Telegram Web
В этом году впервые участвуем в Standoff собственной командой хакеров из Singleton Security!

10 бойцов под командованием MstrX попробуют войти в топ-5.

Раньше я и другие ребята принимали участие в Standoff, но в составе команды True0xA3. Ноо, вы знаете что там произошло и мы решили больше не претендовать на топ1 и не рвать попу. За True0xA3 нельзя играть просто “по кайфу”, а нужно выжиматься на полную и в последние годы мы от этого подустали. Хотелось просто кайфануть без претензии на абсолютную победу, сохранив цель: получить удовольствие от командной игры.

Сегодня, все из состава Singleton, кто когда-то уже играл, решили побаловаться самостоятельно. Претендовать на топ1 там глупо, во многом решает наигранность, которой у этих 10 человек нет, но топ 5 это то, куда надо стремиться. Все таки, Standoff про реальные навыки и близость к реальным проектам.


Участие, как процесс тимбилдинга, кажется мне важной штукой. Для этого мы даже освобождаем время турнира от коммерческих проектов.

Во-первых, это здорово помогает встряхнуться и расшевелить мозги.

Во-вторых, это даёт совершенно другой уровень ощущения команды. На каждом реальном проекте обычно задействовано не больше 2-4 человек, а на Standoff есть возможность почувствовать себя участником целой десятки.

В-третьих, у команды должно быть такое событие. Если не стендофф, то что-то еще, где они себя сравнивают как команда.

Шанс обосраться, как всегда, честно говоря, не выглядит таким страшным. Я давно свыкся с одной важной мыслью, которую я повторяю себе после каждой сложной тренировки в зале: “Я сегодня не был лучшим, но я победил, потому что пришел сюда”.

В общем, удачи нам, а соперникам не удачи, очень ждем чего нибудь интересного от Standoff, в этот раз его делают топовые ребята.

До встречи в сети! 🫡
🔥5417🫡9👍3🤡3🎉1
Друзья, ну конечно же!

И из этого утюга должны трубить про PHDays!

Потому что в отличие от какого-то крошечного GISEC, тут построен город в городе!

Обязательно загляните на наш стенд, и изучите первую в России сертификацию белых хакеров! С меня немного фоток.

Конференция будет идти до субботы, и это лучший способ познакомить младшие поколения с миром кибербезопасности, всем рекомендую провести этот день тут с семьёй.
4👍3🤡1
🔥26👍4🤡1
Результаты по Standoff, как они есть

Я знаю, вы этого ждали :D
В целом, можно только похвалить себя, план выполнен - соснули за обе щечки!
Топ 20 результат оч. средний, не худший, но и не топ 10, которых бы я хотел.
Оправдания? Конечно да!
Что ни говори, хотелось бы, конечно, чтобы один человек из команды садился и выносил турнир в соло, но в Standoff побеждают много рук, а еще лучше, если эти руки уже наскилялись играть в Standoff.

Если по серьезному, то как я сказал ранее: рекомендую каждой команде, чтобы у них случалось подобное событие, хотя бы раз в год. Очень многие из команды высказались банально: что надо было просто больше тренить Standoff и нужно больше народу. Но я уверен, что ребятам удалось взглянуть на себя в моменте, посмотреть на соседа и подхватить пару хороших идей.

Я, честно говоря, прилично так завидовал ребятам, т.к. сам впервые за последние годы не участвовал и провел время на самом PHD в роли представителя компании, общающегося с клиентами и партнерами. Оказывается на PHD можно совершить 200+ рукопожатий в день и заключить пару сделок, а не просто отсидеть 10 часов на попе в шумном помещении :D *шутка*.

Братишкам из True0xA3, Привет! Надеюсь мы однажды еще соберемся сыграть “под пивко” ;D
20🔥12🤡6🫡6👍1
Как цепочка классических багов может привести к полной компрометации

Мой коллега из Singleton Security, старший спец. по анализу защищенности @baksist выкатил на Хакере прикольный разбор пентеста интернет-провайдера.

Типичная грустная ситуация для пентестеров, которым достался маленький скоуп (всего 9 IP), переросла в неплохешную цепочку багов, приведших к компрометации серверов провайдера.

Внутри — полный сборник трешовых ошибок разрабов, которые классно склеились во что-то единое:

— LFR через кривой rewrite
— MD5-хеши без соли
— повторы паролей
— самописная ERP с PTRAV при аплоаде
— отсутствие нормальной изоляции между сервисами

🧂 Про соль отдельно. Когда хранят MD5 без соли, это как хранить ключи в конверте с подписью «ключи от дома». Нравоучать не буду, разрабов которые в 2025 юзают MD5 для хранения паролей проще просто пристрелить и купить подписку на ChatGPT за 20$.

Рекомендую, кайфово почитать прохладную про блуждания хакера в PHP сервисах:
https://xakep.ru/2025/05/22/provider-case/

baksist, респект 💪
🔥33👍2😁1🤡1
А у меня новый сертификат 😁
🔥12🤡11👏4
Forwarded from CyberED
Ваш ключ к успешной карьере в кибербезопасности - сертификация по курсу "Белый хакер"🔑

CyberED представляет CEWH - практическую сертификацию в области наступательной кибербезопасности. Сертификат CEWH подтверждает владение базовыми навыками тестирования на проникновение и приверженность кодексу этики Белых Хакеров.

Для кого?
для уже текущих специалистов в ИБ
для пентестеров it-инфраструктуры, которые хотят подтвердить свои навыки
для корпоративных клиентов.

Как проходит сертификационное испытание?
1⃣ В формате онлайн
2⃣ Через практическое испытание
3⃣ Длительностью 24 часа
4⃣ Сложность - базовая.
Для подготовки к сертификации достаточно пройти бесплатный курс "Профессия - Белый Хакер"

⚪️Подробнее о сертификации читайте на сайте
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🤡14🔥6💩5🎉41
N8N Experience

На выходных получил удовольствие от игр c N8N и создания персонального агента, имеющего доступ к моим таск-трекерам, показателям работы бизнеса, почте и пр.


С этой штукой все мои “Я потом посмотрю в данные и позже скажу”, превращаются в один войс или текст в телегу, который быстро анализирует источник, и возвращает мне информацию о работе компаний, мое расписание на неделю, приоритетные задачи или может что-то добавить мне в интегрированные системы.

Дополнительно, становится возможным подключать к нему близких и предлагать пользоваться моим расписанием\задачником\календарем, чтобы не нагружать их интеграциями, а просто записать войс моему ассистенту и он поставит мне задачку на нужное время.

Особенно удобно для РФ, т.к. это дает доступ к AI через тележку, для которой не нужен VPN и прочие приблуды.

Сразу скажу, что придется чутка разобраться и попотеть, но за день это легко освоить и дальше уже сложно остановиться, чтобы не делать из этого интерфейс одного окна, куда захочется запихнуть весь интернет и все свои сервисы.

Для тех кто любит подобные игрушки, особенно рекомендую, хотя и не уверен, что это приживется надолго. Тем более что AI сервисы удивляют нас чем-то новым каждый месяц.
Мысли: Будущее наступило и сразу превратилось в весьма заурядный процесс душной настройки AI ботов :D

Если помните, была шутка у Louis CK про WiFi в самолете: один мудаковатый пассажир жалуется что это дерьмо снова не работает, не осознавая, что он сидит на высоте 10 000 метров, летит над океаном с коктейлем в руке, и еще и умудряется выебываться, что ему недостаточно чудес.
Вот и я чувствую, что очень быстро хочется большего от AI, и то, что вчера было невозможным, сегодня выглядит “Недостаточно хорошим”. Видимо, это и есть двигатель прогресса, хе-хе.
👍23🔥14👏32🤡2😁1
Привет, это канал Yet Another Hacker

Пост для всех, с кем ещё незнакомы.
Меня зовут Егор Богомолов. Я белый хакер со стажем 10+ лет, основатель Singleton Security, команды, которая делает пентесты, Red Team-оценки и обучает бизнес находить уязвимости до того, как это сделают другие. Сооснователь CyberED — главной специализированной образовательной платформы для кибербезопасников в РФ.

Здесь я пишу:

— про кибербезопасность,
— про наблюдение за миром технологий,
— про бизнес и рынок,
— и иногда — про личное и просто, что в голову придёт. Потому что канал личный и могу себе позволить.

Пригласить выступить, вызвать на дуэль, позвать на треню или обменяться мыслями — @empty_jack
1🔥37🤡9👏6👍2🏆21
YAH pinned «Привет, это канал Yet Another Hacker Пост для всех, с кем ещё незнакомы. Меня зовут Егор Богомолов. Я белый хакер со стажем 10+ лет, основатель Singleton Security, команды, которая делает пентесты, Red Team-оценки и обучает бизнес находить уязвимости до того…»
У моего сокомандника есть крутой свеженький канал, обделенный публикой. Давайте это исправим!

Вы только посмотрите сколько там годноты!
👍31🔥1🤡1
Forwarded from Bagley's 📚 Diary
Всем 👋! Это Bagley

🔺Оффтоп🔺

Что нужно, чтобы начать реализовывать НС (недопустимые события) на Standoff Hackbase?

🔘Если ты новенький, и хочешь погрузиться в мир кибербитвы Standoff - следующий список обязателен для ознакомления.
🔘Если ты достаточно крутой специалист, тебе всё же придется познакомиться с механикой "игры" на Standoff, чтобы максимально быстро начать выполнять НС'ы.

1⃣ Официальный гайд от Standoff (внимательно изучи этот материал, можно и видосики посмотреть)
2⃣ Разбор заданий с полигона для новичков - ссыль (поймешь базовую механику, найдешь полезный скрипт для фиша)
3⃣ Разбор одного из банковских рисков от Top1 24 года - хабр
4⃣ Разборы рисков от команды @taipanbyte (первый, второй)
5⃣ Пять способов сломать SCADA-систему - статья журнала Positive Research.
6⃣ Ну и мой видеоразбор кейсов с кибербитвы Standoff 14:
📺 Rutube 📺 VK Видео

Обучение без практики бесполезно! Поэтому, после ознакомления, настоятельно рекомендую порешать полигон!

👑 (а если ты только начинаешь, повторюсь, очень рекомендую пройти бесплатный курс "Профессия - Белый Хакер" от Cyber-ED)

P.S. Если будет что-то появляться новое и полезное по этой теме, буду дописывать в этот пост

#learning #Standoff #HackBase #StandoffStories
Please open Telegram to view this post
VIEW IN TELEGRAM
👍153🤡2😁1
Смотрите какой кайф для вас сделали!
1🤡1
Forwarded from CyberED
Совсем скоро стартует легендарное событие в мире кибербезопасности — Cyber Space Quest 2025!

📆 Соревнование пройдёт: с 27 июня (14:00 по мск) по 29 июня (20:00 по мск)
Жми сюда и регистрируйся

🚀Cyber Space Quest 2025 — серия увлекательных chain-case заданий разной сложности, с индивидуальным форматом участия. Это возможность проявить свои навыки в разных направлениях информационной безопасности.


Наш квест — это результат кропотливой работы профессионалов в области кибербезопасности. Мы создали для вас настоящую галактику испытаний!
Особая благодарность команде разработчиков заданий, а именно:

FEFU Cybersecurity Center – Центр информационной безопасности ДВФУ
DUCKERZ — Команда ctf'еров, объединенных страстью к кибербезопасности
AUTHORITY – Сообщество независимых исследователей ИБ
o1d_bu7_go1d – Команда Колледжа программирования и кибербезопасности МИРЭА
MIPT Love CTF - сообщество CTF на Физтехе

Победителей турнира ждут призы от наших космических партнёров-топовых компаний сферы ИБ.

🚀 Присоединяйся к нашему телеграм-каналу, во время квеста все обсуждения, новости и хинты будут именно там
Please open Telegram to view this post
VIEW IN TELEGRAM
7🔥1🤡1
AI заместит хакеров

Вопрос — попса попсой, согласен, конечно. Но это не значит, что я могу перестать об этом думать.

Я, само собой, спросил, что думает об этом сам ИИ, и он подтвердил мои измышления. Далее они.

Абсолютно точно ИИ поменяет нашу сферу. Об этом, в том числе, говорят все эти прекрасные статьи:
- как AI выигрывает CTF
- как AI захватывает TOP 1 BB
и прочие из этой серии.
Хоть это пока что только «отчасти правда», это очень важные сигналы к переоценке ситуации.


Мое предположение в том, что мастера тонкой настройки, эксперты глубочайшего опыта станут безмерно сильнее с AI. А также, станут еще дороже в борьбе за компетенции между лидерами рынка. Специалисты по наступательной кибербезопасности, криминалисты, спецы по противодействию и пр., которые могут сращивать контекст, происходящий в реальном мире, с событиями в виртуальном, и, применяя инструменты ускоряющие проверку гепотез, анализ и реализацию задуманных идей, станут самым главным звеном любой зрелой в вопросах кибербезопасности организации.

AI серьезно надавит на сегмент начинающих специалистов и мидлов, но это не значит, что их станет сильно меньше. Т.к. мастера же должны появляться из кого-то. Более того, есть основания полагать, что ситуация в подразделениях останется той же самой: Да, всем нужны только синьоры, но где их взять? А что, если ваш хваленый синьор уйдет? Кто его подменит?
Из-за этих сложностей и появляется целая цепочка диверсификации компетенций в подразделении со стажерами, джунами, мидлами. Преемственность опыта невероятно болезненно потерять, особенно когда это касается понимания контекста происходящего в организации.

А на самом деле, специалистов по кибербезопасности может стать гораздо больше, чем раньше, что я считаю более вероятным. Порог входа в обучение направлению и получение практических знаний существенно снижается с наличием идеального наставника в лице AI.
Недостаток кадров в индустрии не будет закрыт AI агентом еще достаточно долго, потому что их проникновение в сложные процессы идет не так гладко, как может показаться. И на недавние 50 000 мест недостающих кибербезопасников может позариться почти любой достаточно усердный новичок, не оставляющий в покое Chat GPT и продолжающий задавать ему вопросы: «Как это работает? Как этим можно воспользоваться? Как мог бы выглядеть эксплойт для этого участка кода?»

Все будет только интереснее, ребята. Что думаете вы?
20🔥9🤔7🤡3💯3
Forwarded from OFFZONE
This media is not supported in your browser
VIEW IN TELEGRAM
⚡️ Через неделю закроем прием заявок на доклады

Но это будет через неделю. А пока — ждем вас и ваши темы докладов.

Напоминаем, что можно податься сразу на несколько треков. А еще напоминаем, что мы написали подробный гайд о том, как правильно оформить заявку. Хорошая заявка повысит ваш шанс пройти отбор.

Дерзайте :)
Please open Telegram to view this post
VIEW IN TELEGRAM
1🤡1
И снова OFFZONE будет радовать нас в этом августе! Давайте отдадим долг ребятам, которые радуют нас сальной техниной уже который год, и отгрузим годноты в сообщество!

OFFZONE принимает заявки на доклады до 10 июля – настоятельно рекоменду вам вписаться, если у вас есть что-то годное.

Дерзайте 👆🏻
🤡83🖕2
2025: Как режут бюджеты на ИБ

При ключевой ставке 20% бизнесу крайне сложно развиваться и даже мысли дистанцией в год не приносят облегчения — а значит всё, что не даёт прибыль здесь и сейчас идёт под нож.

Честно говоря, я не так много бизнесов знаю, которые приносят стабильные 20% рентабельности в год. Проще любые бабки положить на депозит, чем вообще бизнесом заниматься.

Как вы вообще можете просить делать бизнес безопасным, когда бизнес сам по себе то не делается?! :D

Где у безопасности нет цены – так это в государственных вопросах: энергетическая, продовольственная, информационная безопасность на уровне населения. Там в любом случае надо продолжать работать, довольствуйтесь

Что происходит в ИБ крупных компаний

1. Найм замораживают. Не все и не везде, но в ряде гигантов отечественного бизнеса на паузу поставлены десятки вакансий ИБ-блока. Особенно это касается джуновских позиций. Мотивация простая: «Не до обучения, нужны те, кто умеет тушить пожары».
2. Фичи, не направленные напрямую на рост прибыли, урезают. В 2023-24-м компании смело пробовали SASE, Zero Trust, лили бюджеты в R&D. Теперь любая инициатива должна быть предельно конкретно описана с точки зрения: «А сколько мы с этого сэкономим или заработаем?».


Недавно в паблике мелькала шуточная книжка «На*уй Безопасность: Как игнорировать весь этот бред и зарелизить проект» - это становится реальным девизом бизнеса в след 365 дней :D

Что останется

1. Добивание «последней мили» импортозамещения, т.к. никто не отменял.
2. Выполнения регуляторных требований (По принципу «каши из топора»)
3. Содержание команд реагирования и инженеров безопасности с замораживанием подбора на ближайший квартал.

В общем, времена сложные, но не забывайте, что в «хорошие времена», мы говорили тоже самое, а значит, наслаждайтесь «хорошими временами», пока они у нас есть!
👍21🤡5😢43💯3😁1
2025/07/09 05:09:14
Back to Top
HTML Embed Code: