Фарм мерча на PHDays 11
Чего только не сделаешь ради крутого мерча от Positive Technologies!
На PHDays любой желающий мог получить его. Нужно было только пройти квиз…
Хакер под ником eeenvik1 подделал бот, с помощью которого нужно было успешно пройти квиз, правильно ответив на 10 из 10 вопросов по шести темам, чтобы получить в награду наш мерч. Для создания копии бота исследователь прибег к тайпсквоттингу — виду атак социальной инженерии, нацеленному на тех, кто допускает опечатку при вводе веб-адреса в браузере и не использует поисковую систему.
О том, как он это сделал и что из этого вышло, читайте в статье на Хабре
P.S. Мерч по-прежнему доступен для заказа на positivemerch.com
Чего только не сделаешь ради крутого мерча от Positive Technologies!
На PHDays любой желающий мог получить его. Нужно было только пройти квиз…
Хакер под ником eeenvik1 подделал бот, с помощью которого нужно было успешно пройти квиз, правильно ответив на 10 из 10 вопросов по шести темам, чтобы получить в награду наш мерч. Для создания копии бота исследователь прибег к тайпсквоттингу — виду атак социальной инженерии, нацеленному на тех, кто допускает опечатку при вводе веб-адреса в браузере и не использует поисковую систему.
О том, как он это сделал и что из этого вышло, читайте в статье на Хабре
P.S. Мерч по-прежнему доступен для заказа на positivemerch.com
😁5🔥2👍1👎1
Forwarded from Standoff 365
🤘 The Standoff Talks снова в деле
Приглашаем всех в конце лета на наш митап для энтузиастов и профессионалов Offensive/Defensive Security. Первый The Standoff Talks пройдёт 23 августа в Москве, на площадке Loft Hall. В программе доклады, общение и чилл. Это тот самый митап, который мы затеяли ещё в начале весны.
🔔 Сегодня мы запускаем Call For Papers и регистрацию для спикеров. Если вам интересно что-нибудь рассказать на пентестерско-стэндоффскую тему, успевайте заполнить форму CFP до 1 августа → cfp.standoff365.com
С чем можно податься?
• техническими и фановыми докладами из жизни специалиста Red/Blue Team;
• историями про свой опыт и забавные открытия;
• рассказами команды про жизнь и подготовку к Стэндоффу, бета-тест платформы The Standoff 365;
• успешными багхантерскими находками.
В общем, тут главное — желание поделиться с единомышленниками, а форму выбираете вы.
Первого августа мы закроем подачу заявок на доклады, запустим регистрацию и отбор уже для участников. У спикеров, естественно, инвайты будут автоматически.
Так что освобождайте 23 августа от дел и готовьте ваши огненные доклады! 👉 cfp.standoff365.com 🔥
Приглашаем всех в конце лета на наш митап для энтузиастов и профессионалов Offensive/Defensive Security. Первый The Standoff Talks пройдёт 23 августа в Москве, на площадке Loft Hall. В программе доклады, общение и чилл. Это тот самый митап, который мы затеяли ещё в начале весны.
🔔 Сегодня мы запускаем Call For Papers и регистрацию для спикеров. Если вам интересно что-нибудь рассказать на пентестерско-стэндоффскую тему, успевайте заполнить форму CFP до 1 августа → cfp.standoff365.com
С чем можно податься?
• техническими и фановыми докладами из жизни специалиста Red/Blue Team;
• историями про свой опыт и забавные открытия;
• рассказами команды про жизнь и подготовку к Стэндоффу, бета-тест платформы The Standoff 365;
• успешными багхантерскими находками.
В общем, тут главное — желание поделиться с единомышленниками, а форму выбираете вы.
Первого августа мы закроем подачу заявок на доклады, запустим регистрацию и отбор уже для участников. У спикеров, естественно, инвайты будут автоматически.
Так что освобождайте 23 августа от дел и готовьте ваши огненные доклады! 👉 cfp.standoff365.com 🔥
👍9🔥2
Forwarded from Standoff 365
Встречайте, онлайн-киберполигон The Standoff 365 — online.standoff365.com
Испытайте пределы безопасности реальных компаний в корпоративном, энергетическом и банковском сегментах!
📊💡🏦
Испытайте пределы безопасности реальных компаний в корпоративном, энергетическом и банковском сегментах!
📊💡🏦
🔥14👍1
Риски безопасности систем ИИ
В 2021 году тренд на использование технологий на базе искусственного интеллекта в киберпреступности стал реальностью. Шутки кончились! 😐 В Китае, например, хакеры нанесли ущерб на $76.2 млн, обманув с помощью дипфейка госсистему, которая принимает подтвержденные биометрией налоговые документы, а в ОАЭ мошенники вынудили сотрудника компании перевести деньги на их счета, подделав голос директора.
Чтобы помочь специалистам DS, ML и AI больше погрузиться в вопросы безопасности, а экспертам по ИБ — ближе познакомиться с ИИ, на PHDays 11 мы провели соревнование AI CTF, затрагивающее риски безопасности систем ИИ.
В течение 28 часов 44 конкурсанта сдали как минимум по одному флагу. Все задания были решены, но никто из участников не решил их все 🤷♀️
Подготовили подробный разбор конкурса на нашем Хабре
В 2021 году тренд на использование технологий на базе искусственного интеллекта в киберпреступности стал реальностью. Шутки кончились! 😐 В Китае, например, хакеры нанесли ущерб на $76.2 млн, обманув с помощью дипфейка госсистему, которая принимает подтвержденные биометрией налоговые документы, а в ОАЭ мошенники вынудили сотрудника компании перевести деньги на их счета, подделав голос директора.
Чтобы помочь специалистам DS, ML и AI больше погрузиться в вопросы безопасности, а экспертам по ИБ — ближе познакомиться с ИИ, на PHDays 11 мы провели соревнование AI CTF, затрагивающее риски безопасности систем ИИ.
В течение 28 часов 44 конкурсанта сдали как минимум по одному флагу. Все задания были решены, но никто из участников не решил их все 🤷♀️
Подготовили подробный разбор конкурса на нашем Хабре
🔥6👍3
Более 200 исследователей безопасности зарегистрировались сегодня на The Standoff 365 🎉
На нашей платформе вы можете:
Прокачивать свои навыки на Киберполигоне, испытывая пределы безопасности реальных компаний в корпоративном, энергетическом и банковском сегментах!
Получать деньги и славу за найденные уязвимости, участвуя в программах bug bounty.
Присоединиться
На нашей платформе вы можете:
Прокачивать свои навыки на Киберполигоне, испытывая пределы безопасности реальных компаний в корпоративном, энергетическом и банковском сегментах!
Получать деньги и славу за найденные уязвимости, участвуя в программах bug bounty.
Присоединиться
🔥7👍2
IDS Bypass на PHDays 11
На фоне цифровизации, массового перехода на удаленку и роста напряженности в мире сетевая безопасность приобретает решающее значение для бизнеса, тем более что и кибератаки становятся все коварнее.
Участники конкурса IDS Bypass на PHDays испытали на прочность системы сетевой защиты. В первом задании, например, им предложили проэксплуатировать нашумевшую уязвимость Log4Shell в популярной библиотеке log4j, а во втором — брешь в механизме авторизации SSO, которая позволяет подменить куки и войти в Zabbix без авторизации с учеткой администратора.
Количество решений было неограниченным, а шесть уязвимых сервисов подобраны так, чтобы участники сосредоточились на обходе системы IDS, которая пропускает трафик через себя и блокирует попытки сетевых атак.
Больше 100 конкурсантов состязались днем и ночью почти 30 часов, а борьба за призовые места шла буквально до последней минуты.
Читайте подробный разбор конкурса на Хабре
На фоне цифровизации, массового перехода на удаленку и роста напряженности в мире сетевая безопасность приобретает решающее значение для бизнеса, тем более что и кибератаки становятся все коварнее.
Участники конкурса IDS Bypass на PHDays испытали на прочность системы сетевой защиты. В первом задании, например, им предложили проэксплуатировать нашумевшую уязвимость Log4Shell в популярной библиотеке log4j, а во втором — брешь в механизме авторизации SSO, которая позволяет подменить куки и войти в Zabbix без авторизации с учеткой администратора.
Количество решений было неограниченным, а шесть уязвимых сервисов подобраны так, чтобы участники сосредоточились на обходе системы IDS, которая пропускает трафик через себя и блокирует попытки сетевых атак.
Больше 100 конкурсантов состязались днем и ночью почти 30 часов, а борьба за призовые места шла буквально до последней минуты.
Читайте подробный разбор конкурса на Хабре
👍4
Hack me, если сможешь
Хотим напомнить, что у нас есть подкаст с лучшими выступлениями с Positive Hack Days и не только.
Третий выпуск нового сезона уже ждет своих слушателей!
Новое лицо OSINT. Версия 2022 года.
Андрей Масалович, генеральный директор «Инфорус» и разработчик технологии интернет-разведки Avalanche, раскрывает на реальных примерах 20 практических приемов разведки по открытым источникам (OSINT), в которых применяются новые возможности цифрового мира:
🔸 поиск по фото с использованием нейронных сетей;
🔸 сбор информации из даркнета;
🔸 обнаружение утечек в облачных хранилищах;
🔸 фиксация цифрового следа пользователя по данным его гаджетов.
Слушайте этот и другие выпуски на любой удобной для вас платформе.
Подписывайтесь, ставьте лайки и делитесь своим мнением об услышанном: https://phdays.mave.digital/ep-34
Хотим напомнить, что у нас есть подкаст с лучшими выступлениями с Positive Hack Days и не только.
Третий выпуск нового сезона уже ждет своих слушателей!
Новое лицо OSINT. Версия 2022 года.
Андрей Масалович, генеральный директор «Инфорус» и разработчик технологии интернет-разведки Avalanche, раскрывает на реальных примерах 20 практических приемов разведки по открытым источникам (OSINT), в которых применяются новые возможности цифрового мира:
🔸 поиск по фото с использованием нейронных сетей;
🔸 сбор информации из даркнета;
🔸 обнаружение утечек в облачных хранилищах;
🔸 фиксация цифрового следа пользователя по данным его гаджетов.
Слушайте этот и другие выпуски на любой удобной для вас платформе.
Подписывайтесь, ставьте лайки и делитесь своим мнением об услышанном: https://phdays.mave.digital/ep-34
👍9🔥1🎉1
Шестьдесят девятый выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru
Темы нового ролика:
🔸 Парадокс нехватки специалистов в области кибербезопасности
🔸 Новая кэш-атака по сторонним каналам позволяет деанонимизировать пользователей
🔸 Албания ушла в офлайн после кибератаки
🔸 iOS 15 взломали через год после релиза
🔸 Найден чит-код для мозга: просто играйте в видеоигры
🔸 Падение стоимости криптовалюты вызвало кризис в дарквебе
🔸 Группировка BlackCat требует у жертв все больше денег
🔸 Последнее крупное обновление Tor открыло новые возможности по обходу цензуры
🔸 GlobalData: Нефтегазовая отрасль уязвима для кибератак
🔸 Минцифры собирается легализовать белых хакеров
🔸 Опрос: импортозамещение ПО займет несколько месяцев
⚡️ P.S. Хотите целую коробку шоколадок Bounty? 🥥 Тогда обязательно досмотрите видео до конца
Темы нового ролика:
🔸 Парадокс нехватки специалистов в области кибербезопасности
🔸 Новая кэш-атака по сторонним каналам позволяет деанонимизировать пользователей
🔸 Албания ушла в офлайн после кибератаки
🔸 iOS 15 взломали через год после релиза
🔸 Найден чит-код для мозга: просто играйте в видеоигры
🔸 Падение стоимости криптовалюты вызвало кризис в дарквебе
🔸 Группировка BlackCat требует у жертв все больше денег
🔸 Последнее крупное обновление Tor открыло новые возможности по обходу цензуры
🔸 GlobalData: Нефтегазовая отрасль уязвима для кибератак
🔸 Минцифры собирается легализовать белых хакеров
🔸 Опрос: импортозамещение ПО займет несколько месяцев
⚡️ P.S. Хотите целую коробку шоколадок Bounty? 🥥 Тогда обязательно досмотрите видео до конца
YouTube
Албания ушла в оффлайн после кибератаки, срываем маски: новая кэш-атака. Security-новости #69 | 12+
👉 Новости об инвестициях в кибербезопасность: https://news.1rj.ru/str/positive_investing
0:00 Security-новости
0:58 Парадокс нехватки специалистов в области кибербезопасности - https://www.securitylab.ru/news/532864.php
2:27 Срываем маски: новая кэш-атака по сторонним…
0:00 Security-новости
0:58 Парадокс нехватки специалистов в области кибербезопасности - https://www.securitylab.ru/news/532864.php
2:27 Срываем маски: новая кэш-атака по сторонним…
👍7❤1🔥1
Митап The Standoff Talks
23 августа в Москве пройдет митап The Standoff Talks, на котором соберутся энтузиасты и профессионалы offensive и defensive security.
С какими докладами можно прийти
Для примера:
🙅 Команда ITeasy, участник майского The Standoff, поделится опытом участия в кибербитве в докладе «Не делайте так, как мы ^ _ ^».
🙀 Bulba Hackers готовят доклад «Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff».
😎 Старший специалист отдела тестирования на проникновение Positive Technologies Константин Полишин расскажет о RedTeam-страданиях SOC’а.
С чем еще можно податься:
• c техническими и фановыми докладами из жизни специалиста red или blue team;
• c историями про свой опыт и забавные открытия;
• c рассказами про жизнь и подготовку к The Standoff, про бета-тест The Standoff 365;
• c успешными багхантерскими находками.
❗️Осталось 5 дней до окончания приема заявок для спикеров (до 1 августа). Если вам есть чем поделиться, успейте заполнить форму CFP!
Let’s meet up!
23 августа в Москве пройдет митап The Standoff Talks, на котором соберутся энтузиасты и профессионалы offensive и defensive security.
С какими докладами можно прийти
Для примера:
🙅 Команда ITeasy, участник майского The Standoff, поделится опытом участия в кибербитве в докладе «Не делайте так, как мы ^ _ ^».
🙀 Bulba Hackers готовят доклад «Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff».
😎 Старший специалист отдела тестирования на проникновение Positive Technologies Константин Полишин расскажет о RedTeam-страданиях SOC’а.
С чем еще можно податься:
• c техническими и фановыми докладами из жизни специалиста red или blue team;
• c историями про свой опыт и забавные открытия;
• c рассказами про жизнь и подготовку к The Standoff, про бета-тест The Standoff 365;
• c успешными багхантерскими находками.
❗️Осталось 5 дней до окончания приема заявок для спикеров (до 1 августа). Если вам есть чем поделиться, успейте заполнить форму CFP!
Let’s meet up!
🔥5👍2
Какие доклады вам интересны больше всего?
Anonymous Poll
65%
Технические доклады из жизни специалиста red или blue team
41%
Истории про личный опыт и забавные открытия
24%
Рассказы команды про жизнь и подготовку к The Standoff, про бета-тестирование The Standoff 365
44%
Успешные находки багхантеров
4%
Свой вариант, напишу в комментариях ↓
Семидесятый выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru
Темы нового ролика:
▫️ Бывший генеральный директор Google сравнил ИИ с ядерным оружием
▫️ Появились инструменты для дешифровки микрокода Intel
▫️ Данные аккаунтов 5,4 млн пользователей Twitter продают в сети за 30 тыс. долларов США
▫️ Ежегодный прирост специалистов в сфере искусственного интеллекта в России составит около 10 тыс. человек
▫️ Инициатива No More Ransom помогла более 1,5 миллионам пользователей по всему миру восстановить данные
▫️ Субатомные частицы предлагают использовать для сканирования зданий и не только
▫️ Хакеры с помощью калькуляторов атакуют Windows 7
▫️ Популярное приложение JusTalk обманывало пользователей
▫️ 69 млн домашних питомцев продаются за 4 BTC
▫️ Финансовые организации Европы под прицелом восставшей группы Evilnum
▫️ Информация о сотрудниках госучреждений США может вновь оказаться в свободном доступе
___________________________
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
Темы нового ролика:
▫️ Бывший генеральный директор Google сравнил ИИ с ядерным оружием
▫️ Появились инструменты для дешифровки микрокода Intel
▫️ Данные аккаунтов 5,4 млн пользователей Twitter продают в сети за 30 тыс. долларов США
▫️ Ежегодный прирост специалистов в сфере искусственного интеллекта в России составит около 10 тыс. человек
▫️ Инициатива No More Ransom помогла более 1,5 миллионам пользователей по всему миру восстановить данные
▫️ Субатомные частицы предлагают использовать для сканирования зданий и не только
▫️ Хакеры с помощью калькуляторов атакуют Windows 7
▫️ Популярное приложение JusTalk обманывало пользователей
▫️ 69 млн домашних питомцев продаются за 4 BTC
▫️ Финансовые организации Европы под прицелом восставшей группы Evilnum
▫️ Информация о сотрудниках госучреждений США может вновь оказаться в свободном доступе
___________________________
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
YouTube
Big Brother следит за VR-пользователями, Взлом оператора связи Канады. Security-новости #70 | 12+
👉 Новости об инвестициях в кибербезопасность: https://news.1rj.ru/str/positive_investing
0:00 Security-новости
1:00 Бывший генеральный директор Google сравнил ИИ с оружием массового уничтожения
https://www.securitylab.ru/news/532960.php
2:16 Big Brother может отслеживать…
0:00 Security-новости
1:00 Бывший генеральный директор Google сравнил ИИ с оружием массового уничтожения
https://www.securitylab.ru/news/532960.php
2:16 Big Brother может отслеживать…
🔥3👍1
Forwarded from Standoff 365
🧯Реализованы первые недопустимые события на киберполигоне
Хакеры: AlinaPoteet и undefi
Сегмент: STF Bank
Недопустимые события:
🔺 утечка конфиденциальной информации — получение доступа к компьютеру бухгалтера банка
🔺 утечка персональных данных сотрудников — получение доступа к ERP-системе или к базе данных сотрудников банка
Теперь AlinaPoteet занимает первую строчку рейтинга хакеров, а undefi вторую. Поздравляем! 🥳
Если тоже хотите погрузиться в ломание банковской инфраструктуры, приходите на online.standoff365.com
Задания и креды для подключения к полигону видны после регистрации ;-)
Хакеры: AlinaPoteet и undefi
Сегмент: STF Bank
Недопустимые события:
🔺 утечка конфиденциальной информации — получение доступа к компьютеру бухгалтера банка
🔺 утечка персональных данных сотрудников — получение доступа к ERP-системе или к базе данных сотрудников банка
Теперь AlinaPoteet занимает первую строчку рейтинга хакеров, а undefi вторую. Поздравляем! 🥳
Если тоже хотите погрузиться в ломание банковской инфраструктуры, приходите на online.standoff365.com
Задания и креды для подключения к полигону видны после регистрации ;-)
🔥16👍1😱1
Forwarded from Standoff 365
Bug Bounty от VK уже на The Standoff 365
VK — крупнейшая технологическая компания, создающая проекты и сервисы для российского потребителя. Вы или ваши родственники на регулярной основе пользуетесь десятками из них: от почты и социальных сетей до каршеринга, доставки продуктов и обучения.
Компания не первый год даёт хакерам поле для охоты на уязвимости за вознаграждение. В вашем распоряжении будет 40+ проектов. Сегодня запустили первую партию:
▪️ социальные сети ВКонтакте и Одноклассники;
▪️ образовательные платформы GeekBrains, Skillbox, Алгоритмика, Тетрика и Учи.ру;
▪️ почтовый сервис Mail.ru;
▪️ облачная платформа VK Cloud Solutions;
▪️ набор коммуникационных сервисов TAPM (Типовое Автоматизированное Рабочее Место).
⚡️ Максимальная награда за уязвимости — до 1,8 млн рублей (в зависимости от уровня угрозы).
Искать уязвимости 👉 bugbounty.standoff365.com/vendors/vk
VK — крупнейшая технологическая компания, создающая проекты и сервисы для российского потребителя. Вы или ваши родственники на регулярной основе пользуетесь десятками из них: от почты и социальных сетей до каршеринга, доставки продуктов и обучения.
Компания не первый год даёт хакерам поле для охоты на уязвимости за вознаграждение. В вашем распоряжении будет 40+ проектов. Сегодня запустили первую партию:
▪️ социальные сети ВКонтакте и Одноклассники;
▪️ образовательные платформы GeekBrains, Skillbox, Алгоритмика, Тетрика и Учи.ру;
▪️ почтовый сервис Mail.ru;
▪️ облачная платформа VK Cloud Solutions;
▪️ набор коммуникационных сервисов TAPM (Типовое Автоматизированное Рабочее Место).
⚡️ Максимальная награда за уязвимости — до 1,8 млн рублей (в зависимости от уровня угрозы).
Искать уязвимости 👉 bugbounty.standoff365.com/vendors/vk
🔥20👍3
Forwarded from Standoff 365
🔥 Завершили отбор докладов на митап The Standoff Talks. Было так много крутых заявок, что мы даже решили расширить по времени программу :) Спасибо всем подавшимся!
Итак, 23 августа в программе будут следующие доклады:
🔹 Виктор Зварыкин — Не делайте так, как мы
Про участие команды ITeasy в майском The Standoff и сделанные выводы после игры.
🔹 Роман Максимов — Абузим Zabbix заказчика, или как бедолаге стать хозяином подконтрольных узлов
Об особенностях использования развёрнутой в сети заказчика системы мониторинга Zabbix во благо пентестера.
🔹 Магама́ Базаров — Cisco Nightmare. Дьявольский пентест сетей Cisco
Широкий обзор атак на сети Cisco. Вся боль и тлен сетевого инженера при виде сетей, если к их администрированию и дизайну отнеслись халатно.
🔹 Константин Полишин — RedTeam страдания SOC’а
Доклад о части используемых командой PT SWARM техник и тактик, позволяющих успешно закрывать проекты по Red Team в первые недели.
🔹 Артём Кадушко — Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff
Про подготовку и неоднократное участие команды в The Standoff, стэндоффхаки в организации команды.
🔹 Вадим Шелест и Михаил Дрягунов — Breaking Red
Фановый доклад о приключениях команды пентестеров из Digital Security на Red Team проектах.
🔹 Денис Рыбин — О том как Privacy Sandbox веб сломал, но обещал починить
Обзор новых предлагаемых веб-стандартов группы Privacy Sandbox. Как жить, когда нельзя ставить 3rd-party куки.
🔹 Илья Шапошников — MSSQL: dump linked passwords
Про основные варианты атаки на MSSQL и новый вектор атаки для получения паролей от связанных серверов через локальный доступ к СУБД.
На этот митап приглашаем слушателей в основном по инвайтам — ищите их у команд The Standoff и спикеров. Завтра расскажем, как ещё можно получить приглашение 👉через нашу платформу багбаунти и киберполигон.
Итак, 23 августа в программе будут следующие доклады:
🔹 Виктор Зварыкин — Не делайте так, как мы
Про участие команды ITeasy в майском The Standoff и сделанные выводы после игры.
🔹 Роман Максимов — Абузим Zabbix заказчика, или как бедолаге стать хозяином подконтрольных узлов
Об особенностях использования развёрнутой в сети заказчика системы мониторинга Zabbix во благо пентестера.
🔹 Магама́ Базаров — Cisco Nightmare. Дьявольский пентест сетей Cisco
Широкий обзор атак на сети Cisco. Вся боль и тлен сетевого инженера при виде сетей, если к их администрированию и дизайну отнеслись халатно.
🔹 Константин Полишин — RedTeam страдания SOC’а
Доклад о части используемых командой PT SWARM техник и тактик, позволяющих успешно закрывать проекты по Red Team в первые недели.
🔹 Артём Кадушко — Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff
Про подготовку и неоднократное участие команды в The Standoff, стэндоффхаки в организации команды.
🔹 Вадим Шелест и Михаил Дрягунов — Breaking Red
Фановый доклад о приключениях команды пентестеров из Digital Security на Red Team проектах.
🔹 Денис Рыбин — О том как Privacy Sandbox веб сломал, но обещал починить
Обзор новых предлагаемых веб-стандартов группы Privacy Sandbox. Как жить, когда нельзя ставить 3rd-party куки.
🔹 Илья Шапошников — MSSQL: dump linked passwords
Про основные варианты атаки на MSSQL и новый вектор атаки для получения паролей от связанных серверов через локальный доступ к СУБД.
На этот митап приглашаем слушателей в основном по инвайтам — ищите их у команд The Standoff и спикеров. Завтра расскажем, как ещё можно получить приглашение 👉
🔥8👍6
Разбор атаки на АСУ ТП
В течение четырех дней майской кибербитвы The Standoff Государство F подвергалось атакам со всех сторон. Самыми впечатляющими были атаки на автоматизированные системы управления технологическим процессом (АСУ ТП), а реализация недопустимых событий в промышленном сегменте приносила атакующим больше всего очков.
В реальной жизни такие атаки разрушительны, несут огромные риски и могут привести к человеческим жертвам, а реализовать их сложнее, так как доступ к этому сегменту ограничен.
На учениях атакующие отправили всего одно фишинговое письмо (якобы с резюме), а затем понеслось: разведка, закрепление, повышение привилегий, горизонтальное перемещение — и вот они уже управляют вашим телетрапом через АСУ ТП.
В кибербитве традиционно принимают участие и команды защиты, которые наблюдают за происходящим, используя решения Positive Technologies.
Читайте на Хабре подробный рассказ о том, как совокупность наших продуктов позволяет восстановить полную цепочку действий атакующих.
В течение четырех дней майской кибербитвы The Standoff Государство F подвергалось атакам со всех сторон. Самыми впечатляющими были атаки на автоматизированные системы управления технологическим процессом (АСУ ТП), а реализация недопустимых событий в промышленном сегменте приносила атакующим больше всего очков.
В реальной жизни такие атаки разрушительны, несут огромные риски и могут привести к человеческим жертвам, а реализовать их сложнее, так как доступ к этому сегменту ограничен.
На учениях атакующие отправили всего одно фишинговое письмо (якобы с резюме), а затем понеслось: разведка, закрепление, повышение привилегий, горизонтальное перемещение — и вот они уже управляют вашим телетрапом через АСУ ТП.
В кибербитве традиционно принимают участие и команды защиты, которые наблюдают за происходящим, используя решения Positive Technologies.
Читайте на Хабре подробный рассказ о том, как совокупность наших продуктов позволяет восстановить полную цепочку действий атакующих.
🔥6👍1
This media is not supported in your browser
VIEW IN TELEGRAM
Кибербезопасность в России в эпоху импортозамещения
Привычный нам мир информационной безопасности в последние месяцы рушится, а российские компании лишаются поддержки западных поставщиков. Импортозамещение в России находится в активной фазе. Но теперь это не требование регулятора, а реальная потребность.
Мы считаем, что кибербезопасность — та самая отрасль, импортозамещение в которой возможно.
Ведущий специального выпуска канала The Standoff Russia Денис Батранков, руководитель направления сетевой безопасности Positive Technologies, вместе со своими гостями — представителями индустрии ИБ России, разбирается:
• как уход западных вендоров повлиял на сферу ИБ в России;
• как повели себя IT-гиганты с российскими клиентами;
• что происходит с компаниями, которые не могут обновить оборудование;
• как российским компаниям сегодня выстраивать защиту в области ИБ;
• почему это важно.
Подробности — в нашем спецвыпуске
Привычный нам мир информационной безопасности в последние месяцы рушится, а российские компании лишаются поддержки западных поставщиков. Импортозамещение в России находится в активной фазе. Но теперь это не требование регулятора, а реальная потребность.
Мы считаем, что кибербезопасность — та самая отрасль, импортозамещение в которой возможно.
Ведущий специального выпуска канала The Standoff Russia Денис Батранков, руководитель направления сетевой безопасности Positive Technologies, вместе со своими гостями — представителями индустрии ИБ России, разбирается:
• как уход западных вендоров повлиял на сферу ИБ в России;
• как повели себя IT-гиганты с российскими клиентами;
• что происходит с компаниями, которые не могут обновить оборудование;
• как российским компаниям сегодня выстраивать защиту в области ИБ;
• почему это важно.
Подробности — в нашем спецвыпуске
🔥7😱1
Forwarded from Standoff 365
Как получить билет на митап
Вчера мы анонсировали доклады на митап 23 августа. Самое время рассказать про конкурс.
На платформе есть хакеры, которые не участвовали в The Standoff. Они не получили персональные приглашения на митап, но при этом активно присылают отчёты о найденных уязвимостях и реализуют недопустимые события. Если ты из их числа и хочешь посетить первый The Standoff Talks, увидеть всё из зала и пообщаться со спикерами лично, выпить пива — поднажми на платформе Bug Bounty и киберполигоне 💪
📅 В среду 17 августа в 17:00 мск мы пришлём билеты всем хакерам с ≥ 3000 баллов в общем рейтинге на киберполигоне и всем багхантерам с ≥ 1000 баллов. Если желающих окажется больше, чем мест в лофте, расчехлим random.org и пришлём приглашения самым удачливым.
GLHF!
Вчера мы анонсировали доклады на митап 23 августа. Самое время рассказать про конкурс.
На платформе есть хакеры, которые не участвовали в The Standoff. Они не получили персональные приглашения на митап, но при этом активно присылают отчёты о найденных уязвимостях и реализуют недопустимые события. Если ты из их числа и хочешь посетить первый The Standoff Talks, увидеть всё из зала и пообщаться со спикерами лично, выпить пива — поднажми на платформе Bug Bounty и киберполигоне 💪
📅 В среду 17 августа в 17:00 мск мы пришлём билеты всем хакерам с ≥ 3000 баллов в общем рейтинге на киберполигоне и всем багхантерам с ≥ 1000 баллов. Если желающих окажется больше, чем мест в лофте, расчехлим random.org и пришлём приглашения самым удачливым.
GLHF!
👍8
Информация — ценнейший ресурс для развития общества и технологий, а безопасность больших данных должна быть ключевым приоритетом для любой компании.
На PHDays 11 тимлид Digital Security и пентестер Вадим Шелест познакомил участников форума с типичными ошибками администрирования, ошибками конфигурации и уязвимостями Hadoop-кластеров и его компонентов. Они позволяют злоумышленникам получить доступ к внутренней инфраструктуре Hadoop — одного из основных инструментов для анализа big data.
Например, у Sparky есть забавный скрипт Dump Clouds Creds, позволяющий атакующим получить доступ во внутреннюю инфраструктуру компаний в облаках с помощью учетных данных. Необходимые данные можно прочитать из метаданных и пользовательских данных таких сервисов, как AWS и DigitalOcean. Все, что для этого требуется, — значения AccessKey, SecretAccessKey и, если речь идет об Amazon, токен.
👀 Смотреть доклад на YouTube
🎧 Слушать доклад в нашем подкасте
На PHDays 11 тимлид Digital Security и пентестер Вадим Шелест познакомил участников форума с типичными ошибками администрирования, ошибками конфигурации и уязвимостями Hadoop-кластеров и его компонентов. Они позволяют злоумышленникам получить доступ к внутренней инфраструктуре Hadoop — одного из основных инструментов для анализа big data.
Например, у Sparky есть забавный скрипт Dump Clouds Creds, позволяющий атакующим получить доступ во внутреннюю инфраструктуру компаний в облаках с помощью учетных данных. Необходимые данные можно прочитать из метаданных и пользовательских данных таких сервисов, как AWS и DigitalOcean. Все, что для этого требуется, — значения AccessKey, SecretAccessKey и, если речь идет об Amazon, токен.
👀 Смотреть доклад на YouTube
🎧 Слушать доклад в нашем подкасте
👍5🔥2