Ежегодная премия для этичных хакеров — Pentest award возвращается!

Ежегодная премия для этичных хакеров — Pentest award возвращается!

Ежегодная премия для этичных хакеров — Pentest award возвращается!

Раз в году у пентестеров появляется шанс громко заявить о своих достижениях и показать свой вклад в развитие российского ИБ-рынка. Pentest award объявили сбор заявок.

Премия для пентестеров проводится с целью отметить заслуги специалистов в области тестирования на проникновение, помочь им продемонстрировать свой опыт, насмотренность и талант, а также повысить уровень компетенций всех участников за счет обмена уникальным опытом.

Номинации и награды

В прошлом году участники показали высокий уровень профессионализма и забрали 12 наград. В этом — количество номинаций увеличилось до шести и награды получат 18 человек.

  • Пробив WEB: за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений.
  • Пробив инфраструктуры: за проникновение и эксплуатацию уязвимостей сетевой инфраструктуры, включая, но не ограничиваясь, сетевыми устройствами, сетевыми сервисами и IoT-устройствами.
  • Девайс: за исследования технических недостатков, обнаруженных в разнообразных устройствах, прошивках и окружении.
  • Hack the logic: за находку самых топовых логических баг.
  • Раз bypass, два bypass: за самый красивый обход средств защиты информации.
  • Ловись рыбка: за самый оригинальный фишинг или попытку засоциалить сотрудников.

Главный приз — стеклянная именная статуэтка за первое место, макбук, билеты на конференцию OFFZONE и максимальный почет сообщества этичных хакеров. За вторые и третьи места призеры получат айфоны, смарт-часы, а также подарки от партнеров проекта: комплект мерча от BI.ZONE Bug Bounty, умная колонка, мерч и экскурсия от VK Bug Bounty. Церемония награждения будет проходить 2 августа в Москве.

Участие и оценки жюри

Участие бесплатное, необходимо только отправить заявку — это рассказ о лучшем проекте в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали могут быть скрыты, важно отразить сам подход и идею. Жюри премии обращают внимание на развернутое повествование, описание контекста и вводных, скрины и пруфы наличия уязвимостей, нестандартный подход и креативность, сложность эксплуатации, например, применение эксплойтов собственной разработки, длительный ресёрч и другие особенности.

Независимый совет жюри состоит из лучших практикующих оффенсив-безопасников топовых российских компаний. Проголосовав и посовещавшись, они представят шорт-лист номинантов в конце июля.

Состав жюри:

Илья Карпов — руководитель отдела исследований кибербезопасности и разработки сценариев киберучений в национальном киберполигоне. Зарегистрировал более 300 CVE, ТОП-5 BDU ФСТЭК. Сооснователь сообщества RUSCADASEC и группы исследователей SCADAXSECURITY.

Павел Топорков — независимы исследователь, багхантер, докладчик на международных конференциях, автор уязвимостей нулевого дня в продуктах SIEMENS, REDIS, OPENSTACK и других.

Вячеслав Касимов — CISO в МОСКОВСКОМ КРЕДИТНОМ БАНКЕ, одного из топ-10 входящих в системно-значимые. Уже 15 лет работает на позициях CISO в крупнейших банках России и НСПК. Имеет большой опыт построения практической информационной безопасности с нуля, проектирования комплексных систем информационной безопасности и антифрода. Является адептом риск-ориентированного подхода к построению информационной безопасности и использования в работе лучших мировых практик.

Михаил Сидорук — руководитель управления анализа защищенности BI.ZONE.

Дмитрий Морев — директор по информационной безопасности RuStore. Более 15 лет в ИБ. Основное направление AppSec и безопасность инфраструктуры.

Антон Лопаницын (bo0om) — исследователь информационной безопасности и отраслевой блогер. Победитель прошлогоднего Pentest award в номинации Hack the logic.

Роман Шемякин — Lead Application Security Engineer at Yandex.

Сергей Кузминов — руководитель отдела тестирования на проникновение и RedTeam в BI.ZONE

Вадим Шелест — руководитель группы анализа защищенности в Wildberries. Более 12 лет занимается проведением пентестов и Red/Purple Teaming проектов. Автор многочисленных статей тему практической ИБ, спикер международных конференций. Автор канала PurpleBear.

Павел Никитин — руководитель Red & Purple Team VK. Улучшает защищенность инфраструктуры VK. Более 10 лет в индустрии информационной безопасности, проверял на прочность системы ОПК, банков и различных коммерческих организаций.

Роман Панин — руководитель направления архитектуры ИБ в МТС и автор телеграм-канала «Пакет Безопасности»

Александр Герасимов — CISO и сооснователь Awillix, компании-организатора Pentest award.

Сбор заявок открыт до 23 июня 2024 года, больше информации на сайте проекта — https://award.awillix.ru/

Добро пожаловать в Скам-Сантос: как мошенники наживаются на ожидании GTA VI

До релиза GTA VI ещё нужно дожить, а мошенники уже вовсю наживаются на хайпе. Эксперты «Лаборатории Касперского» зафиксировали несколько схем, рассчитанных в том числе на русскоязычных фанатов игры: от липовых предзаказов до набора тестировщиков из стран СНГ.

Одна из приманок — сайт на русском языке, где якобы ищут тестировщиков ранней версии Grand Theft Auto

Формулировки забавные: нужны активные игроки, готовые делиться фидбеком и участвовать в закрытых сессиях. То есть под описание подходит почти любой фанат серии. Для участия пользователям предлагают подписаться на закрытый телеграм-канал. А дальше, с высокой вероятностью, начинается уже более плотная обработка жертвы в мессенджере.

Другая схема — фейковые сайты с предзаказами. Они копируют стиль и брендинг GTA VI, используют трейлеры, рекламные изображения, возрастной рейтинг, отзывы и цены. Всё выглядит почти как настоящий магазин, пока пользователь не нажимает кнопку «Оформить предзаказ».

После этого его просят ввести личные данные и платёжную информацию. Игры, конечно, никто не получает, зато мошенники могут получить деньги и доступ к банковским данным.

Есть и классика жанра — скачайте бета-версию до релиза. Такие сайты продвигают через видеоплатформы и соцсети: публикуют ролики с якобы безопасной загрузкой файла, а под ними оставляют фейковые комментарии в духе «всё работает». На деле такой файл может заразить устройство, украсть конфиденциальные данные, открыть доступ к аккаунтам или установить вредоносную программу, которая будет тихо жить в системе.

Не забыли мошенники и про криптоэнтузиастов. Специалисты нашли подозрительный сайт с токеном, название которого напоминает GTA. Ресурс имитирует стиль игры и использует похожую символику.

В «Лаборатории Касперского» предупреждают: крупные игровые релизы — золотое время для злоумышленников. Покупать игры стоит только на официальных платформах, а ссылки из непроверенных источников лучше отправлять в утиль.

RSS: Новости на портале Anti-Malware.ru