Ever Secure

Открыта регистрация на нашу 5-ю конференцию Дефкон Нижний Новгород. Напоминаем, что она пройдет 24-25 февраля 2024 года во втором корпусе ННГУ по адресу Нижний Новгород, проспект Гагарина, 23к2. Краткая программа представлена ниже, подробнее можно прочитать на сайте https://defcon-nn.ru. 24 февраля, суббота Главная сцена 09:30 Прибытие участников 10:20 Открытие конференции // Приветственное слово от DC7831 // блок keynotes 10:40 Как работает квантовый компьютер и причём тут Ибэ // Константин Евдокимов, [MIS]Team, Москва 11:20 (Не)безопасная безопасность // Алексей Федулаев, DevSecOps Team Lead в Wildberries, Москва 12:20 Секретный доклад // Борис "dukeBarman", Яндекс, Санкт-Петербург 13:00 Концепт сети Florete: летающий Интернет будущего // Wire Snark, DC7831, НПП "Прима", Нижний Новгород // блок hardware & tinkering 14:40 СВЧ-антенны в авиационных системах высокоскоростной передачи данных // Даниил Литовский, инженер, и Марина Манахова, ведущий инженер в НПП «Прима», Нижний Новгород 15:00 Sub-GHz дельфина: большой обзор модулей и антенн // Роман Ананьев и Антон Дурнов, DC78422, Ульяновск (при содействии FlipperAddons.com) 15:40 RutheniumOS. Забота о себе, или зачем нужна ещё одна приватная ОС на базе AOSP // Александр Вир, независимый исследователь, Москва // блок intelligence 16:40 Как и зачем знать свой внешний периметр наравне с хакерами? // Илья Коцюба, исследователь/red team/purple team, threat intelligence 17:20 За границей osint // Скалли, независимый исследователь 18:00 Подведение итогов первого дня 19:00 Afteparty Аудитория 310: воркшопы // блок security & tinkering 11:00 Воркшоп по Air gap // Алиса, независимый исследователь, Москва // блок security 14:40 Как сделать контейнеры и работу с ними безопасными // Анатолий "rusdacent", Luntry, Санкт-Петербург 17:20 Актуальные вопросы и проблемы ИБ (закрытый круглый стол) // Константин Евдокимов, [MIS]Team, Москва и Илья Коцюба, исследователь/red team/purple team, threat intelligence Аудитория 314: CTF Стенд WifiWall-TestZone // Сергей Иващенко, Виктор Зварыкин и Евгений Артемьев, пентестеры в компании Инфосистемы Джет, Москва 25 февраля, воскресенье Главная сцена 10:20 Прибытие участников // блок software 11:00 Опыт разработки оркестратора микросервисов для встроенных систем forc // Денис Королёв, инженер-программист в YADRO, Нижний Новгород и Николай Фадеев, инженер-программист в НПП "Прима", Нижний Новгород 11:20 Никто не боится D-Bus // Альберто Мардеган, ведущий разработчик в компании "Открытая мобильная платформа", Санкт-Петербург 12:00 Опыт разработки библиотеки представления и кодирования структурированных данных libucode // Вячеслав Капля, инженер-программист в НПП "Прима", Нижний Новгород // блок security 12:40 Уязвимые API: приёмы и эксплуатация // Павел Степанов, независимый исследователь, Тула 14:20 Развитие фриланса в ИБ: вклад Bug Bounty платформ // Алексей Гришин, CPO CICADA8 команды инноваций МТС, Москва и Андрей Левкин, руководитель продукта BI.ZONE Bug Bounty, Москва // блок management 15:00 Вредные советы для руководителя, или Как завалить любой ИТ-проект // Егор Харченко, Лаборатория Касперского 15:40 Как масштабировать команду без тимлидов: опыт плоской организации в миниатюре // Wire Snark, DC7831, НПП "Прима", Нижний Новгород 16:00 Закрытие конференции Аудитория 310: CTF Стенд WifiWall-TestZone // Сергей Иващенко, Виктор Зварыкин и Евгений Артемьев, пентестеры в компании Инфосистемы Джет, Москва

делюсь с вами кратким гайдом 🤝

Мы активно продолжаем снимать интервью с компаниями-партнёрами МТУСИ. Сегодня наш выпуск посвящён компании Wildberries. Скорее смотри выпуск и не забудь ставить❤️ 📨Для прохождения стажировки в Wildberries, оставь контакты.

Устал от пайплайнов на работе, приду домой, отдохну, посмотрю аниме. тем временем аниме:

С Алексеем Федулаевым и Александром Хамитовым поговорим о безопасности CICD в условиях компрометации. ⠀ CICD системы — сердце любого современного проекта, он берет на себя роль и хранения, и сборки, и доставки. Трудно представить масштабный проект без Gitlab или Github под капотом. Однако это создает огромную точку отказа в системе. Давайте представим, что злоумышленник каким-либо образом скомпрометировал Gitlab? Что будет в таком случае и возможно ли как-то защититься от этого? ⠀ Встречаемся 4 и 5 марта в Москве на DevOpsConf 2024 🖐 ⠀ ✅ Программа конференции, предварительное расписание и билеты на сайте в описании канала @DevOpsConfChannel

PoC на свежие уязвимости Gitlab, ранее GitLab выпустила обновления безопасности для устранения двух критических уязвимостей в платформе. Самое время обновиться. This repository presents a proof-of-concept of CVE-2023-7028 https://github.com/Vozec/CVE-2023-7028 Gitlab CVE-2023-7028: Account Takeover via Password Reset without user interactions https://github.com/RandomRobbieBF/CVE-2023-7028 Уязвимость (CVE-2023-7028), которой присвоен максимальный уровень опасности (10 из 10), позволяет захватить чужую учётную запись через манипуляции с формой восстановления забытого пароля. Уязвимость вызвана возможностью отправки письма с кодом для сброса пароля на неподтверждённые email-адреса. Проблема проявляется начиная с выпуска GitLab 16.1.0, в котором появилась возможность отправки кода восстановления пароля на неверифицированный запасной email-адрес. Уязвимость CVE-2023-5356 присутствует в коде для интеграции с сервисами Slack и Mattermost, и позволяет выполнить /-команды под другим пользователем из-за отсутствия должной проверки авторизации. Проблеме присвоен уровень опасности 9.6 из 10.

умные мысли посещали его)

Совсем забыл выложить запись урока по побегам из контейнеров Исправляюсь

Всем привет! 👋 праздники уже прошли, а значит пришло время исполнять обещания себе стать лучше 🫵 в связи с этим, напоминаю: Я вместе с другими классными ребятами в Программном комитете новой конференции SafeCode 2024. Она впервые пройдет 13 и 14 марта онлайн. Будем обсуждать всё, что касается безопасности приложений: как теорию, так и практику. Сейчас мы формируем программу и ищем спикеров. Последний день подачи заявки — 18 января. 👉Выбирайте тему из списка на сайте SafeCode или предлагайте свои идеи. 👉Подавайте заявку на сайте SafeCode. Мы обязательно ее рассмотрим и в течение нескольких дней свяжемся с вами, чтобы обсудить все подробности. Мы с командой поддержим вас на всех этапах подготовки 🤝. Кстати, выступить можно в любом формате: с классическим докладом или воркшопом, провести дискуссию или придумать что-то свое 💅 Можно обращаться по всем вопросам, я свяжу с программным координатором 💪

Йоу! Выпуск с Хайлоада! Сейчас узнаете все про Wildberries: как безопасники справляются с хайлоад нагрузками на сервера, грязной игрой между продавцами и самой большой уязвимостью в системе. Это супер звездочки конференций, послушать доклады которых, съезжаются светлые умы айтишки: Алексей Федулаев и Антон Жаболенко — отвечают за IT-безопасность самого популярного маркетплейса в России Wildberries. Туда заходят 20 млн посетителей и оформляют 4,5 млн заказов каждый день по всей России и даже зарубежом. Смотри подкаст перед тем, как добавить новую банковскую карту в личный кабинет любого маркетплейса👇 📹Смотреть на Youtube https://youtu.be/msJeAr-yTGs Ⓜ️Слушать на mave https://kotelov.mave.digital/ep-51

С наступающим Новым Годом Дракона🎄🎄🎄, дорогие подписчики. Год был крутым, спасибо вам за поддержку! Следующий будет круче и в плане контента тоже 💪 Ставь лайк, если тоже любишь Mortal Kombat 😏

а еще наш доклад принят в программу DevOps Conf 2024

Наш доклад попал в топ 6 докладов HighLoad++ 💪

Погнали ломать контейнеры! мой открытый урок сейчас найчнется по ссылке https://edu.livedigital.space/room/i7kmvYZQLR

Сегодня что-то было интересное... 🤔 но пока это маленький секрет 🤫) все подробности будут потом

новый выпуск SafeCode Live с моим участием уже на: — YouTube — Apple Podcasts — Яндекс Музыке — ВКонтакте

В понедельник 18.12 будем опять ломать 🔨 На этот раз Docker 🐳 Буду ждать на открытом уроке https://otus.ru/lessons/devsecops/#event-3671

Вчера записали что-то интересное для вас! ждите новостей 😎