Если позиция простого слушателя вас не устраивает — испытайте свои силы и навыки в одном из конкурсов, которые проходят на форуме.

🔓 Например, попробуйте легально взломать настоящий банкомат, кассовую систему или POS-терминал на конкурсе Payment Village.

💸 Призовой фонд — 150 тысяч рублей.

🔗 Все детали конкурса, советы и обсуждения — на канале https://news.1rj.ru/str/paymentvillage.

💥 The Standoff 365: новая платформа Bug Bounty

На PHDays 11 презентовали новую платформу The Standoff 365 Bug Bounty:

• За первые два дня на платформе уже зарегистрировались больше 366 хакеров.
• «Азбука Вкуса» и Positive Technologies первыми разместили на ней свои программы.
• Спустя всего 20 минут после запуска был получен первый отчет об уязвимости.

Публичные программы bug bounty позволяют на практике испытать надежность любой системы силами большого числа исследователей безопасности с разным опытом и умениями. Запуск таких программ — логичный ответ на резкий рост киберугроз, а платформа объединяет на своей площадке компании и исследователей, позволяя этичным хакерам вносить свой вклад в безопасность и честно зарабатывать.

На The Standoff 365 Bug Bounty исследователи впервые смогут получать награду не только за найденные недопустимые для бизнеса события, но и за их реализацию.

В 2022 году создатели рассчитывают привлечь на платформу 500–1000 исследователей и 20 компаний. К 2025-му число компаний на платформе может достичь 100 и больше.

Отдельное спасибо «Азбуке Вкуса» за доверие и многолетнее плодотворное сотрудничество 🤝

Bug Bounty от Азбуки вкуса

Азбука вкуса — огромный ритейл, которым пользуются тысячи людей ежедневно.

Компания предлагает вам поискать уязвимости среднего уровня критичности в следующем скоупе:
🔸 *.av.ru, *.azbukavkusa.ru — домены
🔸 195.19.210.0/24 — CIDR
🔸 Сервисы, доступные в беспроводных сетях компании и сами беспроводные сети, принадлежащие Азбуке Вкуса.

Максимальная награда за уязвимости — 100 000 ₽

Искать уязвимости 👉 bugbounty.standoff365.com/programs/3

Испытайте на прочность системы сетевой защиты на конкурсе IDS Bypass!

🔓 Нужно найти уязвимости в 6 сервисах, украсть флаги и обойти систему обнаружения вторжений (IDS), которая анализирует трафик и блокирует попытки сетевых атак

💸 Призы — 50, 40 и 30 тысяч рублей за 1-е, 2-е и 3-е места соответственно.

🔗 Переходите по ссылке, чтобы зарегистрироваться: https://news.1rj.ru/str/+TmswiD3ur44yNjdi

Для тех, кто находится непосредственно на форуме, проводится конкурс «Наливайка».

🔓 Нужно найти уязвимости в защищенном веб-приложении и выполнить ряд команд операционной системы.

🥃 Участникам, на действия которых чаще всего реагировал фильтр безопасности, каждые 5 минут усложняются условия — на 50 мл крепкого мексиканского напитка.

🎁 Игрок, который сохранит ясность сознания и наберет максимальное число очков, получит ценный приз.

🔗 Подробности по ссылке: https://www.phdays.com/ru/program/contests/2drunk2hack/

Итоги The Standoff

Всего за четыре дня учений недопустимые события были реализованы 63 раза. Команды атакующих реализовали 30 уникальных недопустимых событий из 100 возможных (в ноябрьском The Standoff атакующим удалось реализовать всего 6 уникальных событий).

Практически все компании, за исключением банков, подверглись атакам хакеров. Систему продажи ж.-д. билетов атаковали 14 из 17 красных команд; это недопустимое событие стало самым популярным. Наиболее запоминающимися событиями стали авария на колесе обозрения, остановка добычи нефти, остановка нефтепродуктопровода, нарушение работы сооружений для очистки сточных вод, вмешательство в управление телетрапом и внедрение вредоносного кода в процесс разработки.

Победителями киберучений со стороны атакующих стали Codeby, на втором месте расположилась команда True0xA3, на третьем — Invuls. За время проведения The Standoff атакующие сдали 295 отчетов об уязвимостях. Около 40% отчетов сданы тремя командами: Codeby, DeteAct и Bulba Hackers. Наибольшее количество уязвимостей обнаружено в системе транспортной компании Heavy Logistics.

За четыре дня команды защитников сдали 287 отчетов об инцидентах и 10 отчетов о расследованиях. Больше всего отчетов о расследованиях сдала команда ZoneZone. Минимальное время расследования составило 1 час 13 минут, а среднее — 9 часов 15 минут.

🔥 Через 15 минут начинается финальный концерт Positive Wave!

Группы из IT-компаний сделают PHDays ещё горячее:

⭐️ The Serious Men (Сибур Диджитал)
⭐️ ZilllA (devweb)
⭐️ С этой планеты (ООО «ЛАСП Технологии»)
⭐️ Human Laces (Корпорация «Строй Инвест Проект»)
⭐️ Of Titans and Men (EPAM, SmartPlayer)
⭐️ СИАМ (Альфа-Банк)

Подключайтесь к трансляции и наслаждайтесь музыкой, специально отобранной для PHDays 11.

Крупнейший в Европе форум по практической безопасности PHDays 11 огненно завершился. Вот топ цитат заключительного дня 💥

«Особенности построения процесса управления инцидентами в MSSP-модели»
▫️ Роман Овчинников, руководитель отдела исполнения Security Vision: «За последнее время на MSSP-рынке было два больших этапа роста. Первый был связан с пандемией и массовым переходом на удаленную работу, а второй — с известными февральскими событиями».

«Охотимся за атаками на инфраструктуру Active Directory», технический доклад
▫️ Теймур Хеирхабаров, руководитель центра мониторинга и реагирования на киберугрозы BI.ZONE: «С точки зрения настроек Microsoft CA services — это просто ад. Конечно, если их правильно настраивать, а не делать „далее, далее, окей — и в продакшн“. Это сложная комплексная система с множеством параметров, неправильная конфигурация которых может привести к полной компрометации домена».

«Расследование инцидентов ИБ, совершенных сотрудниками: куда смотреть, за что хватать, чем ловить»
▫️ Даниил Бориславский, руководитель аналитического отдела «Атом Безопасность»: «Сегодня при расследовании инцидентов в случае поиска информации в изображениях на ПК используют OCR-технологии для перевода данных в текстовую форму. Еще один подход — использование нейросетей. Так, например, можно найти сканы паспортов».

«Эффективное взаимодействие SOAR и SIEM для построения SOC»
▫️ Анжелика Свойкина, пресейл-инженер компании Security Vision: «SIEM зачастую выдает десятки миллионов инцидентов в день. По сравнению с первым кварталом 2021 года количество инцидентов увеличилось более чем в четыре раза. Несмотря на это доля умных и сложных атак уменьшилась: многие рядовые пользователи подключаются к бот-сетям или пользуются инструкциями в телеграм-каналах атакующих».

«SOC on-premise: как построить, чтобы не было мучительно больно»
▫️ Андрей Прошин, руководитель направления центра Solar JSOC «Ростелеком-Солар»: «При построении SOC в первую очередь нанимают консультанта, который может избежать „граблей“ и трат на переделку. Но если такой человек уходит, компания может, по сути, остаться с чемоданом без ручки и столкнуться с проблемами дальнейшего развития SOC. Еще один опасный вариант — когда быстро и дешево. На бумаге может быть все нормально, компоненты будут присутствовать, контент внутри SIEM может существовать, но первый же пентест покажет, что SOC ничего не видит».

«Облик современного ЦОД — какой он?»
▫️ Айрат Мустафин, генеральный директор компании Liberum Navitas: «То, чем мы пользуемся сейчас, было создано давно. Это же касается и ЦОД: многие из них расположены на бывших складах, узлах связи и других не предназначенных для этого строениях. Даже сегодня центры обработки данных строятся из сэндвич-панелей. Кроме того, большинство ЦОД в России построены в западной части страны, а дальше Урала их нет».

«Задачи и эволюция bug bounty»
▫️ Ярослав Бабин, директор продукта The Standoff 365: «Мы агрегатор между бизнесом и хакерами. Наша задача — привлечь и тех, и других. Наши отношения с хакерским сообществом всегда были хорошие. У нас есть форум PHDays, киберучения The Standoff. Мы еще не успели запуститься, а на платформе уже зарегистрировались 366 хакеров. С исследователями проблем не будет, комьюнити будет расти».

🏆 Кибербитва The Standoff подошла к концу, а вот и лучшие красные команды.

🥇 На 1-м месте команда Codeby — у них 27 715 баллов.

🥈 На 2-м — команда True0xA3 с 23 381 баллом.

🥉 На 3-м — команда Invuls, 12 352 балла.

🎉 Поздравляем победителей и благодарим всех участников, это было здорово!

Фестиваль Positive Wave подошёл к концу. В этом году было очень много заявок, в 2 полуфиналах участвовали 11 команд, в финал попали 6. И вот мы готовы объявить победителей!

🥇 The Serious Men (СИБУР Диджитал), приз — чек на 100 тысяч рублей, обучение для всех участников группы в школе Musical Wave по любому направлению и сертификат на фотосессию.

🥈 СИАМ (Альфа-Банк), приз — чек на 70 тысяч рублей.

🥉 ZilllA (devweb), приз — чек на 30 тысяч рублей и спецприз от Innostage, поездка в Казань.

Жюри было топовое: Константин Сидорков, Игорь Климов, Рамин Абдулаев, Евгений Раев, Дмитрий Евграфов, Александр Морковчин, Тимофей Москалёв, Максим Якушев.

Спасибо всем, кто принимал участие, спасибо жюри, спасибо вам — зрителям и слушателям фестиваля. До встречи в следующем году 👋

Исследователь lalka обнаружил на платформе The Standoff 365 две уязвимости.

Пока у нас еще нет своей публичной программы вознаграждения за уязвимости. Но мы любим исследователей, которые следуют политикам ответственного разглашения, и уважаем их труд.

Поэтому в порядке исключения мы решили отметить lalka и подарить ему:

✅ вознаграждение в 20 000 руб.;
✅ наш фирменный рюкзак;
✅ футболку;
✅ зарядное устройство;
✅ дождевик;
✅ стикерпаки и другие полезные мелочи.

Спасибо✊

✴️ Как прошла кибербитва. Команды красных

Стартовый день The Standoff был насыщенным. Первое недопустимое событие команда DeteAct реализовала спустя всего 130 минут после начала киберучений, нарушив работу системы продажи билетов. А команда Codeby в тот же день с помощью социнженерии получила доступ к базе данных компании Heavy Logistics.

На второй день True0xA3 с помощью вируса-шифровальщика нанесли ущерб IT-инфраструктуре компании Tube. К концу третьего дня было реализовано 18 уникальных недопустимых событий. Baguette2Pain, True0xA3 и Codeby ломали нефтеперерабатывающий завод, а Invuls и EvilBunnyWrote — УК City.

Всего за четыре дня киберучений «красные» сдали 295 отчетов об уязвимостях и реализовали 63 недопустимых события, из них 30 уникальных. Победителями со стороны атакующих стали Codeby (27 715 баллов), второе место заняла команда True0xA3 (23 381 балл), третье — Invuls (12 352 балла).

Регистрируйтесь, исследуйте — список программ на сайте: https://standoff365.com/#bug-bounty

Напомним, что на PHDays 11 мы запустили платформу The Standoff 365 Bug Bounty. Если вы хотите получать от компаний вознаграждения за уязвимости, найденные в их сетях, IT-системах и приложениях, присоединяйтесь к нам! На платформе уже более 550 хакеров 😎

А еще на форуме мы собрали разработчиков, пользователей и хакеров, чтобы разобраться:
☑️ сколько стоит создание платформы для вознаграждения хакеров;
☑️ как рассчитать бюджет на поиск и устранение уязвимостей;
☑️ каковы перспективы этого рынка, какие существуют проблемы и можно ли их решить.

Посмотреть запись разговора можно по ссылке: https://event.phdays.com/ru#bug-bounty-through-the-eyes-of-developers-users-and-hackers

Первые два отчета о расследовании недопустимых событий защитники сдали на третий день The Standoff. Тогда команда ZoneZone выявила всю цепочку атак этичных хакеров из SPbCTF и DeteAct.

Всего же за четыре дня кибербитвы защитники сдали 287 отчетов об инцидентах и 10 отчетов о расследованиях. Минимальное время расследования составило 1 час 13 минут, а среднее — 9 часов 15 минут. В качестве источников событий чаще всего упоминаются MaxPatrol SIEM, PT NAD, PT Sandbox и PT Application Firewall.

Больше всего (6 из 10 от общего числа сданных отчётов) отчетов о расследованиях сдали ZoneZone, а лидерами по количеству принятых отчетов об атаках стали Your shell not pass, сдавшие 93 отчета.

Спасибо всем, кто защищал на этом The Standoff инфраструктуру Государства F! Ждем вас на следующей кибербитве 🙏

На PHDays 11 прошло несколько конкурсов, одним из самых ярких был Blockchain Hunter. Участникам нужно было провести свое расследование и найти информацию, которая помогла бы им овладеть цифровыми картинами.

К моменту, когда конкурс закончился, все объекты NFT-арта были взломаны. Так что мы готовы назвать имена победителей:

🏅 Алексей Егоров — 5 объектов

🎖 Александр Рудковский — 1 объект

Поздравляем, ваши призы ждут вас!

О Codeby на The Standoff

В первый день The Standoff команда с помощью социальной инженерии получила доступ к базе данных сотрудников транспортной компании Heavy Logistics. А в третий день кибербитвы они распространили в IT-инфраструктуре нефтегазовой компании Tube вирус-шифровальщик и вмешались в работу нефтеперерабатывающего завода.

Сначала Codeby изменили параметры ректификационной колонны, что привело к ее захлебыванию, а потом и вовсе парализовали работу нефтепродуктопровода, из-за чего была остановлена перекачка топлива в аэропорт. Это привело к отмене множества транзитных рейсов, так как остатки топлива в аэропорту быстро иссякли.

Похожий сценарий был реализован хакерами в прошлом году при атаке на крупнейшую американскую трубопроводную компанию Colonial Pipeline. Тогда из-за остановки нефтепродуктопровода по всей стране были отменены и задержаны сотни рейсов. Авиаперевозчикам приходилось увеличивать количество дозаправок самолетов по многим маршрутам, что увеличивало время и стоимость перелетов.

18 мая на PHDays проходил AI Track, посвященный ИИ в кибербезопасности. Рассказываем подробнее о докладах, которые прозвучали на секции, и делимся ссылками на записи. Читайте и смотрите 👇

Глава Bloomtech LLC Петр Емельянов в докладе «Технологии совместных вычислений» говорил о том, как компаниям обмениваться данными, не обмениваясь ими: https://youtu.be/X7KblbVsO9Q

Валентина Пугачева из Security Vision рассказала, как применять методы машинного обучения без учителя для детектирования аномалий в логах пакетов сетевого трафика, поступающих в реальном времени: https://youtu.be/9LQuGFz3Hps

Николай Змитрович, исследователь АО «ИнфоТеКС», научил слушателей обнаруживать аномалии и признаки атак в сетевом трафике с использованием глубокого TCN-автокодировщика: https://youtu.be/Rdc8N9eK-wc

Тимлид Digital Security Вадим Шелест выступил с докладом «(Не)безопасность больших данных», где поделился комплексным подходом к анализу безопасности компонентов экосистемы Hadoop-кластеров: https://youtu.be/d4NXtcppbK4

Николай Лыфенко и Иван Худяшов из Positive Technologies выступили с совместным докладом об опыте применения моделей GAN для генерации различных векторов атак в контексте внедрения SQL-кода: https://youtu.be/-Y4rkSGMd3U

Директор проектов ПАО «Ростелеком» Наталья Бессонова осветила эксплуатационные испытания биометрических алгоритмов обнаружения витальности для Единой биометрической системы: https://youtu.be/qIwX7ptpoVo

Переходите по ссылкам и смотрите интересующие вас доклады 👀

Важной составляющей PHDays был трек Development, посвященный вопросам безопасной разработки. Мы собрали для вас ссылки на все доклады секции, чтобы вы могли их посмотреть, если что-то пропустили 👇

Первым выступил старший программист Positive Technologies Андрей Лядусов. Он рассказал о разработке расширений для популярных IDE и о сложностях, с которыми ему пришлось столкнуться в процессе: https://youtu.be/2IwZowVO5jM

Исследователь безопасности из SolidSoft Даниил Сигалов рассказал о новом методе автоматического майнинга эндпоинтов, который использует статический и статико-динамический анализ JavaScript-кода страницы: https://youtu.be/vG0EzOr81pE

Ведущий аудитор Swordfish Security Светлана Газизова презентовала созданный компанией фреймворк безопасной разработки: https://youtu.be/1IdU9WGULTk

Независимый исследователь Илья Шаров рассказал о процессных моделях непрерывного тестирования безопасности — AppSec: https://youtu.be/NYiixoIeskQ

CISO компании «СДЭК» Павел Куликов поделился позитивным опытом создания ролей security champions в компании-разработчике в условиях импортозамещения, технологического локдауна и кадрового голода в сфере ИБ: https://youtu.be/bLcGWeWDjyY

Даниил Садырин и Алексей Москвин из Positive Technologies представили новый подход к автоматизированной генерации эксплойтов для больших веб-приложений: https://youtu.be/Uu3iw-YswVA

На второй день форума Евгений Полонский и Василий Брит из Positive Technologies рассмотрели популярные инструменты, которые используются в цепочках поставок, и проблемы, связанные с ними: https://youtu.be/iaInkcwaCbo

Алексей Смирнов, основатель и руководитель компании Profiscope, проанализировал проблематику безопасной разработки с учетом современных угроз, которые привносят сторонние компоненты, и предложил варианты их решения: https://youtu.be/ACpIzUulChM

Тимур Черных и Елена Быковченко из Group-IB научили слушателей правильно разрабатывать ядерный модуль, патчащий ядро Linux, для сбора системных событий и максимально снижать вероятность паники ядра: https://youtu.be/gixe4YI0ftE

Татьяна Куцовол, Евфимий Смирнов и Марина Димаксян из Rostelecom-Solar выступили с докладом «Уязвимое мобильное приложение Allsafe глазами аналитика исходного кода с примерами для начинающих»: https://youtu.be/l8cShKFQ0mg

Тимлид AppSec NSPK Алексей Бабенко в докладе «Игры в безопасность» рассказал об одном из самых действенных методов повышения осведомленности о безопасности приложений — организации игр: https://youtu.be/k2SfjNVaCP8

Основатель и технический директор Luntry Дмитрий Евдокимов и разработчик Сергей Канибор рассказали обо всех премудростях, особенностях и возможностях контролирования сетевой активности в Kubernetes на базе нативных и кастомных Network Policies: https://youtu.be/uc-pph_z76Y

Переходите по ссылкам и смотрите самые интересные для вас доклады 📺