Форум КИБЕРТЕХ (7-8 октября, Кластер «Ломоносов»)

Мы участвуем в большом форуме по кибербезопасности — КИБЕРТЕХ 2024 🌐

🛡 Сегодня Илья Борисов, директор департамента по методологии ИБ, примет участие в дискуссии «Киберкультура как инструмент защищённости бизнеса».

Когда и где?
7 октября, 15:00, зал «Атом»

🛡 А завтра мы соберем CISO крупнейших российских big tech-компаний на дискуссию про «ИБ в технологических компаниях», чтобы обсудить актуальные вопросы индустрии:

🔹 Новые технологии и лучшие техники защиты продуктов и пользователей
🔹 Безопасность и ТТМ – как обеспечить безопасность продуктов и кода, не отставая от рынка
🔹 HighLoad – новые требования рынка
🔹 Автоматизация и новые технологии (AI, ML) – кейсы и тренды в ИБ
🔹 Поиск и работа с уязвимостями
🔹 По каким правилам живут в big tech

Модератором дискуссии выступит Антон Карпов, вице-президент, директор по информационной безопасности VK.

Когда и где?
8 октября, 12:15, зал «Кинетика»

#эксперты

Встретились как-то три багхантера и пентестер…

Так бы мог начаться какой-нибудь анекдот, но нет – это про новый выпуск Портрет багхантера в подкасте «Рынок уязвимостей» от Global Digital Space.

Мы пригласили Юрий Ряднина (circuit), Алексей Трофимов (Kwel), Дмитрий Прохоров (ratel_xx), чтобы поближе познакомиться с их личными историями, узнать о том, что их больше всего мотивирует в Bug Bounty, а что приносит разочарование и «боль».

И конечно, в выпуске обсудили:
🔹 Триаж, программы и платформы
🔹 Раскрытие отчетов
🔹 Этика и конкуренция в сообществе
🔹 Новое поколение багхантеров
🔹 Советы начинающим от профи

Ведущий этого выпуска – Сергей Зыбнев, пентестер и основатель проекта poxek.

Смотрите выпуск на платформах:

📱 VK Видео | 📱YouTube | 📺 RUTUBE

Подключайтесь! Будет интересно как новичкам, так и профи. 👉

#bugbounty #подкаст

Нам так понравилось общаться с багхантерами, что мы попросили каждого гостя подкаста ответить еще на несколько вопросов в формате блиц.

👀 Сегодня смотрим и слушаем, что Алексей Трофимов (он же kwel), ответил на вопросы:

🍎 Низко висящий фрукт или Kill Chain?
😎 Приватка или паблик?
🍿 Охота за багами или отдых на ивенте?
🤓 Самая первая бага, за которую получил вознаграждение
💲 Самая большая выплата

#bugbounty

А сегодня смотрим блиц с Юрой circuit Ряднина.

Итак, вопросы те же:

🔗 Kill Chain или низко висящие фрукты?
🏖 Отдых на ивенте для багхантеров или поиск багов?
🤫 Приватка или паблик?
👾 Самая первая бага и самая большая выплата?

а вот ответы… 👀 вас, возможно, удивят.

PS: кстати, а как вам выпуск подкаста с багхантерами? Уже успели посмотреть? Если нет, то впереди выходные – запасайтесь попкорном и го смотреть 🍿

📱 VK Видео | 📱YouTube | 📺 RUTUBE

#bugbounty

Ну и продолжая тему Bug Bounty, не можем не зафорсить исследование на Хабре, которе мы запустили вместе со Standoff Bug Bounty 👾

Для нас Bug Bounty – это уже больше, чем программа по поиску уязвимостей. 10 лет уже в этом "бизнесе" 😎 Мы дорожим нашим коммьюнити багхантеров, и нам всегда очень интересно узнавать, что их мотивирует, что нравится в программах, а чего не хватает.

Ну и конечно, нам бы хотелось узнать, что другие знают и думают про багхантинг 🤔

Поэтому будем очень рады, если вы поделитесь своим мнением 👉
https://habr.com/ru/specials/849390/

#bugbounty

Итак, последний блиц – с Димой ratel_xx Прохоровым 😎

Смотрим, что ответит Дима на вопросы про Kill Chain, отдых на мероприятиях для багхантеров, публичные программы и первую оплачиваемую багу. 👾

А еще бонусный вопрос: готов ли платить, чтобы раскрутить багу?

Ну что, какой блиц вам понравился больше ❓

#bugbounty

Фишинг, спам и роботы фроды 🥸

На митапе smartmail: antispam & antifraud эксперты команд Mail и VK поделились опытом защиты миллионов пользователей от мошеннических схем, рассказали о технологиях и прорывах в обучении ML, а также воспитании культуры кибербезопасности. И конечно, рассказали об эволюции фишинга и спама.

Смотрите видео этих докладов:

🎣 Фишинг: снаружи и изнутри
Ксения Кокорева, руководитель команды Антифишинга, Mail, и Павел Никитин, Red & Purple Team Lead, VK
🔹Про эволюцию фишинга, про использование ML, а также про таргетированные атаки и то, что случится после «пробива».

🤖 С чего начинаются фроды
Максим Бронзинский, руководитель команды AntiFraud, VK
🔹Простые правила борьбы с фродом, которые почему-то не так просто соблюдать, и причины, почему люди лучше роботов.

🔎 Как мы реализовали OCR в Почте
Сергей Сунцов, руководитель команды backend-разработки Антиспама, Mail, и Константин Хицко, руководитель команды Спаманализа, Mail.
🔹 Про то, как научились распознавать текст на картинках в потоке несколько миллионов писем в минуту и не тратить на это большое количество GPU.

#эксперты #доклады

🎙️ Новый выпуск подкаста про Bug Bounty – триаж уязвимостей

Сперва мы послушали багхантеров – узнали про их будни, достижения и «хотелки», а теперь настал черед тех, кто находится по другую сторону Bug Bounty. 😎

Позвали Дарью Афанасову (Standoff Bug Bounty), Елизавету Дудко (Т-Банк), Никиту Кузякина (BI.ZONE.Bug Bounty) и Петра Уварова (VK Bug Bounty), чтобы обсудить с ними насущные вопросы и проблемы триажа, а также ответить на «боли» багхантеров.

О чем поговорили ❓

🔹 Отчеты: процесс валидации, советы по оформлению и дисклоузы
🔹 Дубликатные дубликаты
🔹 Выплаты, бонусы и специальные программы
🔹 Хватает ли багхантеров на российском рынке Bug Bounty?
🔹 Советы начинающим ресерчерам

📺 Смотрите, что триажеры рассказали Сергею poxek Зыбневу, ведущему этого выпуска подкаста «Рынок уязвимостей»:

📺 VK Видео | 📺 YouTube | 📺 RUTUBE

⭐️ Новые призеры Bounty pass#2: Olymp

Это последний апдейт в таблице олимпийцев перед подведением итогов Bounty pass#2: Olymp – победителей объявим 25 октября.

А пока давайте поздравим:

🥇 zerodivisi0n и r0hack, которые поднялись на верхнюю ступеньку нашего багхантерского пьедестала

🥈 cutoffurmind – с завоеванным серебром

🥉 Dandomi, circuit и lobity с тем, что ворвались в борьбу и уверенно завоевали бронзу

Да, Bounty pass#2: Olymp завершится вечером 21 октября, но это не повод расстраиваться. У вас еще есть время, чтобы сдать отчеты о найденных уязвимостях, накопить бонус и попасть в число олимпийских призеров. На кону – уникальные наборы мерча, а победители получат несгораемый бонус 10% на целый год.

🚀Спешите в программы VK Bug Bounty на платформах Standoff, BI.ZONE и Bugbounty.ru.

#bugbounty #bountypass #olymp

Блиц, блиц, блиц!

После записи подкаста про Триаж уязвимостей мы попросили наших участников ответить на вопросы в формате блиц-интервью. Да, нам так понравилось, как это сделали багхантеры, что решили повторить.

Итак, сегодня показываем первый блиц, где Петр Уваров (VK Bug Bounty) отвечает на вопросы Сергея Зыбнева (poxek):

💦 Один отчет в день или непрерывный поток?

🫴 Что ответить на please, give me 500$"?

☕️ Сколько чашек кофе нужно утром, чтобы разобрать ночные отчеты?

📺 Какой сериал или фильм описывает работу триажеров?

🤔 Как сказать багхантеру, что отчет не воспроизводится, другими словами?

PS: надеемся, вы уже успели посмотреть выпуск подкаста про Триаж уязвимостей, а если нет – то вот ссылки, где его найти

📺 VK Видео | 📺 YouTube | 📺 RUTUBE

#bugbounty

🍿 Сегодня смотрим, что на вопросы Сергея poxek Зыбнева ответил Никита Кузякин из BI.ZONE Bug Bounty:

🌚 Может, все-таки один отчет в день? Или много и постоянно?

💰 Что все-таки ответить на Please, give me 500$?

☕️. Сколько чашек кофе нужно, чтобы разобрать все присланные за ночь отчеты?

📺 Какой фильм или сериал описывает работу триажеров?

👀 Как другими словами сказать багхантеру, что его отчет не воспроизводится?

#bugbounty

🎁 Встречайте Bounty pass#3: Advent,
или Mission Possible: собрать все подарки до Нового года

На календаре 22 октября, а значит, время объявить о старте нового Bounty pass#3: Advent. В финальном событии этого юбилейного для VK Bug Bounty года мы приготовили для багхантеров кучу подарков:

💲 Бонусы-бонусы-бонусы
Все любят бонусы, а когда на них нет лимита – еще больше! Поэтому продлили действие уже накопленных бонусов с Bounty pass#1: Progress и Bounty pass#2: Olymp и +5% с каждым новым оплачиваемым отчетом до 19 декабря.

🎁 Адвент-календарь багхантера
Что может быть лучше вознаграждений? Конечно, подарки – уникальный мерч и промокоды, которые можно получать с каждым новым оплачиваемым отчетом (или за каждые 100 000 рублей в отчёте)!

В адвент-календаре на сайте уже открыто 3 подарка, а новые будут появляться каждый вторник до 10 декабря.

🎄 BB Advent Party
Большая новогодняя вечеринка 19 декабря, куда мы пригласим:

🏆 победителей и топ-20 призёров Bounty pass #1: Progress
🥇🥈🥉 всех победителей и призеров Bounty pass #2: Olymp
😎 и всех, кто сдаст 3 оплачиваемых отчёта или получит суммарную выплату на 300 и более тысяч рублей в Bounty pass #3: Advent до 10 декабря 2024 года

🐱 Сезон волшебства и новогодних подарков объявляем открытым! Ждем всех в нашей программе VK Bug Bounty на трех платформах платформах Standoff, BI.ZONE и Bugbounty.ru!

#bugbounty #bountypass #advent

Последний, но зато какой 😎

Да, напоследок решили показать наш самый необычный блиц с гостями выпуска про триаж уязвимостей – с Дарьей Афанасовой из Standoff.

Простите за спойлер (как говорил Никита Кузякин BI.ZONE Bug Bounty в прошлом выпуске), но в этот раз не обошлось без спецэффектов ✨✨✨

А все почему? У ведущего – Сергея Зыбнева (poxek) возник вопрос про самую интересную уязвимость, которую нашли на площадке в этом году.

Интрига? 👀

Скорее смотрим блиц!

#bugbounty

✌️ Победители Bounty pass#2: Olymp

Поздравляем mr4nd3r50n, который сдал больше всего отчетов, и act1on3, который получил больше всего баунти за время проведения Bounty pass#2: Olymp 🎉

🎁 Начиная с этого дня они будут получать +10% к выплатам за все найденные уязвимости в программе VK Bug Bounty до октября 2025-го.

🙌 Благодарим всех участников Bounty pass#2: Olymp за участие и сданные отчеты вплоть до последних часов 21 октября – еще увлеченно триажим их, поэтому финальную расстановку призеров в таблице олимпийцев объявим чрез 2 недели (8 ноября).

А пока ждем результатов – продолжаем искать уязвимости в программе VK, копить бонусы и собирать подарки с Bounty pass#3: Advent!

#bugbounty #bountypass #olymp

🛡 Bug Bounty vs Pentest

В новом выпуске подкаста SafeCode Live Петр Уваров (VK Bug Bounty) и Сергей poxek Зыбнев (пентестер Бастион) рассказали ведущему – Алексею Федулаеву (MTC Web Services и автору канала Ever Secure) о том:

🔹 зачем компаниям нужны внешние исследователи безопасности,

🔹 когда нужны пентесты, а когда нужно запускать программу Bug Bounty,

🔹 и поделились забавными случаями из жизни хакинга.

📺 Смотрите выпуск на 📱 YouTube

🎧 Или слушайте в формате аудио на платформах:

📱 ВКонтакте | 📱 Apple Podcasts | 📱 Яндекс Музыка

🎁 Bounty pass#3: Advent
Новая неделя – новые подарки

Наш багхантерский адвент-календарь начинается по вторникам, поэтому сегодня открыли для вас два новых окошка с подарками. 😲

Итак, в четвертом окошке вы найдете наш Special Advent Edition аксессуар, а что скрывалось в пятом – смотрите на сайте Bounty pass#3: Advent.

Уже получили ваши отчеты об уязвимостях - смотрим, триажим... 🤔

и ждем новые на платформах Standoff, BI.ZONE Bug Bounty и Bugbounty.ru!

#bugbounty #bountypass #advent

🤖 AI на страже VK

Сейчас ИИ уже активно используют во многих технических сферах, но по поводу их применения в ИБ – в индустрии еще много споров и мнений.

В VK мы нашли решение – разработали на основе ИИ систему защиты от DDoS-атак и бот-активностей. Планируем внедрить его во все популярные проекты VK до конца 2024 года. 🗓

🛡 Наш новый сервис WARP (Web Application Resilient Protection) анализирует трафик и выявляет вредоносные запросы на основе постоянно меняющегося поведения пользователей и структуры атак.

🔎 Технология помогает выявлять аномалии и бороться с новым типом нагрузок (длительными атаками на несколько дней), а также распознавать сложные атаки, которые совмещают сразу несколько угроз (программы-парсеры, программы-брутфорсеры и другой вредоносный софт).

🤖 ИИ-модели обучены на обезличенных и обобщенных данных о поведении пользователей каждого сервиса VK. Они отличают злонамеренные действия от органических всплесков активности на площадке.

PS: при создании этого поста мы использовали ИИ – попросили нейронку показать нам, как выглядит WARP.

Именно так мы его себе и представляли. Наверное... 😕

#технологии #AI #WARP #защита_инфраструктуры

Коллеги из есom.teсh собирают 15 ноября митап по информационной безопасности

Будут интересные доклады про DevSecOps, Red Teaming проектов и SOC от ecom.tech, Купер.тех и 3side.

А еще дискуссия с экспертами из BigTech, в которой примет участие наш руководитель CSIRT в VK SOC – Никита Галимов.
На дискуссии планируют обсудить:

👎 атаки Fake Boss и как с нимим бороться

❓ какая модель SOC лучше: гибрид, in-house, или MSSP

📈 развитие TI, какие TI-процессы в BigTech

Приходите офлайн в Москве или присоединяйтесь онлайн – регистрация еще открыта.

Все подробности 👉 тут

#эксперты #дискуссия #митап

📆 Адвент-календарь:
Новые подарки c Bounty pass#3

Итак, сегодня вторник, а значит – самое время посмотреть, что можно получить за 6 и 7 оплачиваемых отчетов об уязвимости в программе VK Bug Bounty.

Подарок, который скрывался в шестом окошке, – это промокод на 75 000 рублей 💰

да-да, и это дополнительно к уже накопленным c Bounty pass бонусам 😎

а в седьмом – ищите на сайте Bounty pass#3: Advent 🖥

Ждем ваши новые отчеты на платформах Standoff, BI.ZONE Bug Bounty и Bugbounty.ru!

#bugbounty #bountypass #advent

Каждый третий пользователь становился жертвой травли в интернете, согласно данным исследования VK.

48% опрошенных отметили, что сталкивались с разжиганием ненависти в свой адрес, 43% — с распространением клеветы. 22% пострадали от киберсталкинга или навязчивого внимания.

Кибербуллинг влияет на поведение людей не только в интернете, но и в реальной жизни. Онлайн-травля приводит к психоэмоциональным и физическим расстройствам, при этом наибольшая доля жертв не обращаются за помощью и предпочитают переживать ситуацию в одиночестве. 😣

Каждый год 11 ноября VK проводит День борьбы с кибербуллингом 🤍

В этом году акция проходит в шестой раз и впервые продлится не день, а целый месяц. Зачем мы это делаем? Чтобы как можно больше людей знали, как реагировать на кибербуллинг и поддерживать тех, кто с ним столкнулся​.

Подробнее о том, как справиться с проблемой и как помочь другим, на сайте #неткибербуллингу 🤍