Ежегодная премия для этичных хакеров — Pentest award возвращается!

Ежегодная премия для этичных хакеров — Pentest award возвращается!

Ежегодная премия для этичных хакеров — Pentest award возвращается!

Раз в году у пентестеров появляется шанс громко заявить о своих достижениях и показать свой вклад в развитие российского ИБ-рынка. Pentest award объявили сбор заявок.

Премия для пентестеров проводится с целью отметить заслуги специалистов в области тестирования на проникновение, помочь им продемонстрировать свой опыт, насмотренность и талант, а также повысить уровень компетенций всех участников за счет обмена уникальным опытом.

Номинации и награды

В прошлом году участники показали высокий уровень профессионализма и забрали 12 наград. В этом — количество номинаций увеличилось до шести и награды получат 18 человек.

  • Пробив WEB: за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений.
  • Пробив инфраструктуры: за проникновение и эксплуатацию уязвимостей сетевой инфраструктуры, включая, но не ограничиваясь, сетевыми устройствами, сетевыми сервисами и IoT-устройствами.
  • Девайс: за исследования технических недостатков, обнаруженных в разнообразных устройствах, прошивках и окружении.
  • Hack the logic: за находку самых топовых логических баг.
  • Раз bypass, два bypass: за самый красивый обход средств защиты информации.
  • Ловись рыбка: за самый оригинальный фишинг или попытку засоциалить сотрудников.

Главный приз — стеклянная именная статуэтка за первое место, макбук, билеты на конференцию OFFZONE и максимальный почет сообщества этичных хакеров. За вторые и третьи места призеры получат айфоны, смарт-часы, а также подарки от партнеров проекта: комплект мерча от BI.ZONE Bug Bounty, умная колонка, мерч и экскурсия от VK Bug Bounty. Церемония награждения будет проходить 2 августа в Москве.

Участие и оценки жюри

Участие бесплатное, необходимо только отправить заявку — это рассказ о лучшем проекте в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали могут быть скрыты, важно отразить сам подход и идею. Жюри премии обращают внимание на развернутое повествование, описание контекста и вводных, скрины и пруфы наличия уязвимостей, нестандартный подход и креативность, сложность эксплуатации, например, применение эксплойтов собственной разработки, длительный ресёрч и другие особенности.

Независимый совет жюри состоит из лучших практикующих оффенсив-безопасников топовых российских компаний. Проголосовав и посовещавшись, они представят шорт-лист номинантов в конце июля.

Состав жюри:

Илья Карпов — руководитель отдела исследований кибербезопасности и разработки сценариев киберучений в национальном киберполигоне. Зарегистрировал более 300 CVE, ТОП-5 BDU ФСТЭК. Сооснователь сообщества RUSCADASEC и группы исследователей SCADAXSECURITY.

Павел Топорков — независимы исследователь, багхантер, докладчик на международных конференциях, автор уязвимостей нулевого дня в продуктах SIEMENS, REDIS, OPENSTACK и других.

Вячеслав Касимов — CISO в МОСКОВСКОМ КРЕДИТНОМ БАНКЕ, одного из топ-10 входящих в системно-значимые. Уже 15 лет работает на позициях CISO в крупнейших банках России и НСПК. Имеет большой опыт построения практической информационной безопасности с нуля, проектирования комплексных систем информационной безопасности и антифрода. Является адептом риск-ориентированного подхода к построению информационной безопасности и использования в работе лучших мировых практик.

Михаил Сидорук — руководитель управления анализа защищенности BI.ZONE.

Дмитрий Морев — директор по информационной безопасности RuStore. Более 15 лет в ИБ. Основное направление AppSec и безопасность инфраструктуры.

Антон Лопаницын (bo0om) — исследователь информационной безопасности и отраслевой блогер. Победитель прошлогоднего Pentest award в номинации Hack the logic.

Роман Шемякин — Lead Application Security Engineer at Yandex.

Сергей Кузминов — руководитель отдела тестирования на проникновение и RedTeam в BI.ZONE

Вадим Шелест — руководитель группы анализа защищенности в Wildberries. Более 12 лет занимается проведением пентестов и Red/Purple Teaming проектов. Автор многочисленных статей тему практической ИБ, спикер международных конференций. Автор канала PurpleBear.

Павел Никитин — руководитель Red & Purple Team VK. Улучшает защищенность инфраструктуры VK. Более 10 лет в индустрии информационной безопасности, проверял на прочность системы ОПК, банков и различных коммерческих организаций.

Роман Панин — руководитель направления архитектуры ИБ в МТС и автор телеграм-канала «Пакет Безопасности»

Александр Герасимов — CISO и сооснователь Awillix, компании-организатора Pentest award.

Сбор заявок открыт до 23 июня 2024 года, больше информации на сайте проекта — https://award.awillix.ru/

Не светите ключами в соцсетях: по фото можно напечатать рабочий дубликат

Фотография с ключами в руке может оказаться не такой милой, как кажется. Специалист по кибербезопасности Эван Оттингер показал, что по обычному снимку ключа из соцсетей можно сделать рабочую копию, для этого не нужна лаборатория злодея из кино.

Оттингер — типичный ред тимер, по заказу компаний имитирует реальные атаки, проверяет защиту сетей и иногда даже физическую безопасность зданий.

По его словам, люди постоянно выкладывают фото ключей — от обычных пользователей до знаменитостей. А зря.

Если на фотографии хорошо виден профиль и нарезка ключа, их можно проанализировать, восстановить геометрию и изготовить копию. Оттингер использовал открытые инструменты для декодирования ключей, графический редактор и 3D-принтер. В итоге эксперимент сработал: пластиковый ключ, напечатанный по данным со снимка, оказался пригоден для открытия замка.

 

Сам исследователь признаёт, что сначала тоже сомневался: «Да ладно, не может же это реально работать?» Оказалось, что может. Более того, для подготовленного человека весь путь от скачанного фото до готового ключа может занять около 10-15 минут.

Главная проблема в том, что такой способ не похож на взлом в привычном смысле. В отличие от отмычек, использование копии ключа не оставляет очевидных следов на замке. Для прохожих всё выглядит нормально: человек просто открыл дверь своим ключом. Именно такие сценарии, по словам Оттингера, и заставляют специалистов по безопасности нервничать.

Ключи нужно воспринимать как пароли. Их не показывают крупным планом, не выкладывают в сторис и не держат перед камерой ради красивого поста. Если очень хочется поделиться радостью о новом доме, лучше закрыть зубцы ключа рукой, размыть их или вообще сфотографировать брелок.

Оттингер также советует не полагаться только на один замок. Камеры, сигнализация и другие уровни защиты делают дом менее удобной целью.

RSS: Новости на портале Anti-Malware.ru