Некоторые из вас угадали — ведущим нашего стрима 28 марта будет Юрий Ряднина аkа сircuit!

Юра багхантер вот уже как 10 лет, а также создатель телеграм-канала «Багхантер», спикер и автор мема про «сотни, а может быть, даже тысячи багхантеров». И любитель Бритни Спирс.

А теперь подробнее про стрим. Мы его назвали «Начинаем в багбаунти» (вариантов было много, но решили, что этот лучший) — он для тех багхантеров, которые носят гордое звание «начинающий».

1️⃣ Разберем самые крутые уязвимости и хакерские тактики, от которых был в шоке даже сам Юра.

2️⃣ Поищем баги в коде приложух, а еще проведем конкурс — может быть, даже два — на розыгрыш мерча.

3️⃣ В прямом эфире научим гостя багхантингу — чтобы уже к концу дня он смог поднять пару тысяч рублей на поиске уязвимостей.

4️⃣ И one more thing.

Стрим начнется 28 марта в 18:00. Если ты уже прошаренный багхантер — тоже заглядывай, чтобы обменяться опытом и провести уютный вечер с комьюнити.

Только не забудьте зарегистрироваться — сделать это можно вот здесь. За день до старта мы в канале еще поделимся ссылкой на YouTube, где и будет стрим.

😎 Принесли новость про Positive Hack Days 2, который станет самым масштабным в своей истории!

Как мы это сделаем? Следи за руками. Вжух — и 25 мая киберфестиваль пройдет не только в «Лужниках», но и в Бангкоке. Здесь при поддержке Hack In The Box соберутся известные исследователи кибербезопасности со всего мира. Будем обсуждать современные киберугрозы, прогнозы и технологии.

В «Лужниках» будет организована прямая трансляция из Таиланда. Купить билет на PHDays 2 можно на сайте.

🥊 Кстати, для участников команд кибербитвы Standoff 13 посещение закрытой части фестиваля — бесплатное. И у вас есть еще шанс принять участие в отборочных (они продлятся до 10 апреля).

Присоединяйтесь!

🎁 Рассказываем в статье на Хабре, как ломали и защищали контейнеры на Standoff 12.

Те, кому сразу стало интересно, уже отправились читать материал по ссылке выше, а для тебя напомним: на кибербитве в ноябре прошлого года виртуальное Государство F обзавелось вымышленным Global Digital Bank, в основе которого лежали контейнерные технологии Kubernetes.

Красным командам нужно было исследовать инфраструктуру кластера Kubernetes и атаковать его микросервисы, чтобы получить доступ к административной панели, выполнить вредоносный код в контейнерах и реализовать утечку данных виртуального банка.

Синие при помощи PT Container Security отслеживали действия атакующих и защищали контейнерные среды.

Что вышло из этого масштабного противостояния, а главное — как оно выглядело изнутри, ищи в статье.

😍 До старта нашего стрима осталось 24 часа

За это время можно успеть:

• прослушать дискографию Бритни Спирс

• посмотреть два сезона сериала «Мистер Робот»

• пройти Atomic Heart

Но чем бы вы ни занимались, завтра в 18:00 сотни, а может, тысячи из нас окажутся на одном стриме.

А ссылку на него вы уже можете сохранить себе в закладки. А тем, кто регистрировался заранее, — мы отправим напоминание на почту за час до старта.

😐 На этой планете один час длится 60 минут. Именно столько осталось до старта нашего стрима.

Подключайтесь здесь в 18:00

😏 Мы обещали каждую пятницу рассказывать, как там дела с инвайтами на Standoff Hacks, — держим слово.

Для тех, кто не помнит, пересказываем краткое содержание предыдущих серий: всего мы разыгрываем 11 приглашений на priv8-ивент в мае, как их получить — рассказали по ссылке, итоги конкурса подведем 19 апреля (да-да, это значит, что ты еще успеваешь вписаться).

С прошлой недели ситуация почти не изменилась, потенциальных кандидатов на инвайты — 7, они успешно сдали самые дорогие уязвимости по программам:

• Ozon — 250 000 ₽
• Минцифры — 200 000 ₽
• VK — 90 000 ₽
• Тинькофф — 84 800 ₽
• Wildberries — 75 000 ₽
• Standoff 365 — 50 000₽
• Азбука вкуса — 10 000 ₽

По этим программам сданы и более дорогие баги, но их авторы уже получили инвайты, поэтому в списке их нет 😎

Меньше всего отчетов (и пока что ни одного вознаграждения) в программах:

• PT Sandbox
• PT Network Attack Discovery
• Новой перевозочной компании
• Rambler&Co

Хочешь приглашение? Ты знаешь, куда надо идти багхантить ➡️

8️⃣ Всего восемь дней осталось до конца отбора на кибербитву Standoff 13. Считаете всей командой, что стопроцентно его пройдете, и уже начинаете готовиться?

Тогда вот вам в помощь наполненный хинтами доклад капитана команды ℭ𝔲𝔩𝔱 и автора канала Inside Александры Антипиной.

В нем — про опыт призовых выступлений на наших кибербитвах, их фишках и особенностях, с которыми могут столкнуться как новички, так и бывалые участники. А еще — как поднять модель инфраструктуры для команды, если вы настроены победить.

Слушайте и смотрите на нашем YouTube-канале.

Пока писали пост о том, что там с инвайтами на Standoff Hacks, Толя Иванов, руководитель багбаунти Standoff 365, просто взял и записал кружок ⬆️

Штош. Нам остается добавить к этому только четыре вещи.

1️⃣ Напомнить, что до 19 апреля мы разыгрываем 11 инвайтов за самые дорогие баги, — подробнее про все программы и правила рассказали тут.

2️⃣ С прошлой недели список лидеров не поменялся, пока что на приглашения претендуют 7 багхантеров. Спасибо, что продолжаете сдавать баги!

3️⃣ Тем, кто хочет попасть на наш priv8-ивент, Толя советует обратить внимание на программы:
• Новой перевозочной компании
• Rambler&Co

4️⃣ Удачи.

💃 Вы в Standoff 13!

Письмо примерно с таким заголовком прилетит от нас команде only_f4st, которая первой реализовала все 15 критических событий в инфраструктуре HighTechEnergy на отборочных и гарантированно попадает на майскую кибербитву. Говорящее название команды, не правда ли? 😏

Напомним, что по итогу отборочных до 19 команд смогут получить приглашения на участие в Standoff 13. Принимаем отчеты до конца дня 10 апреля (23:59:59) 🙄

Полным составом команд на Standoff 13 поделимся 15 апреля.

🏁 Отборочные на Standoff 13 — все!

Сразу двум командам поддались все 15 критически событий в инфраструктуре High Tech Energy — они раньше всех гарантировали свое участие в кибербитве. Всего по итогам отборочных приглашения получат до 19 команд.

Кроме того, приглашения без отборочных уже отправлены командам, попавшим в топ-11 на Standoff 12. Полный список участников грядущей кибербитвы опубликуем 15 апреля на нашем сайте.

😠 Всем приглашенным на кибербитву командам необходимо подтвердить свое участие, заполнив заявку — мы отправили ее капитанам команд.

P. S. Все команды, которые успели реализовать хотя бы одно критическое событие в ходе отборочных, получат от нас билеты на закрытую часть киберфестиваля PHDays 2.

P. P. S. Кроме того, тем, кто не прошел отборочные, мы готовим сюрприз — о нем расскажем уже скоро.

P. P. P. S. А еще мы создали суперчат в Telegram: там вы сможете следить за главными новостями Standoff 13 и, возможно, холиварами между командами еще до начала битвы. Подписывайтесь: https://www.tg-me.com/standoff_cyberbattle

🐍 Пока вы ждете результатов отборочных на Standoff 13, команда TaipanByte рассказывает о своем опыте участия в них.

Мы отдали на растерзание атакующим сегмент HighTechEnergy, в котором предлагалось реализовать 15 критических событий. Команде TaipanByte за три недели отборочных поддались пять из них.

Для проведения атак ребята арендовали два VDS (чтобы организовать туннели и настроить VPN), использовали C2-фреймворк (для постэкплуатации), а также BloodHound (для визуализации сети).

😃 Вот несколько выводов, которые они сделали по итогам:

• Можно подсматривать за другими командами, они оставляют за собой много интересного.

• Не стоит пренебрегать BloodHound.

• Желательно найти общий язык с другими командами и с их капитанами, потому что в ходе и отбора, и чемпионата можно столкнуться с неспортивным поведением.

Больше лайфхаков и выводов — ищите в блоге команды, нам было интересно глянуть со стороны.

😏 А еще напомним о нашем суперчате кибербитвы Standoff 13, в котором мы сделали отдельные чаты для красных и синих команд (и все за ними смогут подглядывать).