Если позиция простого слушателя вас не устраивает — испытайте свои силы и навыки в одном из конкурсов, которые проходят на форуме.

🔓 Например, попробуйте легально взломать настоящий банкомат, кассовую систему или POS-терминал на конкурсе Payment Village.

💸 Призовой фонд — 150 тысяч рублей.

🔗 Все детали конкурса, советы и обсуждения — на канале https://news.1rj.ru/str/paymentvillage.

💥 The Standoff 365: новая платформа Bug Bounty

На PHDays 11 презентовали новую платформу The Standoff 365 Bug Bounty:

• За первые два дня на платформе уже зарегистрировались больше 366 хакеров.
• «Азбука Вкуса» и Positive Technologies первыми разместили на ней свои программы.
• Спустя всего 20 минут после запуска был получен первый отчет об уязвимости.

Публичные программы bug bounty позволяют на практике испытать надежность любой системы силами большого числа исследователей безопасности с разным опытом и умениями. Запуск таких программ — логичный ответ на резкий рост киберугроз, а платформа объединяет на своей площадке компании и исследователей, позволяя этичным хакерам вносить свой вклад в безопасность и честно зарабатывать.

На The Standoff 365 Bug Bounty исследователи впервые смогут получать награду не только за найденные недопустимые для бизнеса события, но и за их реализацию.

В 2022 году создатели рассчитывают привлечь на платформу 500–1000 исследователей и 20 компаний. К 2025-му число компаний на платформе может достичь 100 и больше.

Отдельное спасибо «Азбуке Вкуса» за доверие и многолетнее плодотворное сотрудничество 🤝

Bug Bounty от Азбуки вкуса

Азбука вкуса — огромный ритейл, которым пользуются тысячи людей ежедневно.

Компания предлагает вам поискать уязвимости среднего уровня критичности в следующем скоупе:
🔸 *.av.ru, *.azbukavkusa.ru — домены
🔸 195.19.210.0/24 — CIDR
🔸 Сервисы, доступные в беспроводных сетях компании и сами беспроводные сети, принадлежащие Азбуке Вкуса.

Максимальная награда за уязвимости — 100 000 ₽

Искать уязвимости 👉 bugbounty.standoff365.com/programs/3

Испытайте на прочность системы сетевой защиты на конкурсе IDS Bypass!

🔓 Нужно найти уязвимости в 6 сервисах, украсть флаги и обойти систему обнаружения вторжений (IDS), которая анализирует трафик и блокирует попытки сетевых атак

💸 Призы — 50, 40 и 30 тысяч рублей за 1-е, 2-е и 3-е места соответственно.

🔗 Переходите по ссылке, чтобы зарегистрироваться: https://news.1rj.ru/str/+TmswiD3ur44yNjdi

Для тех, кто находится непосредственно на форуме, проводится конкурс «Наливайка».

🔓 Нужно найти уязвимости в защищенном веб-приложении и выполнить ряд команд операционной системы.

🥃 Участникам, на действия которых чаще всего реагировал фильтр безопасности, каждые 5 минут усложняются условия — на 50 мл крепкого мексиканского напитка.

🎁 Игрок, который сохранит ясность сознания и наберет максимальное число очков, получит ценный приз.

🔗 Подробности по ссылке: https://www.phdays.com/ru/program/contests/2drunk2hack/

Итоги The Standoff

Всего за четыре дня учений недопустимые события были реализованы 63 раза. Команды атакующих реализовали 30 уникальных недопустимых событий из 100 возможных (в ноябрьском The Standoff атакующим удалось реализовать всего 6 уникальных событий).

Практически все компании, за исключением банков, подверглись атакам хакеров. Систему продажи ж.-д. билетов атаковали 14 из 17 красных команд; это недопустимое событие стало самым популярным. Наиболее запоминающимися событиями стали авария на колесе обозрения, остановка добычи нефти, остановка нефтепродуктопровода, нарушение работы сооружений для очистки сточных вод, вмешательство в управление телетрапом и внедрение вредоносного кода в процесс разработки.

Победителями киберучений со стороны атакующих стали Codeby, на втором месте расположилась команда True0xA3, на третьем — Invuls. За время проведения The Standoff атакующие сдали 295 отчетов об уязвимостях. Около 40% отчетов сданы тремя командами: Codeby, DeteAct и Bulba Hackers. Наибольшее количество уязвимостей обнаружено в системе транспортной компании Heavy Logistics.

За четыре дня команды защитников сдали 287 отчетов об инцидентах и 10 отчетов о расследованиях. Больше всего отчетов о расследованиях сдала команда ZoneZone. Минимальное время расследования составило 1 час 13 минут, а среднее — 9 часов 15 минут.

🔥 Через 15 минут начинается финальный концерт Positive Wave!

Группы из IT-компаний сделают PHDays ещё горячее:

⭐️ The Serious Men (Сибур Диджитал)
⭐️ ZilllA (devweb)
⭐️ С этой планеты (ООО «ЛАСП Технологии»)
⭐️ Human Laces (Корпорация «Строй Инвест Проект»)
⭐️ Of Titans and Men (EPAM, SmartPlayer)
⭐️ СИАМ (Альфа-Банк)

Подключайтесь к трансляции и наслаждайтесь музыкой, специально отобранной для PHDays 11.

Крупнейший в Европе форум по практической безопасности PHDays 11 огненно завершился. Вот топ цитат заключительного дня 💥

«Особенности построения процесса управления инцидентами в MSSP-модели»
▫️ Роман Овчинников, руководитель отдела исполнения Security Vision: «За последнее время на MSSP-рынке было два больших этапа роста. Первый был связан с пандемией и массовым переходом на удаленную работу, а второй — с известными февральскими событиями».

«Охотимся за атаками на инфраструктуру Active Directory», технический доклад
▫️ Теймур Хеирхабаров, руководитель центра мониторинга и реагирования на киберугрозы BI.ZONE: «С точки зрения настроек Microsoft CA services — это просто ад. Конечно, если их правильно настраивать, а не делать „далее, далее, окей — и в продакшн“. Это сложная комплексная система с множеством параметров, неправильная конфигурация которых может привести к полной компрометации домена».

«Расследование инцидентов ИБ, совершенных сотрудниками: куда смотреть, за что хватать, чем ловить»
▫️ Даниил Бориславский, руководитель аналитического отдела «Атом Безопасность»: «Сегодня при расследовании инцидентов в случае поиска информации в изображениях на ПК используют OCR-технологии для перевода данных в текстовую форму. Еще один подход — использование нейросетей. Так, например, можно найти сканы паспортов».

«Эффективное взаимодействие SOAR и SIEM для построения SOC»
▫️ Анжелика Свойкина, пресейл-инженер компании Security Vision: «SIEM зачастую выдает десятки миллионов инцидентов в день. По сравнению с первым кварталом 2021 года количество инцидентов увеличилось более чем в четыре раза. Несмотря на это доля умных и сложных атак уменьшилась: многие рядовые пользователи подключаются к бот-сетям или пользуются инструкциями в телеграм-каналах атакующих».

«SOC on-premise: как построить, чтобы не было мучительно больно»
▫️ Андрей Прошин, руководитель направления центра Solar JSOC «Ростелеком-Солар»: «При построении SOC в первую очередь нанимают консультанта, который может избежать „граблей“ и трат на переделку. Но если такой человек уходит, компания может, по сути, остаться с чемоданом без ручки и столкнуться с проблемами дальнейшего развития SOC. Еще один опасный вариант — когда быстро и дешево. На бумаге может быть все нормально, компоненты будут присутствовать, контент внутри SIEM может существовать, но первый же пентест покажет, что SOC ничего не видит».

«Облик современного ЦОД — какой он?»
▫️ Айрат Мустафин, генеральный директор компании Liberum Navitas: «То, чем мы пользуемся сейчас, было создано давно. Это же касается и ЦОД: многие из них расположены на бывших складах, узлах связи и других не предназначенных для этого строениях. Даже сегодня центры обработки данных строятся из сэндвич-панелей. Кроме того, большинство ЦОД в России построены в западной части страны, а дальше Урала их нет».

«Задачи и эволюция bug bounty»
▫️ Ярослав Бабин, директор продукта The Standoff 365: «Мы агрегатор между бизнесом и хакерами. Наша задача — привлечь и тех, и других. Наши отношения с хакерским сообществом всегда были хорошие. У нас есть форум PHDays, киберучения The Standoff. Мы еще не успели запуститься, а на платформе уже зарегистрировались 366 хакеров. С исследователями проблем не будет, комьюнити будет расти».

🏆 Кибербитва The Standoff подошла к концу, а вот и лучшие красные команды.

🥇 На 1-м месте команда Codeby — у них 27 715 баллов.

🥈 На 2-м — команда True0xA3 с 23 381 баллом.

🥉 На 3-м — команда Invuls, 12 352 балла.

🎉 Поздравляем победителей и благодарим всех участников, это было здорово!

Фестиваль Positive Wave подошёл к концу. В этом году было очень много заявок, в 2 полуфиналах участвовали 11 команд, в финал попали 6. И вот мы готовы объявить победителей!

🥇 The Serious Men (СИБУР Диджитал), приз — чек на 100 тысяч рублей, обучение для всех участников группы в школе Musical Wave по любому направлению и сертификат на фотосессию.

🥈 СИАМ (Альфа-Банк), приз — чек на 70 тысяч рублей.

🥉 ZilllA (devweb), приз — чек на 30 тысяч рублей и спецприз от Innostage, поездка в Казань.

Жюри было топовое: Константин Сидорков, Игорь Климов, Рамин Абдулаев, Евгений Раев, Дмитрий Евграфов, Александр Морковчин, Тимофей Москалёв, Максим Якушев.

Спасибо всем, кто принимал участие, спасибо жюри, спасибо вам — зрителям и слушателям фестиваля. До встречи в следующем году 👋

Исследователь lalka обнаружил на платформе The Standoff 365 две уязвимости.

Пока у нас еще нет своей публичной программы вознаграждения за уязвимости. Но мы любим исследователей, которые следуют политикам ответственного разглашения, и уважаем их труд.

Поэтому в порядке исключения мы решили отметить lalka и подарить ему:

✅ вознаграждение в 20 000 руб.;
✅ наш фирменный рюкзак;
✅ футболку;
✅ зарядное устройство;
✅ дождевик;
✅ стикерпаки и другие полезные мелочи.

Спасибо✊

✴️ Как прошла кибербитва. Команды красных

Стартовый день The Standoff был насыщенным. Первое недопустимое событие команда DeteAct реализовала спустя всего 130 минут после начала киберучений, нарушив работу системы продажи билетов. А команда Codeby в тот же день с помощью социнженерии получила доступ к базе данных компании Heavy Logistics.

На второй день True0xA3 с помощью вируса-шифровальщика нанесли ущерб IT-инфраструктуре компании Tube. К концу третьего дня было реализовано 18 уникальных недопустимых событий. Baguette2Pain, True0xA3 и Codeby ломали нефтеперерабатывающий завод, а Invuls и EvilBunnyWrote — УК City.

Всего за четыре дня киберучений «красные» сдали 295 отчетов об уязвимостях и реализовали 63 недопустимых события, из них 30 уникальных. Победителями со стороны атакующих стали Codeby (27 715 баллов), второе место заняла команда True0xA3 (23 381 балл), третье — Invuls (12 352 балла).

Регистрируйтесь, исследуйте — список программ на сайте: https://standoff365.com/#bug-bounty

Напомним, что на PHDays 11 мы запустили платформу The Standoff 365 Bug Bounty. Если вы хотите получать от компаний вознаграждения за уязвимости, найденные в их сетях, IT-системах и приложениях, присоединяйтесь к нам! На платформе уже более 550 хакеров 😎

А еще на форуме мы собрали разработчиков, пользователей и хакеров, чтобы разобраться:
☑️ сколько стоит создание платформы для вознаграждения хакеров;
☑️ как рассчитать бюджет на поиск и устранение уязвимостей;
☑️ каковы перспективы этого рынка, какие существуют проблемы и можно ли их решить.

Посмотреть запись разговора можно по ссылке: https://event.phdays.com/ru#bug-bounty-through-the-eyes-of-developers-users-and-hackers

Первые два отчета о расследовании недопустимых событий защитники сдали на третий день The Standoff. Тогда команда ZoneZone выявила всю цепочку атак этичных хакеров из SPbCTF и DeteAct.

Всего же за четыре дня кибербитвы защитники сдали 287 отчетов об инцидентах и 10 отчетов о расследованиях. Минимальное время расследования составило 1 час 13 минут, а среднее — 9 часов 15 минут. В качестве источников событий чаще всего упоминаются MaxPatrol SIEM, PT NAD, PT Sandbox и PT Application Firewall.

Больше всего (6 из 10 от общего числа сданных отчётов) отчетов о расследованиях сдали ZoneZone, а лидерами по количеству принятых отчетов об атаках стали Your shell not pass, сдавшие 93 отчета.

Спасибо всем, кто защищал на этом The Standoff инфраструктуру Государства F! Ждем вас на следующей кибербитве 🙏

На PHDays 11 прошло несколько конкурсов, одним из самых ярких был Blockchain Hunter. Участникам нужно было провести свое расследование и найти информацию, которая помогла бы им овладеть цифровыми картинами.

К моменту, когда конкурс закончился, все объекты NFT-арта были взломаны. Так что мы готовы назвать имена победителей:

🏅 Алексей Егоров — 5 объектов

🎖 Александр Рудковский — 1 объект

Поздравляем, ваши призы ждут вас!