Всем вечер пятницы!
Доделал запись со стрима по инструментарию Standoff Cyberbones.

На киберполигоне ты сможешь, вооружившись инструментарием из видео, расследовать инциденты, чтобы лучше понимать, как выявлять подобные ситуации и реагировать на них в повседневной работе.

Приятного просмотра!

📺 RUTUBE | 📺 YouTube

👆 Багбаунти или пентесты?

Делись своей версией в комментах и слушай, что думают эксперты: они обсудили этот вопрос во время прямого эфира AM Live, посвященного offensive security.

Ольга Ринглер, руководитель группы исследовательских проектов Positive Technologies, и коллеги поговорили о том:

• какие методы наступательной кибербезопасности работают лучше остальных
• почему все больше прогрессивных компаний выходят на багбаунти для поиска уязвимостей
• как по максимуму использовать результаты работы красных команд
• как лучше всего наладить коммуникацию между атакующими и защитниками

💵 А самое главное — рассказали, каким образом не слить бюджет на offensive security в трубу.

Смотри на любой удобной платформе:
📺 YouTube | 📺 VK Video | 📺 RUTUBE

🏁 Открыто финальное событие юбилейного года багбаунти от VK — Bounty pass #3: Advent!

На этот раз тебя ждут адвент-календарь, продление накопительного бонуса и ачивки на платформе Standoff Bug Bounty.

Делимся подробностями 👀

⏰ Bounty pass #3: Advent продлится до 19 декабря.

🎁 Багхантеры продолжат получать +5% к стоимости вознаграждения с каждым новым оплачиваемым отчетом, а также накапливать бонус с Bounty pass #1: Progress и Bounty pass #2: Olymp.

🗓 За каждый оплачиваемый отчет или за каждые 100 000 рублей в нем багхантер будет получать подарок из адвент-календаря. Внутри — уникальная мерчуха, промокоды и приглашения на вечеринку BB Advent Party (о ней чуть ниже).

🏆 Каждому, кто сдаст хотя бы один оплачиваемый отчет на Standoff Bug Bounty по программам VK во время Bounty pass #3: Advent, будет выдана ачивка на нашей платформе.

🕺 А 19 декабря пройдет новогодняя вписка BB Advent Party, на которую позовут:

• победителей Bounty pass #1: Progress и Bounty pass #2: Olymp, топ-20 призеров Bounty pass #1 Progress, а также всех олимпийцев Bounty pass #2: Olymp;

• всех, кто сдаст 3 оплачиваемых отчета или получит суммарную выплату на 300 000 рублей и более в Bounty pass #3: Advent до 10 декабря.

Искать баги по программам VK: https://bugbounty.standoff365.com/vendors/vk/

Успехов 🤩

2️⃣ Принесли тебе две очешуенные новости от Rambler&Co

Первая: с сегодняшнего дня программа багбаунти компании работает в режиме APT. То есть ты можешь получить вознаграждение 3 млн ₽ за реализацию одного из недопустимых событий.

✅ Вот, что ты можешь попробовать сделать:

1️⃣ Получить доступ к конфиденциальной информации (о договорах, контрагентах, объектах интеллектуальной собственности) и персональным данным работников и клиентов Rambler&Co с возможностью их выгрузки через приложение «1С».

2️⃣ Вывести 2000 рублей со счета компании на собственный счет. Ты должен инициировать транзакцию и провести ее через банк.

Скоуп — все ресурсы Rambler&Co. Запрещено использовать розетки и прочие устройства для физического подключения и атаковать партнеров.

На первом этапе APT-программа — приватка. Если хочешь доступ, пиши на [email protected].

Новость номер два: старая программа никуда не делась. Наоборот, компания расширила скоуп по ней и увеличила максимальный размер баунти до 500 000 ₽.

Теперь можно отдельно рассматривать уязвимости на основных медийных активах холдинга, доменах со спортивной тематикой, портале «Рамблер» и LiveJournal.

💲 Вознаграждение выросло не только по критам, но и по всем видам уязвимостей: за баг низкого уровня опасности можно получить до 5000 ₽, среднего — до 35 000 ₽, высокого — до 150 000 ₽.

Еще читаешь? А другие уже репортят! Присоединяйся!

😶 Как онбордиться на Standoff?

Начали рассказывать об этом здесь и здесь, а теперь принесли тебе заключительную часть этой трилогии.

В ней Саша Антипина, капитан культовой команды Cult, поделилась тем, как правильно работать с полигоном и проходить отборочные.

Но, наверное, самое полезное, что есть внутри, — суперподробные инструкции по написанию баг-репортов на все случаи жизни для всех недопустимых событий.

🎁 Приятный бонус — чек-лист, который поможет проверить, готова ли твоя команда к кибербитве.

Читай сам и пересылай семерым друзьям.

✈️ Состязание за вписку на Standoff Hacks продолжается!

Как и обещали, подводим промежуточные итоги. Вот трое багханетров, которые ближе всего подобрались к поездке в Ханой с нами:

1️⃣ Kevgen (2 050 очков)
2️⃣ Leofun (1 500 очков)
3️⃣ zerodivisi0n (500 очков)

Если вдруг забыл, то за один крит мы даем 2000 очков на платформе Standoff Bug Bounty. Сейчас 34 отчета еще находятся в работе.

У тебе еще есть шанс до 29 октября залететь в лидерские позиции и получить возможность попасть на наш priv8-ивент 😎

Напомним, что по итогу конкурса с нами полетят двое багхантеров, которые суммарно наберут больше всего очков за найденные баги. Подробности ищи в первом посте.

Mọi chuyện xảy ra ở Việt Nam đều ở lại Việt Nam.

Сколько чашек кофе выпивает триажер и как на это число влияет количество отчетов? ☕️

Об этом в блиц-опросе Сергею Зыбневу aka poxek рассказала Дарья Афанасова, руководитель отдела триажа на Standoff Bug Bounty.

😘 Из него же ты узнаешь, на какой мульт похожа работа триажера, как изящно ответить багхантеру на запрос дополнительных 500 $ и почему поток нескончаемых уязвимостей лучше, чем один спокойный отчет.

Видос бережно забрали со странички VK Security.

🧢 Продолжаем делиться с синими командами секретами успеха на кибербитве Standoff

В новом выпуске «АМ Подкаста» сборная защитников специалисты АО «Гринатом» рассказали, как участие в кибербитве помогает прокачивать навыки в сфере ИБ и решать другие практические задачи.

В эфире обсудили:

• как собрать команду и кого туда точно следует взять;
• что нужнее играющим в защите — опыт или горящие глаза;
• как правильно тренировать, мотивировать и брифовать участников;
• нужен ли вашей команде ментор и для чего;
• что важнее — успешный успех или приобретенный опыт;
• чем сердце успокоится что команда должна получить по итогам битвы.

Смотри и слушай подкаст там, где тебе удобно:
📺 YouTube | 📺 VK Video | 📺 RUTUBE

🏆 Определены победители Bounty pass #2: Olymp от VK!

Вот эти ребята:

• mr4nd3r50n — сдал больше всего отчетов за сезон;

• act1on3 — получил самую большую сумму вознаграждений.

💸 В течение года (до октября 2025-го) они будут получать +10% к выплатам за найденные уязвимости в сервисах VK.

Окончательные итоги Bounty pass #2: Olymp будут опубликованы через две недели. Каждого олимпийца будет ждать уникальный набор мерча 🎁

🍸 Тем временем стартовало финальное событие юбилейного года от VK — Bounty pass #3: Advent (подробности в этом посте). У тебя есть шанс до 19 декабря урвать подарки из адвент-календаря и увеличить накопительный бонус. А еще мы дадим ачивку каждому, кто сдаст валидную уязвимость во время третьего Bounty pass на Standoff Bug Bounty.

[Искать уязвимости]

Узнал про Standoff. Посетил Standoff. Сделал себе свой Standoff. Повторил

Ребята, вдохновившись нашим форматом и заручившись поддержкой единомышленников из комьюнити, уже второй раз проводят свой собственный ивент, с макетом и ш... redshift-ами 👍

Такое мы любим. Будем следить за проектом и участниками.

Третий выпуск шоу «Хак Так» уже на Positive Hack Media! 🍿

В этот раз в студии белые хакеры Толя Иванов, Ярослав Бабин и Костя Полишин. И все тот же неподготовленный ведущий — Кирилл Шипулин.

В новом выпуске наши дерзкие ребята хейтят фильмы «Сеть» (не про рыбалку), «Взлом» (про Кевина Митника) и «Цикада 3301: Квест для хакера» (про секретную организацию из даркнета).

👎👍 Какие из них получили больше «Хаков», какие — «Таков», над чем больше всего угорали гости и какое отчество у Сандры Буллок — узнайте в выпуске на нашем YouTube-канале:

https://youtu.be/kGWZBTyjYRg
https://youtu.be/kGWZBTyjYRg
https://youtu.be/kGWZBTyjYRg

На других платформах опубликуем видос чуть позднее.

@PositiveHackMedia

🍿 Афиша Standoff Bug Bounty на сегодня: представляем премьеру публичной программы «Афиши»

В скоупе — два медиа и тикетинг-сервис:
*daily.afisha.ru
*eda.ru
*afisha.ru

🤔 Что-то знакомое? Да, правда, часть этого скоупа ты мог видеть у Rambler&Co. Но теперь у «Афиши» есть собственная программа багбаунти, что удобнее и для компании, и для исследователей.

А максимальное баунти по ней — 500 000 ₽ 🤑

Так что иди и смотри ищи баги. Все подробности рассказали на Standoff Bug Bounty.

🏆 Без лишних слов подводим итоги финала осеннего сезона Международных игр по кибербезопасности

Таблицу с именами всех победителей ищи на сайте игр. А совсем скоро, вместе с участниками, расскажем, как прошли соревнования и что интересного там было 😎

🌆 Как быстро растут проекты! Нашему онлайн-симулятору Standoff Cyberbones уже почти два месяца.

Если ты еще не пробовал расследовать собранные там самые интересные инциденты с кибербитвы Standoff — самое время начать. Тем более, что доступ для зареганных пользователей — бесплатный в любое время дня и ночи 🕗

Но сначала прочитай обзор Ильдара Садыкова, руководителя отдела развития экспертизы киберучений и менторства Positive Technologies.

Ильдар рассказывает, как устроен интерфейс Standoff Cyberbones и подробно с картинками разбирает некоторые задания: атомарные инциденты и критические события, которые красные команды смогли реализовать на наших кибербитвах.

🧁 Так что, если хочешь потренировать свои навыки защиты, держи рабочие шпаргалки по расследованию фишинговой атаки, добавления вредоносной нагрузки в виде файла wtf.exe и критических инцидентов при помощи инструментов Positive Technologies, встроенных в симулятор.

Все подробности — в статье, читай и залетай на Standoff Cyberbones.

🎖 А вот и победители конкурса инвайтов, которые пакуют чемоданы и отправляются с нами на Standoff Hacks в Ханой!

За 12 дней соревнования лидерами стали:

💪 Kevgen — 5650 очков.
😎 Leofun — 5200 очков.

В ближайшие две недели участникам нашей priv8-тусовки предстоит ломать эксклюзивный скоуп с огромными и моментальными выплатами за найденные уязвимости!

🧳 А 30 ноября мы отправимся в увлекательное путешествие во Вьетнам, где погрузимся в мир фо, обменяемся опытом и знаниями, а также выпьем [информация пока неизвестна] литров пива.

Если вы не попали на наш priv8-ивент в этом году, то уже можете качать свои скилы на следующий — он пройдет весной, и мы, как обычно, будем устраивать новые конкурсы и разыгрывать инвайты. Stay tuned 😏

Chúc Hacks đồng hành cùng bạn!

❓ Любой начинающий багхантер задается вопросами, как хакать, с чего начать поиск уязвимостей и какие из них вообще стоит искать?

К тем, кто еще не нашел на них ответы самостоятельно, всегда готовы прийти на помощь более опытные товарищи.

Например, bytehope (спасибо ему ❤️) написал статью на Хабр об одном из самых распространенных багов — некорректной настройке прав доступа, она же Broken Access Control.

Читай, чтобы узнать, что это за уязвимость, к чему может привести, откуда берется, а главное — как отловить четыре вида такого бага в лабах Web Security Academy.

Теория, практика, лайфхаки — там есть все. Научился сам, передай ссылку другому новичку.

👀 Каким будет Standoff 14

Мы продолжаем развивать нашу кибербитву не только в России, но и во всем мире, привлекая к участию команды из разных стран.

🥊 Главное в Standoff 14: о своем участии на стороне атакующих заявили 60 команд из 26 стран. На стороне защитников, которые будут расследовать атаки — 20 команд.

В этом году осенняя кибербитва пройдет полностью в онлайн-формате с 26 по 29 ноября.

Как обычно, красные будут крушить инфраструктуру виртуального Государства F. За четыре дня участники смогут круто прокачать навыки на реалистичных копиях ИТ-систем.

🎙 А еще мы организуем настоящую эфирную студию аналитики!

Каждый вечер вместе с легендами Standoff Павлом BlackRabbit Никитиным и Иваном BooL Булавиным мы будем подводить итоги прошедшего дня в неформальной атмосфере в рамках полуторачасовых стримов.

Все подробности — на сайте кибербитвы (там же можно поставить напоминалку о трансляциях).

🥇🥈🥉

А вот и финальные итоги Bounty pass#2: Olymp!

Призерами стали 26 багхантеров, включая двух уже ранее объявленных победителей.

Золото получили двенадцать олимпийцев, серебро — двое, бронзу — двенадцать. Посмотреть всех (и найти себя) можно в турнирной таблице.

Все багхантеры, взошедшие на олимп Bounty pass#2, получат:

🎁 уникальные наборы мерча от VK (в зависимости от завоеванной награды);

🎫 приглашение на новогоднюю вечеринку BB Advent Party (пройдет в Москве 19 декабря).

Шанс попасть на тусу VK еще есть. Все подробности — в этом посте.