Ну и жаркая неделька была у интересующихся кибербезом 🔥 The Standoff и PHDays 10 закончились — время вспомнить, что крутого там было.

На The Standoff 30 команд пробовали атаковать виртуальный город. Хакеры сумели навредить газораспределительной станции, нефтекачке, ТЭЦ, ветрогенераторам, электроподстанции, ЖД-хозяйству, аэропорту, морскому порту, магазинам, сети рекламных видеоэкранов, системе уличного освещения. Хаос был страшный: в городе пропала электроэнергия, случилось несколько крупных ДТП, приостановилось ЖД-сообщение между городами — всего не перечислить, но было жутко. Цифровой мир по-прежнему несовершенен, но мы ищем способы защитить его.

Практика — это супер, но и без теории никак. Мы говорили о том, как обнаружить киберпреступника одним человеком, как взламывать мобильные приложения и даже как получить контроль над спутником. Программа докладов для PHDays с его 7 треками вышла больше, чем на 80 часов 😱

🔎 Контента было так много, что посмотреть все наверняка ни у кого не получилось. На этот случай мы приготовили записи, будем делиться интересными в соц сетях. Если любите выбирать материал самостоятельно, можете восполнить пробелы уже сейчас: https://standoff365.com/phdays10/

#PHDays10 #TheStandoff

О форуме от своего лица мы уже рассказали. Теперь послушаем мнение со стороны 💁🏻‍♀️

IT-компания Osnova предоставила для The Standoff свой одноименный платежный процессинг на открытом коде. На этом решении работала вся банковская инфраструктура кибергорода. Спойлер: финансовая система жесткий краш-тест выдержала, хотя ее не защищали специалисты из Blue teams. Спасибо, Osnova, это было круто!

Владелец и основатель Osnova, Денис Бурлаков поделился впечатлениями от участия в форуме, читайте его мнение по ссылке: https://rbk.money/article/2021/05/25/standoff2/

#PHDays10 #TheStandoff

Ни на что не намекаем, но пора бы уже посмотреть записи докладов PHDays и The Standoff 😎

Тем более, они такие интересные, полезные и крутые. Вот, например:

👌🏻 Security gym: тренируйся бороться с уязвимостями

Доклад о том, как разрабатывать безопасные приложения. Спикеры поделились опытом и показали систему, которая позволяет тренироваться в поиске и корректировке уязвимостей.
https://standoff365.com/phdays10/schedule/development/security-gym-train-to-crush-vulnerabilities/

👌🏻 Ломаем Bluetooth c помощью ESP32

Спикер рассказал, что такое Bluetooth (BLE), как происходит установление соединения и последующий обмен данными между различными устройствами. Он поговорил о атаках на Bluetooth и о том, как обеспечить безопасность технологии.
https://standoff365.com/phdays10/schedule/tech/how-to-pwn-bluetooth-with-esp32/

👌🏻 Простой и аккуратный метод обмануть предсказание top-k

Спикер продемонстрировал способ обмана предсказания top-k на датасетах Imagenet и CIFAR-10.
https://standoff365.com/phdays10/schedule/technical-village/a-simple-and-neat-way-to-deceive-top-k-prediction/

Докладов было намного больше — остальные смотри на сайте: https://standoff365.com/phdays10

#PHDays #TheStandoff

Новый день — новые записи с PHDays 🙌 Мы отобрали для вас несколько докладов, которые, скорее всего, будут вам интересны.

☑️ Безопасный WebView?

Лекция посвящена опасным ошибкам, которые чаще всего допускают разработчики приложений на Android и iOS.

https://standoff365.com/phdays10/schedule/development/secure-webview/

☑️ Куда приводит любопытство

Не вдаваясь в технические детали, докладчик рассказывает о своих исследованиях — что было их целью, с чего они начинались и куда привели. Основным объектом изучения выступила подсистема Intel ME.

https://standoff365.com/phdays10/schedule/tech/where-curiosity-leads/

☑️ Обратная сторона проактивного детекта

Из лекции вы узнаете несколько простых сценариев, как обнаружить зловредное действие, и увидите примеры вредоносного ПО, которое можно выявить с помощью обсуждаемых техник и подходов.

https://standoff365.com/phdays10/schedule/threat-research-camp/the-flip-side-of-proactive-detection-difficulties-in-the-detection-of-malicious-activity/

У нас на сайте ещё много интересных и полезных докладов, так что заглядывайте: https://standoff365.com/phdays10

#PHDays #TheStandoff

👁‍🗨 Вам нравится, как мы ведём соцсети? Или, может быть, вы хотели бы что-то изменить? Мы задумали небольшую трансформацию и просим вас поделиться мнением. Это поможет нам изменить соцсети PHDays и The Standoff так, чтобы вам было интереснее и удобнее следить за проектами.

✍️ Мы подготовили для вас небольшую анкету. Переходите по ссылке и пройдите опрос, это не займёт много времени: https://forms.gle/tyF2an9ESjJBmsgH7

#PHDays10 #TheStandoff

Уф, мы только пришли в себя после PHDays и The Standoff. Отдохнули, осознали произошедшее и готовы делиться выводами ✊🏻

Круто, что на площадке собралась очень разнообразная публика: гики, фанаты отрасли, профильные специалисты, предприниматели, даже министр цифрового развития заглянул на огонек. Послушать экспертов пришли больше 2,5 тысяч человек. А за сражениями на самом большом в мире киберполигоне The Standoff наблюдали более 20 тысяч онлайн-зрителей из разных стран.

Вот что нам особенно запомнилось:

✅ Хаос в кибергороде F: сломалось вообще все, остановилась нефтедобыча, пропало электричество, а на баржу упал контейнер
✅ За четыре дня The Standoff было реализовано 33 уникальных бизнес-риска — это 54% от общего числа рисков, заложенных в программу соревнования
✅ Обсудили отношение детей к кибербезопасности на The Standoff Kids
✅ На пленарной сессии поговорили о том, может ли стать Россия лидером кибербеза
✅ Форум оставил после себя более 80 часов полезного контента

Если ты следил за форумом (неважно, онлайн или офлайн), расскажи в комментариях, что тебе понравилось? Нам важно твое мнение.

#PHDays #TheStandoff

Мы будем рассказывать о записях докладов, пока все подписчики их не посмотрят 😂 Шутим, конечно, но послушать спикеров и правда стоит.

Вот еще несколько лекций, которые очень зашли участникам PHDays и The Standoff:

✅ Positive Technologies: опыт внедрения инструментов DevSecOps

Спикеры рассказали, как развернуть и эксплуатировать сканер кода PT Application Inspector в сборочном конвейере с учетом особенностей корпоративной инфраструктуры. Для наглядности они показали архитектуру решения и продемонстрировали примеры интеграции сканера Application Inspector и клиента AISA с GitLab CI и TeamCity.

https://standoff365.com/phdays10/schedule/development/positive-technologies-experience-in-implementing-devsecops-tools/

✅ Фишинг как метод выявления болевых точек в бизнес-процессах

Докладчик работает с заказчиками пентестов на основе фишинга. Так он выявляет сотрудников, которые игнорируют бизнес-корреспонденцию, чем тормозят бизнес-процессы. Смотри лекцию, чтобы узнать, как провести фишинг и найти бизнес-диверсантов.

https://standoff365.com/phdays10/schedule/fast-track/phishing-as-a-method-of-detecting-sore-spots-in-business-processes/

✅ Об одном подходе к классификации бинарных данных

Спикер рассказал о подходе к классификации бинарных данных, который применяется для анализа вредоносных программ. Он основан на нечетком хешировании, техниках обработки естественного языка и машинном обучении.

https://standoff365.com/phdays10/schedule/technical-village/binary-data-classification-based-on-ml-fuzzy-hashing-and-nlp/

Слушал все эти доклады? Тогда смотри другие по ссылке: https://standoff365.com/phdays10

#PHDays10 #TheStandoff

На PHDays была студия, в которой мы задавали вопросы участникам форума. Сегодня в кадре Александр Бондаренко, генеральный директор R-Vision 📷

Александр поделился мнением о том, как пандемия повлияла на кибербезопасность, рассказал о значимости отрасли, предположил вектор ее развития и привел кейсы нарушения ИБ. Благодарим Александра и R-Vision не только за интересный комментарий, но и за крутые выступления на форуме в публичных дискуссиях и кулуарах PHDays.

Смотри видео по ссылке: https://youtu.be/FgfwBsMWm0M
Что скажешь, согласен с Александром?

#PHDays #TheStandoff

В этом году у нас, организаторов PHDays, был надежный друг и партнер — компания Innostage. Она выступила соорганизатором мероприятия: развернула и поддерживала инфраструктуру The Standoff, мониторила и контролировала действия команд, дарила участникам подарки, а представители компании выступали с докладами. Было круто работать вместе. Спасибо☺️

На форуме мы взяли небольшое интервью у их технического директора Виктора Вячеславова 💭

Виктор рассказал о трендах в российской информационной безопасности, объяснил, почему нам всем нужны киберполигоны и поделился мнением о поддержке российских IT-компаний. А еще прокомментировал, почему Innostage выстраивает стратегическое сотрудничество с Positive Technologies. Смотрите видео — в нем много тезисов, которые натолкнут на размышления: https://www.youtube.com/watch?v=a0dz_kTgato

#PHDays #TheStandoff

Форум прошел, но твоя любовь к PHDays никуда не делась, правда? Тогда пора вспомнить про мерч 😏

У нас есть футболки и худи, рюкзаки и чехлы для аксессуаров, значки и тапочки. Теперь ты можешь заказать их с доставкой домой или в офис.

✅ Курьерская доставка по Москве в пределах МКАД стоит 350 рублей.
✅ Доставка в регионы в пункты выдачи заказов СДЭК, Почта России, Boxberry и PickPoint стоит 199 рублей.
✅ Заказы за пределы России доставит компания DPD. Стоимость доставки рассчитывается индивидуально.

Сделай заказ на сайте и дождись звонка менеджера. Он уточнит детали и согласует дату и время доставки.

👉🏻 Выбирай мерч из каталога: https://positivemerch.com/

#PHDays10 #TheStandoff

Чем займешься вечером? Подсказываем: посмотришь записи докладов с PHDays 🤩

Выбрали 4 лекции для приятного завершения дня:

👉🏻 Информационная безопасность в видеоиграх

Спикер рассмотрел типовые векторы атак и рассказал, как от них защищаться. Ну и примерами из жизни поделился — куда же без этого.

https://standoff365.com/phdays10/schedule/development/security-in-games/

👉🏻 Баг или фича?

Докладчик поделился опытом проведения функционального планирования SDLC-процессов и перечнем вспомогательных инструментов. Он рассказал о логических ошибках на этапе функционального планирования и объяснил, когда функциональность становится уязвимостью при планировании архитектуры.

https://standoff365.com/phdays10/schedule/development/a-bug-or-a-feature/

👉🏻 Взлом мобильных приложений

Спикер представил сценарии взлома, в которых обычные инструменты не работают, и объяснил, как оценить уровень безопасности мобильных приложений на базе Android и iOS.

https://standoff365.com/phdays10/schedule/hands/pwning-mobile-applications/

👉🏻 Слишком человеческое: социнженерия-2021

Докладчик рассказал о главных принципах социальной инженерии и о сценариях ее применения. Он поделился опытом противодействия этой технике в корпоративной среде.

https://standoff365.com/phdays10/schedule/tech/all-too-human-social-engineering-attacks-in-2021/

Мало этого контента? Записи всех докладов форума в твоем распоряжении. Смотри их на сайте: https://standoff365.com/phdays10

#PHDays10 #TheStandoff

Девятнадцатый выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru
https://www.youtube.com/watch?v=0keYB_QfwHI

Темы нового ролика:
• квантовые компьютеры смогут взломать большую часть современных алгоритмов шифрования;
• как заводской пароль привел к обвинениям в одном из серьезнейших преступлений;
• эксперты раскрыли подробности взлома RSA;
• страховой гигант CNA заплатил кибервымогателям $40 млн;
• уязвимости в «умных» розетках позволяют взломать домашнюю сеть;
• Apple исправила 0-Day-уязвимости в macOS;
• МИД России раскритиковал продление санкций ЕС за кибератаки;
• страховщики повышают стоимость страхования киберрисков и сужают страховое покрытие;
• ИИ может писать дезинформационные тексты и формировать мнение пользователей соцсетей.

И снова обсуждаем важные вопросы вместе с друзьями-партнерами. На этот раз взглядом на ИБ-отрасль поделился Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки из Ростелеком-Солар 🙌🏻

На юбилейном PHDays Владимир с коллегами провел интерактивные конкурсы, а еще рассказал о сервисах и продуктах ИБ.

В небольшом видеоинтервью Владимир рассказал о массовых атаках на бизнес, назвал последние тренды ИБ, предположил вектор развития направления и рассказал, как пандемия сказалась на отрасли.

✅ Потрать на просмотр 5 минут — будет полезно: https://www.youtube.com/watch?v=5omtbZJTSFk

#PHDays10 #TheStandoff

🚛 — это грузовик с полезным контентом, и он перевернулся прямо здесь. Так что лови ссылки на топовые доклады с PHDays.

🔎 Сканируй комплексно и нежно. Опыт Rambler&Co и Okko

Достаточно тестового сервиса, сайта с .git-каталогом в открытом доступе, открытого портала Redis или Kubernets API, чтобы взломать компанию. Спикер рассказал, как не стать жертвой программы-вымогателя, как находить уязвимости на всех уровнях, от портов до конфигураций, в коде, контейнерах в CI/CD.

https://standoff365.com/phdays10/schedule/threat-research-camp/scan-comprehensively-and-gently-rambler-co-and-okko-experience/

🔎Вирус среди нас. Как перенять государственный опыт борьбы с COVID-19 при обеспечении информационной безопасности

Отношение к ИБ напоминает отношение к пандемии: пока не случится инцидент, мало кто задумывается о возможных последствиях. Спикер рассмотрел 10 мер, которые принимало государство в борьбе с ковидом, и разобрал, как применить этот опыт, чтобы обеспечить ИБ в компании.

https://standoff365.com/phdays10/schedule/business/talk-by-ibs-platformix-virus-among-us/

🔎 Как избежать rug pull: аудит криптопротоколов для оценки рисков

Докладчик рассказал, на что обращать внимание при экспресс-аудите криптопротокола, чтобы предотвратить неприятности вроде rug pull.

https://standoff365.com/phdays10/schedule/technical-village/how-to-avoid-rug-pulls-risk-assessment-of-cryptoprotocols/

🔎Как подкараулить современные веб-приложения. Проблемы обхода, решения и пути развития

Спикер говорил о проблеме краулинга Web 2.0. Он объяснил, какие векторы развития краулинга актуальны сейчас и показал, как наука подключается к их реализации.

https://standoff365.com/phdays10/schedule/fast-track/how-to-ambush-modern-web-applications-bypass-issues-solutions-and-evolution/

Ну и по традиции: записи всех докладов форума ждут тебя на сайте https://standoff365.com/phdays10

#PHDays10 #TheStandoff