Первая в России премия для этичных хакеров

[INC.]

Пентест — это самая творческая ИБ-дисциплина, а у всех творческих профессий есть премии. Awillix сделали Pentest Awards, чтобы этичные хакеры наконец смогли заявить о себе, рассказать о достижениях и получить признание отрасли.

«Бренд» русских хакеров воспринимается негативно и люди знают только про скандалы об утечках, хотя огромное множество талантливых профессионалов сейчас работают на киберфронте на стороне добра, делают вещи гораздо сложнее и круче злоумышленников, спасают ИТ-инфраструктуру бизнесов и не попадают за это в новости, в отличии от преступников.

Чтобы популяризировать профессию этичного хакера в нашей стране, появилась первая в России премия для пентестеров. Специалисты, которые драйвят рынок и задают высокую планку в профессиональном комьюнити, смогут получить признание, дорогие награды и подать пример начинающим.

Сбор заявок и определение победителей

Оружие пентестера — опыт, креатив и насмотренность. Это оружие он применяет каждый день в работе, поэтому подать заявку будет проще простого — достаточно обезличенного рассказа про свой лучший проект в свободной форме. Всего в премии шесть номинаций, относящихся к разным стадиям имитации хакерских атак. На сайте Pentest award есть пример подачи и критерии оценки работ.

Оценивает заявки независимый совет жюри, который состоит из лучших практикующих оффенсив-безопасников топовых российских компаний. Проголосовав и посовещавшись, они представят шорт-лист номинантов в конце июля.

Победители будут объявлены на церемонии награждения. За первое место подарят MacBook, за второе — iPhone, за третье — Apple Watch. Благодаря партнерам премии, победители получат билеты на конференцию Offzone, фирменный мерч и сертификаты на обучение в CyberED.

Подавайте заявки на участие прямо сейчас, время ограничено. Каждый имеет шанс на победу! Поддержите новый проект, поделившись новостью с коллегами!

 

[bratva]

Господа, пентесторы! Подойдите к столу куратора, награждение состоится в 12-00 по московскому времени. Чифирь, пакет сухарей, блок сигарет, носки, трусы и спортивное трико - в подарочном комплекте для каждого участника Пентесторской Олимпиады! Не забывайте паспорта - для индентификации личности Победителя!

 

[INC.]

Ежегодная премия для этичных хакеров — Pentest award возвращается!

Раз в году у пентестеров появляется шанс громко заявить о своих достижениях и показать свой вклад в развитие российского ИБ-рынка. Pentest award объявили сбор заявок.

Премия для пентестеров проводится с целью отметить заслуги специалистов в области тестирования на проникновение, помочь им продемонстрировать свой опыт, насмотренность и талант, а также повысить уровень компетенций всех участников за счет обмена уникальным опытом.

Номинации и награды

В прошлом году участники показали высокий уровень профессионализма и забрали 12 наград. В этом — количество номинаций увеличилось до шести и награды получат 18 человек.

• Пробив WEB: за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений.

• Пробив инфраструктуры: за проникновение и эксплуатацию уязвимостей сетевой инфраструктуры, включая, но не ограничиваясь, сетевыми устройствами, сетевыми сервисами и IoT-устройствами.

• Девайс: за исследования технических недостатков, обнаруженных в разнообразных устройствах, прошивках и окружении.

• Hack the logic: за находку самых топовых логических баг.

• Раз bypass, два bypass: за самый красивый обход средств защиты информации.

• Ловись рыбка: за самый оригинальный фишинг или попытку засоциалить сотрудников.

Главный приз — стеклянная именная статуэтка за первое место, макбук, билеты на конференцию OFFZON и максимальный почет сообщества этичных хакеров. За вторые и третьи места призеры получат айфоны, смарт-часы, а также подарки от партнеров проекта: комплект мерча от BI.ZONE Bug Bounty, умная колонка, мерч и экскурсия от VK Bug Bounty. Церемония награждения будет проходить 2 августа в Москве.

Участие и оценки жюри

Участие бесплатное, необходимо только отправить заявку — это рассказ о лучшем проекте в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали могут быть скрыты, важно отразить сам подход и идею. Жюри премии обращают внимание на развернутое повествование, описание контекста и вводных, скрины и пруфы наличия уязвимостей, нестандартный подход и креативность, сложность эксплуатации, например, применение эксплойтов собственной разработки, длительный ресёрч и другие особенности.

Независимый совет жюри состоит из лучших практикующих оффенсив-безопасников топовых российских компаний. Проголосовав и посовещавшись, они представят шорт-лист номинантов в конце июля.

Состав жюри:

Илья Карпов — руководитель отдела исследований кибербезопасности и разработки сценариев киберучений в национальном киберполигоне. Зарегистрировал более 300 CVE, ТОП-5 BDU ФСТЭК. Сооснователь сообщества RUSCADASEC и группы исследователей SCADAXSECURITY.

Павел Топорков — независимы исследователь, багхантер, докладчик на международных конференциях, автор уязвимостей нулевого дня в продуктах SIEMENS, REDIS, OPENSTACK и других.

Вячеслав Касимов — CISO в МОСКОВСКОМ КРЕДИТНОМ БАНКЕ, одного из топ-10 входящих в системно-значимые. Уже 15 лет работает на позициях CISO в крупнейших банках России и НСПК. Имеет большой опыт построения практической информационной безопасности с нуля, проектирования комплексных систем информационной безопасности и антифрода. Является адептом риск-ориентированного подхода к построению информационной безопасности и использования в работе лучших мировых практик.

Михаил Сидорук — руководитель управления анализа защищенности BI.ZONE.

Дмитрий Морев — директор по информационной безопасности RuStore. Более 15 лет в ИБ. Основное направление AppSec и безопасность инфраструктуры.

Антон Лопаницын (bo0om) — исследователь информационной безопасности и отраслевой блогер. Победитель прошлогоднего Pentest award в номинации Hack the logic.

Роман Шемякин — Lead Application Security Engineer at Yandex.

Сергей Кузминов — руководитель отдела тестирования на проникновение и RedTeam в BI.ZONE

Вадим Шелест — руководитель группы анализа защищенности в Wildberries. Более 12 лет занимается проведением пентестов и Red/Purple Teaming проектов. Автор многочисленных статей тему практической ИБ, спикер международных конференций. Автор канала PurpleBear.

Павел Никитин — руководитель Red & Purple Team VK. Улучшает защищенность инфраструктуры VK. Более 10 лет в индустрии информационной безопасности, проверял на прочность системы ОПК, банков и различных коммерческих организаций.

Роман Панин — руководитель направления архитектуры ИБ в МТС и автор телеграм-канала «Пакет Безопасности»

Александр Герасимов — CISO и сооснователь Awillix, компании-организатора Pentest award.

Сбор заявок открыт до 23 июня 2024 года, больше информации на сайте проекта — https://award.awillix.ru/

 

[handersen]

Почему-то вспомнил сказку "Крабат, или Легенды старой мельницы" и Криса Касперски тоже

 

[Adamantis]

Запись через Госуслуги, бонусом - вручение повесток. в военкомат.

 

[INC.]

Прошел ежегодный Pentest award — лучших этичных хакеров России снова наградили премией и призами

Раз в году у пентестеров появляется шанс громко заявить о своих достижениях, показать свой вклад в развитие российского рынка ИБ и обменяться лучшими историями из практики на закрытой церемонии награждения Pentest award.

Для участия специалисты оставляют заявки с обезличенным рассказом о своем лучшем проекте, где больше всего проявили смекалку, профессионализм и креатив. Главный приз — тяжеленная стеклянная именная статуэтка за первое место. А также макбуки, айфоны, смарт-часы.

Еще благодаря партнерам премии, финалисты получили:

* Умные колонки и подарки от партнеров проекта VK Bug Bounty

* Билеты на конференцию OFFZONE

* Традиционные гранты на обучения любым курсам CyberED

Организаторы – компания Awillix, одна из лучших пентестерских компаний в РФ, которая специализируется на сложных и уникальных проектах по оценке рисков информационной безопасности, анализу защищенности информационных систем и ИТ-инфраструктуры. Создали этот проект, чтобы этичные хакеры смогли заявить о себе и получить признание отрасли, а также замотивироваться на развитие в атмосфере здоровой спортивной конкуренции.

Номинация «Пробив WEB»

Это номинация, в которой соревнуются за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений. Оценивается глубина анализа, сложность обнаруженных технических и логических уязвимостей. Особое внимание уделяется уникальным и ранее неизвестным уязвимостям.

В этом году номинацию курировал BI.ZONE Bug Bounty во главе с членом жюри Сергеем Кузминовым — руководителем направления тестирования на проникновение и RedTeam. Платформа BI.ZONE Bug Bounty известна более 6000 багхантеров, поэтому мы гордо презентуем вам такого мощного партнера проекта, который проследит за объективностью всех оценок работ этой категории.

Победители

1 место: автор с ником — shin0_by и кейсом «Multiple Take Over»

Bypass 2FA путем изменения GET параметра:переход страницу завершения регистрации, минуя ввод кода из СМС, с установкой нового логина и пароля. Изменение логина и пароля через перебор значения cookie. Для cookie, для захвата учетных записей всех пользователей потребуется перебор всех значений одной из cookie (~1.05 млн).

2 место: автор с ником — Tr3harder и кейсом «Cache Engine Deser»

RCE через получение доступа в панель администратора и установку уязвимого модуля. RCE через десериализацию в движке кеша одного из модуля CMS.

3 место: автор с ником — Danr0 и кейсом «Cache Engine Deserialization»

Создание нового пользователя в системе без проверки сессии, обход средств защиты и выполнение команд ОС на целевой системе. Создание пользовательских функций для MSSQL для выполнения команд ОС.

Рейтинг остальных финалистов

arkiix — 317

cucurucuq — 312

larch1k — 291

w0ltage — 291

rakel_stan — 283

A32s51 — 281

sos1somba — 278

Russian_OSlNT — 274

maledictos — 274

graph_sotskiy — 265

kiriknik — 245

sypso — 234

jmaaax — 234

AndrewYalta — 226

elvisalarn — 210

Bisch — 207

lewaper — 195

Byte_Wizard — 195

Максимальное количество баллов — 420

«Был очень сильный состав участников и мощные работы. Специалисты из множества компаний показали наиболее сложные, увлекательные и нетривиальные атаки. Было непросто выбрать лучшие работы: в каждом отчете можно было найти что-то новое. Премия доказывает, что сегодня у нас большое количество крутых специалистов, и с каждым годом эта цифра только растет» — Сергей Кузминов, руководитель направления тестирования на проникновение и RedTeam, BI.ZONE

Номинация «Пробив инфраструктуры»

Отдельная номинация этого года, за выдающиеся достижения в тестировании на проникновение и эксплуатации уязвимостей сетевой инфраструктуры, включая, но не ограничиваясь, сетевыми устройствами, сетевыми сервисами и IoT-устройствами. В фокусе — сложность и оригинальность подходов к обнаружению уязвимостей, приводящих к компрометации сетевой инфраструктуры с незначительным взаимодействием веб-компонентов.

Курирует номинацию VK Bug Bounty! VK одна из первых компаний в России начала платить внешним исследователям безопасности за найденные уязвимости. В 2024 году VK переосмыслили общепринятый в индустрии подход к выплатам, отказавшись от фиксированных максимальных сумм и внедрив механизм Bounty Pass. Помимо техники Apple, финалисты номинации от VK Bug Bounty получили комплект фирменного мерча VK Bug Bounty и колонку «Марусю».

Победители

1 место: автор с ником — Im10n и кейсом «FreeIPA»

Анализ инфраструктуры на базе FreeIPA. Извлечение соли для пользователя и перебор паролей с расшифровкой TGS. Это позволило восстановить пароль администратора домена и скомпрометировать инфраструктуру. Уязвимость была сообщена вендору и получила CVE-2024-3183.

2 место: автор с ником — Snovvcrash и кейсом «Pivot Point»

Petit Potam для получения NTLM хеша, DCSync атака и создание Golden Ticket. Получение доступа к серверу Kaspersky, с установкой Reverse Shell, Pivoting с помощью Chisel, извлечение мастер-пароля KeePass и получение доступа к панели Check Point для изменения правил Firewall

3 место: автор с ником — Secm3_n и кейсом «.NET Init»

Обнаруженное.NET-приложение позволило расшифровать учетные данные, получить доступ к БД и выполнить команды ОС. Последовательность атак привела к эскалации привилегий, извлечению учетных данных, выполнению атак Pass-the-Ticket и Shadow Credentials, и в конечном итоге к полной компрометации контроллера домена.

Рейтинг остальных финалистов

Tcr0ss — 281

aiWeevi — 267

dmitt22 — 266

AY_Serkov — 250

s0i37 — 248

ratel_xx — 246

r00t_owl — 245

killgoree — 244

exe_cute — 232

snovvcrash — 230

s0i37 — 226

Wdanya — 204

r00r_owl — 200

ka1_ne — 169

VlaDriev — 168

Максимальное количество баллов 420

«Для нас участие в премии Pentest Award – это еще одна возможность поддержать сообщество этичных хакеров, поощряя их стремление искать баги, делиться опытом и достижениями. Подобные мероприятия приносят дополнительную мотивацию и азарт. А пока мы ждем объявления о старте приема заявок на следующую премию, приглашаю всех попробовать свои силы в VK Bug Bounty – у нас много программ и уникальная механика Bounty pass, в которой нет лимита на максимальные вознаграждения». — Петр Уваров, руководитель направления VK Bug Bounty.

Номинация «Девайс»

За выдающиеся достижения в области анализа уязвимостей и исследования технических недостатков, обнаруженных в разнообразных устройствах, прошивках и окружении. Основное внимание уделяется устройствам, которые активно задействованы в ИТ-процессах организаций, включая, но не ограничиваясь, контроллерами, мобильными устройствами, банкоматами, камерами, МФУ и так далее.

Победители

1 место: автор с ником — N0um3n0n и кейсом «SMS Heap Overflow»

Исследователи выявили уязвимость переполнения кучи в модеме, позволяющую выполнить произвольный код путем отправки специально сформированных SMS. Воспользовавшись этой уязвимостью, они получили возможность чтения и записи памяти модема, исполнили произвольный код и установили приложение, обеспечивающее полный контроль над устройством.

2 место: автор с ником —VlaDriev и кейсом «Davinci»

Автор обнаружил уязвимую камеру Hikvision, установив точку доступа с ESSID "davinci" для подключения через CVE-2017-14953. Используя CVE-2021-36260, он получил SSH доступ с привилегиями. Проксируя трафик через камеру, злоумышленник просканировал сеть и получил доступ к контроллеру домена Active Directory.

3 место: автор с ником — Ka1_ne и кейсом «Printer»

Анонимный доступ к сетевому хранилищу с RCE (CVE-2019-16057). Настройка прокси-сервера с помощью GOST для дальнейшего анализа сети. Хеш доменной учетной записи перехвачен через принтер и взломан, что позволило собрать информацию о домене. Воспользовавшись уязвимостями в шаблонах сертификатов, автор получил сертификат и извлек NTLM хеш, что дало ему права администратора домена.

Рейтинг остальных финалистов

r00t_owl — 220

doe546052 — 212

drKeksik — 201

Byte_Wizard — 105

Byte_Wizard — 71

Максимальное количество баллов 420

Номинация «Hack the logic»

За находку самых топовых логических баг.

Победители

1 место: автор с ником — only4u2day и кейсом «From Bot to Admin»

Автор использовал возможность создания ботов в ПО на без Mattermost, манипулируя параметром bot-roles-fiel для повышения привилегий до уровня администратора.

Затем бот был преобразован в пользователя с админскими правами, что обеспечило полный доступ к административной панели.

2 место: автор с ником — Arkiix и кейсом «Take Over»

Автор использовал уязвимость с чувствительностью к регистру в email, чтобы обойти проверку и выполнить захват учетных записей через подмену JWT токенов. После устранения уязвимости, была найдена новая уязвимость с использованием управляющего символа Unicode и механизма обновления токенов, что позволило снова выполнить захват учетных записей.

3 место: автор с ником — Guleroman и кейсом «RCE bot»

Исследователь обнаружил уязвимость в Telegram-боте сервиса онлайн-образования, позволяющую внедрить команду через некорректную обработку ссылок в сообщении. Потенциальная SSRF? — Нет, это RCE!

Рейтинг остальных финалистов

m2ch3t3 — 275

r0binak — 265

WILD_41 — 262

elvisalarn — 241

telegadlyasvyazi2 — 238

dmarushkin — 235

AndrewYalta — 222

curiv — 218

damnwaree — 214

shdwpwn — 211

sos1somba — 208

Engineer586898 — 207

curiv — 201

lewaper — 198

AndrewYalta — 197

w00t1 — 196

graph_sotskiy — 186

jmaaax — 182

brotherok — 178

Byte_Wizard — 61

Максимальное количество баллов 420

Номинация «Раз bypass, два bypass»

За самый красивый обход средств защиты информации.

Победители

1 место: автор с ником — snovvcrash и кейсом «SafetyNDump»

Автор использовал TokenDuplicator для получения привилегий SYSTEM, затем применил NanoDump и обход AV для создания дампа процесса LSASS с повышенными привилегиями. Дамп был проанализирован с помощью MiniDump для извлечения секретных данных, таких как учетные данные и ключи, из памяти процесса.

2 место: автор с ником — Maledictos и кейсом «Hollowing»

Использовал уязвимость в веб-приложении для выполнения команд ОС, а для обхода AV - shell-код с применением техники process hollowing. Затем установил соединение Meterpreter, повысил привилегии и мог спокойно реализовывать атаки на внутренние ресурсы.

3 место: автор с ником — Human1231 и кейсом «BYOVD»

Автор использовал уязвимый драйвер PDFWKRNL.sys для выполнения чтения и записи памяти через IOCTL запросы, обходя защиту Driver Signature Enforcement (DSE) ядра Windows 11. Это позволило загрузить и установить Banshee в ядро операционной системы, предоставляя полный контроль над системой.

Рейтинг остальных финалистов

vanja_b — 297

s0i37 — 282

X0red — 279

Danr0 — 247

shin0_by — 221

curiv — 202

Максимальное количество баллов — 420

Номинация «Ловись рыбка»

За самый оригинальный фишинг или попытку засоциалить сотрудников. Оценивается всё: нагрузка, текст фишинга, использование нестандартных инструментов.

Победители

1 место: автор с ником — X0red и кейсом «Advanced Rogue RDP»

Автор использовал технику Rogue RDP, отправив фишинговое письмо с RDP-файлом, который автоматически подключался к внешнему серверу и создавал прокси-туннель.
Это позволило провести сканирование внутренней сети, выявить уязвимые сервисы, получить учетные данные и скомпрометировать инфраструктуру.

2 место: автор с ником — Szybnev и кейсом «Real SEngineering»

Команда участников квеста по социальной инженерии использовала поддельные бейджи, чтобы получить доступ к различным зонам фестиваля, включая склад, штаб организаторов и магазин мерча. Они успешно выполнили большинство заданий, но при попытке получить доступ к дикторской рубке были задержаны, что вызвало вмешательство охраны и сотрудников органов.

3 место: автор с ником — S3n_q и кейсом «VISHING»

Автор собрал открытую информацию о сотрудниках компании и отправил фишинговое письмо с неоткрывающимся файлом. Затем, позвонив от имени системного администратора, убедил рекрутера, что компьютер заражен, и узнал пароль, предложив сменить его с добавлением символа в конце.

Рейтинг остальных финалистов

post_gatto — 297

fromkhabar — 256

P1N_C0DE — 186

Максимальное количество баллов — 420

Резюме

Победители во всех номинациях показали по-настоящему уникальные примеры незаурядных и профессиональных решений. Жюри отмечает, что в этом году конкуренция ужесточилась, так как качество работ значительно выросло. Всем финалистам выражается почет и уважение!

Организаторы Awillix счастливы, что Pentest award выполняет свое предназначение — развитие сообщества пентестеров в России и с нетерпением ждут новой встречи в следующем году <3

P.S.

Подробную информацию о жюри проекта, критериях оценки работ, партнерах проекта, требованиях к заявке на участие и архиву прошлогодних победителей можно получить на официальном сайте — https://award.awillix.ru/awards

Увидеть кейсы победителей в подробностях можно будет в осеннем спецвыпуске журнала Хакер.

Запись трансляции церемонии:

Прошлогодние кейсы победителей: https://xakep.ru/issues/xa/294/

• Source: https://habr.com/ru/news/834332/

 

[bratva]

Я в шоке конечно, кому ФСТЭК дает лицензии: https://www.crunchbase.com/organization/awillix

 

[waahoo]

С разворотом паспорта надо было фоткаться, чтоб ваще норм было.
Хотя нет, простите, загрубил, анонимность на уровне:

Спойлер

 

[StarLink]

Господа, пентесторы! Подойдите к столу куратора, награждение состоится в 12-00 по московскому времени. Чифирь, пакет сухарей, блок сигарет, носки, трусы и спортивное трико - в подарочном комплекте для каждого участника Пентесторской Олимпиады! Не забывайте паспорта - для индентификации личности Победителя!

Регистрация участников через гос. услуги)