Друзья, ну конечно же!

И из этого утюга должны трубить про PHDays!

Потому что в отличие от какого-то крошечного GISEC, тут построен город в городе!

Обязательно загляните на наш стенд, и изучите первую в России сертификацию белых хакеров! С меня немного фоток.

Конференция будет идти до субботы, и это лучший способ познакомить младшие поколения с миром кибербезопасности, всем рекомендую провести этот день тут с семьёй.
4👍3🤡1
🔥26👍4🤡1
Результаты по Standoff, как они есть

Я знаю, вы этого ждали :D
В целом, можно только похвалить себя, план выполнен - соснули за обе щечки!
Топ 20 результат оч. средний, не худший, но и не топ 10, которых бы я хотел.
Оправдания? Конечно да!
Что ни говори, хотелось бы, конечно, чтобы один человек из команды садился и выносил турнир в соло, но в Standoff побеждают много рук, а еще лучше, если эти руки уже наскилялись играть в Standoff.

Если по серьезному, то как я сказал ранее: рекомендую каждой команде, чтобы у них случалось подобное событие, хотя бы раз в год. Очень многие из команды высказались банально: что надо было просто больше тренить Standoff и нужно больше народу. Но я уверен, что ребятам удалось взглянуть на себя в моменте, посмотреть на соседа и подхватить пару хороших идей.

Я, честно говоря, прилично так завидовал ребятам, т.к. сам впервые за последние годы не участвовал и провел время на самом PHD в роли представителя компании, общающегося с клиентами и партнерами. Оказывается на PHD можно совершить 200+ рукопожатий в день и заключить пару сделок, а не просто отсидеть 10 часов на попе в шумном помещении :D *шутка*.

Братишкам из True0xA3, Привет! Надеюсь мы однажды еще соберемся сыграть “под пивко” ;D
20🔥12🤡6🫡6👍1
Как цепочка классических багов может привести к полной компрометации

Мой коллега из Singleton Security, старший спец. по анализу защищенности @baksist выкатил на Хакере прикольный разбор пентеста интернет-провайдера.

Типичная грустная ситуация для пентестеров, которым достался маленький скоуп (всего 9 IP), переросла в неплохешную цепочку багов, приведших к компрометации серверов провайдера.

Внутри — полный сборник трешовых ошибок разрабов, которые классно склеились во что-то единое:

— LFR через кривой rewrite
— MD5-хеши без соли
— повторы паролей
— самописная ERP с PTRAV при аплоаде
— отсутствие нормальной изоляции между сервисами

🧂 Про соль отдельно. Когда хранят MD5 без соли, это как хранить ключи в конверте с подписью «ключи от дома». Нравоучать не буду, разрабов которые в 2025 юзают MD5 для хранения паролей проще просто пристрелить и купить подписку на ChatGPT за 20$.

Рекомендую, кайфово почитать прохладную про блуждания хакера в PHP сервисах:
https://xakep.ru/2025/05/22/provider-case/

baksist, респект 💪
🔥33👍2😁1🤡1
А у меня новый сертификат 😁
🔥12🤡11👏4
Forwarded from CyberED
Ваш ключ к успешной карьере в кибербезопасности - сертификация по курсу "Белый хакер"🔑

CyberED представляет CEWH - практическую сертификацию в области наступательной кибербезопасности. Сертификат CEWH подтверждает владение базовыми навыками тестирования на проникновение и приверженность кодексу этики Белых Хакеров.

Для кого?
для уже текущих специалистов в ИБ
для пентестеров it-инфраструктуры, которые хотят подтвердить свои навыки
для корпоративных клиентов.

Как проходит сертификационное испытание?
1⃣ В формате онлайн
2⃣ Через практическое испытание
3⃣ Длительностью 24 часа
4⃣ Сложность - базовая.
Для подготовки к сертификации достаточно пройти бесплатный курс "Профессия - Белый Хакер"

⚪️Подробнее о сертификации читайте на сайте
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🤡14🔥6💩5🎉41
N8N Experience

На выходных получил удовольствие от игр c N8N и создания персонального агента, имеющего доступ к моим таск-трекерам, показателям работы бизнеса, почте и пр.


С этой штукой все мои “Я потом посмотрю в данные и позже скажу”, превращаются в один войс или текст в телегу, который быстро анализирует источник, и возвращает мне информацию о работе компаний, мое расписание на неделю, приоритетные задачи или может что-то добавить мне в интегрированные системы.

Дополнительно, становится возможным подключать к нему близких и предлагать пользоваться моим расписанием\задачником\календарем, чтобы не нагружать их интеграциями, а просто записать войс моему ассистенту и он поставит мне задачку на нужное время.

Особенно удобно для РФ, т.к. это дает доступ к AI через тележку, для которой не нужен VPN и прочие приблуды.

Сразу скажу, что придется чутка разобраться и попотеть, но за день это легко освоить и дальше уже сложно остановиться, чтобы не делать из этого интерфейс одного окна, куда захочется запихнуть весь интернет и все свои сервисы.

Для тех кто любит подобные игрушки, особенно рекомендую, хотя и не уверен, что это приживется надолго. Тем более что AI сервисы удивляют нас чем-то новым каждый месяц.
Мысли: Будущее наступило и сразу превратилось в весьма заурядный процесс душной настройки AI ботов :D

Если помните, была шутка у Louis CK про WiFi в самолете: один мудаковатый пассажир жалуется что это дерьмо снова не работает, не осознавая, что он сидит на высоте 10 000 метров, летит над океаном с коктейлем в руке, и еще и умудряется выебываться, что ему недостаточно чудес.
Вот и я чувствую, что очень быстро хочется большего от AI, и то, что вчера было невозможным, сегодня выглядит “Недостаточно хорошим”. Видимо, это и есть двигатель прогресса, хе-хе.
👍23🔥14👏32🤡2😁1
Привет, это канал Yet Another Hacker

Пост для всех, с кем ещё незнакомы.
Меня зовут Егор Богомолов. Я белый хакер со стажем 10+ лет, основатель Singleton Security, команды, которая делает пентесты, Red Team-оценки и обучает бизнес находить уязвимости до того, как это сделают другие. Сооснователь CyberED — главной специализированной образовательной платформы для кибербезопасников в РФ.

Здесь я пишу:

— про кибербезопасность,
— про наблюдение за миром технологий,
— про бизнес и рынок,
— и иногда — про личное и просто, что в голову придёт. Потому что канал личный и могу себе позволить.

Пригласить выступить, вызвать на дуэль, позвать на треню или обменяться мыслями — @empty_jack
1🔥37🤡9👏6👍2🏆21
YAH pinned «Привет, это канал Yet Another Hacker Пост для всех, с кем ещё незнакомы. Меня зовут Егор Богомолов. Я белый хакер со стажем 10+ лет, основатель Singleton Security, команды, которая делает пентесты, Red Team-оценки и обучает бизнес находить уязвимости до того…»
У моего сокомандника есть крутой свеженький канал, обделенный публикой. Давайте это исправим!

Вы только посмотрите сколько там годноты!
👍31🔥1🤡1
Forwarded from Bagley's 📚 Diary
Всем 👋! Это Bagley

🔺Оффтоп🔺

Что нужно, чтобы начать реализовывать НС (недопустимые события) на Standoff Hackbase?

🔘Если ты новенький, и хочешь погрузиться в мир кибербитвы Standoff - следующий список обязателен для ознакомления.
🔘Если ты достаточно крутой специалист, тебе всё же придется познакомиться с механикой "игры" на Standoff, чтобы максимально быстро начать выполнять НС'ы.

1⃣ Официальный гайд от Standoff (внимательно изучи этот материал, можно и видосики посмотреть)
2⃣ Разбор заданий с полигона для новичков - ссыль (поймешь базовую механику, найдешь полезный скрипт для фиша)
3⃣ Разбор одного из банковских рисков от Top1 24 года - хабр
4⃣ Разборы рисков от команды @taipanbyte (первый, второй)
5⃣ Пять способов сломать SCADA-систему - статья журнала Positive Research.
6⃣ Ну и мой видеоразбор кейсов с кибербитвы Standoff 14:
📺 Rutube 📺 VK Видео

Обучение без практики бесполезно! Поэтому, после ознакомления, настоятельно рекомендую порешать полигон!

👑 (а если ты только начинаешь, повторюсь, очень рекомендую пройти бесплатный курс "Профессия - Белый Хакер" от Cyber-ED)

P.S. Если будет что-то появляться новое и полезное по этой теме, буду дописывать в этот пост

#learning #Standoff #HackBase #StandoffStories
Please open Telegram to view this post
VIEW IN TELEGRAM
👍153🤡2😁1
Смотрите какой кайф для вас сделали!
1🤡1
Forwarded from CyberED
Совсем скоро стартует легендарное событие в мире кибербезопасности — Cyber Space Quest 2025!

📆 Соревнование пройдёт: с 27 июня (14:00 по мск) по 29 июня (20:00 по мск)
Жми сюда и регистрируйся

🚀Cyber Space Quest 2025 — серия увлекательных chain-case заданий разной сложности, с индивидуальным форматом участия. Это возможность проявить свои навыки в разных направлениях информационной безопасности.


Наш квест — это результат кропотливой работы профессионалов в области кибербезопасности. Мы создали для вас настоящую галактику испытаний!
Особая благодарность команде разработчиков заданий, а именно:

FEFU Cybersecurity Center – Центр информационной безопасности ДВФУ
DUCKERZ — Команда ctf'еров, объединенных страстью к кибербезопасности
AUTHORITY – Сообщество независимых исследователей ИБ
o1d_bu7_go1d – Команда Колледжа программирования и кибербезопасности МИРЭА
MIPT Love CTF - сообщество CTF на Физтехе

Победителей турнира ждут призы от наших космических партнёров-топовых компаний сферы ИБ.

🚀 Присоединяйся к нашему телеграм-каналу, во время квеста все обсуждения, новости и хинты будут именно там
Please open Telegram to view this post
VIEW IN TELEGRAM
7🤡2🔥1
AI заместит хакеров

Вопрос — попса попсой, согласен, конечно. Но это не значит, что я могу перестать об этом думать.

Я, само собой, спросил, что думает об этом сам ИИ, и он подтвердил мои измышления. Далее они.

Абсолютно точно ИИ поменяет нашу сферу. Об этом, в том числе, говорят все эти прекрасные статьи:
- как AI выигрывает CTF
- как AI захватывает TOP 1 BB
и прочие из этой серии.
Хоть это пока что только «отчасти правда», это очень важные сигналы к переоценке ситуации.


Мое предположение в том, что мастера тонкой настройки, эксперты глубочайшего опыта станут безмерно сильнее с AI. А также, станут еще дороже в борьбе за компетенции между лидерами рынка. Специалисты по наступательной кибербезопасности, криминалисты, спецы по противодействию и пр., которые могут сращивать контекст, происходящий в реальном мире, с событиями в виртуальном, и, применяя инструменты ускоряющие проверку гепотез, анализ и реализацию задуманных идей, станут самым главным звеном любой зрелой в вопросах кибербезопасности организации.

AI серьезно надавит на сегмент начинающих специалистов и мидлов, но это не значит, что их станет сильно меньше. Т.к. мастера же должны появляться из кого-то. Более того, есть основания полагать, что ситуация в подразделениях останется той же самой: Да, всем нужны только синьоры, но где их взять? А что, если ваш хваленый синьор уйдет? Кто его подменит?
Из-за этих сложностей и появляется целая цепочка диверсификации компетенций в подразделении со стажерами, джунами, мидлами. Преемственность опыта невероятно болезненно потерять, особенно когда это касается понимания контекста происходящего в организации.

А на самом деле, специалистов по кибербезопасности может стать гораздо больше, чем раньше, что я считаю более вероятным. Порог входа в обучение направлению и получение практических знаний существенно снижается с наличием идеального наставника в лице AI.
Недостаток кадров в индустрии не будет закрыт AI агентом еще достаточно долго, потому что их проникновение в сложные процессы идет не так гладко, как может показаться. И на недавние 50 000 мест недостающих кибербезопасников может позариться почти любой достаточно усердный новичок, не оставляющий в покое Chat GPT и продолжающий задавать ему вопросы: «Как это работает? Как этим можно воспользоваться? Как мог бы выглядеть эксплойт для этого участка кода?»

Все будет только интереснее, ребята. Что думаете вы?
20🔥11🤔7🤡3💯3
Forwarded from OFFZONE
This media is not supported in your browser
VIEW IN TELEGRAM
⚡️ Через неделю закроем прием заявок на доклады

Но это будет через неделю. А пока — ждем вас и ваши темы докладов.

Напоминаем, что можно податься сразу на несколько треков. А еще напоминаем, что мы написали подробный гайд о том, как правильно оформить заявку. Хорошая заявка повысит ваш шанс пройти отбор.

Дерзайте :)
Please open Telegram to view this post
VIEW IN TELEGRAM
1🤡1
И снова OFFZONE будет радовать нас в этом августе! Давайте отдадим долг ребятам, которые радуют нас сальной техниной уже который год, и отгрузим годноты в сообщество!

OFFZONE принимает заявки на доклады до 10 июля – настоятельно рекоменду вам вписаться, если у вас есть что-то годное.

Дерзайте 👆🏻
🤡83🖕2
2025: Как режут бюджеты на ИБ

При ключевой ставке 20% бизнесу крайне сложно развиваться и даже мысли дистанцией в год не приносят облегчения — а значит всё, что не даёт прибыль здесь и сейчас идёт под нож.

Честно говоря, я не так много бизнесов знаю, которые приносят стабильные 20% рентабельности в год. Проще любые бабки положить на депозит, чем вообще бизнесом заниматься.

Как вы вообще можете просить делать бизнес безопасным, когда бизнес сам по себе то не делается?! :D

Где у безопасности нет цены – так это в государственных вопросах: энергетическая, продовольственная, информационная безопасность на уровне населения. Там в любом случае надо продолжать работать, довольствуйтесь

Что происходит в ИБ крупных компаний

1. Найм замораживают. Не все и не везде, но в ряде гигантов отечественного бизнеса на паузу поставлены десятки вакансий ИБ-блока. Особенно это касается джуновских позиций. Мотивация простая: «Не до обучения, нужны те, кто умеет тушить пожары».
2. Фичи, не направленные напрямую на рост прибыли, урезают. В 2023-24-м компании смело пробовали SASE, Zero Trust, лили бюджеты в R&D. Теперь любая инициатива должна быть предельно конкретно описана с точки зрения: «А сколько мы с этого сэкономим или заработаем?».


Недавно в паблике мелькала шуточная книжка «На*уй Безопасность: Как игнорировать весь этот бред и зарелизить проект» - это становится реальным девизом бизнеса в след 365 дней :D

Что останется

1. Добивание «последней мили» импортозамещения, т.к. никто не отменял.
2. Выполнения регуляторных требований (По принципу «каши из топора»)
3. Содержание команд реагирования и инженеров безопасности с замораживанием подбора на ближайший квартал.

В общем, времена сложные, но не забывайте, что в «хорошие времена», мы говорили тоже самое, а значит, наслаждайтесь «хорошими временами», пока они у нас есть!
👍22🤡54😢4💯3😁1
Зачем тебе пентест?
Встречаешься ты с заказчиком, и он говорит тебе случайно, а может быть и нет, «О, у нас тут продукт овнер ( или любая другая сутулая собака роль) захотел пентест провести, давайте сделаем?». И тут, как бы ты не потирал ручки в предвкушении того как сейчас ты с ноги разнесешь им лицо дверь в инфру и все будут счастливы и довольны, нельзя бездумно срываться в обсуждение деталей проекта.

Любой уважающий себя консалтер знает, что если дорожить репутацией, надо делать то, что действительно ценно. Поэтому правильный ответ: «А зачем вам?». Далее не буду расписывать вам весь Тарантиновский диалог, а просто расскажу, что я обычно стараюсь понять в клиенте.

Сделав сотни тестов на проникновение, я понимаю, что результат может по-разному удовлетворять заказчика. Лучший случай и самый идеальный — это когда у заказчика есть гипотеза, которую он хочет проверить. Без понимания «Зачем ты делаешь тестирование?» ни один результат не принесет облегчения. Т.к. 2 или 5 млн рублей будут потрачены, а удовлетворенности от бумажки-подтирашки профессионально составленного отчета так и не будет получено.

Чтобы сделать такую проверку, надо сначала что-то сделать в своей безопасности. Иметь гипотезу, которую вы проверяете. Например, мы считаем что мы защищены; хотим выявить недостатки в нашем платежном API; мы сделали изолированную архитектуру сети и считаем, что из нее нас не сломать; мы построили типовое рабочее место, и наш сотрудник не сможет устроить с него саботаж в домене…

В первую очередь, если вы делаете этот пентест для себя! Если вам он нужен для выполнения регуляторных требований, постарайтесь просто получить побольше выгод во время тестирования: проверьте гипотезы; соберите лог атак для прокачивания ваших детектов; посадите свой мониторинг изучать происходящее и учиться; запросите у хакеров инвентаризацию активов и т.д. Будет стоить лишнюю копейку, зато пользы как от отдельной услуги.

📍Пентестер, не торопись крушить инфру и аппки — пойми, чего хочет заказчик! Или заставь его это понять…
👍224👏3🤡3💯3
2025/07/10 13:55:00
Back to Top
HTML Embed Code: