В отличие от CTF-соревнований, лаборатории тестирования на проникновение «Test lab» имитируют ИТ структуру настоящих компаний и имеют полноценную легенду. Созданные для легальной проверки и закрепления навыков пентеста, лаборатории всегда уникальны и содержат самые актуальные уязвимости, а участие в лабораториях требует хорошей практической подготовки.

Разрабатывая лаборатории «Test lab» мы стараемся охватить практически все области ИБ: безопасность сетей, ОС и приложений. Участникам предлагается выполнить эксплуатацию различных уязвимостей, связанных с работой сетевых компонентов и криптографических механизмов, ошибками конфигурации и кода, а также с человеческим фактором. Участники, выступающие в роли пентестеров, пытаются эксплуатировать их, и, в случае удачи, получают доступ к серверам и рабочим станциям, каждый из которых содержит токен. Победителем считается участник, первым собравший все токены. Работа в лаборатории осуществляется на основе методики «серый ящик»: перед началом исследования предоставляется информация об инфраструктуре «Test lab» в виде схемы и описания деятельности виртуальной компании. Собирая пентестеров со всего мира, мы разрабатываем лаборатории «Test lab» для различных мероприятий, таких как всероссийский конкурс ПрофИТ-2013, ZeroNights'13, PHD IV.

Test lab v.7

В предыдущей лаборатории «Test lab v.7», запущенной 01 мая 2015 г, приняло участие более 2000 участников из 73 стран мира. Большиноство активных участников были из России, Украины, США, Германии и Китая. По мнению пентестеров, наиболее интересные задания были свзаны с эксплуатацией уязвимостей веб-приложений, в то время как брутфорс не представлял особого интереса и реализовывался в последнюю очередь, несмотря на то, что по мировой статистике уязвимости, связанные с использованием нестойких паролей, являются одной из основных причин компрометации корпоративных сетей.

Работа в лаборатории осуществляется через VPN-подключение, какждая лаборатория имеет свой шлюз и внутреннюю ИТ-структуру (как правило, используются две зоны: DMZ и LAN). Часть сервисов, расположенных в DMZ зоне, доступна извне (внутри VPN-туннеля): веб-сайт компании, почтовый сервер, сервер удаленного доступа или удаленных подключений. В качестве коммутаторов или маршрутизаторов могут быть использованы продукты компании Cisco (виртуально, через GNS и QEMU). В зоне LAN расположены, как правило, рабочие станции (секретаря, администратора, веб-разрабочиков и т.д.). Участник, выступающему в роли злоумышленника, необходимо произвести поиск и эксплуатацию уязвимостей, преодолевая различные системы защиты: антивирусы, WAF и Firewall, системы котроля доступа и т.д. Основное отличие лабораторий «Test lab» от CTF-соревнований заключается в реалистичном сюжете: компрометация одного узла может позволить развить атаку на остальные элементы сети. Так, например, найденные в почтом ящике учетные записи одного из сотрудников вирутальной компании могут быть использованы для атаки на другие узлы лаборатории — к примеру, на сервер VPN-подключений. Таких примеров много и все они позволяют сделать лабораторию максимально реалистичной.

Отличительной особенностью «Test lab v.7», помимо новых заданий, является реализация визуальной карты атак.

Средняя продолжительность прохождения лаборатории (компрометация корпоративной сети) составиляет порядка 3-х недель, в то время как победителю «Test lab v.7» (Омар Ганиев, Beched) удалось выполнить все задания за рекордные 6 дней.

Welcome to «Test lab v.8»

13 ноября 2015 г. состоится запуск очередной, крутой лаборатории «Test lab v.8». Как и предыдущие версии, лаборатория будет построена на базе актуальных уязвимостей и современных техник атак, а ИТ-структура лаборатории будет максимально приближена к корпоративной сети реальных компаний, как по структуре, так и по масштабности. Если вы хотите принять участие в разработке «Test lab v.8», расширить кругозор и заявить о себе — присылайте интересные задания на info@pentestit.ru с темой «2f2874e4549aef222b055de6088c8fef».

Попробовать свои силы в «Test lab v.7» можно по ссылке: lab.pentestit.ru.
До скорых встреч!