Forwarded from Standoff 365
⏳ Четыре дня до открытия онлайн-киберполигона!
50 счастливчиков тестировали полигон ещё в декабре и представляют, как всё работает. Теперь мы готовы открыть его для всех вас :)
Онлайн-киберполигон — это площадка, где можно ломать копии реальных инфраструктур компаний, оттачивая навыки пентеста или исследуя новые техники атак 24/7.
В декабре участники тестирования получили платформу с двумя сегментами: энергетическим холдингом Big Bro Group и IT-компанией Hello World Systems. Полигон работал по стандартным правилам The Standoff: хакеры искали уязвимости в системах, реализовывали недопустимые события и сдавали отчёты. Что изменилось?
#Changelog:
✔️ Добавили новый сегмент — банк, который проводит финансовые операции между предприятиями и гражданами, а также выполняет межбанковские переводы через интерфейс с центробанком.
✔️ Изменили принцип получения очков: вместо написания отчётов участники будут сдавать флаги. Когда вы достигли цели и реализовали недопустимое событие, вы заберёте с системы строчку определённого формата — флаг. Он доказывает, что вы успешно проникли в систему.
✔️ В веб-интерфейсе можно получить e-mail учётки для фишинга на полигоне и сделать откат машин в случае поломки.
Приходите в понедельник на платформу, чтобы раньше всех грабануть банк 😎
50 счастливчиков тестировали полигон ещё в декабре и представляют, как всё работает. Теперь мы готовы открыть его для всех вас :)
Онлайн-киберполигон — это площадка, где можно ломать копии реальных инфраструктур компаний, оттачивая навыки пентеста или исследуя новые техники атак 24/7.
В декабре участники тестирования получили платформу с двумя сегментами: энергетическим холдингом Big Bro Group и IT-компанией Hello World Systems. Полигон работал по стандартным правилам The Standoff: хакеры искали уязвимости в системах, реализовывали недопустимые события и сдавали отчёты. Что изменилось?
#Changelog:
✔️ Добавили новый сегмент — банк, который проводит финансовые операции между предприятиями и гражданами, а также выполняет межбанковские переводы через интерфейс с центробанком.
✔️ Изменили принцип получения очков: вместо написания отчётов участники будут сдавать флаги. Когда вы достигли цели и реализовали недопустимое событие, вы заберёте с системы строчку определённого формата — флаг. Он доказывает, что вы успешно проникли в систему.
✔️ В веб-интерфейсе можно получить e-mail учётки для фишинга на полигоне и сделать откат машин в случае поломки.
Приходите в понедельник на платформу, чтобы раньше всех грабануть банк 😎
👍15🔥3
Forwarded from Positive Technologies
Экспертный центр кибербезопасности Positive Technologies и PT Career HUB запускают стажировку The Young Hats: Infosec A+
Для молодых специалистов это отличная возможность на практике познакомиться с защитой от комплексных атак на цифровую инфраструктуру.
👨🏫 Что вас ждет?
Стажировка состоит из двух частей. Сперва вы изучите базовые темы ИБ:
— введение в безопасность операционных систем;
— компьютерные атаки (классификации, жизненный цикл, база знаний MITRE ATT&CK);
— основные возможности MaxPatrol SIEM, PT NAD, PT Application Firewall;
— выявление и отражение атак на различных этапах.
На втором этапе, после экзамена, лучшие студенты получат возможность пройти оплачиваемую стажировку в подразделениях экспертного центра безопасности Positive Technologies.
⏰ Когда?
Старт 15 августа 2022 года
Заявки принимаются до 25 июля
💻 Формат
Занятия будут проходить онлайн, в дистанционном режиме. 20 часов в неделю, 4 месяца. Мало теории, много практики.
Подать заявку можно на сайте
Для молодых специалистов это отличная возможность на практике познакомиться с защитой от комплексных атак на цифровую инфраструктуру.
👨🏫 Что вас ждет?
Стажировка состоит из двух частей. Сперва вы изучите базовые темы ИБ:
— введение в безопасность операционных систем;
— компьютерные атаки (классификации, жизненный цикл, база знаний MITRE ATT&CK);
— основные возможности MaxPatrol SIEM, PT NAD, PT Application Firewall;
— выявление и отражение атак на различных этапах.
На втором этапе, после экзамена, лучшие студенты получат возможность пройти оплачиваемую стажировку в подразделениях экспертного центра безопасности Positive Technologies.
⏰ Когда?
Старт 15 августа 2022 года
Заявки принимаются до 25 июля
💻 Формат
Занятия будут проходить онлайн, в дистанционном режиме. 20 часов в неделю, 4 месяца. Мало теории, много практики.
Подать заявку можно на сайте
👍8
Фарм мерча на PHDays 11
Чего только не сделаешь ради крутого мерча от Positive Technologies!
На PHDays любой желающий мог получить его. Нужно было только пройти квиз…
Хакер под ником eeenvik1 подделал бот, с помощью которого нужно было успешно пройти квиз, правильно ответив на 10 из 10 вопросов по шести темам, чтобы получить в награду наш мерч. Для создания копии бота исследователь прибег к тайпсквоттингу — виду атак социальной инженерии, нацеленному на тех, кто допускает опечатку при вводе веб-адреса в браузере и не использует поисковую систему.
О том, как он это сделал и что из этого вышло, читайте в статье на Хабре
P.S. Мерч по-прежнему доступен для заказа на positivemerch.com
Чего только не сделаешь ради крутого мерча от Positive Technologies!
На PHDays любой желающий мог получить его. Нужно было только пройти квиз…
Хакер под ником eeenvik1 подделал бот, с помощью которого нужно было успешно пройти квиз, правильно ответив на 10 из 10 вопросов по шести темам, чтобы получить в награду наш мерч. Для создания копии бота исследователь прибег к тайпсквоттингу — виду атак социальной инженерии, нацеленному на тех, кто допускает опечатку при вводе веб-адреса в браузере и не использует поисковую систему.
О том, как он это сделал и что из этого вышло, читайте в статье на Хабре
P.S. Мерч по-прежнему доступен для заказа на positivemerch.com
😁5🔥2👍1👎1
Forwarded from Standoff 365
🤘 The Standoff Talks снова в деле
Приглашаем всех в конце лета на наш митап для энтузиастов и профессионалов Offensive/Defensive Security. Первый The Standoff Talks пройдёт 23 августа в Москве, на площадке Loft Hall. В программе доклады, общение и чилл. Это тот самый митап, который мы затеяли ещё в начале весны.
🔔 Сегодня мы запускаем Call For Papers и регистрацию для спикеров. Если вам интересно что-нибудь рассказать на пентестерско-стэндоффскую тему, успевайте заполнить форму CFP до 1 августа → cfp.standoff365.com
С чем можно податься?
• техническими и фановыми докладами из жизни специалиста Red/Blue Team;
• историями про свой опыт и забавные открытия;
• рассказами команды про жизнь и подготовку к Стэндоффу, бета-тест платформы The Standoff 365;
• успешными багхантерскими находками.
В общем, тут главное — желание поделиться с единомышленниками, а форму выбираете вы.
Первого августа мы закроем подачу заявок на доклады, запустим регистрацию и отбор уже для участников. У спикеров, естественно, инвайты будут автоматически.
Так что освобождайте 23 августа от дел и готовьте ваши огненные доклады! 👉 cfp.standoff365.com 🔥
Приглашаем всех в конце лета на наш митап для энтузиастов и профессионалов Offensive/Defensive Security. Первый The Standoff Talks пройдёт 23 августа в Москве, на площадке Loft Hall. В программе доклады, общение и чилл. Это тот самый митап, который мы затеяли ещё в начале весны.
🔔 Сегодня мы запускаем Call For Papers и регистрацию для спикеров. Если вам интересно что-нибудь рассказать на пентестерско-стэндоффскую тему, успевайте заполнить форму CFP до 1 августа → cfp.standoff365.com
С чем можно податься?
• техническими и фановыми докладами из жизни специалиста Red/Blue Team;
• историями про свой опыт и забавные открытия;
• рассказами команды про жизнь и подготовку к Стэндоффу, бета-тест платформы The Standoff 365;
• успешными багхантерскими находками.
В общем, тут главное — желание поделиться с единомышленниками, а форму выбираете вы.
Первого августа мы закроем подачу заявок на доклады, запустим регистрацию и отбор уже для участников. У спикеров, естественно, инвайты будут автоматически.
Так что освобождайте 23 августа от дел и готовьте ваши огненные доклады! 👉 cfp.standoff365.com 🔥
👍9🔥2
Forwarded from Standoff 365
Встречайте, онлайн-киберполигон The Standoff 365 — online.standoff365.com
Испытайте пределы безопасности реальных компаний в корпоративном, энергетическом и банковском сегментах!
📊💡🏦
Испытайте пределы безопасности реальных компаний в корпоративном, энергетическом и банковском сегментах!
📊💡🏦
🔥14👍1
Риски безопасности систем ИИ
В 2021 году тренд на использование технологий на базе искусственного интеллекта в киберпреступности стал реальностью. Шутки кончились! 😐 В Китае, например, хакеры нанесли ущерб на $76.2 млн, обманув с помощью дипфейка госсистему, которая принимает подтвержденные биометрией налоговые документы, а в ОАЭ мошенники вынудили сотрудника компании перевести деньги на их счета, подделав голос директора.
Чтобы помочь специалистам DS, ML и AI больше погрузиться в вопросы безопасности, а экспертам по ИБ — ближе познакомиться с ИИ, на PHDays 11 мы провели соревнование AI CTF, затрагивающее риски безопасности систем ИИ.
В течение 28 часов 44 конкурсанта сдали как минимум по одному флагу. Все задания были решены, но никто из участников не решил их все 🤷♀️
Подготовили подробный разбор конкурса на нашем Хабре
В 2021 году тренд на использование технологий на базе искусственного интеллекта в киберпреступности стал реальностью. Шутки кончились! 😐 В Китае, например, хакеры нанесли ущерб на $76.2 млн, обманув с помощью дипфейка госсистему, которая принимает подтвержденные биометрией налоговые документы, а в ОАЭ мошенники вынудили сотрудника компании перевести деньги на их счета, подделав голос директора.
Чтобы помочь специалистам DS, ML и AI больше погрузиться в вопросы безопасности, а экспертам по ИБ — ближе познакомиться с ИИ, на PHDays 11 мы провели соревнование AI CTF, затрагивающее риски безопасности систем ИИ.
В течение 28 часов 44 конкурсанта сдали как минимум по одному флагу. Все задания были решены, но никто из участников не решил их все 🤷♀️
Подготовили подробный разбор конкурса на нашем Хабре
🔥6👍3
Более 200 исследователей безопасности зарегистрировались сегодня на The Standoff 365 🎉
На нашей платформе вы можете:
Прокачивать свои навыки на Киберполигоне, испытывая пределы безопасности реальных компаний в корпоративном, энергетическом и банковском сегментах!
Получать деньги и славу за найденные уязвимости, участвуя в программах bug bounty.
Присоединиться
На нашей платформе вы можете:
Прокачивать свои навыки на Киберполигоне, испытывая пределы безопасности реальных компаний в корпоративном, энергетическом и банковском сегментах!
Получать деньги и славу за найденные уязвимости, участвуя в программах bug bounty.
Присоединиться
🔥7👍2
IDS Bypass на PHDays 11
На фоне цифровизации, массового перехода на удаленку и роста напряженности в мире сетевая безопасность приобретает решающее значение для бизнеса, тем более что и кибератаки становятся все коварнее.
Участники конкурса IDS Bypass на PHDays испытали на прочность системы сетевой защиты. В первом задании, например, им предложили проэксплуатировать нашумевшую уязвимость Log4Shell в популярной библиотеке log4j, а во втором — брешь в механизме авторизации SSO, которая позволяет подменить куки и войти в Zabbix без авторизации с учеткой администратора.
Количество решений было неограниченным, а шесть уязвимых сервисов подобраны так, чтобы участники сосредоточились на обходе системы IDS, которая пропускает трафик через себя и блокирует попытки сетевых атак.
Больше 100 конкурсантов состязались днем и ночью почти 30 часов, а борьба за призовые места шла буквально до последней минуты.
Читайте подробный разбор конкурса на Хабре
На фоне цифровизации, массового перехода на удаленку и роста напряженности в мире сетевая безопасность приобретает решающее значение для бизнеса, тем более что и кибератаки становятся все коварнее.
Участники конкурса IDS Bypass на PHDays испытали на прочность системы сетевой защиты. В первом задании, например, им предложили проэксплуатировать нашумевшую уязвимость Log4Shell в популярной библиотеке log4j, а во втором — брешь в механизме авторизации SSO, которая позволяет подменить куки и войти в Zabbix без авторизации с учеткой администратора.
Количество решений было неограниченным, а шесть уязвимых сервисов подобраны так, чтобы участники сосредоточились на обходе системы IDS, которая пропускает трафик через себя и блокирует попытки сетевых атак.
Больше 100 конкурсантов состязались днем и ночью почти 30 часов, а борьба за призовые места шла буквально до последней минуты.
Читайте подробный разбор конкурса на Хабре
👍4
Hack me, если сможешь
Хотим напомнить, что у нас есть подкаст с лучшими выступлениями с Positive Hack Days и не только.
Третий выпуск нового сезона уже ждет своих слушателей!
Новое лицо OSINT. Версия 2022 года.
Андрей Масалович, генеральный директор «Инфорус» и разработчик технологии интернет-разведки Avalanche, раскрывает на реальных примерах 20 практических приемов разведки по открытым источникам (OSINT), в которых применяются новые возможности цифрового мира:
🔸 поиск по фото с использованием нейронных сетей;
🔸 сбор информации из даркнета;
🔸 обнаружение утечек в облачных хранилищах;
🔸 фиксация цифрового следа пользователя по данным его гаджетов.
Слушайте этот и другие выпуски на любой удобной для вас платформе.
Подписывайтесь, ставьте лайки и делитесь своим мнением об услышанном: https://phdays.mave.digital/ep-34
Хотим напомнить, что у нас есть подкаст с лучшими выступлениями с Positive Hack Days и не только.
Третий выпуск нового сезона уже ждет своих слушателей!
Новое лицо OSINT. Версия 2022 года.
Андрей Масалович, генеральный директор «Инфорус» и разработчик технологии интернет-разведки Avalanche, раскрывает на реальных примерах 20 практических приемов разведки по открытым источникам (OSINT), в которых применяются новые возможности цифрового мира:
🔸 поиск по фото с использованием нейронных сетей;
🔸 сбор информации из даркнета;
🔸 обнаружение утечек в облачных хранилищах;
🔸 фиксация цифрового следа пользователя по данным его гаджетов.
Слушайте этот и другие выпуски на любой удобной для вас платформе.
Подписывайтесь, ставьте лайки и делитесь своим мнением об услышанном: https://phdays.mave.digital/ep-34
👍9🔥1🎉1
Шестьдесят девятый выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru
Темы нового ролика:
🔸 Парадокс нехватки специалистов в области кибербезопасности
🔸 Новая кэш-атака по сторонним каналам позволяет деанонимизировать пользователей
🔸 Албания ушла в офлайн после кибератаки
🔸 iOS 15 взломали через год после релиза
🔸 Найден чит-код для мозга: просто играйте в видеоигры
🔸 Падение стоимости криптовалюты вызвало кризис в дарквебе
🔸 Группировка BlackCat требует у жертв все больше денег
🔸 Последнее крупное обновление Tor открыло новые возможности по обходу цензуры
🔸 GlobalData: Нефтегазовая отрасль уязвима для кибератак
🔸 Минцифры собирается легализовать белых хакеров
🔸 Опрос: импортозамещение ПО займет несколько месяцев
⚡️ P.S. Хотите целую коробку шоколадок Bounty? 🥥 Тогда обязательно досмотрите видео до конца
Темы нового ролика:
🔸 Парадокс нехватки специалистов в области кибербезопасности
🔸 Новая кэш-атака по сторонним каналам позволяет деанонимизировать пользователей
🔸 Албания ушла в офлайн после кибератаки
🔸 iOS 15 взломали через год после релиза
🔸 Найден чит-код для мозга: просто играйте в видеоигры
🔸 Падение стоимости криптовалюты вызвало кризис в дарквебе
🔸 Группировка BlackCat требует у жертв все больше денег
🔸 Последнее крупное обновление Tor открыло новые возможности по обходу цензуры
🔸 GlobalData: Нефтегазовая отрасль уязвима для кибератак
🔸 Минцифры собирается легализовать белых хакеров
🔸 Опрос: импортозамещение ПО займет несколько месяцев
⚡️ P.S. Хотите целую коробку шоколадок Bounty? 🥥 Тогда обязательно досмотрите видео до конца
YouTube
Албания ушла в оффлайн после кибератаки, срываем маски: новая кэш-атака. Security-новости #69 | 12+
👉 Новости об инвестициях в кибербезопасность: https://t.iss.one/positive_investing
0:00 Security-новости
0:58 Парадокс нехватки специалистов в области кибербезопасности - https://www.securitylab.ru/news/532864.php
2:27 Срываем маски: новая кэш-атака по сторонним…
0:00 Security-новости
0:58 Парадокс нехватки специалистов в области кибербезопасности - https://www.securitylab.ru/news/532864.php
2:27 Срываем маски: новая кэш-атака по сторонним…
👍7❤1🔥1
Митап The Standoff Talks
23 августа в Москве пройдет митап The Standoff Talks, на котором соберутся энтузиасты и профессионалы offensive и defensive security.
С какими докладами можно прийти
Для примера:
🙅 Команда ITeasy, участник майского The Standoff, поделится опытом участия в кибербитве в докладе «Не делайте так, как мы ^ _ ^».
🙀 Bulba Hackers готовят доклад «Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff».
😎 Старший специалист отдела тестирования на проникновение Positive Technologies Константин Полишин расскажет о RedTeam-страданиях SOC’а.
С чем еще можно податься:
• c техническими и фановыми докладами из жизни специалиста red или blue team;
• c историями про свой опыт и забавные открытия;
• c рассказами про жизнь и подготовку к The Standoff, про бета-тест The Standoff 365;
• c успешными багхантерскими находками.
❗️Осталось 5 дней до окончания приема заявок для спикеров (до 1 августа). Если вам есть чем поделиться, успейте заполнить форму CFP!
Let’s meet up!
23 августа в Москве пройдет митап The Standoff Talks, на котором соберутся энтузиасты и профессионалы offensive и defensive security.
С какими докладами можно прийти
Для примера:
🙅 Команда ITeasy, участник майского The Standoff, поделится опытом участия в кибербитве в докладе «Не делайте так, как мы ^ _ ^».
🙀 Bulba Hackers готовят доклад «Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff».
😎 Старший специалист отдела тестирования на проникновение Positive Technologies Константин Полишин расскажет о RedTeam-страданиях SOC’а.
С чем еще можно податься:
• c техническими и фановыми докладами из жизни специалиста red или blue team;
• c историями про свой опыт и забавные открытия;
• c рассказами про жизнь и подготовку к The Standoff, про бета-тест The Standoff 365;
• c успешными багхантерскими находками.
❗️Осталось 5 дней до окончания приема заявок для спикеров (до 1 августа). Если вам есть чем поделиться, успейте заполнить форму CFP!
Let’s meet up!
🔥5👍2
Какие доклады вам интересны больше всего?
Anonymous Poll
65%
Технические доклады из жизни специалиста red или blue team
41%
Истории про личный опыт и забавные открытия
24%
Рассказы команды про жизнь и подготовку к The Standoff, про бета-тестирование The Standoff 365
44%
Успешные находки багхантеров
4%
Свой вариант, напишу в комментариях ↓
Семидесятый выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru
Темы нового ролика:
▫️ Бывший генеральный директор Google сравнил ИИ с ядерным оружием
▫️ Появились инструменты для дешифровки микрокода Intel
▫️ Данные аккаунтов 5,4 млн пользователей Twitter продают в сети за 30 тыс. долларов США
▫️ Ежегодный прирост специалистов в сфере искусственного интеллекта в России составит около 10 тыс. человек
▫️ Инициатива No More Ransom помогла более 1,5 миллионам пользователей по всему миру восстановить данные
▫️ Субатомные частицы предлагают использовать для сканирования зданий и не только
▫️ Хакеры с помощью калькуляторов атакуют Windows 7
▫️ Популярное приложение JusTalk обманывало пользователей
▫️ 69 млн домашних питомцев продаются за 4 BTC
▫️ Финансовые организации Европы под прицелом восставшей группы Evilnum
▫️ Информация о сотрудниках госучреждений США может вновь оказаться в свободном доступе
___________________________
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://t.iss.one/positive_investing
Темы нового ролика:
▫️ Бывший генеральный директор Google сравнил ИИ с ядерным оружием
▫️ Появились инструменты для дешифровки микрокода Intel
▫️ Данные аккаунтов 5,4 млн пользователей Twitter продают в сети за 30 тыс. долларов США
▫️ Ежегодный прирост специалистов в сфере искусственного интеллекта в России составит около 10 тыс. человек
▫️ Инициатива No More Ransom помогла более 1,5 миллионам пользователей по всему миру восстановить данные
▫️ Субатомные частицы предлагают использовать для сканирования зданий и не только
▫️ Хакеры с помощью калькуляторов атакуют Windows 7
▫️ Популярное приложение JusTalk обманывало пользователей
▫️ 69 млн домашних питомцев продаются за 4 BTC
▫️ Финансовые организации Европы под прицелом восставшей группы Evilnum
▫️ Информация о сотрудниках госучреждений США может вновь оказаться в свободном доступе
___________________________
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://t.iss.one/positive_investing
YouTube
Big Brother следит за VR-пользователями, Взлом оператора связи Канады. Security-новости #70 | 12+
👉 Новости об инвестициях в кибербезопасность: https://t.iss.one/positive_investing
0:00 Security-новости
1:00 Бывший генеральный директор Google сравнил ИИ с оружием массового уничтожения
https://www.securitylab.ru/news/532960.php
2:16 Big Brother может отслеживать…
0:00 Security-новости
1:00 Бывший генеральный директор Google сравнил ИИ с оружием массового уничтожения
https://www.securitylab.ru/news/532960.php
2:16 Big Brother может отслеживать…
🔥3👍1
Forwarded from Standoff 365
🧯Реализованы первые недопустимые события на киберполигоне
Хакеры: AlinaPoteet и undefi
Сегмент: STF Bank
Недопустимые события:
🔺 утечка конфиденциальной информации — получение доступа к компьютеру бухгалтера банка
🔺 утечка персональных данных сотрудников — получение доступа к ERP-системе или к базе данных сотрудников банка
Теперь AlinaPoteet занимает первую строчку рейтинга хакеров, а undefi вторую. Поздравляем! 🥳
Если тоже хотите погрузиться в ломание банковской инфраструктуры, приходите на online.standoff365.com
Задания и креды для подключения к полигону видны после регистрации ;-)
Хакеры: AlinaPoteet и undefi
Сегмент: STF Bank
Недопустимые события:
🔺 утечка конфиденциальной информации — получение доступа к компьютеру бухгалтера банка
🔺 утечка персональных данных сотрудников — получение доступа к ERP-системе или к базе данных сотрудников банка
Теперь AlinaPoteet занимает первую строчку рейтинга хакеров, а undefi вторую. Поздравляем! 🥳
Если тоже хотите погрузиться в ломание банковской инфраструктуры, приходите на online.standoff365.com
Задания и креды для подключения к полигону видны после регистрации ;-)
🔥16👍1😱1
Forwarded from Standoff 365
Bug Bounty от VK уже на The Standoff 365
VK — крупнейшая технологическая компания, создающая проекты и сервисы для российского потребителя. Вы или ваши родственники на регулярной основе пользуетесь десятками из них: от почты и социальных сетей до каршеринга, доставки продуктов и обучения.
Компания не первый год даёт хакерам поле для охоты на уязвимости за вознаграждение. В вашем распоряжении будет 40+ проектов. Сегодня запустили первую партию:
▪️ социальные сети ВКонтакте и Одноклассники;
▪️ образовательные платформы GeekBrains, Skillbox, Алгоритмика, Тетрика и Учи.ру;
▪️ почтовый сервис Mail.ru;
▪️ облачная платформа VK Cloud Solutions;
▪️ набор коммуникационных сервисов TAPM (Типовое Автоматизированное Рабочее Место).
⚡️ Максимальная награда за уязвимости — до 1,8 млн рублей (в зависимости от уровня угрозы).
Искать уязвимости 👉 bugbounty.standoff365.com/vendors/vk
VK — крупнейшая технологическая компания, создающая проекты и сервисы для российского потребителя. Вы или ваши родственники на регулярной основе пользуетесь десятками из них: от почты и социальных сетей до каршеринга, доставки продуктов и обучения.
Компания не первый год даёт хакерам поле для охоты на уязвимости за вознаграждение. В вашем распоряжении будет 40+ проектов. Сегодня запустили первую партию:
▪️ социальные сети ВКонтакте и Одноклассники;
▪️ образовательные платформы GeekBrains, Skillbox, Алгоритмика, Тетрика и Учи.ру;
▪️ почтовый сервис Mail.ru;
▪️ облачная платформа VK Cloud Solutions;
▪️ набор коммуникационных сервисов TAPM (Типовое Автоматизированное Рабочее Место).
⚡️ Максимальная награда за уязвимости — до 1,8 млн рублей (в зависимости от уровня угрозы).
Искать уязвимости 👉 bugbounty.standoff365.com/vendors/vk
🔥20👍3
Forwarded from Standoff 365
🔥 Завершили отбор докладов на митап The Standoff Talks. Было так много крутых заявок, что мы даже решили расширить по времени программу :) Спасибо всем подавшимся!
Итак, 23 августа в программе будут следующие доклады:
🔹 Виктор Зварыкин — Не делайте так, как мы
Про участие команды ITeasy в майском The Standoff и сделанные выводы после игры.
🔹 Роман Максимов — Абузим Zabbix заказчика, или как бедолаге стать хозяином подконтрольных узлов
Об особенностях использования развёрнутой в сети заказчика системы мониторинга Zabbix во благо пентестера.
🔹 Магама́ Базаров — Cisco Nightmare. Дьявольский пентест сетей Cisco
Широкий обзор атак на сети Cisco. Вся боль и тлен сетевого инженера при виде сетей, если к их администрированию и дизайну отнеслись халатно.
🔹 Константин Полишин — RedTeam страдания SOC’а
Доклад о части используемых командой PT SWARM техник и тактик, позволяющих успешно закрывать проекты по Red Team в первые недели.
🔹 Артём Кадушко — Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff
Про подготовку и неоднократное участие команды в The Standoff, стэндоффхаки в организации команды.
🔹 Вадим Шелест и Михаил Дрягунов — Breaking Red
Фановый доклад о приключениях команды пентестеров из Digital Security на Red Team проектах.
🔹 Денис Рыбин — О том как Privacy Sandbox веб сломал, но обещал починить
Обзор новых предлагаемых веб-стандартов группы Privacy Sandbox. Как жить, когда нельзя ставить 3rd-party куки.
🔹 Илья Шапошников — MSSQL: dump linked passwords
Про основные варианты атаки на MSSQL и новый вектор атаки для получения паролей от связанных серверов через локальный доступ к СУБД.
На этот митап приглашаем слушателей в основном по инвайтам — ищите их у команд The Standoff и спикеров. Завтра расскажем, как ещё можно получить приглашение 👉через нашу платформу багбаунти и киберполигон.
Итак, 23 августа в программе будут следующие доклады:
🔹 Виктор Зварыкин — Не делайте так, как мы
Про участие команды ITeasy в майском The Standoff и сделанные выводы после игры.
🔹 Роман Максимов — Абузим Zabbix заказчика, или как бедолаге стать хозяином подконтрольных узлов
Об особенностях использования развёрнутой в сети заказчика системы мониторинга Zabbix во благо пентестера.
🔹 Магама́ Базаров — Cisco Nightmare. Дьявольский пентест сетей Cisco
Широкий обзор атак на сети Cisco. Вся боль и тлен сетевого инженера при виде сетей, если к их администрированию и дизайну отнеслись халатно.
🔹 Константин Полишин — RedTeam страдания SOC’а
Доклад о части используемых командой PT SWARM техник и тактик, позволяющих успешно закрывать проекты по Red Team в первые недели.
🔹 Артём Кадушко — Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff
Про подготовку и неоднократное участие команды в The Standoff, стэндоффхаки в организации команды.
🔹 Вадим Шелест и Михаил Дрягунов — Breaking Red
Фановый доклад о приключениях команды пентестеров из Digital Security на Red Team проектах.
🔹 Денис Рыбин — О том как Privacy Sandbox веб сломал, но обещал починить
Обзор новых предлагаемых веб-стандартов группы Privacy Sandbox. Как жить, когда нельзя ставить 3rd-party куки.
🔹 Илья Шапошников — MSSQL: dump linked passwords
Про основные варианты атаки на MSSQL и новый вектор атаки для получения паролей от связанных серверов через локальный доступ к СУБД.
На этот митап приглашаем слушателей в основном по инвайтам — ищите их у команд The Standoff и спикеров. Завтра расскажем, как ещё можно получить приглашение 👉
🔥8👍6
Разбор атаки на АСУ ТП
В течение четырех дней майской кибербитвы The Standoff Государство F подвергалось атакам со всех сторон. Самыми впечатляющими были атаки на автоматизированные системы управления технологическим процессом (АСУ ТП), а реализация недопустимых событий в промышленном сегменте приносила атакующим больше всего очков.
В реальной жизни такие атаки разрушительны, несут огромные риски и могут привести к человеческим жертвам, а реализовать их сложнее, так как доступ к этому сегменту ограничен.
На учениях атакующие отправили всего одно фишинговое письмо (якобы с резюме), а затем понеслось: разведка, закрепление, повышение привилегий, горизонтальное перемещение — и вот они уже управляют вашим телетрапом через АСУ ТП.
В кибербитве традиционно принимают участие и команды защиты, которые наблюдают за происходящим, используя решения Positive Technologies.
Читайте на Хабре подробный рассказ о том, как совокупность наших продуктов позволяет восстановить полную цепочку действий атакующих.
В течение четырех дней майской кибербитвы The Standoff Государство F подвергалось атакам со всех сторон. Самыми впечатляющими были атаки на автоматизированные системы управления технологическим процессом (АСУ ТП), а реализация недопустимых событий в промышленном сегменте приносила атакующим больше всего очков.
В реальной жизни такие атаки разрушительны, несут огромные риски и могут привести к человеческим жертвам, а реализовать их сложнее, так как доступ к этому сегменту ограничен.
На учениях атакующие отправили всего одно фишинговое письмо (якобы с резюме), а затем понеслось: разведка, закрепление, повышение привилегий, горизонтальное перемещение — и вот они уже управляют вашим телетрапом через АСУ ТП.
В кибербитве традиционно принимают участие и команды защиты, которые наблюдают за происходящим, используя решения Positive Technologies.
Читайте на Хабре подробный рассказ о том, как совокупность наших продуктов позволяет восстановить полную цепочку действий атакующих.
🔥6👍1
This media is not supported in your browser
VIEW IN TELEGRAM
Кибербезопасность в России в эпоху импортозамещения
Привычный нам мир информационной безопасности в последние месяцы рушится, а российские компании лишаются поддержки западных поставщиков. Импортозамещение в России находится в активной фазе. Но теперь это не требование регулятора, а реальная потребность.
Мы считаем, что кибербезопасность — та самая отрасль, импортозамещение в которой возможно.
Ведущий специального выпуска канала The Standoff Russia Денис Батранков, руководитель направления сетевой безопасности Positive Technologies, вместе со своими гостями — представителями индустрии ИБ России, разбирается:
• как уход западных вендоров повлиял на сферу ИБ в России;
• как повели себя IT-гиганты с российскими клиентами;
• что происходит с компаниями, которые не могут обновить оборудование;
• как российским компаниям сегодня выстраивать защиту в области ИБ;
• почему это важно.
Подробности — в нашем спецвыпуске
Привычный нам мир информационной безопасности в последние месяцы рушится, а российские компании лишаются поддержки западных поставщиков. Импортозамещение в России находится в активной фазе. Но теперь это не требование регулятора, а реальная потребность.
Мы считаем, что кибербезопасность — та самая отрасль, импортозамещение в которой возможно.
Ведущий специального выпуска канала The Standoff Russia Денис Батранков, руководитель направления сетевой безопасности Positive Technologies, вместе со своими гостями — представителями индустрии ИБ России, разбирается:
• как уход западных вендоров повлиял на сферу ИБ в России;
• как повели себя IT-гиганты с российскими клиентами;
• что происходит с компаниями, которые не могут обновить оборудование;
• как российским компаниям сегодня выстраивать защиту в области ИБ;
• почему это важно.
Подробности — в нашем спецвыпуске
🔥7😱1