Третьего августа прошла первая в России премия для этичных хакеров Pentest Awards 2023.

По словам организаторов мероприятия Awillix, пентест – самое творческое направление в сфере информационной безопасности, именно поэтому у направления должна быть своя премия.

Главными задачами проекта стали вопросы популяризации профессии и имиджа белых хакеров – привлечение внимания ИТ-комьюнити к талантливым специалистам, которые умеют находить нетривиальные решения и подключать творчество в самых неожиданных ситуациях.

Не менее важно было замотивировать белых хакеров, поднять боевой дух и показать, что представители рынка заинтересованы и высоко оценивают их навыки, а также создать атмосферу здоровой, спортивной соревновательности.

Егор Богомолов

CEO CyberEd & Singleton Security

Суть премии в демонстрации незаурядных компетенций специалистов, которые сталкиваются с различными кейсами в профессиональной деятельности и просто в жизни – во всем, что касается этичной стороны хакинга. В сфере этичного хакинга, пентеста и кибербезопасности в целом нет насмотренности на то, что является по-настоящему крутым и незаурядным уровнем в профессии. Много специалистов делают рядовую работу, думаю, что это пик их деятельности. Премия может повысить их планку и дать понимание того, куда можно расти и, что такое незаурядный хакер.

Для того чтобы попасть в число участников Pentest Awards 2023 было достаточно прислать организаторам обезличенный рассказ о своем самом крутом проекте, в котором пентестер наилучшим образом проявил смекалку, профессионализм и креатив.

Всего дебютная Pentest Awards представила 4 номинации:

• Пробив. За самый интересный пробив внешней инфраструктуры компании с помощью технических и логических уязвимостей. Приоритет — у разработки собственных эксплойтов без использования социотехнических методов;
• **ck the logic. За находку самых топовых логических багов;
• Раз bypass, два bypass. За самый красивый обход средств защиты информации;
• Ловись рыбка. За самый оригинальный фишинг или попытку засоциалить сотрудников. Оценивается всё: нагрузка, текст фишинга, использование нестандартных инструментов.

Александр Герасимов

Директор по информационной безопасности Awillix

Есть различные конференции, системы баг-баунти, где поощряют ИБ-специалистов. Но, чтобы про них рассказали и показали на всю страну о том, что они самые лучшие в своей теме, нет. Поэтому мы решили сделать свой вклад в комьюнити.

Главными критериями при отборе победителей стали полнота описания, сложность эксплуатации, нестандартный подход и креативность авторов, а также вау-эффект – то насколько непредсказуемым оказался способ решения задачи. Заявки принимались обезличено – достаточно было ника в Telegram.

Победители

В номинации «Пробив» победил @byqwert с кейсом «Как за неделю превратить Open redirect в RCE».

В номинации «Раз bypass, два bypass» победил @snovvcrash с кейсом «От DLL Proxying до загрузки вредоносного SSP».



В номинации «**ck the logic» победу одержал @i_bo0om представив кейс «абьюз работы токенов на основе временных меток».



В номинации «Ловись рыбка» первое место забрал @dmarushkin с работой «Социалка с ChatGPT»



По словам организаторов, в этот раз, так как он первый, конкуренция была не большой, но она была. Всего участники подали более сотни заявок, из них 44 попали в шорт-лист. Победители во всех номинациях показали по-настоящему уникальные примеры профессиональных решений.