Опубликовали общие рейтинги всех финалистов с баллами, чтобы вы могли понять насколько близки к призовому месту.
Спасибо каждому, кто принял участие в премии, вы лучшие! Вместе мы сделаем профессию пентестера еще более почетной, популярной и важной, а мир чуточку безопаснее.
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Прошел ежегодный Pentest award — лучших этичных хакеров России снова наградили премией и призами
Раз в году у пентестеров появляется шанс громко заявить о своих достижениях, показать свой вклад в развитие российского рынка ИБ и обменяться лучшими историями из практики на закрытой церемонии...
This media is not supported in your browser
VIEW IN TELEGRAM
Опубликовали видеоролик о том, как прошла ежегодная независимая премия Pentest award 2024!
Радостные лица, толпа заряженных специалистов, и, конечно, счастливые победители с наградами в руках — настоящий праздник этичного хакинга.
Здорово было встретится в офлайне со старыми друзьями и коллегами, познакомиться с новыми людьми, обменяться знаниями и идеями, поговорить о важном, профессиональном, наболевшем.
До встречи в 2025 году 👋
Отдельная благодарность партнерам проекта: BI.ZONE Bug Bounty, VK Bug Bounty, OFFZONE и CyberED.
📺 Полное видео
🆓Полное видео на rutube
🔗 Pentest award (архив)
❤ @justsecurity
Радостные лица, толпа заряженных специалистов, и, конечно, счастливые победители с наградами в руках — настоящий праздник этичного хакинга.
Здорово было встретится в офлайне со старыми друзьями и коллегами, познакомиться с новыми людьми, обменяться знаниями и идеями, поговорить о важном, профессиональном, наболевшем.
До встречи в 2025 году 👋
Отдельная благодарность партнерам проекта: BI.ZONE Bug Bounty, VK Bug Bounty, OFFZONE и CyberED.
🆓Полное видео на rutube
Please open Telegram to view this post
VIEW IN TELEGRAM
Скрипт-кидди — хулиганы в цифровом мире. Их можно назвать «автоматизированными» хакерами. Они могут справиться с хакерскими программами и софтом, но плохо понимают, как эти программы работают. Могут только включить их и использовать по инструкции. Например, найти типовую уязвимость «крякнутым» сканером и применить готовый эксплойт.
Наиболее распространенные виды атак скрипт-кидди — это те, что легче всего найти в поисковых системах. Подобно многим IT-специальностям, ИБ также сильно пострадала от инфоцыганства, включая курсы, обещающие 300 тысяч рублей в секунду на ББ без регистрации.
Поскольку материалы обучения передаются от одного гуру к другому почти в том же самом виде, как когда-то на её спустили Jason Haddix, Cocomelon, sektor7 и другие, мы в основном знаем все ключевые векторы описываемых там атак и примерно к ним готовы. Исключение составляют только совсем свежие техники: так или иначе, скрипт-кидди попадет в сообщество, где сможет получить доступ к проверенным и стабильным PoC, и начнет применять их на практике, будь то сосед, магазин керамических изделий или кто-либо еще.
Сейчас очень редко можно встретить PoC, который не требует доработки. Почти всегда присутствует какая-то закладка, нарушающая логику работы. Любой человек с минимальными знаниями в области информационной безопасности сразу поймет, что происходит, как это было, например, на прошлой неделе, когда мне пришлось удалять множество sleep-команд из PoC на LPE.
Таким образом, последствия атак начинающих хакеров зачастую такие же, как и у людей, не обладающих цифровой грамотностью — сбои и отказы в обслуживании затрагиваемых компонентов.
Но все же следует отслеживать эволюцию скрипт-кидди. Продолжение про новые методы атаки и инструменты, которые используют скрипт-кидди нового поколения, читайте в статье 👉 Сyber Media.
Наиболее распространенные виды атак скрипт-кидди — это те, что легче всего найти в поисковых системах. Подобно многим IT-специальностям, ИБ также сильно пострадала от инфоцыганства, включая курсы, обещающие 300 тысяч рублей в секунду на ББ без регистрации.
Поскольку материалы обучения передаются от одного гуру к другому почти в том же самом виде, как когда-то на её спустили Jason Haddix, Cocomelon, sektor7 и другие, мы в основном знаем все ключевые векторы описываемых там атак и примерно к ним готовы. Исключение составляют только совсем свежие техники: так или иначе, скрипт-кидди попадет в сообщество, где сможет получить доступ к проверенным и стабильным PoC, и начнет применять их на практике, будь то сосед, магазин керамических изделий или кто-либо еще.
Сейчас очень редко можно встретить PoC, который не требует доработки. Почти всегда присутствует какая-то закладка, нарушающая логику работы. Любой человек с минимальными знаниями в области информационной безопасности сразу поймет, что происходит, как это было, например, на прошлой неделе, когда мне пришлось удалять множество sleep-команд из PoC на LPE.
Таким образом, последствия атак начинающих хакеров зачастую такие же, как и у людей, не обладающих цифровой грамотностью — сбои и отказы в обслуживании затрагиваемых компонентов.
Но все же следует отслеживать эволюцию скрипт-кидди. Продолжение про новые методы атаки и инструменты, которые используют скрипт-кидди нового поколения, читайте в статье 👉 Сyber Media.
Наш канал попал в папку полезных каналов по кибербезу, которую собрала «ГОС ИТ Богатырева».
В папке — актуальные новости, аналитика и практические советы по защите от киберугроз. Делимся
Добавляйте к себе папку и делить с друзьями и коллегами
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Кибербез
Polina invites you to add the folder “Кибербез”, which includes 27 chats.
Кибербезопасность, как ключевой фактор успеха в новой реальности
Испокон веков бизнес неохотно тратил деньги на информационную безопасность. Затраты на защиту от кибератак никогда не приносили прямой финансовой выгоды или дохода. Дилемма, постоянно возникающая перед бизнесом: инвестировать в снижение риска потери денег, или в увеличение прибыли, но с возможной опасностью. Траты на ИБ всегда рассматривались, как расходы, а не как инвестиции.
Сегодня можно констатировать — это больше не так. Теперь кибербезопасность стала важной частью маркетинговой стратегии многих брендов, даже если они не предлагают услуги информационной безопасности напрямую. Наконец, ИБ приносит бизнесу бенефиты!
Вот несколько наглядных примеров:
🟥 iPhone со слоганом: New level of privacy and security
🟥 Amazon и eBay, подчеркивают свою безопасность для привлечения клиентов. Акцентируют внимание на защите данных клиентов и безопасных транзакциях.
🟥 PayPal и Revolut, используют продвинутые меры кибербезопасности для защиты финансовых транзакций, что создает доверие у клиентов. В России Яндекс.Касса и
Qiwi повышают свою конкурентоспособность за счет внедрения современных мер безопасности для обработки платежей и защиты данных клиентов.
🟥 Dropbox и Google Cloud, сильно акцентируют внимание на безопасности данных, что делает их более привлекательными для корпоративных клиентов.
🟥 Т-Банк и Билайн делают акцент на безопасности своих услуг, включая защиту от мошенничества и соблюдение конфиденциальности данных клиентов, что является важным фактором для привлечения новых пользователей.
Кибербезопасность сегодня становится важным фактом при выборе пользователями того или иного продукта. Игнорируя этот факт, бизнес несет значительные финансовые и репутационные потери. Примеров мы тоже знаем массу:
🟥 Атака на «Ростелеком» в 2023 году. Часть услуг компании была временно недоступна. Эта ситуация негативно сказалась на репутации в глазах клиентов и партнеров.
🟥 Кейс с компанией «Астра». Киберпреступники смогли получить доступ к конфиденциальной информации и данным клиентов. Это привело к значительным финансовым потерям и необходимости вложений в восстановление безопасности.
🟥 Кейс с кибератакой на компанию СДЭК стал одним из заметных инцидентов в области кибербезопасности в России.
🟥 В 2021 году сеть Магнит столкнулась с кибератакой, в результате которой были серьезные сбои в работе кассовых систем.
🟥 Почту России парализовала кибератака в 2021 году, затруднила работу сервисов и привела к задержкам в доставке отправлений. Это вызвало массовое недовольство клиентов и отрицательно сказалось на репутации компании.
🟥 База данных заказов «Яндекс.Еда». В начале 2022 года в интернете появилась база данных с информацией о заказах пользователей. В ней содержались данные о пользователях, включая их имена, адреса и историю заказов. Инцидент вызвал широкую дискуссию о конфиденциальности пользовательских данных в онлайн-сервисах.
Вложения в ИБ сегодня дают не только защиту данных клиентов и соответствие законодательству, но и предотвращение финансовых убытков, конкурентное преимущество и доверие потребителей, поддержку бизнес-процессов и обеспечение непрерывности операций, управление рисками и осведомленность сотрудников о киберугрозах.
Все еще хочется сэкономить?
Испокон веков бизнес неохотно тратил деньги на информационную безопасность. Затраты на защиту от кибератак никогда не приносили прямой финансовой выгоды или дохода. Дилемма, постоянно возникающая перед бизнесом: инвестировать в снижение риска потери денег, или в увеличение прибыли, но с возможной опасностью. Траты на ИБ всегда рассматривались, как расходы, а не как инвестиции.
Сегодня можно констатировать — это больше не так. Теперь кибербезопасность стала важной частью маркетинговой стратегии многих брендов, даже если они не предлагают услуги информационной безопасности напрямую. Наконец, ИБ приносит бизнесу бенефиты!
Вот несколько наглядных примеров:
Qiwi повышают свою конкурентоспособность за счет внедрения современных мер безопасности для обработки платежей и защиты данных клиентов.
Кибербезопасность сегодня становится важным фактом при выборе пользователями того или иного продукта. Игнорируя этот факт, бизнес несет значительные финансовые и репутационные потери. Примеров мы тоже знаем массу:
Вложения в ИБ сегодня дают не только защиту данных клиентов и соответствие законодательству, но и предотвращение финансовых убытков, конкурентное преимущество и доверие потребителей, поддержку бизнес-процессов и обеспечение непрерывности операций, управление рисками и осведомленность сотрудников о киберугрозах.
Все еще хочется сэкономить?
Please open Telegram to view this post
VIEW IN TELEGRAM
Уже 15 октября идем на «SOC Tech киберзастава»
Участвуем в дискуссии в желтом зале про утечки. Обсудим почему сначала все грешат на сотрудников? Так ли они виноваты или все же хакеры воруют данных куда больше?
Отдельный вопрос — защита данных даже в случаях взлома инфраструктуры: возможна ли она и как это можно сделать? Эффективны ли традиционные подходы к защите данных и чем в принципе защищаться? Достаточно ли защитить свою инфраструктуру и поставить DLP или этого уже мало? И что в принципе делать, если данные утекли?
До косточек разберем все атаки, направленные на кражу данных, и сформируем подходы и рецепты к защите.
➡️ Регистрация
Участвуем в дискуссии в желтом зале про утечки. Обсудим почему сначала все грешат на сотрудников? Так ли они виноваты или все же хакеры воруют данных куда больше?
Отдельный вопрос — защита данных даже в случаях взлома инфраструктуры: возможна ли она и как это можно сделать? Эффективны ли традиционные подходы к защите данных и чем в принципе защищаться? Достаточно ли защитить свою инфраструктуру и поставить DLP или этого уже мало? И что в принципе делать, если данные утекли?
До косточек разберем все атаки, направленные на кражу данных, и сформируем подходы и рецепты к защите.
Please open Telegram to view this post
VIEW IN TELEGRAM
30 октября наши партнеры JUG Ru Group во второй раз проведут онлайн-конференцию SafeCode. Это мероприятие для всех, кто хочет писать безопасный и надежный код — разработчиков, специалистов SAST/DAST, AppSec-инженеров, security-чемпионов и тестировщиков.
В программе будут доклады о безопасности: авторизации, веба, контейнеров, ML/AI, фронтенда и других систем. Спикеры расскажут про культуру DevSecOps, инструменты пентестера, безопасную разработку и многое другое.
Среди участников конференции будут победители нашей премии Pentest award — билет на SafeCode был одним из призов.
Заходите на сайт конференции SafeCode, если хотите узнать больше подробностей.
В программе будут доклады о безопасности: авторизации, веба, контейнеров, ML/AI, фронтенда и других систем. Спикеры расскажут про культуру DevSecOps, инструменты пентестера, безопасную разработку и многое другое.
Среди участников конференции будут победители нашей премии Pentest award — билет на SafeCode был одним из призов.
Заходите на сайт конференции SafeCode, если хотите узнать больше подробностей.
Наконец-то!!! Зацените кейсы финалистов и победителей Pentest Award 2024, которым посчастливилось стать статьями на Хакер
«Шишинг с Rogue RDP. Используем встроенные средства Windows для проникновения в сеть» от автора @X0red.
«Нанодамп. Как я заново изобрел SafetyKatz для дампа LSASS с NanoDump» от непревзойденного и многократного чемпиона @snovvcrash, канал.
«Пробив веба. Как я обошел 2FA и захватил учетки пользователей» от получившего первое место в вебе @shin0_by
«История двух ATO. Ищем уязвимости в логике обработки email» от @arkiix, канал.
«Kerberoasting для FreeIPA. Как я искал доступ к домену, а нашел CVE» от автора @Im10n
«Атака по SMS. Как мы нашли уязвимость в популярном GSM-модеме и раскрутили ее до RCE» — поражающий воображение кейс от дуэта @n0um3n0n и @madprogrammer
«Вход через WebTutor. Атакуем Windows через веб-приложение и Microsoft SQL» — от, стабильно подающего заявки высокого уровня, @Danr0
«В погоне за билетом. Как мы дважды проникли в домен, который считался неприступным познавательная» — история от @secm3n
«По заветам Митника. Как я заколебал всех, но все же получил пароль» — про нетипичное социотехническое тестирование @S3n_q
«Громим PrestaShop. Как я захватил инсталл интернет-магазина на багбаунти» — автор @tr3harder
«Инфра в огне. Как мы пентестили сети двух крупных российских компаний» — полезная история от @Tcr0ss
«Забытый веб. Как мы нашли самодельный веб-сервис, давший дорогу внутрь сети» — от автора @cucurucuq
Спасибо всем, кто явил миру свои наработки, это очень важно и полезно для всего сообщества этичных хакеров.🫶 Мы гордимся тем, что смогли собрать столько бриллиантов!
Тем, кому пришлось оставить свои истории только между вендором и жюри, тоже спасибо, вы крутые и смелые, даже если об этом негде почитать :)
Остается полгода до новой #pentestaward , а значит можно успеть как следует подготовиться, чтобы побороться за звание лучшего пентестера😉
«Шишинг с Rogue RDP. Используем встроенные средства Windows для проникновения в сеть» от автора @X0red.
«Нанодамп. Как я заново изобрел SafetyKatz для дампа LSASS с NanoDump» от непревзойденного и многократного чемпиона @snovvcrash, канал.
«Пробив веба. Как я обошел 2FA и захватил учетки пользователей» от получившего первое место в вебе @shin0_by
«История двух ATO. Ищем уязвимости в логике обработки email» от @arkiix, канал.
«Kerberoasting для FreeIPA. Как я искал доступ к домену, а нашел CVE» от автора @Im10n
«Атака по SMS. Как мы нашли уязвимость в популярном GSM-модеме и раскрутили ее до RCE» — поражающий воображение кейс от дуэта @n0um3n0n и @madprogrammer
«Вход через WebTutor. Атакуем Windows через веб-приложение и Microsoft SQL» — от, стабильно подающего заявки высокого уровня, @Danr0
«В погоне за билетом. Как мы дважды проникли в домен, который считался неприступным познавательная» — история от @secm3n
«По заветам Митника. Как я заколебал всех, но все же получил пароль» — про нетипичное социотехническое тестирование @S3n_q
«Громим PrestaShop. Как я захватил инсталл интернет-магазина на багбаунти» — автор @tr3harder
«Инфра в огне. Как мы пентестили сети двух крупных российских компаний» — полезная история от @Tcr0ss
«Забытый веб. Как мы нашли самодельный веб-сервис, давший дорогу внутрь сети» — от автора @cucurucuq
Спасибо всем, кто явил миру свои наработки, это очень важно и полезно для всего сообщества этичных хакеров.
Тем, кому пришлось оставить свои истории только между вендором и жюри, тоже спасибо, вы крутые и смелые, даже если об этом негде почитать :)
Остается полгода до новой #pentestaward , а значит можно успеть как следует подготовиться, чтобы побороться за звание лучшего пентестера
Please open Telegram to view this post
VIEW IN TELEGRAM
Безопасный серфинг: все что нужно помнить
Безопасный серфинг — это комбинация правильных инструментов и внимательности. Кибератаки становятся все более таргетированными и таких мер предосторожности, как VPN, приватные браузеры и блокировка трекеров, уже недостаточно. Необходимо также всегда уделять внимание цифровой гигиене.
💚 Вспомним базу:
~ Используйте браузеры с упором на конфиденциальность
~ Браузеры, такие как Brave, Firefox с настройками приватности или Tor, минимизируют трекинг и блокируют сторонние куки.
~ Включите VPN для шифрования трафика, особенно при использовании общедоступных сетей Wi-Fi. Мы рекомендуем использовать собственные VPN сервера.
~ Установите расширения, такие как uBlock Origin или Privacy Badger, чтобы избежать отслеживания вашей активности и блокировки навязчивой рекламы.
~ Браузеры и расширения должны быть всегда обновлены, чтобы митигировать уязвимости, которые могут использовать злоумышленники.
~ Не сохраняйте пароли в браузере. Вместо этого используйте менеджеры паролей, например, Bitwarden.
💙 На что еще обратить внимание?
~ Общедоступные Wi-Fi сети: Даже с VPN нужно избегать работы с конфиденциальной информацией через общедоступные сети.
~ Расширения для браузеров: Убедитесь, что используете проверенные и безопасные расширения. Некоторые из них могут собирать ваши данные.
~ Фишинговые сайты: Используйте расширения, такие как Netcraft или встроенные функции браузера, для защиты от поддельных сайтов.
Безопасный серфинг — это комбинация правильных инструментов и внимательности. Кибератаки становятся все более таргетированными и таких мер предосторожности, как VPN, приватные браузеры и блокировка трекеров, уже недостаточно. Необходимо также всегда уделять внимание цифровой гигиене.
~ Используйте браузеры с упором на конфиденциальность
~ Браузеры, такие как Brave, Firefox с настройками приватности или Tor, минимизируют трекинг и блокируют сторонние куки.
~ Включите VPN для шифрования трафика, особенно при использовании общедоступных сетей Wi-Fi. Мы рекомендуем использовать собственные VPN сервера.
~ Установите расширения, такие как uBlock Origin или Privacy Badger, чтобы избежать отслеживания вашей активности и блокировки навязчивой рекламы.
~ Браузеры и расширения должны быть всегда обновлены, чтобы митигировать уязвимости, которые могут использовать злоумышленники.
~ Не сохраняйте пароли в браузере. Вместо этого используйте менеджеры паролей, например, Bitwarden.
~ Общедоступные Wi-Fi сети: Даже с VPN нужно избегать работы с конфиденциальной информацией через общедоступные сети.
~ Расширения для браузеров: Убедитесь, что используете проверенные и безопасные расширения. Некоторые из них могут собирать ваши данные.
~ Фишинговые сайты: Используйте расширения, такие как Netcraft или встроенные функции браузера, для защиты от поддельных сайтов.
Please open Telegram to view this post
VIEW IN TELEGRAM
Недавно на The Hacker News вышла статья «5 Ways Behavioral Analytics Is Transforming Cybersecurity», которая объясняет, как поведенческая аналитика меняет подход к защите систем. Особенно интересно в контексте защиты от сложных угроз и инцидентов.
🗝 Ключевые идеи:
Поведенческая аналитика позволяет детектировать необычные действия, даже если вектор обходит традиционные правила и сигнатуры. Например, сотрудник вдруг начинает скачивать большое количество данных или подключается из необычного региона.
Внутренние угрозы, будь то недобросовестный сотрудник или случайная ошибка, остаются одной из самых сложных проблем. Анализ поведения позволяет определить, кто отклоняется от своей обычной активности, и предпринять меры до того, как будет нанесен ущерб.
Современные угрозы, такие как APT, часто остаются незамеченными обычными средствами защиты. Поведенческая аналитика выявляет паттерны, которые могут указывать на скрытые атаки, например, использование редких команд или аномальные запросы в базу данных.
Традиционные системы безопасности часто генерируют большое количество ложных срабатываний. Поведенческая аналитика фокусируется на анализе контекста и снижает шум, помогая аналитикам сосредоточиться на реальных угрозах.
Интеграция аналитики с SIEM и SOAR позволяет автоматически реагировать на инциденты в зависимости от контекста. Например, система может блокировать подозрительный аккаунт или ограничивать доступ к ресурсам, если поведение пользователя становится аномальным.
💡 Наше мнение:
Поведенческая аналитика — это не просто модное слово, а реальный инструмент, который меняет правила игры, особенно если она интегрирована с ИИ. Например, решения, интегрирующие машинное обучение, могут эффективно анализировать телеметрию с конечных устройств: движение мыши, скорость набора текста, шаблоны взаимодействия с приложениями, ритм кликов и т.д. Такие параметры способны не только повысить точность идентификации пользователя, но и выявить злоумышленника, пытающегося выдать себя за сотрудника.
Поведенческая аналитика позволяет детектировать необычные действия, даже если вектор обходит традиционные правила и сигнатуры. Например, сотрудник вдруг начинает скачивать большое количество данных или подключается из необычного региона.
Внутренние угрозы, будь то недобросовестный сотрудник или случайная ошибка, остаются одной из самых сложных проблем. Анализ поведения позволяет определить, кто отклоняется от своей обычной активности, и предпринять меры до того, как будет нанесен ущерб.
Современные угрозы, такие как APT, часто остаются незамеченными обычными средствами защиты. Поведенческая аналитика выявляет паттерны, которые могут указывать на скрытые атаки, например, использование редких команд или аномальные запросы в базу данных.
Традиционные системы безопасности часто генерируют большое количество ложных срабатываний. Поведенческая аналитика фокусируется на анализе контекста и снижает шум, помогая аналитикам сосредоточиться на реальных угрозах.
Интеграция аналитики с SIEM и SOAR позволяет автоматически реагировать на инциденты в зависимости от контекста. Например, система может блокировать подозрительный аккаунт или ограничивать доступ к ресурсам, если поведение пользователя становится аномальным.
Поведенческая аналитика — это не просто модное слово, а реальный инструмент, который меняет правила игры, особенно если она интегрирована с ИИ. Например, решения, интегрирующие машинное обучение, могут эффективно анализировать телеметрию с конечных устройств: движение мыши, скорость набора текста, шаблоны взаимодействия с приложениями, ритм кликов и т.д. Такие параметры способны не только повысить точность идентификации пользователя, но и выявить злоумышленника, пытающегося выдать себя за сотрудника.
Please open Telegram to view this post
VIEW IN TELEGRAM
RPPA.pro помогает превратить абстрактные требования закона в работающие конкретные механизмы внутри компании
Курс Privacy Engineering позволяет специалистам понять IT-аспекты обработки данных в современной архитектуре и предложить четкие и практичные решения проблем приватности. Курс не имеет аналогов в русскоязычном пространстве.
Старт: февраль 2025 года
Подробная информация здесь👈
Курс Privacy Engineering позволяет специалистам понять IT-аспекты обработки данных в современной архитектуре и предложить четкие и практичные решения проблем приватности. Курс не имеет аналогов в русскоязычном пространстве.
Старт: февраль 2025 года
Подробная информация здесь
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
RPPA PRO: Privacy • AI • Cybersecurity • IP
#RPPAedu #education
💜Тот самый курс по Privacy Engineering, аналогов в русскоязычном пространстве которому нет, а уже прошел почти год!
РЕГИСТРАЦИЯ
🐉Стоимость:
130 000 руб.
☕️Старт: февраль 2025 года
📌Преподаватели:
🟡Олег Блинов, автор курса
🟡Елизавета…
💜Тот самый курс по Privacy Engineering, аналогов в русскоязычном пространстве которому нет, а уже прошел почти год!
РЕГИСТРАЦИЯ
🐉Стоимость:
130 000 руб.
☕️Старт: февраль 2025 года
📌Преподаватели:
🟡Олег Блинов, автор курса
🟡Елизавета…