обмена опытом и знаниями: краткие технические доклады до 30 минут дают максимум пользы, а перерывы между ними отлично подходят для нетворкинга.
Ознакомиться с полной программой конференции и приобрести билет можно по ссылке.
5 июня в Москве компания Luntry проведет вторую конференцию по безопасности контейнерных сред — «БеКон». Приобрести билеты по прежним ценам можно до 29 мая.
Для подписчиков канала действует скидка 10% на билет для физических лиц по промокоду BYKVAADM
промокод действует до 4 июня
Подробнее о «БеКон-2024»
Конференция призвана помочь компаниям перейти на новый уровень понимания контейнерной безопасности и адаптировать современные подходы по ее обеспечению.
Для кого: для архитекторов, инфраструктурных и платформенных команд, DevOps/DevSecOps, специалистов и руководителей ИБ-департаментов.
Что в программе:
В этом году на конференции выступят эксперты из samokat.tech, Tinkoff, Luntry, СберТех, Яндекс Финтех, Флант и Лаборатории Числитель.
На мероприятии мы создаем комфортную атмосферу для продуктивного обмена опытом и знаниями: краткие технические доклады до 30 минут дают максимум пользы, а перерывы между ними отлично подходят для нетворкинга.
Ознакомиться с полной программой конференции и приобрести билет можно по ссылке.
Please open Telegram to view this post
VIEW IN TELEGRAM
Icq
You can chat with friends in VK Messenger, and with colleagues in VK WorkSpace
Инструмент для проведения собесов
Решил, что в целом уже можно поделиться своим инструментом который я сделал для проведения собесов. Я обкатал его на порядка 50 собесах и кажется что он готов для публики. Этот гугл таблица, в которой можно натыкать вопросы разных категорий, разных уровней сложности и содержащие несколько ключевых точек.
Главные фишки документа - решить следующие задачи:
1) получить одинаковый результат оценивания кандидатов, при проведении собеседования разными людьми. вопросы унифицированы, разбиты на ключевые точки, которые показывают глубину знаний человека.
2) наличие артифакта, который уменьшает субъективное мнение рекрутёра, ведь при наличии ключевых точек видно что именно кандидат знает про тот или иной вопрос. т.е. можно после собеса посоветоваться с коллегами
3) приведение субъективного мнения к математическому. Документ автоматически рассчитывает баллы и говорит какой уровень у кандидата - жун\мид\сеньёр. Чаще всего математически подсчитанный результат совпадает с моим субъективным мнением.
4) Разные вопросы под разные вакансии. Можно сформировать вопросы под конкретную вакансию в зависимости от необходимостей конкретного отдела. Так, вы можете определить core технологии, без которых существование инженера невозможно в команде. Добавить опциональные знания и знания расширенного кругозора.
5) Добавление баллов на лету. если человек раскрывает вопрос очень круто можно накинуть баллов на каждый вопрос в отдельности (или отнять)
Более подробно - в ридми документа. (Точка входа - где собес проводить - страничка Sheet1 - исторически сложилось, лень переименовывать)
Предполагаемый флоу работы - вы копируете документ-шаблон, именуете его фио кандидата, натыкиваете ответы, получившийся документ прикрепляете с комментарием в хантфлоу или что-то иное.
З.Ы. Вопросы и ключевые точки - моё субъективное мнение. Вы можете писать в доку свои вопросы, если хотите использовать док для себя. Но холиварить о вопросах и ключевых точках я не очень готов. Документ не идеален, некоторые ключевые точки плохо прописаны, я уже это не меняю - в любом случае и вопросы и ключевые точки - помогаторы при оценке человека, а не идеальный "тест"
З.З.Ы. "математика" сделана немного кривовато, т.к. не все можно сделать "чисто" с функционалом гугл таблиц. Если будете что-то менять в своей копии -делайте аккуратно.
З.З.З.Ы - дополнения и улучшения принимаются. лучше через ЛС.
https://docs.google.com/spreadsheets/d/1D2B6Xzse3fYtrTD0RcbNAeK9N7ORPHzhMGTOvaEtbCA/edit?usp=sharing
Решил, что в целом уже можно поделиться своим инструментом который я сделал для проведения собесов. Я обкатал его на порядка 50 собесах и кажется что он готов для публики. Этот гугл таблица, в которой можно натыкать вопросы разных категорий, разных уровней сложности и содержащие несколько ключевых точек.
Главные фишки документа - решить следующие задачи:
1) получить одинаковый результат оценивания кандидатов, при проведении собеседования разными людьми. вопросы унифицированы, разбиты на ключевые точки, которые показывают глубину знаний человека.
2) наличие артифакта, который уменьшает субъективное мнение рекрутёра, ведь при наличии ключевых точек видно что именно кандидат знает про тот или иной вопрос. т.е. можно после собеса посоветоваться с коллегами
3) приведение субъективного мнения к математическому. Документ автоматически рассчитывает баллы и говорит какой уровень у кандидата - жун\мид\сеньёр. Чаще всего математически подсчитанный результат совпадает с моим субъективным мнением.
4) Разные вопросы под разные вакансии. Можно сформировать вопросы под конкретную вакансию в зависимости от необходимостей конкретного отдела. Так, вы можете определить core технологии, без которых существование инженера невозможно в команде. Добавить опциональные знания и знания расширенного кругозора.
5) Добавление баллов на лету. если человек раскрывает вопрос очень круто можно накинуть баллов на каждый вопрос в отдельности (или отнять)
Более подробно - в ридми документа. (Точка входа - где собес проводить - страничка Sheet1 - исторически сложилось, лень переименовывать)
Предполагаемый флоу работы - вы копируете документ-шаблон, именуете его фио кандидата, натыкиваете ответы, получившийся документ прикрепляете с комментарием в хантфлоу или что-то иное.
З.Ы. Вопросы и ключевые точки - моё субъективное мнение. Вы можете писать в доку свои вопросы, если хотите использовать док для себя. Но холиварить о вопросах и ключевых точках я не очень готов. Документ не идеален, некоторые ключевые точки плохо прописаны, я уже это не меняю - в любом случае и вопросы и ключевые точки - помогаторы при оценке человека, а не идеальный "тест"
З.З.Ы. "математика" сделана немного кривовато, т.к. не все можно сделать "чисто" с функционалом гугл таблиц. Если будете что-то менять в своей копии -делайте аккуратно.
З.З.З.Ы - дополнения и улучшения принимаются. лучше через ЛС.
https://docs.google.com/spreadsheets/d/1D2B6Xzse3fYtrTD0RcbNAeK9N7ORPHzhMGTOvaEtbCA/edit?usp=sharing
Google Docs
Шаблон оценки компетенции (публикация)
Подсел на сервис https://suno.com (не реклама) - с точки зрения девопс мне понравилось что можно описать песню как код, похоже на формат ini. получается довольно забавно
UPD: https://www.suno.wiki/ вот тут много по разметке текста
UPD: https://www.suno.wiki/ вот тут много по разметке текста
Suno
Suno is building a future where anyone can make great music.
Админим с Буквой
Инструмент для проведения собесов Решил, что в целом уже можно поделиться своим инструментом который я сделал для проведения собесов. Я обкатал его на порядка 50 собесах и кажется что он готов для публики. Этот гугл таблица, в которой можно натыкать вопросы…
Благодарю всех кто накидал необоснованных, бездумных, желчных комментариев. Вам же с вашего дивана виднее как надо. Вам же точно понятно как лучше в конкретной компании для конкретной вакансии в конкретных условиях проводить собеседование. В заголовке поста написано слово «инструмент». Не нравится - идём мимо. Я не лезу в ваш монастырь с советами. Все компании проводят собесы по-своему, беря в пример 5 встреч как Яндекс или Тинёк, которые одним покажутся дичью, а другим - суровой необходимостью. Для тех, кто не способен прочитать в оригинальном посте что вопросы - моя субъективная история, желаю чтобы вы никогда не попадали на руководящие должности.
Комменты более недоступны в этом канале. Всем лучи добра
Комменты более недоступны в этом канале. Всем лучи добра
Появилась новая уявзимость в SSH, Race condition to RCE - cve-2024-6387
Уязвимости подвержены версии SSH начиная с 8.5p1(включительно) до 9.8p1(не включительно)
Более подробно информацию можно посмотреть по адресу:
https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server
Уязвимость детектируем только по версии SSH, т.к. ее эксплуатация занимает несколько часов в лабораторных условиях.
Для устранения уязвимости необходимо обновление, в качестве временной меры можно ограничить возможность подключения к SSH с внешних IP-адресов.
Уязвимости подвержены версии SSH начиная с 8.5p1(включительно) до 9.8p1(не включительно)
Более подробно информацию можно посмотреть по адресу:
https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server
Уязвимость детектируем только по версии SSH, т.к. ее эксплуатация занимает несколько часов в лабораторных условиях.
Для устранения уязвимости необходимо обновление, в качестве временной меры можно ограничить возможность подключения к SSH с внешних IP-адресов.
Qualys Security Blog
regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server | Qualys Security Blog
The Qualys Threat Research Unit (TRU) has discovered a Remote Unauthenticated Code Execution (RCE) vulnerability in OpenSSH’s server (sshd) in glibc-based Linux systems. CVE assigned to this…
В ИТ существуют некоторые профессии, задачи которых могут быть не до конца понятны, например менеджер проектов и product owner. Данный канал рассказывает про про изнанку жизни менеджеров, продуктов и управленцев с изнанки, рассуждает, почему софт скилы так важны в современном ИТ и несёт самое важное - личный опыт.
А также
- автор канала рассказывает, от чего зависит успех продукта в сфере IT
- делится своими мыслями о мотивации команд
- рассуждает по поводу важности онбординга клиентов для проекта и почему инженеры тоже должны принимать в этом участие
- почему product owner - это своего рода директор
Подписывайтесь на канал, будем расширять свои горизонты в сфере IT вместе.
А также
- автор канала рассказывает, от чего зависит успех продукта в сфере IT
- делится своими мыслями о мотивации команд
- рассуждает по поводу важности онбординга клиентов для проекта и почему инженеры тоже должны принимать в этом участие
- почему product owner - это своего рода директор
Подписывайтесь на канал, будем расширять свои горизонты в сфере IT вместе.
Telegram
Кем я хочу стать когда вырасту?
Развиваю продукты и продактов. Пишу о тимлидстве в ИТ. Рефлексирую и иронизирую….
Канал личный и субъективный, на истину в последней инстанции не претендую.
Канал для души и чсв, рекламы нет(((
Канал личный и субъективный, на истину в последней инстанции не претендую.
Канал для души и чсв, рекламы нет(((
Продолжаем играть с экселем, на очереди калькулятор зарплат. не очень понравились те что в интернетиках, к тому же в экселе всегда можно что-то "на полях" посчитать дополнительно, поэтому написал свой. Калькулятор поможет менеджерам считать бюджеты своим сотрудникам.
https://docs.google.com/spreadsheets/d/1gcamk55q2WENk9bFISUFSOTKYmR8MieIZgB8c8OsDvw
работает только на тех зарплатах где есть прогрессивная шкала налогооблажения (>2,4млн в год) и до 20млн в год. пусть кто получают больше 20 сами себе пишут😱
https://docs.google.com/spreadsheets/d/1gcamk55q2WENk9bFISUFSOTKYmR8MieIZgB8c8OsDvw
работает только на тех зарплатах где есть прогрессивная шкала налогооблажения (>2,4млн в год) и до 20млн в год. пусть кто получают больше 20 сами себе пишут
Please open Telegram to view this post
VIEW IN TELEGRAM
Google Docs
Калькулятор ЗП
Forwarded from OFFZONE
This media is not supported in your browser
VIEW IN TELEGRAM
Мы отобрали доклады для конфы и составляем расписание. Часть его — уже на сайте. Скоро опубликуем программу целиком.
Следите за обновлениями!
Посмотреть программу
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Парочка новых вакансий DevOps в BI.ZONE
SIEM/Storage - https://hh.ru/vacancy/106473681
PAM - https://hh.ru/vacancy/106468355
СМР - https://hh.ru/vacancy/101660085
Intdev - https://hh.ru/vacancy/106119670
В команду ко мне (@bykva), вопросы можно тоже в лику задавать мне (@bykva). Вилки в паблик не будет.
SIEM/Storage - https://hh.ru/vacancy/106473681
PAM - https://hh.ru/vacancy/106468355
СМР - https://hh.ru/vacancy/101660085
Intdev - https://hh.ru/vacancy/106119670
В команду ко мне (@bykva), вопросы можно тоже в лику задавать мне (@bykva). Вилки в паблик не будет.