Codeby
36.3K subscribers
1.55K photos
92 videos
12 files
7.47K links
Блог сообщества Кодебай

Чат: @codeby_one
Форум: codeby.net
Обучение: codeby.school
Пентест: codeby.one
CTF: hackerlab.pro

VK: vk.com/codeby
YT: clck.ru/XG99c

Сотрудничество: @KinWiz

Реклама: @Savchenkova_Valentina
Download Telegram
​​Codeby на Positive Hack Days — 21 и 22 мая 2019 года

В этом году команда codeby принимает участие в соревнованиях The Standoff на стороне атакующих

#PHD9 #TheStandoff

https://codeby.net/threads/codeby-na-positive-hack-days-21-i-22-maja-2019-goda.67791/
​​5 команд защитников против 15 команд хакеров 🤜🤛 О чем это я? О финальных списках участников #TheStandoff конечно же!

Подробности https://vk.com/wall-28022322_1395

#phd
​​The Standoff - мероприятие в онлайн-формате

Этой осенью нас ждет уникальное мероприятие на онлайн-платформе, объединяющее профессионалов и энтузиастов в области кибербезопасности.

В программе мероприятия:

◦ Соревнования хакерских команд и экспертов в кибербезопасности по контролю над цифровыми копиями реальных объектов городской инфраструктуры.
◦ Наблюдение за соревнованиями экспертов через единый SOC.
◦ Конференция специалистов по информационной безопасности.

Ключевые темы выступлений спикеров ...

Обсудить: https://codeby.net/group-events/the-standoff-meroprijatie-v-onlajn-formate.3/

#TheStandoff
The Standoff: ежегодная битва хакеров

В этом месяце прошли киберучения The Standoff. На мероприятии «белые хакеры» и специалисты по кибербезопасности со всего мира могут продемонстрировать навыки и сразиться между собой на специальном киберполигоне.

Как проходили соревнования, рассказал нам участник команды-победителя турнира Батыржан Тютеев, технический директор казахстанской компаний NitroTeam и Spectre. Он состоял в команде атакующих, чьей целью было получить контроль над инфраструктурой киберполигона. Его команда Codeby успешно справилась с задачей, правда, этот путь был нелегким.

Читать https://codeby.net/threads/the-standoff-ot-uchastnika-komandy.75893/

#TheStandoff
Готовимся к The Standoff 2021, или Назад в будущее

Что бы вы сделали, если бы у вас была машина времени?

🔗 Читать статью https://habr.com/ru/company/pt/blog/556720/

#TheStandoff
Forwarded from Positive Events
Первый день The Standoff прошел! Значит, что? Значит, пора поговорить о программе второго 😎

Вот что будет в эфире 19 мая:
💥 Подведем итоги первого дня кибербитвы. Узнаем, кто урвал пальму первенства — хакеры или защитники
💥 Поговорим об инсайтах и интересных фактах первого дня соревнований вместе с Владимиром Заполянским, Юлией Сорокиной и Алексеем Новиковым
💥 Проведем The Standoff Kids — секцию для детей, которым интересна информационная безопасность
💥 Мария Сигаева покажет площадку, расскажет о молодых айтишниках: кто они, чего хотят, куда стремятся
💥 Антон Куранда, CTO RBK.money и Osnova прокомментирует, как открытость максимизирует безопасность решений
💥 Узнаем, почему не стоит бояться открывать свой код

Не пропустите же такое? Подключайтесь к трансляции в 12:00 на сайте standoff365.com

#PHDays10 #TheStandoff
Forwarded from Positive Events
Начало PHDays было очень-очень насыщенными. Да и дальше будет жара🔥

Публикуем программу на следующие 3 часа, вот несколько докладов, которым стоит уделить время:

Взлом мобильных приложений

Делиться знаниями будут двое экспертов в ИБ. Акшай Джайн — аналитик информационной безопасности. Он обнаружил множество уязвимостей, а его заслуги признают Adobe, Apple, Google, HP. Субхо Халдер — один из основателей и СТО компании Appknox. Он находил критически опасные уязвимости в продуктах Apple, Facebook, Google, Microsoft.


Спикеры покажут сценарии взлома, в которых обычные инструменты не работают, и расскажут, как оценить уровень безопасности мобильных приложений на базе Android и iOS. А еще объяснят, как скрыть получение рут-доступа и обойти SSL pinning.

Фаззинг ядра Linux

О фаззинге расскажет Андрей Коновалов, независимый исследователь безопасности. Он занимается выявлением уязвимостей в ядре Linux.

Фаззинг — это способ автоматически находить баги, передавая в программу случайно сгенерированные данные. Андрей расскажет, как использовать фаззинг, чтобы находить ошибки в ядре Linux, и объяснит, какие интерфейсы ядра можно фаззить.

Positive Technologies: опыт внедрения инструментов DevSecOps

Спикеры — Тимур Гильмуллин, заместитель руководителя отдела технологий и процессов разработки Positive Technologies, и Антон Володченко, руководитель группы обеспечения качества Positive Technologies.

Они расскажут, как развернуть и эксплуатировать сканер кода PT Application Inspector в сборочном конвейере с учетом особенностей корпоративной инфраструктуры. Покажут архитектуру решения и продемонстрируют примеры интеграции сканера Application Inspector и клиента AISA с GitLab CI и TeamCity. Особенно полезной лекция будет для инженеров-внедренцев и разработчиков — основных пользователей сканера.

— Смотри прямые эфиры и записи докладов по ссылке: https://standoff365.com/phdays10/

#PHDays10 #TheStandoff
Пока так. Поддержать ребят: https://codeby.net/threads/the-standoff-2021.77699/

#thestandoff
​​Ни на что не намекаем, но пора бы уже посмотреть записи докладов PHDays и The Standoff 😎

Тем более, они такие интересные, полезные и крутые. Вот, например:

👌🏻 Security gym: тренируйся бороться с уязвимостями

Доклад о том, как разрабатывать безопасные приложения. Спикеры поделились опытом и показали систему, которая позволяет тренироваться в поиске и корректировке уязвимостей.
https://standoff365.com/phdays10/schedule/development/security-gym-train-to-crush-vulnerabilities/

👌🏻 Ломаем Bluetooth c помощью ESP32

Спикер рассказал, что такое Bluetooth (BLE), как происходит установление соединения и последующий обмен данными между различными устройствами. Он поговорил о атаках на Bluetooth и о том, как обеспечить безопасность технологии.
https://standoff365.com/phdays10/schedule/tech/how-to-pwn-bluetooth-with-esp32/

👌🏻 Простой и аккуратный метод обмануть предсказание top-k

Спикер продемонстрировал способ обмана предсказания top-k на датасетах Imagenet и CIFAR-10.
https://standoff365.com/phdays10/schedule/technical-village/a-simple-and-neat-way-to-deceive-top-k-prediction/

Докладов было намного больше — остальные смотри на сайте: https://standoff365.com/phdays10

#PHDays #TheStandoff
Forwarded from Positive Events
ТОП атакующих тактик с прошедшего The Standoff 🥇

С помощью SOC (security operations center), в который входила команда нашего экспертного центра безопасности PT Expert Security Center, мы отследили, какие тактики и техники по матрице MITRE ATT&CK использовали хакеры для проникновения в инфраструктуру участников полигона в прошлом году. 

🛠 Выполнение, или Execution
Ни одна кибератака не обходится без тактики выполнения, которую программисты запускают для проникновения, распространения и завершения атаки.

🛠 Получение учетных данных, или Credential Access
Техники, нацеленные на кражу данных, которые можно использовать для аутентификации (например, имена пользователей и пароли).

🛠 Повышение привилегий, или Privilege Escalation
Техника получения паролей локальных администраторов на определенных узлах.

🛠 Управление и контроль, или Command and Control
Команда хакера для связи с подконтрольной сетью. Позволяют атакующим сохранять доступ к нужным им системам и беспрепятственно получать нужную информацию с подконтрольных узлов.

🛠 Исследование, или Discovery
Тактика, которая помогает злоумышленникам "осмотреться" внутри системы. Атакующие собирают данные о системе и внутренней сети, что помогает сориентироваться в инфраструктуре и решить, как действовать дальше.

🛠 Закрепление, или Persistence
Тактика для обеспечения своего постоянного присутствия в атакуемой системе.

Подбробный разбор, как вседа, на Хабре (https://habr.com/ru/company/pt/blog/581934/)

Новый The Standoff состоится уже 15-16 ноября 🔔 Выбирайте самую популярную технику грядущего киберсражения в опросе ниже и сохраняйте даты события в календаре:

🔸 Добавить в Google 👉 https://postly.app/2Nr
🔸 Добавить в телефон/компьютер 👉 https://postly.app/2Ns

#TheStandoff #security #cybersecurity #IT #DevSecOps
Forwarded from Positive Events
Кибербитва The Standoff будет эпичной — мы собрали 10 атакующих команд, которые будут реализовывать нежелательные события на инфраструктуре киберполигона.

Встречайте первую пятерку «красных»:

🏴‍☠️ True0xA3
Дружная независимая команда специалистов в области информационной безопасности. Цель команды — стать трехкратным победителем The Standoff.

🏴‍☠️ Codeby&NitroTeam
Международное сообщество экспертов, которых объединил один из крупнейших русскоязычных форумов по практической информационной безопасности codeby.net. В состав команды также входят эксперты из Nitro Team, казахстанской red team.

🏴‍☠️ Invuls
Специалисты из различных областей ИБ: веб-безопасность, пентест, AppSec, вирусная аналитика. Члены команды выступали на Black Hat и ZeroNights, представляя инструменты собственной разработки, принимали участие в The Standoff и других соревнованиях CTF. Двукратные победители соревнования IoT CTF DEF CON USA.

🏴‍☠️ SPbCTF
Команда питерского комьюнити spbctf.ru, состоящая из пентестеров, специалистов AppSec и SecOps, вирусных аналитиков, разработчиков и… школьников. Такой состав помогает команде разносторонне подходить к решению задач и уверенно держаться в топ-5.

🏴‍☠️ Bulba Hackers
Белорусские студенты, которые развивают движение по компьютерной безопасности bulbahackers.by. Команда начала свой путь с победы в CTF на уровне страны, и теперь стремится развивать сообщество по информационной безопасности в Беларуси.

Ждем вас на полигоне The Standoff 15-16 ноября:
🔸 Добавить в Google 👉 shorturl.at/xFHQU
🔸 Добавить в телефон/компьютер 👉 shorturl.at/gqyVW
#TheStandoff #security #cybersecurity #IT #DevSecOps
Forwarded from Positive Events
Как мы делаем The Standoff?

Чтобы приблизить условия киберполигона к реальности, в сегменте АСУ ТП мы используем настоящие промышленные контроллеры, для которых пишем демо-проекты, аналогичные основным реальным техпроцессам, и разворачиваем широко распространенные SCADA-системы.

SCADA-система – программно-аппаратный комплекс, предназначенный для контроля и управления техпроцессом со стороны оператора.

Подходы к взлому АСУ ТП в меньшей степени зависят от реализации конкретного процесса и в большей — от используемого оборудования, ПО и протоколов. Поэтому с помощью SCADA-систем и реальных промышленных контроллеров на полигоне воспроизводятся упрощенные модели технологических процессов, максимально приближенные к реальным по составу.

Ждём вас на полигоне The Standoff 15–16 ноября:
🔸 Добавить в Google 👉 shorturl.at/xFHQU
🔸 Добавить в телефон/компьютер 👉 shorturl.at/gqyVW

#TheStandoff #security #cybersecurity #IT #DevSecOps
👍1
Forwarded from Positive Events
🌆 Структура города-государства F на The Standoff с каждым годом становится все сложнее, и для ее управления нужны соответствующие органы.

🏢 По легенде, жилищник «City» выполняет роль государственного ЖКХ органа, который занимается вопросами жилищно-коммунального хозяйства, ресурсоснабжения, содержания и ремонта инженерных объектов и коммуникаций.

🎡 «City» отвечает за поставки питьевой воды, систему канализации, озеленение, праздничное оформление, иллюминацию и освещение улиц, а также управляет многоквартирными домами. Жилищник контролирует ТВ, видеонаблюдение, безопасность зданий и системы пожаротушения.

Благодаря инициативе «Smart Country» организации удалось реализовать несколько проектов по созданию городов будущего:
▪️ автоматизировать систему водоснабжения и канализации
▪️ автоматизировать и диспетчеризировать системы освещение улиц
▪️ подключить городскую систему видеонаблюдения «Безопасный город»

Эти и другие проекты структуры станут приманкой для хакеров. На киберполигоне команды атакующих в прямом эфире нападут на системы «City», чтобы воплотить недопустимые события, основанные на реальных преступлениях и заложенные в инфраструктуру города-государства:

🔴 Нарушение работы очистных сооружений.

👉 «Канализационные шалости» австралийского хакера.

🔴 Отключение очистки питьевой воды на станции водозабора.

👉 Хакеры взломали очистные сооружения города в США и попытались отравить воду для 15 тысяч жителей.

🔴 Показ нелегитимного контента на рекламных видеоэкранах.

👉 Хакер, разместивший порно-ролик на рекламном экране в центре Москвы, просто пошутил.

🔴 Отключение уличного освещения.

👉 Взлом уличного фонаря с помощью лазера.

🔴 Перехват изображения с городских камер видеонаблюдения.

👉 Хакеры получили доступ к 15 тысячам камер видеонаблюдения в Москве.

🔴 Остановка колеса обозрения в парке аттракционов.

👉 Люди застряли вниз головой на «Американских горках» в Австралии.

🔴 Авария на аттракционе «Колесо обозрения».

👉 Технологии на страже безопасности аттракционов в Калининградской области.

🔴 Сбой системы кондиционирования в офисных зданиях.

👉 Сотрудник службы безопасности взломал систему отопления, вентиляции и кондиционирования целого здания.

Ждем вас на полигоне The Standoff 15-16 ноября:
🔸 Добавить в Google 👉 shorturl.at/xFHQU
🔸 Добавить в телефон/компьютер 👉 shorturl.at/gqyVW

#TheStandoff #security #cybersecurity #IT #DevSecOps