SEBERD IT Base: Por que criei outro site sobre cibersegurança e por quê
Um profissional de segurança da informação lança um novo site focado em análise aprofundada de ataques, ferramentas interativas e um glossário abrangente. O objetivo é oferecer conhecimento prático e desmistificar a cibersegurança, com foco em aprendizado e colaboração.
MundiX News·01 de maio de 2026·15 min de leitura·👁 3 views
ochkanov
1 minuto atrás
SEBERD IT Base: Por que criei outro site sobre cibersegurança e por quê
Simples
14 min
0
CMS
*
WordPress
*
Inteligência Artificial
Segurança da Informação
*
Administração de Sistemas
*
Visão geral
Eu não escrevo por causa de tráfego ou para vender um curso (que não existe). Escrevo porque tenho algo a dizer sobre a forma como o conteúdo de segurança da informação é hoje. E sobre o que estou tentando fazer com isso, mesmo que ainda não seja muito bem-sucedido.
Tem havido muito conteúdo sobre segurança da informação. O problema é que a quantidade há muito tempo deixou de significar qualidade. A maioria dos materiais insiste que "as ameaças estão crescendo" e "a proteção é necessária", mas quase não responde à questão principal - como exatamente um ataque funciona. A situação é estranha. Muita informação, pouca compreensão.
A ideia da SEBERD IT Base surgiu como uma tentativa de corrigir isso. Não através de outra seleção de notícias ou recontagem de documentação, mas através da análise da mecânica. O que acontece dentro do ataque no nível de ações, protocolos e lógica.
Sobre as páginas principais e por que eu não fiz uma normal
Para ser honesto, eu nunca leio as páginas principais dos sites. De jeito nenhum. Preciso de informações específicas. Abro a busca, sigo um link direto ou através da navegação. A página principal da maioria dos projetos é um folheto de marketing para aqueles que ainda não decidiram se precisam desse site.
Decidi não fazer uma página principal como essa. Em vez disso, há um feed de ameaças ao vivo. É um agregador que puxa dados atuais via RSS e API de dezenas de fontes. Ele funciona com feeds nos formatos RSS/Atom e respostas estruturadas de serviços, em vez de analisar o HTML de terceiros manualmente.
Fontes:
FSTEC - feeds abertos de BDU e publicações relacionadas.
NVD do NIST - cartões CVE.
MITRE ATT&CK - matriz aberta de táticas e técnicas, que é conveniente usar na análise.
Mais outros feeds temáticos.
Os dados são normalizados e deduplicados. O mesmo evento não se multiplica no feed. Em seguida, eles são transferidos para um pipeline de IA, que os transforma em um cartão estruturado com análise.
Tecnicamente, a agregação ocorre no lado do site. PHP puxa RSS/Atom e armazena o resultado em um cache temporário. Esta é uma retenção de curta duração da resposta da fonte, que reduz a carga nos feeds e dá uma imagem suave durante picos de tráfego. Já do cache, os dados entram no modelo e no pipeline. A carga é previsível, e todos os visitantes veem a mesma imagem. Se parte dos feeds não responder temporariamente, o feed não é zerado. O cache e o modo simplificado permanecem até que as fontes estejam disponíveis novamente.
O resultado é assim. Um diagrama de rede interativo com as zonas Internet, DMZ e Internal. Um vetor de ataque animado. Um terminal com comandos de reconhecimento reais. Uma descrição passo a passo da técnica: reconhecimento, análise de vulnerabilidade, exploração. Uma explicação detalhada da mecânica e medidas de proteção específicas. O tipo de ataque está vinculado ao MITRE ATT&CK. O nível de risco é exibido claramente. Este não é um resumo no espírito de "outra empresa foi hackeada". Esta é uma análise da técnica com uma compreensão de como ela funciona por dentro. O contador no canto superior direito mostra os visitantes online agora e o número total de todos os tempos.
Não sei se isso será mais interessante do que a página principal normal. Mas é mais honesto. Uma pessoa que abre um site sobre cibersegurança provavelmente quer ver algo sobre cibersegurança, e não um texto publicitário.
De onde o projeto veio
Eu trabalho em segurança da informação: SOC, resposta a incidentes, arquitetura de proteção. Não vou mencionar locais específicos. Não se trata de networking de carreira. O que é mais importante é outra coisa. Do trabalho, tirei várias observações que se transformaram em motivação.
A primeira observação.
A maioria do conteúdo em russo sobre SI não é escrito para o leitor. É escrito para algoritmos, planos de conteúdo e orçamentos de publicidade de fornecedores. O esquema é padrão. A empresa vende um produto e encomenda um artigo sobre o problema. O problema é exagerado ao máximo, e no final, acontece que é este produto que o resolve. Isso é um negócio, e eu não considero as pessoas que trabalham assim como fraudadores. O problema é que quase não sobrou outro tipo de conteúdo. Vejo o resultado assim: um enorme volume de materiais ou recontam superficialmente a documentação, ou servem ao funil de vendas de alguém.
A segunda observação.
Não há praticamente nenhum lugar em russo onde se possa falar sobre o ataque no nível da mecânica sem a conclusão "compre nosso agente" no final. Ou há, mas de forma fragmentada. Pessoas separadas, postagens separadas. Não um lugar, mas achados aleatórios.
A terceira observação.
Um hacker, na minha compreensão, não é um vilão nem um herói romântico. É uma pessoa com certas habilidades e motivação. Ele é separado do defensor principalmente pelo lado do perímetro. Trabalhei o suficiente com análises de ataques reais para ter respeito profissional pelo lado oposto, e não ódio. Isso afeta a forma como os materiais no site são escritos: sem demonização, sem romantização, ao ponto.
De tudo isso resultou
seberd.ru
. Ele vive em um pequeno VPS. Ubuntu, dois vCPUs, cerca de 2 GB de RAM, um disco de cerca de 30 GB. Sem cluster e orquestração extra. Mas com uma carga previsível. Do lado de fora, Nginx com TLS e gzip, limites separados para APIs frequentes, para que o chat e as pesquisas não sobrecarreguem o nó. Atrás dele está uma combinação de Apache, PHP e MySQL. LAMP clássico, em torno do qual o WordPress gira.
Em termos de significado, este é um lugar, em primeiro lugar, para um profissional de SI. Ele precisa de mecânica e análise de técnicas, e não de um texto que leve ao funil de produtos. Também para uma pessoa de uma área relacionada de desenvolvimento, redes, administração. Ele precisa de um pedaço de teoria de suporte. E para um aluno disposto a ler com atenção. O posicionamento não é "somos para todos", mas um corredor estreito. A profundidade é mais importante do que a cobertura.
Sobre as ilustrações nos artigos. Um professor me pediu para removê-las ou substituí-las. A razão é simples - os alunos começam a olhar para onde não deveriam. Não para o diagrama de ataque, não para a análise do comando, mas para... a série visual. Se o visual atrai a atenção, talvez não seja a imagem. Mas em como eles ensinam. Mas esta não é mais minha área de responsabilidade. Cada um faz o conteúdo da maneira que acha certa.
Como a navegação funciona: um gráfico em vez de um menu plano
A navegação normal por categorias em conteúdo de SI parece uma lista plana. Clicou em "Criptografia", obteve uma lista de artigos. Essa abordagem funciona quando há poucos tópicos. Quando há vários milhares de materiais e há conexões significativas reais entre eles, a lista plana deixa de refletir a realidade.
A seção "Guia" é construída na tecnologia de gráficos. Cada rubrica, tag e página são representadas como um nó. As conexões são mostradas entre eles. Como "Engenharia Social" se cruza com "Segurança Web". Como "Monitoramento e SIEM" está relacionado a "Gerenciamento de Incidentes". Como um artigo específico puxa várias tags relacionadas.
Você seleciona um nó à esquerda, e todos os materiais relacionados aparecem à direita. Há uma busca por rubricas, tags e páginas. Há uma mudança entre os modos: rubricas, tags, páginas e JSON bruto. Este é o mesmo gráfico em forma de texto para scripts, bots e integrações.
Resolvendo um problema real. Em SI, os tópicos não existem isoladamente. Kerberoasting não pode ser entendido sem Kerberos. Kerberos não pode ser entendido sem o Active Directory. O Active Directory leva à autenticação do Windows, que se cruza com Pass-the-Hash e NTLM Relay. O gráfico mostra essas conexões claramente, e não as esconde atrás de tags no rodapé da página.
O material foi concebido como um contorno, e não como três produtos diferentes. O artigo define o contexto. O laboratório permite que você experimente a etapa com suas mãos. O guia mostra os nós vizinhos e tópicos relacionados. O gráfico responde à pergunta "o que está por perto". A lista de ferramentas e jogos responde à pergunta "onde tocar nisso". A interseção de red team, blue team e forense aqui é intencional. No campo do tema, é assim que funciona.
Só para fins de experimento, você pode tentar percorrer o feed do início ao fim.
Seção de ferramentas: mais de 100 utilitários sem registro
Sobre as ferramentas, a maioria delas está agora em fase de teste beta. Em suma, não estão concluídas. Existem protótipos de trabalho, existem modos de demonstração, e existem apenas stubs com um belo nome e um botão que ainda não leva a lugar nenhum. Eu poderia escrever "tudo estará em breve", "estamos trabalhando nisso", "fique atento às atualizações". Mas vamos ser honestos, eu sou um, o projeto está sendo feito no meu tempo livre do trabalho principal, e é fisicamente impossível escrever 100 ferramentas, 200 jogos e ainda ter tempo para verificar para que cada correção de bug não quebre metade do site. Mas também há vantagens - o registro para o laboratório não é necessário. Para entrada sensível, o cálculo é feito por padrão em JavaScript dentro da página. Esses dados não são enviados para o back-end do WordPress.
Uma ressalva separada. Parte dos utilitários, em termos de significado, se refere ao mundo exterior. Verificação de cabeçalhos HTTP para um domínio real. DoH, apelos para APIs públicas de geolocalização ou bancos de dados de ameaças. RDAP via proxy de servidor. Caso contrário, o navegador estaria preso ao CORS. O proxy no mesmo domínio contorna isso com uma lista branca rígida. Ele recebe não um segredo do formulário do laboratório, mas o que é necessário para verificação, por exemplo, o nome do host. Parte dos widgets carrega bibliotecas de uma CDN. Esta também é uma solicitação externa, mas não um upload da entrada do usuário para meu servidor.
A tarefa do laboratório é explicar a mecânica, e não emitir um veredicto do scanner. Onde apropriado, os widgets têm uma camada "Prática / Como funciona / Teoria". Primeiro, olhe, depois uma explicação passo a passo. O fato de que parte dos utilitários vai para o mundo exterior é limitado acima.
As ferramentas são divididas por tópicos.
Criptografia
: AES Rounds Visualizer com exibição passo a passo de cada rodada, RSA Step Simulator, Diffie-Hellman Simulator, Padding Oracle Attack Visualizer, Hash Avalanche Effect, Hash Length Extension Demo, OTP Crack Simulator, Frequency Analysis, XOR Visualizer, HMAC Calculator, RSA Key Pair Generator, simulador de cifras de César e Bacon, conversor de Braille, quadrado de Políbio. Tudo o que é difícil de entender e impossível de ver.
Segurança de rede
: BGP Hijacking Simulator, TCP Handshake Visualizer, SYN Backlog Visualizer, DNS Lookup via DoH, comparação de DoH e DNS, Traceroute Simulator, CIDR Calculator, IPv6 Subnet Calculator, IP Lookup, WHOIS Lookup, Network Topology Builder, Nmap Scan Visualizer, Port Scanner Simulator, VPN Tunnel Visualizer, ARP Spoofing Simulator, MITM Simulator.
Utilitários de uso geral
: gerador de senhas, avaliador de força de senha, calculadora de entropia, calculadora de hash, calculadora chmod, testador regex, Base64, codificador/decodificador de URL, conversor HEX/ASCII/Binary, JSON Formatter, Cron decoder, Unix Timestamp, User-Agent Parser, Fingerprint Viewer, tabela ASCII, conversor de sistemas numéricos, código Morse, gerador e decodificador QR, visualizador Diff.
O AES Rounds Visualizer merece atenção especial. A ferramenta suporta a entrada de um bloco e chave em hex, tem um modo de demonstração, navegação passo a passo com as teclas de seta, um log de texto para copiar e três guias: "Prática", "Como funciona", "Teoria". Esta é uma ferramenta de treinamento onde você pode ver o que acontece dentro de cada uma das 10 rodadas.
Do lado de fora, as longas listas do laboratório parecem um catálogo. Mas o bloco de jogos são cenários com uma escala diferente de passo. Retenção mais longa, às vezes tela cheia, onde a integridade da imagem é importante. Triagem SOC, missões por regras e blue team - não é entretenimento. Esta é uma tentativa de fixar o processo: onde olhar primeiro, o que perguntar, onde a disciplina da primeira linha termina.
Seção de jogos: mais de 200 simuladores de navegador
Os jogos são talvez a coisa mais inesperada do projeto. São mais de 200, divididos em 2D, 2.5D e 3D e cobrem toda a gama do básico ao profundo. Muitos, por tradição, ainda não estão concluídos.
Tópicos não padronizados
: Automotive CAN Bus, Medical Device Hack Lab, IEC 61850 Lab, Modbus Security Quest, SCADA Protocol Parser, Drone Protocol Reverse, Satellite Comms Security, Radio Replay Attack, NFC Relay Lab, RFID Clone Quest, BLE Pairing Attack, Jamming Detection Lab, SDR Spectrum Analyzer, OBD2 Diagnostic Quest, Zigbee Key Exchange.
Outros
: Phishing Detective, LLM Jailbreak Scenario, Prompt Injection Defender, Federated Learning Security, Model Poisoning Lab, ML Model Extraction Quest, Ransomware Stop the Clock, Timeline History of Hacking, CTF Bootcamp, GDPR Compliance Checker, PCI DSS Validator Lab, Purple Team Exercise, Blue Team Response Quest e muitos outros.
Qualquer simulação no navegador simplifica o sistema ao vivo. Isso é conveniente para o primeiro contato com a ideia e para a ordem de treinamento das etapas. Mas isso não substitui um stand, PCAP ou um campo de treinamento com um Active Directory real. No incidente, as decisões são tomadas de acordo com regras diferentes. Aqui, eu conscientemente permaneço abaixo desse limite para não substituir a experiência por um clique.
Glossário: terminologia com fontes
O glossário agora contém 89 termos. No código do tema estão as sementes para centenas de entradas, parte ainda não foi exibida. O número vai crescer. Por enquanto, isso é muito pouco em termos de cobertura de todo o SI, e a seção continua a ser preenchida.
Para cada termo, a fonte regulatória é indicada. Não apenas uma definição da Wikipedia, mas uma formulação de um determinado GOST ou padrão internacional. GOST R 50922-2006, GOST R 53114-2008, GOST R 58256-2018, ISO/IEC 27000, GOST R 56546-2015, Lei Federal 149-FZ e outros. Para um especialista que precisa não apenas entender o termo, mas também se referir a ele em um documento, isso é importante.
A navegação pelo glossário funciona pela primeira letra, há uma busca ao vivo. Artigos sobre o tópico estão vinculados a cada termo.
Chat e fórum: uma abordagem consciente para a segurança da comunidade
https://seberd.ru/chat
O chat da comunidade permite que você escreva uma mensagem sem registro. Basta entrar e perguntar. Às vezes, uma pessoa precisa fazer uma pergunta, e exigir que ela crie uma conta por causa disso é uma barreira desnecessária. Uma mensagem é suficiente para iniciar um diálogo. A verificação em várias etapas para spam exclui abusos óbvios. Antes disso, havia muito mais mensagens, quase todas em inglês e com links para recursos maliciosos.
O fórum funciona no wpForo em conjunto com o WordPress. Ao lado dele, há um plugin SEBERD Defang separado. Quando os comentários nativos do WordPress são exibidos, o texto passa por um filtro de saída.
No banco de dados, ele é armazenado como está, apenas a exibição muda. http/https são transformados em hxxp/hxxps, pontos em domínios - em [.], o símbolo @ - em [at]. Exemplo:
na tela se torna hxxps://malware[.]example[.]com/payload.
Esta é uma prática padrão ao publicar IOCs, analisar incidentes e compartilhar artefatos maliciosos. É necessário que um clique aleatório ou um rastreador automático não abra um recurso malicioso real. Na maioria dos fóruns de SI, isso é feito manualmente. Aqui, isso acontece automaticamente, o que reduz a probabilidade de erro e simplifica a publicação de análises. Os corpos dos tópicos e respostas no wpForo são um contorno separado. Se necessário, a mesma política pode ser arrastada para lá.
IA no projeto: honestamente sobre como funciona
"Soa convincente" não significa "verdadeiro". Vale a pena notar - no mundo moderno, parte do conteúdo passa por um pipeline de IA. É inútil esconder isso. Vamos dar uma olhada mais de perto - uma das seções do site é chamada de "IA".
Resumindo - o pipeline é de vários estágios. O rascunho do artigo é formado por uma tarefa estruturada detalhada. Tópico, conceitos técnicos, exemplos específicos, estrutura e requisitos de profundidade. É importante notar - então vem - a passagem editorial. A principal característica é que os clichês são removidos, a neutralidade onde deve haver uma posição, construções artificiais. Assim, a IA é inteligente, a pessoa trabalha - dando-lhe energia.
As ameaças na página principal são processadas de forma semelhante. Dados brutos de feeds são normalizados e transformados em cartões estruturados com uma explicação da mecânica, comandos de ataque e medidas de proteção por meio de IA.
Para ferramentas e jogos, a IA ajuda a gerar código para componentes interativos. Cada componente passa por revisão e edição manual.
Com essa escala, uma pessoa sozinha, sem ferramentas de automação, não escreverá mais de 100 ferramentas e 200 jogos. A automação ajuda a lidar com o volume, mas não substitui a posição. Se a IA emitir algo neutro onde eu vejo um problema específico, eu reescrevo com minhas mãos.
Auditoria do site: o que funciona bem, o que ainda não
O que funciona quase bem.
Tudo é entregue via HTTPS e HTTP/2. Sob o capô, WordPress com um tema SEBERD personalizado baseado em GeneratePress. O plugin do laboratório com rotas /tools/ e /games/. Um plugin de chat separado com sua própria tabela no banco de dados. Fórum no wpForo. Onde o CORS interfere no navegador, um proxy de servidor estreito com uma lista branca de endereços externos está ativado.
Os widgets do laboratório não pedem login. A entrada sensível permanece no navegador.
O chat é protegido contra spam. Para comentários, o defang IOC automático está ativado. O gráfico-navegador funciona e emite a estrutura em JSON. O glossário contém links regulatórios.
Os cartões de ferramentas e jogos quase não têm descrições. Sob cada título, apenas "Ferramenta do laboratório SEBERD" ou "Mini-jogo sobre o tema SI" está escrito. A busca e a categorização dentro dessas seções não são totalmente implementadas. O glossário contém 89 termos. Em apenas um tópico de autenticação do Windows, pode haver dezenas deles.
Páginas separadas ainda puxam a camada semântica via JavaScript. Sem o script, às vezes apenas a casca permanece. O fórum está apenas ganhando público. O autodefense IOC para os corpos dos tópicos wpForo ainda não está no mesmo nível que para os comentários. O roteiro é carregado dinamicamente e, no momento da verificação, não renderizou o conteúdo no lado do servidor.
Observação sobre segurança.
O site é construído no WordPress com todos os riscos habituais. A relevância do kernel e plugins, acesso ao wp-admin, XML-RPC. No perímetro, Nginx corta o excesso, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy e CSP rígido são definidos. Não foi possível verificar os cabeçalhos diretamente do ambiente de teste devido às restrições do proxy, mas a lista de fontes externas permitidas precisa ser mantida em sincronia com o que o tema e o laboratório realmente conectam. Um novo script ou domínio quase sempre significa editar a configuração. Para um site sobre cibersegurança, esta é a primeira coisa que eles olham.
A preparação está muito longe. Eu trabalho nisso todos os dias
Este item é mais importante do que parece. O projeto está cru. Não no sentido de "há pequenos bugs", mas no sentido de "a maior parte do que foi planejado ainda não foi implementado". Cartões de ferramentas sem descrições normais. O gráfico-guia funciona, mas requer desenvolvimento. O fórum está apenas começando a funcionar. O glossário está incompleto. O roteiro é carregado dinamicamente e pode não estar disponível sem JavaScript.
Eu faço isso quase todos os dias. Sem equipe, sem investimento, sem gerente de conteúdo. Este é um projeto pessoal de uma pessoa em paralelo com a atividade principal. Todos os dias algo é adicionado, refeito, quebrado e consertado.
Eu quero dizer honestamente: eu não sei para onde este projeto vai. Pode ser uma boa base de conhecimento. Pode ficar preso no meio do caminho, como a maioria dos projetos de uma pessoa. Por enquanto, eu só estou fazendo o que acho certo, e tentando não mentir para mim mesmo sobre o estado atual.
O que eu quero deste projeto no final
Não uma biblioteca estática que é lida e fechada. Um recurso ao vivo onde algo acontece todos os dias. A situação é atualizada em tempo real, e não uma vez por trimestre. Você pode entrar e, no navegador, sem instalação, passar passo a passo pelas rodadas AES ou ver como o Kerberoasting funciona. Você pode fazer uma pergunta sem criar uma conta.
Eu não sou contra a monetização de sites. Sou contra um vetor específico em que a segurança se torna uma ferramenta de intimidação para venda. A imagem real das ameaças é ajustada à linha de produtos. Os problemas são exagerados, e as soluções coincidem com a lista de preços. Isso não é justo com as pessoas que buscam uma compreensão real.
Ao mesmo tempo, entendo que uma pessoa não pode fazer tudo. Daí a IA no pipeline, o fórum aberto, o chat sem registro. Se as pessoas que entendem melhor do que eu em tópicos específicos quiserem participar, só será melhor.
Um hacker, na minha compreensão, nem sempre é um vilão nem um herói romântico dos filmes de Hollywood. É uma pessoa com certas habilidades e motivação, que é separada do defensor principalmente pelo lado do perímetro. O respeito mútuo entre as equipes vermelha e azul na prática real é muito mais produtivo do que a imagem de uma oposição irreconciliável. Isso também faz parte do que quero refletir nos materiais do site.
Um hacker é um especialista com profundo conhecimento de sistemas de computador, que encontra e usa vulnerabilidades em software ou redes. Eles podem agir tanto para fins ilegais (cibercriminosos) quanto para fins de aprimoramento da segurança (hackers éticos), analisando a proteção e contornando restrições
Se você está interessado nessa abordagem, vá para
seberd.ru
. O fórum e o chat estão abertos.
Se algo estiver errado ou houver algo a acrescentar, leio os comentários. O erro no CVE, link para a técnica ou formulação, peço que seja acompanhado por um link para a fonte original. No comentário ou no fórum. Assim, a correção chega mais rápido.
Tags:
segurança da informação
treinamento em cibersegurança
simuladores de ataque
análise de vulnerabilidades
SI prático
laboratório web
SOC
forense
projeto educacional
Hubs:
CMS
WordPress
Inteligência Artificial
Segurança da Informação
Administração de Sistemas
0
0
0
2K+
Cobertura em 30 dias
1
Carma
SEBERD IT Base
@ochkanov
Usuário
Inscrever-se
Site
O fluxo de segurança da informação está disponível 24 horas por dia, 7 dias por semana, graças ao apoio dos amigos do Habr
Habr Cursos para todos
ANÚNCIOS
Prática, Hexlet, SkyPro, cursos do autor - reunimos todos e pedimos descontos. Resta escolher!
Ir
Ir para o fluxo de segurança da informação
Comentar
Melhor do dia
Semelhante
Mostrar o melhor de todos os tempos
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
ochkanov
1 minuto atrás
SEBERD IT Base: Por que criei outro site sobre cibersegurança e por quê
Simples
14 min
0
CMS
*
WordPress
*
Inteligência Artificial
Segurança da Informação
*
Administração de Sistemas
*
Visão geral
Eu não escrevo por causa de tráfego ou para vender um curso (que não existe). Escrevo porque tenho algo a dizer sobre a forma como o conteúdo de segurança da informação é hoje. E sobre o que estou tentando fazer com isso, mesmo que ainda não seja muito bem-sucedido.
Tem havido muito conteúdo sobre segurança da informação. O problema é que a quantidade há muito tempo deixou de significar qualidade. A maioria dos materiais insiste que "as ameaças estão crescendo" e "a proteção é necessária", mas quase não responde à questão principal - como exatamente um ataque funciona. A situação é estranha. Muita informação, pouca compreensão.
A ideia da SEBERD IT Base surgiu como uma tentativa de corrigir isso. Não através de outra seleção de notícias ou recontagem de documentação, mas através da análise da mecânica. O que acontece dentro do ataque no nível de ações, protocolos e lógica.
Sobre as páginas principais e por que eu não fiz uma normal
Para ser honesto, eu nunca leio as páginas principais dos sites. De jeito nenhum. Preciso de informações específicas. Abro a busca, sigo um link direto ou através da navegação. A página principal da maioria dos projetos é um folheto de marketing para aqueles que ainda não decidiram se precisam desse site.
Decidi não fazer uma página principal como essa. Em vez disso, há um feed de ameaças ao vivo. É um agregador que puxa dados atuais via RSS e API de dezenas de fontes. Ele funciona com feeds nos formatos RSS/Atom e respostas estruturadas de serviços, em vez de analisar o HTML de terceiros manualmente.
Fontes:
FSTEC - feeds abertos de BDU e publicações relacionadas.
NVD do NIST - cartões CVE.
MITRE ATT&CK - matriz aberta de táticas e técnicas, que é conveniente usar na análise.
Mais outros feeds temáticos.
Os dados são normalizados e deduplicados. O mesmo evento não se multiplica no feed. Em seguida, eles são transferidos para um pipeline de IA, que os transforma em um cartão estruturado com análise.
Tecnicamente, a agregação ocorre no lado do site. PHP puxa RSS/Atom e armazena o resultado em um cache temporário. Esta é uma retenção de curta duração da resposta da fonte, que reduz a carga nos feeds e dá uma imagem suave durante picos de tráfego. Já do cache, os dados entram no modelo e no pipeline. A carga é previsível, e todos os visitantes veem a mesma imagem. Se parte dos feeds não responder temporariamente, o feed não é zerado. O cache e o modo simplificado permanecem até que as fontes estejam disponíveis novamente.
O resultado é assim. Um diagrama de rede interativo com as zonas Internet, DMZ e Internal. Um vetor de ataque animado. Um terminal com comandos de reconhecimento reais. Uma descrição passo a passo da técnica: reconhecimento, análise de vulnerabilidade, exploração. Uma explicação detalhada da mecânica e medidas de proteção específicas. O tipo de ataque está vinculado ao MITRE ATT&CK. O nível de risco é exibido claramente. Este não é um resumo no espírito de "outra empresa foi hackeada". Esta é uma análise da técnica com uma compreensão de como ela funciona por dentro. O contador no canto superior direito mostra os visitantes online agora e o número total de todos os tempos.
Não sei se isso será mais interessante do que a página principal normal. Mas é mais honesto. Uma pessoa que abre um site sobre cibersegurança provavelmente quer ver algo sobre cibersegurança, e não um texto publicitário.
De onde o projeto veio
Eu trabalho em segurança da informação: SOC, resposta a incidentes, arquitetura de proteção. Não vou mencionar locais específicos. Não se trata de networking de carreira. O que é mais importante é outra coisa. Do trabalho, tirei várias observações que se transformaram em motivação.
A primeira observação.
A maioria do conteúdo em russo sobre SI não é escrito para o leitor. É escrito para algoritmos, planos de conteúdo e orçamentos de publicidade de fornecedores. O esquema é padrão. A empresa vende um produto e encomenda um artigo sobre o problema. O problema é exagerado ao máximo, e no final, acontece que é este produto que o resolve. Isso é um negócio, e eu não considero as pessoas que trabalham assim como fraudadores. O problema é que quase não sobrou outro tipo de conteúdo. Vejo o resultado assim: um enorme volume de materiais ou recontam superficialmente a documentação, ou servem ao funil de vendas de alguém.
A segunda observação.
Não há praticamente nenhum lugar em russo onde se possa falar sobre o ataque no nível da mecânica sem a conclusão "compre nosso agente" no final. Ou há, mas de forma fragmentada. Pessoas separadas, postagens separadas. Não um lugar, mas achados aleatórios.
A terceira observação.
Um hacker, na minha compreensão, não é um vilão nem um herói romântico. É uma pessoa com certas habilidades e motivação. Ele é separado do defensor principalmente pelo lado do perímetro. Trabalhei o suficiente com análises de ataques reais para ter respeito profissional pelo lado oposto, e não ódio. Isso afeta a forma como os materiais no site são escritos: sem demonização, sem romantização, ao ponto.
De tudo isso resultou
seberd.ru
. Ele vive em um pequeno VPS. Ubuntu, dois vCPUs, cerca de 2 GB de RAM, um disco de cerca de 30 GB. Sem cluster e orquestração extra. Mas com uma carga previsível. Do lado de fora, Nginx com TLS e gzip, limites separados para APIs frequentes, para que o chat e as pesquisas não sobrecarreguem o nó. Atrás dele está uma combinação de Apache, PHP e MySQL. LAMP clássico, em torno do qual o WordPress gira.
Em termos de significado, este é um lugar, em primeiro lugar, para um profissional de SI. Ele precisa de mecânica e análise de técnicas, e não de um texto que leve ao funil de produtos. Também para uma pessoa de uma área relacionada de desenvolvimento, redes, administração. Ele precisa de um pedaço de teoria de suporte. E para um aluno disposto a ler com atenção. O posicionamento não é "somos para todos", mas um corredor estreito. A profundidade é mais importante do que a cobertura.
Sobre as ilustrações nos artigos. Um professor me pediu para removê-las ou substituí-las. A razão é simples - os alunos começam a olhar para onde não deveriam. Não para o diagrama de ataque, não para a análise do comando, mas para... a série visual. Se o visual atrai a atenção, talvez não seja a imagem. Mas em como eles ensinam. Mas esta não é mais minha área de responsabilidade. Cada um faz o conteúdo da maneira que acha certa.
Como a navegação funciona: um gráfico em vez de um menu plano
A navegação normal por categorias em conteúdo de SI parece uma lista plana. Clicou em "Criptografia", obteve uma lista de artigos. Essa abordagem funciona quando há poucos tópicos. Quando há vários milhares de materiais e há conexões significativas reais entre eles, a lista plana deixa de refletir a realidade.
A seção "Guia" é construída na tecnologia de gráficos. Cada rubrica, tag e página são representadas como um nó. As conexões são mostradas entre eles. Como "Engenharia Social" se cruza com "Segurança Web". Como "Monitoramento e SIEM" está relacionado a "Gerenciamento de Incidentes". Como um artigo específico puxa várias tags relacionadas.
Você seleciona um nó à esquerda, e todos os materiais relacionados aparecem à direita. Há uma busca por rubricas, tags e páginas. Há uma mudança entre os modos: rubricas, tags, páginas e JSON bruto. Este é o mesmo gráfico em forma de texto para scripts, bots e integrações.
Resolvendo um problema real. Em SI, os tópicos não existem isoladamente. Kerberoasting não pode ser entendido sem Kerberos. Kerberos não pode ser entendido sem o Active Directory. O Active Directory leva à autenticação do Windows, que se cruza com Pass-the-Hash e NTLM Relay. O gráfico mostra essas conexões claramente, e não as esconde atrás de tags no rodapé da página.
O material foi concebido como um contorno, e não como três produtos diferentes. O artigo define o contexto. O laboratório permite que você experimente a etapa com suas mãos. O guia mostra os nós vizinhos e tópicos relacionados. O gráfico responde à pergunta "o que está por perto". A lista de ferramentas e jogos responde à pergunta "onde tocar nisso". A interseção de red team, blue team e forense aqui é intencional. No campo do tema, é assim que funciona.
Só para fins de experimento, você pode tentar percorrer o feed do início ao fim.
Seção de ferramentas: mais de 100 utilitários sem registro
Sobre as ferramentas, a maioria delas está agora em fase de teste beta. Em suma, não estão concluídas. Existem protótipos de trabalho, existem modos de demonstração, e existem apenas stubs com um belo nome e um botão que ainda não leva a lugar nenhum. Eu poderia escrever "tudo estará em breve", "estamos trabalhando nisso", "fique atento às atualizações". Mas vamos ser honestos, eu sou um, o projeto está sendo feito no meu tempo livre do trabalho principal, e é fisicamente impossível escrever 100 ferramentas, 200 jogos e ainda ter tempo para verificar para que cada correção de bug não quebre metade do site. Mas também há vantagens - o registro para o laboratório não é necessário. Para entrada sensível, o cálculo é feito por padrão em JavaScript dentro da página. Esses dados não são enviados para o back-end do WordPress.
Uma ressalva separada. Parte dos utilitários, em termos de significado, se refere ao mundo exterior. Verificação de cabeçalhos HTTP para um domínio real. DoH, apelos para APIs públicas de geolocalização ou bancos de dados de ameaças. RDAP via proxy de servidor. Caso contrário, o navegador estaria preso ao CORS. O proxy no mesmo domínio contorna isso com uma lista branca rígida. Ele recebe não um segredo do formulário do laboratório, mas o que é necessário para verificação, por exemplo, o nome do host. Parte dos widgets carrega bibliotecas de uma CDN. Esta também é uma solicitação externa, mas não um upload da entrada do usuário para meu servidor.
A tarefa do laboratório é explicar a mecânica, e não emitir um veredicto do scanner. Onde apropriado, os widgets têm uma camada "Prática / Como funciona / Teoria". Primeiro, olhe, depois uma explicação passo a passo. O fato de que parte dos utilitários vai para o mundo exterior é limitado acima.
As ferramentas são divididas por tópicos.
Criptografia
: AES Rounds Visualizer com exibição passo a passo de cada rodada, RSA Step Simulator, Diffie-Hellman Simulator, Padding Oracle Attack Visualizer, Hash Avalanche Effect, Hash Length Extension Demo, OTP Crack Simulator, Frequency Analysis, XOR Visualizer, HMAC Calculator, RSA Key Pair Generator, simulador de cifras de César e Bacon, conversor de Braille, quadrado de Políbio. Tudo o que é difícil de entender e impossível de ver.
Segurança de rede
: BGP Hijacking Simulator, TCP Handshake Visualizer, SYN Backlog Visualizer, DNS Lookup via DoH, comparação de DoH e DNS, Traceroute Simulator, CIDR Calculator, IPv6 Subnet Calculator, IP Lookup, WHOIS Lookup, Network Topology Builder, Nmap Scan Visualizer, Port Scanner Simulator, VPN Tunnel Visualizer, ARP Spoofing Simulator, MITM Simulator.
Utilitários de uso geral
: gerador de senhas, avaliador de força de senha, calculadora de entropia, calculadora de hash, calculadora chmod, testador regex, Base64, codificador/decodificador de URL, conversor HEX/ASCII/Binary, JSON Formatter, Cron decoder, Unix Timestamp, User-Agent Parser, Fingerprint Viewer, tabela ASCII, conversor de sistemas numéricos, código Morse, gerador e decodificador QR, visualizador Diff.
O AES Rounds Visualizer merece atenção especial. A ferramenta suporta a entrada de um bloco e chave em hex, tem um modo de demonstração, navegação passo a passo com as teclas de seta, um log de texto para copiar e três guias: "Prática", "Como funciona", "Teoria". Esta é uma ferramenta de treinamento onde você pode ver o que acontece dentro de cada uma das 10 rodadas.
Do lado de fora, as longas listas do laboratório parecem um catálogo. Mas o bloco de jogos são cenários com uma escala diferente de passo. Retenção mais longa, às vezes tela cheia, onde a integridade da imagem é importante. Triagem SOC, missões por regras e blue team - não é entretenimento. Esta é uma tentativa de fixar o processo: onde olhar primeiro, o que perguntar, onde a disciplina da primeira linha termina.
Seção de jogos: mais de 200 simuladores de navegador
Os jogos são talvez a coisa mais inesperada do projeto. São mais de 200, divididos em 2D, 2.5D e 3D e cobrem toda a gama do básico ao profundo. Muitos, por tradição, ainda não estão concluídos.
Tópicos não padronizados
: Automotive CAN Bus, Medical Device Hack Lab, IEC 61850 Lab, Modbus Security Quest, SCADA Protocol Parser, Drone Protocol Reverse, Satellite Comms Security, Radio Replay Attack, NFC Relay Lab, RFID Clone Quest, BLE Pairing Attack, Jamming Detection Lab, SDR Spectrum Analyzer, OBD2 Diagnostic Quest, Zigbee Key Exchange.
Outros
: Phishing Detective, LLM Jailbreak Scenario, Prompt Injection Defender, Federated Learning Security, Model Poisoning Lab, ML Model Extraction Quest, Ransomware Stop the Clock, Timeline History of Hacking, CTF Bootcamp, GDPR Compliance Checker, PCI DSS Validator Lab, Purple Team Exercise, Blue Team Response Quest e muitos outros.
Qualquer simulação no navegador simplifica o sistema ao vivo. Isso é conveniente para o primeiro contato com a ideia e para a ordem de treinamento das etapas. Mas isso não substitui um stand, PCAP ou um campo de treinamento com um Active Directory real. No incidente, as decisões são tomadas de acordo com regras diferentes. Aqui, eu conscientemente permaneço abaixo desse limite para não substituir a experiência por um clique.
Glossário: terminologia com fontes
O glossário agora contém 89 termos. No código do tema estão as sementes para centenas de entradas, parte ainda não foi exibida. O número vai crescer. Por enquanto, isso é muito pouco em termos de cobertura de todo o SI, e a seção continua a ser preenchida.
Para cada termo, a fonte regulatória é indicada. Não apenas uma definição da Wikipedia, mas uma formulação de um determinado GOST ou padrão internacional. GOST R 50922-2006, GOST R 53114-2008, GOST R 58256-2018, ISO/IEC 27000, GOST R 56546-2015, Lei Federal 149-FZ e outros. Para um especialista que precisa não apenas entender o termo, mas também se referir a ele em um documento, isso é importante.
A navegação pelo glossário funciona pela primeira letra, há uma busca ao vivo. Artigos sobre o tópico estão vinculados a cada termo.
Chat e fórum: uma abordagem consciente para a segurança da comunidade
https://seberd.ru/chat
O chat da comunidade permite que você escreva uma mensagem sem registro. Basta entrar e perguntar. Às vezes, uma pessoa precisa fazer uma pergunta, e exigir que ela crie uma conta por causa disso é uma barreira desnecessária. Uma mensagem é suficiente para iniciar um diálogo. A verificação em várias etapas para spam exclui abusos óbvios. Antes disso, havia muito mais mensagens, quase todas em inglês e com links para recursos maliciosos.
O fórum funciona no wpForo em conjunto com o WordPress. Ao lado dele, há um plugin SEBERD Defang separado. Quando os comentários nativos do WordPress são exibidos, o texto passa por um filtro de saída.
No banco de dados, ele é armazenado como está, apenas a exibição muda. http/https são transformados em hxxp/hxxps, pontos em domínios - em [.], o símbolo @ - em [at]. Exemplo:
na tela se torna hxxps://malware[.]example[.]com/payload.
Esta é uma prática padrão ao publicar IOCs, analisar incidentes e compartilhar artefatos maliciosos. É necessário que um clique aleatório ou um rastreador automático não abra um recurso malicioso real. Na maioria dos fóruns de SI, isso é feito manualmente. Aqui, isso acontece automaticamente, o que reduz a probabilidade de erro e simplifica a publicação de análises. Os corpos dos tópicos e respostas no wpForo são um contorno separado. Se necessário, a mesma política pode ser arrastada para lá.
IA no projeto: honestamente sobre como funciona
"Soa convincente" não significa "verdadeiro". Vale a pena notar - no mundo moderno, parte do conteúdo passa por um pipeline de IA. É inútil esconder isso. Vamos dar uma olhada mais de perto - uma das seções do site é chamada de "IA".
Resumindo - o pipeline é de vários estágios. O rascunho do artigo é formado por uma tarefa estruturada detalhada. Tópico, conceitos técnicos, exemplos específicos, estrutura e requisitos de profundidade. É importante notar - então vem - a passagem editorial. A principal característica é que os clichês são removidos, a neutralidade onde deve haver uma posição, construções artificiais. Assim, a IA é inteligente, a pessoa trabalha - dando-lhe energia.
As ameaças na página principal são processadas de forma semelhante. Dados brutos de feeds são normalizados e transformados em cartões estruturados com uma explicação da mecânica, comandos de ataque e medidas de proteção por meio de IA.
Para ferramentas e jogos, a IA ajuda a gerar código para componentes interativos. Cada componente passa por revisão e edição manual.
Com essa escala, uma pessoa sozinha, sem ferramentas de automação, não escreverá mais de 100 ferramentas e 200 jogos. A automação ajuda a lidar com o volume, mas não substitui a posição. Se a IA emitir algo neutro onde eu vejo um problema específico, eu reescrevo com minhas mãos.
Auditoria do site: o que funciona bem, o que ainda não
O que funciona quase bem.
Tudo é entregue via HTTPS e HTTP/2. Sob o capô, WordPress com um tema SEBERD personalizado baseado em GeneratePress. O plugin do laboratório com rotas /tools/ e /games/. Um plugin de chat separado com sua própria tabela no banco de dados. Fórum no wpForo. Onde o CORS interfere no navegador, um proxy de servidor estreito com uma lista branca de endereços externos está ativado.
Os widgets do laboratório não pedem login. A entrada sensível permanece no navegador.
O chat é protegido contra spam. Para comentários, o defang IOC automático está ativado. O gráfico-navegador funciona e emite a estrutura em JSON. O glossário contém links regulatórios.
Os cartões de ferramentas e jogos quase não têm descrições. Sob cada título, apenas "Ferramenta do laboratório SEBERD" ou "Mini-jogo sobre o tema SI" está escrito. A busca e a categorização dentro dessas seções não são totalmente implementadas. O glossário contém 89 termos. Em apenas um tópico de autenticação do Windows, pode haver dezenas deles.
Páginas separadas ainda puxam a camada semântica via JavaScript. Sem o script, às vezes apenas a casca permanece. O fórum está apenas ganhando público. O autodefense IOC para os corpos dos tópicos wpForo ainda não está no mesmo nível que para os comentários. O roteiro é carregado dinamicamente e, no momento da verificação, não renderizou o conteúdo no lado do servidor.
Observação sobre segurança.
O site é construído no WordPress com todos os riscos habituais. A relevância do kernel e plugins, acesso ao wp-admin, XML-RPC. No perímetro, Nginx corta o excesso, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy e CSP rígido são definidos. Não foi possível verificar os cabeçalhos diretamente do ambiente de teste devido às restrições do proxy, mas a lista de fontes externas permitidas precisa ser mantida em sincronia com o que o tema e o laboratório realmente conectam. Um novo script ou domínio quase sempre significa editar a configuração. Para um site sobre cibersegurança, esta é a primeira coisa que eles olham.
A preparação está muito longe. Eu trabalho nisso todos os dias
Este item é mais importante do que parece. O projeto está cru. Não no sentido de "há pequenos bugs", mas no sentido de "a maior parte do que foi planejado ainda não foi implementado". Cartões de ferramentas sem descrições normais. O gráfico-guia funciona, mas requer desenvolvimento. O fórum está apenas começando a funcionar. O glossário está incompleto. O roteiro é carregado dinamicamente e pode não estar disponível sem JavaScript.
Eu faço isso quase todos os dias. Sem equipe, sem investimento, sem gerente de conteúdo. Este é um projeto pessoal de uma pessoa em paralelo com a atividade principal. Todos os dias algo é adicionado, refeito, quebrado e consertado.
Eu quero dizer honestamente: eu não sei para onde este projeto vai. Pode ser uma boa base de conhecimento. Pode ficar preso no meio do caminho, como a maioria dos projetos de uma pessoa. Por enquanto, eu só estou fazendo o que acho certo, e tentando não mentir para mim mesmo sobre o estado atual.
O que eu quero deste projeto no final
Não uma biblioteca estática que é lida e fechada. Um recurso ao vivo onde algo acontece todos os dias. A situação é atualizada em tempo real, e não uma vez por trimestre. Você pode entrar e, no navegador, sem instalação, passar passo a passo pelas rodadas AES ou ver como o Kerberoasting funciona. Você pode fazer uma pergunta sem criar uma conta.
Eu não sou contra a monetização de sites. Sou contra um vetor específico em que a segurança se torna uma ferramenta de intimidação para venda. A imagem real das ameaças é ajustada à linha de produtos. Os problemas são exagerados, e as soluções coincidem com a lista de preços. Isso não é justo com as pessoas que buscam uma compreensão real.
Ao mesmo tempo, entendo que uma pessoa não pode fazer tudo. Daí a IA no pipeline, o fórum aberto, o chat sem registro. Se as pessoas que entendem melhor do que eu em tópicos específicos quiserem participar, só será melhor.
Um hacker, na minha compreensão, nem sempre é um vilão nem um herói romântico dos filmes de Hollywood. É uma pessoa com certas habilidades e motivação, que é separada do defensor principalmente pelo lado do perímetro. O respeito mútuo entre as equipes vermelha e azul na prática real é muito mais produtivo do que a imagem de uma oposição irreconciliável. Isso também faz parte do que quero refletir nos materiais do site.
Um hacker é um especialista com profundo conhecimento de sistemas de computador, que encontra e usa vulnerabilidades em software ou redes. Eles podem agir tanto para fins ilegais (cibercriminosos) quanto para fins de aprimoramento da segurança (hackers éticos), analisando a proteção e contornando restrições
Se você está interessado nessa abordagem, vá para
seberd.ru
. O fórum e o chat estão abertos.
Se algo estiver errado ou houver algo a acrescentar, leio os comentários. O erro no CVE, link para a técnica ou formulação, peço que seja acompanhado por um link para a fonte original. No comentário ou no fórum. Assim, a correção chega mais rápido.
Tags:
segurança da informação
treinamento em cibersegurança
simuladores de ataque
análise de vulnerabilidades
SI prático
laboratório web
SOC
forense
projeto educacional
Hubs:
CMS
WordPress
Inteligência Artificial
Segurança da Informação
Administração de Sistemas
0
0
0
2K+
Cobertura em 30 dias
1
Carma
SEBERD IT Base
@ochkanov
Usuário
Inscrever-se
Site
O fluxo de segurança da informação está disponível 24 horas por dia, 7 dias por semana, graças ao apoio dos amigos do Habr
Habr Cursos para todos
ANÚNCIOS
Prática, Hexlet, SkyPro, cursos do autor - reunimos todos e pedimos descontos. Resta escolher!
Ir
Ir para o fluxo de segurança da informação
Comentar
Melhor do dia
Semelhante
Mostrar o melhor de todos os tempos
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
