Вот и закончилась конференция KazHackStan, организаторы были гостеприимны к иностранным гостям, сняли им дорогой отель и угостили барашком.

Доклады, которые были на конференции прикреплены файлами к посту выше:

«Выйди и зайди нормально!» (Ломаем Bitrix)
@i_bo0om

«Атакуем языковые модели»
@wearetyomsmnv

«Что нужно учитывать при первом участии в Bug Bounty?»
@turbobarsuchiha — triage team Standoff365

«Ломаем Ethereum: Пентестинг Смарт-Контрактов»
@gspdnsobaka — triage team Immunefi

«Red Purple Team»
@Sn0w7 — lead MTC RED

«DevSecOps»
@gazizovasg — Swordfish

«Как ломать SAML, если у меня лапки?»
@agrrrdog — Acunetix

«Offensive OSINT»
@adkkkkkkkk — Innostage

Мне лично кажется, что это благостная инициатива.

Она породит зачатки сознательности у граждан РФ в отношении своих цифровых активов (особенно если ее правильно попиарить подать, и начнет влиять на рынок и общий уровень защищенности бизнеса в РФ.

* Еще раз уточню, именно как глобальная концепция ответственности игроков и требовательности к провайдерам, которые нас обслуживают.

Я считаю, что у нас в культуре в целом все неплохо с требованиями к обслуживанию. Возможно поэтому у нас пиздатый прекрасный банкинг, доставка, развлечения, рестораны и пр. От государства мы требовать не умеем, а вот от тех, кому мы на прямую платим, вполне себе научились голосовать рублем.

Нюансы очевидны:

1. Реальность как всегда сильно отличается от формальных требований, которые никуда не делись.

Объясню... Может случиться так, что объективная реальность и защита компании от рисков взломов и утечек, на которую так давит этот закон, будет заставлять заниматься тем, что нужно здесь и сейчас, а формальные требования и регуляция будут заставлять выполнять действия параллельные или вовсе противоположные. Тогда придется чем-то жертвовать и ждать поправок…

2. Как всегда применимость этого требования остается под вопросом пока мы не увидим прецедент. Прецеденты с 152-ФЗ и штрафами по ним мы уже насмотрелись. Можно сказать, посмеялись от души..

3. Мера серьезности этой инициативы пропорциональна проценту оборотного штрафа 🙃

В любом случае, приятно видеть, что Министерство цифрового развития подхватывает идеи с рынка, передовые практики и реагирует на происходящее.

Приходите развивать индустрию вместе с нами!

📢 Привет! Мы — Центр компетенций по кибербезопасности CyberEd: собираем курсы, профессиональные треки, CTF для тех, кто хочет со стартового уровня в кибербезопасности перейти к профессиональной деятельности в пентесте/защите/безопасной разработке.

Мы недавно публиковали пост о поиске в нашу большую команду новых экспертов и технических писателей.

🕶 Сейчас, в один из наших B2B-проектов по построению киберполигона, мы дополнительно ищем 2 специалистов:

1️⃣ Программист, который поможет заложить веб-уязвимости в стенд ДБО

Основная задача

Необходимо разработать макет ДБО со следующими характеристиками:
- техническая поддержка,
- функция создания счетов,
- функция перевода средств как другим пользователям, так и в пределах одного аккаунта между счетами, а так же обмена 2-х валют в личном кабинете.

Мы будем рады предложить тебе сотрудничество, если ты:

- имеешь опыт по разработке сайтов/лендингов;
- знаешь и умеешь закладывать в сайты/лендинги типовые веб-уязвимости: XSS, IDOR, Race condition, уязвимость бизнес-логики;
- умеешь и хочешь разрабатывать таски разного уровня сложности, продумывать вместе с нами систему оценивания для участников киберполигона.

2️⃣ Разработчик web-панели

Основная задача

Необходимо разработать информационную систему управления учебными классами и виртуальными стендами — web-приложение, которое будет содержать 2 представления:
- панель администратора, которая включает в себя возможность просматривать статистику и управлять учебными комнатами, а также создавать VM;
- панель участника, которая включает в себя вкладку с заданиями (тасками) и вкладку с турнирной таблицей.

Мы будем рады предложить тебе сотрудничество, если ты:

- имеешь опыт по разработке web-приложений;
- умеешь и хочешь продумывать вместе с нами систему оценивания для участников киберполигона.

📌 Если тебе откликается какая-либо из этих 2-х позиций, и у тебя есть необходимые опыт и компетенции — напиши @alena_korn, обсудим детали и условия👌

📎 Напоминаем, что мы работаем с нашим сообществом в режиме проектной работы / part-time. Все усилия и активности оплачиваются.

Пятничное)

Насыпали щепотку советов начинающим хакерам 😎

Ссылочка: https://www.youtube.com/watch?v=G5dYLxGih-0

Подкаст

Записали выпуск для аудитории IT и разработчиков, а также для всех начинающих присоединяться к теме, с ребятами из Yandex Cloud. Получилось очень лампово и с толком. Приятного просмотра)

Анонс:
«Пентесты: о чём безопасникам и разработке разговаривать с хакерами

Наконец-то позвали в гости настоящих хакеров. Но есть нюанс. В этом выпуске рассказываем про тех, кто выбрал светлую сторону: как становятся пентестерами, какие специфические моменты есть в этой профессии, почему компании доверяют тестирование своих ИТ-инфраструктур внешним специалистам.»

Ссылка: https://youtu.be/YRpEA5q1fqY?si=Yv0appCHKsWmb5CY

CI/CD

У нас в CyberEd появились новые короткие и ёмкие продукты помогающие быстро влиться в тему. Огромной популярностью сейчас пользуется направление безопасности CI/CD.

Мой друг и бывший коллега Паша Сорокин «преисполнился» в этой теме и готов поделиться знаниями по похеку и проблемам безопасности CI/CD инфраструктуры в рамках ближайшего воркшопа, который пойдёт 2-го ноября.

P. S.
У него кстати очень полезный канал, в котором он пришёл на эту и другие темы практической информационной безопасности: https://t.me/naryl_sec

🔥 2 ноября CyberEd снова проводит практический воркшоп «Ломаем CI/СD»!

🛠 На воркшопе вы изучите особенности безопасности компонентов CI/CD и техники атак на них. Оцените безопасность GitLab, изучите различные экзекьютеры и узнаете, как проводить атаки на них, включая shell, docker, k8s и dind.

А еще вы научитесь:
☑️ проводить атаки из Gitlab CI на shared runner
☑️ изучать доступное окружение раннеров
☑️ выходить из контейнеров
☑️ поднимать свои привилегии в kubernetes.

🕑 Продолжительность воркшопа - 3 часа.

Воркшоп проводит Павел Сорокин, ведущий инженер по ИБ в Ozon, опытный пентестер и специалист по AppSec. Работал в компаниях «Информзащита» и BI.ZONE, «Яндекс».

📎 Предыдущие два воркшопа по CI/CD оказались настолько востребованы, что мы ввели лист ожидания для тех, кто не смог попасть на него ранее 📃

➡️ Успейте зарегистрироваться, количество мест ограничено!

Реклама
ОАНО ДПО «ВЫШТЕХ»
ИНН: 7703434727

Вакансия

Ищу в команду Singleton крутого Руководителя проектов: ответственного, умеющего общаться и нравится заказчикам, четко управляющего своим временем и главное - того, у кого можно самому научиться новому!

ООО “Синглтон Секьюрити” (singleton-security.ru)

Контакт: @I_rina_shirshova

ЗП 90-130К на руки + квартальная премия.

Руководитель/менеджер проектов ИБ  (тестирование на проникновение / анализу защищенности / аудиту ИБ)

Задачи, которые необходимо решать:

- Участие в переговорах с Заказчиками, ведение протоколов
- PreSale активность, выявление потребностей, ожиданий от результата проекта
- Управление проектами и командой
- Управление и контроль выполнения сроков работ производства

Требования:

- Опыт работы в роли менеджера проектов/ руководитель проектов
- Умение работать по процессам и выстраивать их
- Внимательность и аккуратность
- Способность работать с информацией и документами
- Инициативность, умение организовать и работать в команде, работа на результат
- Отличные коммуникативные навыки
- Грамотное письмо и речь
- Уверенные навыки работы в офисном ПО (Word, Excel)
- Гражданство РФ

Будет плюсом:

- Понимание процессов аудита ИБ/тестирования на проникновение/анализа защищенности
- Опыт работы на аналогичных позициях (менеджер/ руководитель проектов)
- Опыт работы в ИТ/ИБ (системная интеграция, консалтинг)
- Знание английского языка (B1+)
- Высшее техническое образование

Плюшки:

- Гибридный или полностью удаленный формат работы (важно проживание в РФ) - можно смешивать удаленную работу и работу в офисе. (Офис: БЦ Суперметалл, м. Бауманская)
(Совмещение с учебой возможно, если вы готовы к загрузке 8 часов в р.д.)
- Молодой коллектив и титулованная компания, принимающая активное участие в рынке ИБ в России
- Активное участие в жизни сообщества экспертов по кибербезопасности в России
- Бесплатный доступ к любым курсам компании CyberEd (cyber-ed.ru)
- Корпоративный ноутбук (MacBook 2023г.)
- Офис: Метро Бауманская (БЦ Суперметалл)

Оклад:
90-130 т.р. (на руки) по результатам собеседования.
+ Ежеквартальная премия.

Публикуем курс "Белый хакер" на Stepik

Спустя 6 месяцев курс "Белый хакер" оброс опытом участников, обратной связью и уже представляет из себя совсем не тот скромный материал, который мы с командой экспертов подготавливали 4 месяца, а по настоящему развитый (благодаря сообществу), не побоюсь этой фразы, "интерактивный гайд" с 17 000 зарегистрированных слушателей; с тысячами доработок и улучшений; чатом с 6 000 пользователей и 4 000 активных участников на платформе. А также с экспертами, менторами, кураторами, готовыми помочь разобраться и побороть сложности.

Сегодня мы наконец-то опубликовали его в открытом доступе на Stepik, чтобы, после прошедшей проверки курса сообществом экспертов и обкаткой его начинающими специалистами, еще больше людей могли попробовать примерить на себе професиию белого хакера, и прикоснуться к происходящему в этой живой и непростой теме.

P.S. Радуюсь мысли о том, что эта программа породит тысячи и десятки тысяч новых специалистов из сферы кибербезопасности, которые привнесут еще больший вклад в эту интереснейшую отрасль.

Эксперты по практикам BlueTeam🥶

Высокие оценки и только положительные комментарии по нашей первой большой образовательной программе дались нам только благодаря нашему экспертному сообществу, которое объединилось над задачей аккумуляции и передачи своего опыта из направления этичного хакинга.

Сейчас мы работаем над тем, чтобы повторить успех😎 нашей истории и обучить практикам защиты ИТ-инфраструктуры и противодействия атакам 🔟 тысяч специалистов по всей России.

📍Цель: чтобы пройдя наш открытый курс, любой "ИТшник" или конкретно администратор в любой региональной компании, получил навыки расследования инцидентов в своей инфре и мог построить базовые механизмы безопасности даже из шкуры суслика🐿, палок и изоленты.

Мы хотим, чтобы каждый эксперт в РФ приложил к этому, хотя бы 10 минут времени (поделился практикой, дал отзыв, написал шпаргалку и пр.), чтобы повлиять на всех будущих спецов, которые будут отвечать за защищенность наших "цифровых активов" в стране.

Если у вас есть весомый опыт в практиках BlueTeam, подключайтесь к нам создавать будущую "траекторию специалиста по практикам защиты" всем экспертным сообществом России: https://t.me/cyberedrussia/988

По всем вопросам можно написать: @melentovichvenera

Выступление

Выступление - это всегда приятно. А особенно приятно, когда ты "попадаешь" в аудиторию!

В прошлую субботу я выступил в Кибердоме на Standoff101 с рассказом о том, почему кайфово быть хакером в 21-ом веке и почему особенно прикольно работать хакером в ближайшие годы в России.

У организаторов получилось собрать под своей крышей 3 сотни молодых спецов, которые либо только начинают, либо уже что-то умеют в ИБ. 5 000 человек посмотрели на нас онлайн. Собрать такую качественную аудиторию в одном месте не так уж просто - организация на отличном уровне. К сожалению, часто она разбавляется пиджачками, старичками и пр., хорошо, что это не тот случай. Это подтверждает и то, что происходило в кулуарах, где я задержался еще на час, отвечая на вопросы от десятка молодых ребят.

Короче, говоря: Круто! Зовите еще! ;D

Ссылочка на выступление: https://www.youtube.com/watch?app=desktop&v=xbZhlsPf3ik&list=PL5oxkq2PgCWGwhMwDNTGdWAQAS60jwIz2&index=3

Лайк, подписка, колокольчик!

Новая веха CyberED! Будем только лучше!