Если вам до 25 и у вас есть наработки/ресёрчи в практической безопасности, то тут есть приятная возможность поделиться всем этим с комьюнити на крутом ивенте от Positive Technologies! 🚀

15–16 ноября в рамках соревнования The Standoff будет организован трек докладов от начинающих специалистов Young Hats. Те, чьи доклады возьмут, получат инвайт на PHDays 2022 и призы от организаторов.

❗️ Если хотите поучаствовать, нужно прислать на конкурс до 5 ноября запись доклада длительностью до 40 минут. Тема — по сути любое направление практической ИБ. Подробнее про критерии отбора — the-standoff.notion.site/94441c52e45546808f2bbed5099547b2

Нам очень нравится эта инициатива, при этом мы понимаем, что за такой короткий срок сложно успеть и тему проработать, и качественно записать доклад, поэтому предлагаем помощь питерскому комьюнити в записи! 🤘

План такой
1️⃣ Как только вы определились с темой и начинкой доклада, заполняйте форму → forms.gle/7FZwwcEnZ4Z9GUsv6

2️⃣ После этого один из спбцтфных наставников с вами свяжется для обсуждения деталей доклада и более глубокой проработки, если нужно.

3️⃣ Вы готовите всё необходимое: доклад, презу и практическую часть при наличии.

4️⃣ В назначенный день мы собираем всех желающих записать доклад (вероятно, это 30–31 октября) и проводим камерную сходку с узким кругом слушателей. Записываем, затем монтируем, и к 5 ноября вы на коне :)

P.S.: Если вдруг ваш доклад не возьмут в Young Hats, опубликуем его на нашем ютубе 😉

— vk.com/wall-114366489_2118 —

До финала Student CTF остаётся 3 дня, а мы вам ещё не рассказали о призах для победителей каждой лиги! 😱
Но сначала организационная информация.

Топ-10 команд в студенческом зачёте и топ-10 команд свободной лиги в финале сразятся в атак-дефенсном бою. Старт в 12:00 по мск, финиш в 21:00 — 9 часов. Каждая команда получит одинаковый сервер (вулнбокс), на котором хостятся уязвимые сервисы. Чтобы выиграть, нужно атаковать соперников через уязвимости сервисов, и патчиться самим, чтоб вас не заломали.

В течение игры мы будем вести стрим на ютубе, где будут разборы тасков с отборочного тура и ежечасное включение @mrvos с анонсом успехов команд. Подключайтесь поддержать команды 👉 youtu.be/4HFAzBunGlo

У финалистов есть возможность собраться на нашей площадке — м. Петроградская, Песочная наб. 14, ауд. 308–311. Это не обязательно, но если вам так будет комфортнее — welcome 🤗

Теперь призы! Призы команды выбирают по очереди, первое место первыми.

🎁 Спонсор студенческого трека — Университет ИТМО. Победители выбирают 5 любых штук из оставшихся:

5× Flipper Zero
5× AirPods Pro
iFixit Pro Tech Toolkit
Внешний SSD на 1 ТБ ADATA SE760
Яндекс.Станция Макс
Raspberry Pi 4 8GB
Часы LaMetric TIME

🎁 Спонсор открытого трека — SPbCTF Бюро. Топ-3 выбирают по очереди один из наборов лицензий и подписок:

Red Pack: Burp Suite Professional 1 year, HackTheBox Gift Card 100 GBP, di.fm 2 years, Cerbero Suite 5 Advanced, 010 Editor, Total Commander, MobaXterm Professional Edition

Green Pack: Binary Ninja, PentesterAcademy 1 year, Mullvad VPN 1 year, Hopper Disassembler, Parallels Desktop Pro Edition, TechSmith Snagit

Blue Pack: Dehashed.com 12 Months, Discord Nitro, TryHackMe 1 year, VMware Workstation Pro, Spotify 1 year, Shodan membership (100 queries/mo lifetime)

— vk.com/wall-114366489_2120 —

🎩 А вот и доклады наших ребят на Young Hats!

Илья Ковалёв — Kubernetes Role Based Access Control. Илья рассказал про конфигурацию доступа в кластерах кубернетеса и её особенности, которые позволяют эксплуатировать плохую настройку.

Дмитрий Молокович — Short story of AV & EDR bypass. Дима собрал 40-минутный обзор способов обхода обнаружения антивирусным и эндпоинт-софтом при пентестах.

Евгений Черевацкий — SSL pinning и способы его обхода в приложениях на Android. Женя продемонстрировал способы обойти SSL-пиннинг на примере двух Android-приложений, для изучения трафика между аппкой и её сервером.

📜 Все 14 докладов молодых ресёрчеров — standoff365.com/the-standoff-nov-21/young-hats/

Желаем нашим удачи на голосовании за лучшие доклады — голосуйте в @the_young_hats_bot за те, которые вам понравились

— vk.com/wall-114366489_2122

🎄 На улице спавнятся украшенные ёлки, дед Моыж ожидает новых спикеров — мы запускаем CFP на новогоднюю сходку!

По традиции, 26 декабря сделаем новогодний митап с докладами, воркшопами и фаном. Если вы хотите рассказать что-то интересное или полезное из практической безопасности — подавайте заявку 👉 forms.gle/WaQw3AB8Zh3gUD2a7

А если рассказать хотите, но тему не придумали — поможем выбрать и докрутить, тоже вписывайтесь в форму. Заявки принимаем до 19 декабря.

📍 Какие доклады мы принимаем
— длительностью от 15 минут до 1,5 часов для воркшопа с практикой
— на ИБшные/околоИБшные темы, технические. Точный критерий — интерес или польза: если вы знаете, какой навык слушатели обретут, или что поможет им эффективнее решать какую-то задачу в будущем — вам точно к нам :)
— на площадке в Питере

P.S.: А в комментариях доклады с прошлой новогодней сходки👇

⚡️ Анонсы спбцтфа самые своевременные на Диком северо-Западе

Через два часа закончится регистрация на олимпиаду Я — Профессионал → yandex.ru/profi/

В этом году часть заданий отборочного этапа направления «Информационная и кибербезопасность» разработал SPbCTF. Если учитесь в вузе, поучаствуйте. Победители среди бакалавров без экзаменов могут поступить в любую магистратуру страны по выигранному направлению. Для магистров аналогично, только с аспирантурой. Ещё и денежные призы есть.

📍 Отборочный тур пройдёт онлайн. Задания можно будет сделать в любой момент с 00:00 16 декабря по 23:59 20 декабря. На всё даётся 4 часа без перерывов.

В феврале-марте будет финал, но об этом в следующих молниеносных новостях. Успевайте зарегаться :)

Отобрали доклады на новогоднюю сходку! 💪
В этот раз было много желающих с клёвыми идеями. Спасибо, вы огонь!

Итак, в воскресенье нас ждёт финальная сходка сезона. В программе:
− как сделать псевдомалварь на цтфку, чтобы к вам не пришли
− радиоканалы и SDR
− как найти стажировку/работу в ИБ студенту
− ревёрс одного обфускатора сетевого траффика
− распаковка PE файлов
− обеспечение безопасности веб-приложений на питоне
− разработка на Flipper Zero
− использование статических анализаторов кода
− пывн модифицированных протоколов майнкрафта

❗️Чтобы прийти, зарегистрируйтесь → forms.gle/o7ZEDkapp2kYfHee9
Регистрация открыта до четверга 23:59 по мск. В пятницу опубликуем расписание.

Приходите сами, зовите друзей! 🎉

— vk.com/wall-114366489_2126 —

❄️ Расписание докладов новогодней сходки ❄️

🔹 14:00 Саша Карпов — Обеспечение безопасности веб-приложений и сайтов на питоне
🔹 14:40 Станислав Раковский — Звуки колонии строгого режима: как правильно писать псевдомалварь для соревнования
🔹 15:10 Григорий Люллин — Использование статических анализаторов кода в Application Security

16:00 Перерыв 🍕

🔹 16:40 Астра Пи — Разработка под Flipper Zero
🔹 17:20 Михаил Клименко — Как студенту найти стажировку или работу в ИБ
🔹 17:50 Артур Ханов — Ревёрс одного обфускатора сетевого трафика
🔹 18:30 Егор Коледа — Мой опыт выявления и эксплуатации уязвимостей в игровом протоколе Minecraft с модификациями

19:10 Беседы о насущном 🤔

❗️У нас случились внезапные отмены, поэтому есть возможность сделать открытый микрофон — если хотите что-то рассказать, напишите @ksvark

Подходите в воскресенье к 13:37, с собой возьмите паспорт.
Место: Университет ИТМО, Песочная набережная 14, аудитория 308. Вход на Яндекс.Картах указан правильно — yandex.ru/maps/-/CCUIAVcSkD

🎅 C Новым годом!

Гадкий ковид и ограничения никого не щадят, поэтому в первую очередь желаю всем восстановить силы и отдохнуть без задних лап 🦔

Как отдохнёте, 2022 год вас ждёт! Прокачивайтесь во всём, до чего сможете дотянуться, вкладывайте силы в практику и скиллы, рискуйте и ошибайтесь, начинайте заново и дожимайте — чтобы быть востребованными, уверенными и не привязанными к месту. Не забрасывайте английский, и обновите или создайте профиль на LinkedIn ;)

Желаю всем смелых решений, разнообразных возможностей, драйва на пути к целям и офигенных людей рядом — вы всегда их сможете найти на сходках спбцтфа 💫

С новогодним теплом, Ксюша 🔮
(а в vk.com/wall-114366489_2141 — фотка с Ыжом)

🚀 Яндекс впервые делает открытый CTF. Старт 12 февраля

Приглашаем всех желающих на Yet Another CTF 2022 — соревнование по безопасности от Яндекса и SPbCTF. Это индивидуальная цтфка, по правилам Jeopardy, в один онлайн-этап. Призы для топ-40 участников. Регистрация 👉 yactf.ru/

yactf.ru/

YaCTF 2022 стартует в субботу 12 февраля в 13:00 по Москве и продлится 24 часа.

Вас ждут таски от безопасников Яндекса на весь спектр категорий: ревёрс, веб, форенсику, криптографию, пывн. Участвовать можно всем, независимо от скилла, статуса и местоположения. Без команд.

🏆 Победители получат:
1 место — 150 000 ₽
2 место — 100 000 ₽
3 место — 50 000 ₽
4–10 место — купон Яндекс.Облака на 10 000 ₽
11–20 место — купон Яндекс.Маркета на 5 000 ₽
21–30 место — купон Яндекс.Маркета на 3 000 ₽
31–40 место — годовая подписка Яндекс.Плюс

Регистрация: yactf.ru/
Объявления и связь с оргами: @yactf

— vk.com/wall-114366489_2145