Ежегодная премия для этичных хакеров — Pentest award возвращается!

Ежегодная премия для этичных хакеров — Pentest award возвращается!

Ежегодная премия для этичных хакеров — Pentest award возвращается!

Раз в году у пентестеров появляется шанс громко заявить о своих достижениях и показать свой вклад в развитие российского ИБ-рынка. Pentest award объявили сбор заявок.

Премия для пентестеров проводится с целью отметить заслуги специалистов в области тестирования на проникновение, помочь им продемонстрировать свой опыт, насмотренность и талант, а также повысить уровень компетенций всех участников за счет обмена уникальным опытом.

Номинации и награды

В прошлом году участники показали высокий уровень профессионализма и забрали 12 наград. В этом — количество номинаций увеличилось до шести и награды получат 18 человек.

  • Пробив WEB: за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений.
  • Пробив инфраструктуры: за проникновение и эксплуатацию уязвимостей сетевой инфраструктуры, включая, но не ограничиваясь, сетевыми устройствами, сетевыми сервисами и IoT-устройствами.
  • Девайс: за исследования технических недостатков, обнаруженных в разнообразных устройствах, прошивках и окружении.
  • Hack the logic: за находку самых топовых логических баг.
  • Раз bypass, два bypass: за самый красивый обход средств защиты информации.
  • Ловись рыбка: за самый оригинальный фишинг или попытку засоциалить сотрудников.

Главный приз — стеклянная именная статуэтка за первое место, макбук, билеты на конференцию OFFZONE и максимальный почет сообщества этичных хакеров. За вторые и третьи места призеры получат айфоны, смарт-часы, а также подарки от партнеров проекта: комплект мерча от BI.ZONE Bug Bounty, умная колонка, мерч и экскурсия от VK Bug Bounty. Церемония награждения будет проходить 2 августа в Москве.

Участие и оценки жюри

Участие бесплатное, необходимо только отправить заявку — это рассказ о лучшем проекте в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали могут быть скрыты, важно отразить сам подход и идею. Жюри премии обращают внимание на развернутое повествование, описание контекста и вводных, скрины и пруфы наличия уязвимостей, нестандартный подход и креативность, сложность эксплуатации, например, применение эксплойтов собственной разработки, длительный ресёрч и другие особенности.

Независимый совет жюри состоит из лучших практикующих оффенсив-безопасников топовых российских компаний. Проголосовав и посовещавшись, они представят шорт-лист номинантов в конце июля.

Состав жюри:

Илья Карпов — руководитель отдела исследований кибербезопасности и разработки сценариев киберучений в национальном киберполигоне. Зарегистрировал более 300 CVE, ТОП-5 BDU ФСТЭК. Сооснователь сообщества RUSCADASEC и группы исследователей SCADAXSECURITY.

Павел Топорков — независимы исследователь, багхантер, докладчик на международных конференциях, автор уязвимостей нулевого дня в продуктах SIEMENS, REDIS, OPENSTACK и других.

Вячеслав Касимов — CISO в МОСКОВСКОМ КРЕДИТНОМ БАНКЕ, одного из топ-10 входящих в системно-значимые. Уже 15 лет работает на позициях CISO в крупнейших банках России и НСПК. Имеет большой опыт построения практической информационной безопасности с нуля, проектирования комплексных систем информационной безопасности и антифрода. Является адептом риск-ориентированного подхода к построению информационной безопасности и использования в работе лучших мировых практик.

Михаил Сидорук — руководитель управления анализа защищенности BI.ZONE.

Дмитрий Морев — директор по информационной безопасности RuStore. Более 15 лет в ИБ. Основное направление AppSec и безопасность инфраструктуры.

Антон Лопаницын (bo0om) — исследователь информационной безопасности и отраслевой блогер. Победитель прошлогоднего Pentest award в номинации Hack the logic.

Роман Шемякин — Lead Application Security Engineer at Yandex.

Сергей Кузминов — руководитель отдела тестирования на проникновение и RedTeam в BI.ZONE

Вадим Шелест — руководитель группы анализа защищенности в Wildberries. Более 12 лет занимается проведением пентестов и Red/Purple Teaming проектов. Автор многочисленных статей тему практической ИБ, спикер международных конференций. Автор канала PurpleBear.

Павел Никитин — руководитель Red & Purple Team VK. Улучшает защищенность инфраструктуры VK. Более 10 лет в индустрии информационной безопасности, проверял на прочность системы ОПК, банков и различных коммерческих организаций.

Роман Панин — руководитель направления архитектуры ИБ в МТС и автор телеграм-канала «Пакет Безопасности»

Александр Герасимов — CISO и сооснователь Awillix, компании-организатора Pentest award.

Сбор заявок открыт до 23 июня 2024 года, больше информации на сайте проекта — https://award.awillix.ru/

RedWing охотится на пользователей Android в России и крадёт деньги

На Android появился новый банковский вредонос RedWing, который работает как готовый сервис для мошенников. Его сдают в аренду через Telegram: с тарифами, скидками за рефералов, инструкциями и обучающими видео. Даже преступнику без навыков разработки достаточно оплатить подписку и получить инструмент для кражи банковских данных.

Операцию обнаружили специалисты Zimperium zLabs. По их данным, RedWing похож на новый вариант Oblivion — вредоноса за $300 в месяц, о котором писали ранее.

Покупателю даже не нужно собирать приложение самому: телеграм-бот генерирует кастомный APK под выбранные цели.

Заражение начинается с фишинговой ссылки, которая ведёт на фейковую страницу магазина приложений. Конструктор умеет копировать Google Play, Galaxy Store, AppGallery и даже делать страницы с липовыми оценками, отзывами и счётчиком загрузок под заказ. Дальше жертву уговаривают установить приложение в обход официального магазина и выдать ему нужные разрешения.

 

RedWing действует аккуратно: не заваливает пользователя всем сразу, а просит доступы по одному. Сначала отключить ограничения батареи, потом сделать приложение обработчиком СМС, включить уведомления, а затем — дать доступ к Accessibility. И вот тут телефон фактически начинает работать не только на владельца.

 

После получения прав вредонос может показывать фейковые окна входа поверх банковских и криптоприложений, читать СМС с одноразовыми кодами, вытаскивать ПИН-коды и номера карт с экрана, вести кейлоггинг и транслировать экран оператору. Ещё хуже — RedWing умеет незаметно включать переадресацию входящих звонков через код *21*, чтобы перехватывать банковские проверки и звонки антифрода.

В арсенале также доступ к камере и микрофону, кража файлов, контактов и журналов вызовов, отслеживание геолокации и даже использование заражённых устройств для DDoS-атак.

Zimperium насчитала 82 целевые организации, причём заметный фокус сделан на российских финансовых компаниях. Один из образцов использовал фейковую страницу RuStore.

RSS: Новости на портале Anti-Malware.ru