👀 Каким будет Standoff 14

Мы продолжаем развивать нашу кибербитву не только в России, но и во всем мире, привлекая к участию команды из разных стран.

🥊 Главное в Standoff 14: о своем участии на стороне атакующих заявили 60 команд из 26 стран. На стороне защитников, которые будут расследовать атаки — 20 команд.

В этом году осенняя кибербитва пройдет полностью в онлайн-формате с 26 по 29 ноября.

Как обычно, красные будут крушить инфраструктуру виртуального Государства F. За четыре дня участники смогут круто прокачать навыки на реалистичных копиях ИТ-систем.

🎙 А еще мы организуем настоящую эфирную студию аналитики!

Каждый вечер вместе с легендами Standoff Павлом BlackRabbit Никитиным и Иваном BooL Булавиным мы будем подводить итоги прошедшего дня в неформальной атмосфере в рамках полуторачасовых стримов.

Все подробности — на сайте кибербитвы (там же можно поставить напоминалку о трансляциях).

🥇🥈🥉

А вот и финальные итоги Bounty pass#2: Olymp!

Призерами стали 26 багхантеров, включая двух уже ранее объявленных победителей.

Золото получили двенадцать олимпийцев, серебро — двое, бронзу — двенадцать. Посмотреть всех (и найти себя) можно в турнирной таблице.

Все багхантеры, взошедшие на олимп Bounty pass#2, получат:

🎁 уникальные наборы мерча от VK (в зависимости от завоеванной награды);

🎫 приглашение на новогоднюю вечеринку BB Advent Party (пройдет в Москве 19 декабря).

Шанс попасть на тусу VK еще есть. Все подробности — в этом посте.

🔍 Подробная карта событий Standoff 2024-2025

В этом году различного рода кибербитв стало настолько много, что участники соревнований начали путаться в их структуре и этапах. Поэтому мы подготовили краткий гид по ключевым мероприятиям 2024 года с пояснением того, как они взаимосвязаны. 😊

🟣Международные игры — это студенческая кибербитва, проходящая в два сезона (осенью и весной). Победители осеннего финала автоматически проходят на Standoff15 в мае, также часть участников проходит в весенний финал.

🟣Standoff 14 — ноябрьское классическое мероприятие, привлекающее иностранных участников. Оно получило международный статус, чтобы обеспечить более широкое участие команд. (В этом году нельзя участвовать странам из России и СНГ).


📌 С картой в хорошем качестве можно ознакомиться по ссылке:
Карта кибербитв Standoff 2024-2025

TaipanByte желает успехов всем участникам соревнований!🐍

Осталось чуть больше двух недель до подведения итогов рейтинга на Standoff 365 (тут должен звучать финальный саундтрек из твоей любимой игры 🎶)

В этом году выбираем лучших в двух категориях: среди тех, кто лучше ломал онлайн-полигон и был успешнее на багбаунти.

Ты можешь успеть улучшить свои позиции по любому из направлений до 23:59 мск 30 ноября.

1️⃣Каждый, кто окажется в топ-3, получит мерч Standoff 365 с уникальной айдентикой и девайс, который поможет отвлечься от работы и отдохнуть, где бы ты ни оказался.

2️⃣ Всем из топ-10 тоже достанется особенный мерч и девайс, помогающий не выпадать из работы в любом месте и ситуации.

3️⃣ Если ты в этом году не дотянешь до десятки, не расстраивайся: ребята из топ-25 также не уйдут без подарков.

Мы выдадим каждому из 50 лучших ачивку на портале и пригласим на тусовку в наш офис, где 13 декабря подведем итоги, устроим раздачу призов и афтепати в баре.

⏱ Мы все рассказали, теперь самое время ломать!

👻 Бу! Испугался? Не бойся, я Standoff Priv8 для Ozon

Мы проведем еще один закрытый онлайн-ивент, который начнется 2 декабря и продлится три недели: 25 топовых багхантеров получат доступ к приватному скоупу компании и возможность увеличить свои вознаграждения.

И ты можешь войти в их число!

Чтобы получить приглашение, тебе нужно с момента публикации поста и до 28 ноября найти как можно больше уязвимостей в публичном скоупе Ozon на Standoff Bug Bounty.

Приглашение уже получили 20 самых активных багханетров программы. Осталось всего пять мест!

Что ты от этого получишь

👁 Доступ к скоупу, который еще не исследовал ни один багхантер.

🐱 Возможность увеличить свои вознаграждения от Ozon на 20–50%.

💗 Сможешь стать частью закрытого комьюнити багхантеров компании.

Дочитал? А время уже пошло, ждем только твоих отчетов.

👀 Следи за яркими событиями международной кибербитвы в неформальной обстановке

На время кибербитвы Standoff 14, 26–29 ноября, мы создадим аналитическую студию Standoff Insider, которая будет работать ежедневно с 17:30 до 19:00 по московскому времени.

Что тебя ждет

😎 Крутые гости и технические эксперты: те, кто уже участвовал в кибербитве, кто ее создает, и неравнодушные к ней специалисты.

📊 Подведение итогов каждого дня, прогнозы на финал, прямое включение российских и иностранных команд.

🧐 Техническое погружение в отраслевые сегменты: банковский и IT-сектор, нефтегаз и энергетику. От тех, кто их разрабатывал, и с комментариями участников.

🎤 Все это будут вести легенды Standoff Павел BlackRabbit Никитин и Иван BooL Булавин. В гостях — Егор Богомолов, Сергей Зыбнев, Олег Иванов, Тимур Молдалиев и другие слоняры звезды.

Подробности — на сайте кибербитвы (там же будет и трансляция). Поставь напоминание, чтобы не пропустить ничего интересного!

💵 Как заработать больше к Новому году? Искать баги в программах VK

Тем более что по четырем из них баунти за криты нехило так подросло.

Смотри сам в формате «было» и «стало»:

GeekBrains 500 000 ₽ ➡️ 1 млн ₽
Оператор рекламных данных 500 000 ₽ ➡️ 1 млн ₽
Портал 1 млн ₽ ➡️ 1,8 млн ₽
Одноклассники 2,4 млн ₽ ➡️ 3,6 млн ₽

Время багхантить и получать все деньги мира от VK, чтобы потом устроить себе шикарные праздники. Удачи!

🚪 Хочешь приглашение на Standoff Priv8 для Ozon?

Если ты не получил его в числе 20 лучших багхантеров в публичной программе компании, у тебя есть еще четыре дня на поиск багов.

Сдавай отчеты до 28 ноября, а со 2 декабря на три недели получай доступ к приватному скоупу и баунти на 20–50% выше обычного.

🦋 Спойлер: в скоупе — веб-приложение, в котором около 2500 эндпоинтов, где до тебя еще НИКТО и НИКОГДА не багхантил.

Так что бросай все и ищи баги поторопись, чтобы попасть в число счастливчиков. Программа — по ссылке, что делать — ты знаешь.

😊 Международная кибербитва Standoff 14 началась!

С 26 по 29 ноября в ней будут сражаться сотни белых хакеров со всего мира. Победителей ждет призовой фонд на общую сумму 50 000 $.

В главных ролях:

🥷 48 команд атакующих из Бангладеш, Вьетнама, Египта, Индии, Индонезии, Казахстана, Кении, Китая, Малайзии, Нигерии, Пакистана, Польши, Португалии, Таиланда, Узбекистана, Филиппин, Франции, Эфиопии и Южной Африки.

🕵️ 14 команд защитников из Эфиопии, Индонезии, Малайзии, Вьетнама, Бангладеш и России.

В течение четырех дней им предстоит проверять защищенность четырех отраслевых сегментов и расследовать реализованные атаки. Мы сделали видеообзор каждой сферы:

• Нефтегазовая отрасль [смотреть видео]
• Энергетика [смотреть видео]
• Банковская система [смотреть видео]
• ИТ-отрасль [смотреть видео]

👀 Каждый вечер мы будем подводить промежуточные итоги кибербитвы в студии аналитики Standoff Insider — оставляйте напоминание о трансляциях на нашем сайте. Первый эфир состоится сегодня в 17:30 по московскому времени!

P. S. Если хочешь подробнее узнать, что происходит на Standoff 14, то специально для тебя мы создали wiki-страничку, благодаря которой следить за ходом битвы будет еще интереснее!

Да будет битва! ⚔️

⭐️ Ты этого ждал: Timeweb выходит на Standoff Bug Bounty

Timeweb — облачная платформа для бизнеса и частных лиц, позволяющая создавать, масштабировать и управлять IT-инфраструктурой по всему миру.

🪙 Максимальное баунти — 500 000 ₽.

В скоуп входят:

🟢облачная IT-инфраструктура — https://timeweb.cloud/
🟢shared-хостинг — https://timeweb.com/ru/
🟢почтовый сервис — https://mail.timeweb.com/
🟢конструктор сайтов — https://craftum.com/
🟢cервис рассылок — https://cheapsender.email/
🟢комьюнити — https://timeweb.com/ru/community/
🟢вебмастера — https://timeweb.com/ru/partners/webmasters/

Делай платформу безопаснее, получай вознаграждение и бонус от Standoff Bug Bounty: первый, кто сдаст подтвержденный крит по этой программе, получит проходку на следующий (который не во Вьетнаме) Standoff Hacks.

🔥 Подводим итоги первого дня международной кибербитвы Standoff 14

Виртуальное государство F в дни противостояния круглосуточно находится под атаками команд из разных уголков мира. Поэтому итоги дня мы фиксируем в 21:10 по московскому времени (когда заканчивает работать жюри).

👀 Результаты атакующих команд (уже впечатляющие!)

Красным удалось реализовать 32 критических события, из них 7 уникальных. Первое было реализовано командой DD0ST4R из Казахстана 🇰🇿, по итогу дня она в лидерах битвы (на ее счету 3 критических события, 12 обнаруженных уязвимостей и 13 200 баллов).

На втором месте в турнирной таблице — команда ChiLL Chain из Узбекистана 🇺🇿 (участники реализовали 3 критических события, обнаружили 15 уязвимостей и набрали 10 292 балла). На третьем — команда 0xZ3rol0g1c из Казахстана 🇰🇿 (на их счету 3 критических события, 4 уязвимости и 9200 баллов).

Из интересного: сразу 12 командам на платформе STFware удалось увеличить количество токенов на счету и получить доступ к сохраненным данным пользователей.

Всего красные команды обнаружили 131 уязвимость, больше всего в ИТ-секторе. Как минимум одно критическое событие удалось реализовать 16 командам красных из 48. В топ-10 вошли команды из Индонезии 🇮🇩, Малайзии 🇲🇾, Вьетнама 🇻🇳 и Польши 🇵🇱.

😼 А что у защитников?

Синие команды расследовали 4 критических события, а также обнаружили 290 инцидентов.

Команда Command and Defend из России 🇷🇺 защищает энергетику и выступают в битве в режиме реагирования. За первый день ее участники обнаружили 53 инцидента, из которых предотвратили 19.

Из интересного: команда Langit Biru из Индонезии 🇮🇩 выявила 92 инцидента, среднее время обнаружения — 1 минута.

⭐ Второй день кибербитвы уже стартовал: следите за ее ходом на нашем сайте, а в 17:30 присоединяйтесь к эфиру из студии аналитики Standoff Insider.

(Компании + белые хакеры) × ❤️ = багбаунти

Почему исследователи безопасности любят багбаунти, нам известно. А почему компании все чаще выбирают такой формат проверки защищенности вместо пентестов или аудитов?

👉 Об этом в нашем новом видосе рассказывают Тимофей Черных, руководитель продуктовой безопасности Ozon, и Александр Хамитов, руководитель продуктовой безопасности Wildberries. А также Анатолий Иванов со стороны Standoff Bug Bounty.

Каверзные вдумчивые вопросы им задает Алексей Лукацкий, бизнес-консультант по ИБ Positive Technologies.

Вместе разбираемся:

• можно ли сдать уязвимость вне скоупа и получить за нее награду.

• как узнать, что дубликат — действительно дубликат, а не попытка сокрытия бага.

• исследователи из каких стран ищут уязвимости в российских компаниях (помимо России).

• что выгоднее для компаний: багбаунти или пентест.

• какая найденная уязвимость может разбудить специалиста по ИБ посреди ночи.

• сколько денег нужно, чтобы стать счастливым выйти на багбаунти.

Смотрите ролик на любой удобной платформе:

📺 YouTube 📺 Rutube 📺 VK Видео

⚔️ Подводим итоги второго дня международной кибербитвы Standoff 14

Напоминаем, что виртуальное Государство F с 26 по 29 ноября атакуется круглосуточно, поэтому итоги мы фиксируем в 21:10 каждого дня состязания.

😈 Что интересного у красных команд

За два дня атакующие реализовали 91 критическое событие, из которых 25 — уникальные. В лидерах — команда DD0ST4R из Казахстана 🇰🇿, на ее счету 17 критических событий, 14 обнаруженных уязвимостей и 72 117 баллов.

На второе место вышла команда Baguette2Pain из Франции 🇫🇷: за второй день она реализовала 6 критических событий, одно из которых максимального уровня сложности. Это позволило участникам сразу вырваться в лидеры: им удалось получить несанкционированный доступ к системе управления доменной инфраструктурой STFware в IT-секторе. На счету команды 37 994 балла и 4 уязвимости.

В тройке лидеров — Vantage Point Security из Индонезии 🇮🇩 (на их счету 6 реализованных критических событий, 9 обнаруженных уязвимостей и 34 286 баллов). Также в топ-10 рейтинга вошли команды из Узбекистана 🇺🇿, Вьетнама 🇻🇳 и Китая 🇨🇳.

Всего атакующие обнаружили 220 уязвимостей, больше всего — в IT-секторе. Сразу 18 командам удалось получить доступ к сохраненным данным пользователей платформы STFware. Хотя бы одно критическое событие реализовали 25 из 48 команд. По итогам битвы 8 лучших команд разделят общий призовой фонд в 50 000 $.

✋ Что интересного у синих команд

Command and Defend из России 🇷🇺 обнаружила 100 инцидентов в энергетической отрасли, из которых предотвратила 52 (она работает не только в режиме мониторинга, но и в режиме реагирования). За два дня участники расследовали 8 успешных атак.

Команда Coinhako из Вьетнама 🇻🇳 расследовала 9 из 22 успешных атак на IT-сектор. Больше всех инцидентов обнаружила Langit Biru из Индонезии 🇮🇩 — 132. Команда Pasukan Biru из Малайзии 🇲🇾 обнаружила 64 инцидента и расследовала 4 атаки. Secops Garage из Бангладеш 🇧🇩 обнаружила 34 инцидента и расследовала 2 атаки.

Команда KARL?! из России 🇷🇺, которая защищает банковский сектор, обнаружила 39 инцидентов и расследовала 4 атаки. Еще одна российская команда Your shell not pass 🇷🇺, стоящая на страже нефтегазовой отрасли, обнаружила 93 инцидента и расследовала 4 атаки.

Всего на стороне защитников принимают участие 14 команд, за два дня они суммарно обнаружили 522 инцидента и расследовали 38 успешных атак.

👀 Третий день кибербитвы в самом разгаре — следите за ее ходом на нашем сайте.

А в 17:30 мск в прямом эфире мы обсудим самые интересные моменты из студии аналитики Standoff Insider.