По ряду просьб добавил к каналу чат, в котором можно опровергнуть или подтвердить мои или чужие утверждения (а интуиционисты могут не подтверждать и не опровергать): https://news.1rj.ru/str/masterbeched_chat

// Мне казалось, телеграм после этого должен добавлять к постам кнопку Discuss/Comment, но видимо для этого нужно подключить бота.

По мотивам рабочей недели привожу свой рейтинг качества недавно использованных мной программных продуктов гигантов глобальной или локальной IT-индустрии:

1) Яндекс.Директ — приемлемо
2) Google Adwords — приемлемо
3) Яндекс.Метрика — удовлетворительно
4) Google Analytics — удовлетворительно
5) Twitter ads — омерзительно
6) Paypal for Business — омерзительно
7) Facebook ads — омерзительно

Шесть из них — рекламные площадки и системы аналитики.
Есть ощущение, что в команды разработки рекламных площадок в принципе не нанимают QA-инженеров, это просто ужасные по качеству продукты. Они медленные, они не интуитивные, у них неактуальная или вводящая в заблуждение документация, у них баги во фронте, баги в серверной части, баги в интеграциях.
Причём самое удивительное, что ведь это кровь бизнеса, это именно то, что приносит деньги тому же Фейсбуку, но даже эта функциональность сайта нормально не работает (не говоря уже о таких маловажных вещах как посты, комментарии и т. д.).

Знаю, что сложно разрабатывать большие продукты, и эта сложность не очевидна извне. Например, над приложением Сбербанк Онлайн трудится ~70 команд, сотни людей!
Несмотря на это теоретическое знание о сложности менеджмента больших команд, я отказываюсь верить, что это действительно необходимо, и что это единственно правильный путь.

Видя такое низкое качество флагманских продуктов компаний с выручкой десятки миллиардов долларов в год, перестаёшь удивляться тому факту, что этим же компаниям регулярно приходится выплачивать исследователям десятки тысяч долларов за обнаруженные уязвимости в рамках программ Bug Bounty.

Было бы прикольно, если бы можно было репортить не только security issues, но и простые баги (которых я в роли обычного юзера нашёл десяток при самых обычных действиях).
Ведь едва ли какое-нибудь исполнение произвольного кода на какой-нибудь изолированной ноде второстепенного приложения ФБ принесёт столько же ущерба, как неправильный подсчёт статистики или неработающая кнопка при создании рекламной кампании.

Всё это лишняя почва для размышлений об оценке рисков и роли репутации, приоритизации бизнес-функций, а также об инертности человеческих коллективов и мизерности вклада отдельного сотрудника в общий успех корпораций.

При этом, конечно, на текущий момент это всё даёт нам, хакерам, лишнюю возможность заработать, эксплуатируя неэффективность процессов разработки в зажравшихся выручкой (или инвестициями, как Твиттер) компаниях 😉

Застримил вчера в твитче лекцию про инъекции студентам (МИРЭА).
Сначала звук шипел, затем после лекции только заметил, что стримил только часть экрана, и студенты почему-то это посчитали нормой :D

Чувствую себя старпёром! Ведь в тренде уже стримить в VR и в майнкрафте, а я только добрался до твитча.
Вообще, давно думал постримить процесс поиска уязвимостей в каком-нибудь софте (не супер сложном, чтоб за время стрима получить хоть какие-то результаты), но тогда возникнет этическая проблема с раскрытием обнаруженных недостатков.
Так что скорее придётся стримить решение CTF-задач.

Зачем? Да потому что весело, есть коллективный разум, при этом под давлением хакать сложнее, да ещё нужно не палить переписки и рабочие файлы, пока что-то ищешь, так что это full distraction free mode с закрытием лишних окон и погружением в процесс.

Вообще, в карантин становлюсь блогером (хотя это частично совпадение): завтра буду давать интервью, а послезавтра — участвовать в подкасте.

Через полчаса планируем стримить про приватность и мессенджеры в подкасте Noise Security Bit.
Присоединиться: https://www.youtube.com/watch?v=WTHaqFyV2tM

Пришлось перегенерить ссылку на стрим, он теперь здесь:
https://www.youtube.com/watch?v=QMSBZlt1UzQ

Тем временем, продолжаю гастроли по блогам: сейчас идёт наш стрим про ML в ИБ в шоу "ИБшник на удалёнке" от ПТ:
https://www.youtube.com/watch?v=julmHD55cV4

Ха, и это ещё не всё.

Завтра утром выступаю с вебинаром про управление качеством анализа защищённости на конференции по менеджменту безопасности Код ИБ Профи, в этом году она разумеется уехала в онлайн.

В прошлом году сходил на неё для разнообразия (не только ведь по хакерским конфам гонять) и даже купил билет! Кажется, впервые я покупал билет на конференцию :D

Касательно тематики вебинара: рынок аудита безопасности и особенно пентестов весьма фрагментирован, и в нём всегда не хватало экспертизы. Пентестерам следует делать рынок лучше, в том числе задавая неудобные вопросы самим себе и коллегам 😉

Ночное бдение с числами.

Посчитал рынок пентестов России несколькими способами, часть которых раскрывать не могу, а часть легко проверяема.

Способ 1
Гуглим "global information security market size" и получаем оценку $116.5 млрд.
Далее гуглим "global penetration testing market size" и получаем оценку $920 млн.
Итого, в 2018 году приблизительная доля глобального рынка пентестов в рынке ИБ составляла 0.79%.

Далее аналогично гуглим "размер рынка ИБ России" и получаем оценку 79.5 млрд руб.
Из любопытства переведём в доллары, среднегодовой курс доллара в 2018 составлял 62.6906 руб, так что рынок ИБ РФ составил $1.268 млрд, что есть ~1.09% от мирового (sic!).

При этом приняв ту же пропорцию с рынком пентестов, как и в глобальном случае, получаем, что размер рынка в РФ в 2018 составил около 627 млн руб или $10.01 млн.
Если взять глобальный прогноз CAGR рынка пентестов из нескольких консервативных источников и усреднить, это что-то порядка 15%.
В таком случае в 2019 году размер рынка пентестов РФ составил порядка 721 млн руб или $11.16 млн по среднему курсу доллара за 2019.

Способ 2
Пишем скрипт, который парсит из каталога госзакупок тендеры по ключевым словам, подбираем ключевые слова типа "тестирование на проникновение" или "оценка защищённости", отфильтровываем лишнее.
Без особого копания получилось найти тендеров примерно на 300 млн руб за 2019.
Доля госзакупок в рынке ИБ России, судя по прошлым исследованиям, составляет приблизительно 70%.
Таким образом, исходя из такой пропорции, рынок пентестов в 2019 составил около 429 млн руб или $6.64 млн.

Оценка получилась явно заниженной, потому что я точно нашёл не все открытые тендеры, а ещё есть закрытые, и есть комплексные работы или же просто непонятные формулировки. При этом доля госзакупок на самом деле может превышать и 80%, особенно в 2018.

Способ 3
Пользуясь некоторыми соображениями и данными, получил оценку ~600-800 млн руб в 2018.
Применяя приблизительный CAGR, можно это экстраполировать в значения от 700 млн до 1 млрд руб в 2019.

Способ 4
Открываем статью 2018 года с двумя оценками коллег по цеху: 1-1.15 млрд руб при CAGR 25% и 500 млн руб при CAGR 50-100% (sic!).
В такой оптимистичный CAGR поверить трудно, но числа выглядят разумно, хотя 1+ млрд по итогам 2017 тоже не очень правдоподобно.

———————————————————————————————

Интересно, что ни одно число я никуда не притягивал и не подгонял, в голове эти оценки были давно, но сейчас я их чётко выписал, сравнил, и оказалось, что они в принципе одних порядков.

Видимо, российский рынок в 2019 действительно составил приблизительно ~$12 млн, при этом явно самым крупным игроком здесь является ПТ, а дальше идёт длинный хвост небольших игроков, как и на глобальном рынке.

Нельзя также забывать про менее формальную и незарегулированную часть рынка, которая в такие расчёты может не попадать, а при этом кормит эти самые небольшие компании.
Есть ещё несколько способов посчитать такую оценку, и я думаю, что все они дадут приблизительно одного порядка числа.

Что ж, нового мало, мы и так знаем, что океан красный, зато порог вхождения низкий, как и во многих нишах консалтинга 😉

Кстати, 2 апреля прошло 8 лет, как я на этом самом рынке (нет, не овощном, Яр) официально коммерчески работаю!
До этого был только всякий фриланс пентест и багбаунти.

P.S. Надо ведь, чтоб посты иногда соответствовали юзерпику канала 😆

Напомню, что осталось лишь 4 с лишним часа до конца квалсов на Google Code Jam. Чтоб пройти в следующий раунд, нужно 30 очков, хватит 2.5 простых задач на реализацию.
Я весьма плох в решении алгоритмических задачек на скорость (вовремя в школе не позанимался), но иногда решаю что-нибудь на Сodeforces.

На мой взгляд, программист любого уровня (включая хакеров) должен хоть какое-то представление иметь о таких задачах (например, иметь звание "кандидата в мастера" на codeforces или около того), всё-таки они заставляют сконцентрировать мысли и учат безошибочно выражать алгоритмы в коде.

На очереди Дудь.

Камрады, а вот и новое интервью с Омаром Ганиевым, он же beched.
Истории про форумы с блечерами, взлом античата, участие в CTF по миру, денежные призы, математику, как открыть свою компанию и много другое.

Думаю что в среде ИБ Омара знают все, надеюсь будет интересно послушать его историю.

Приятного просмотра!
И не забудьте подписаться, это очень важно!

https://youtu.be/9UZNOi783FA

К слову о применении алгоритмических навыков, читал вчера занятный блог, где разобраны некоторые "ошибочно квадратичные" алгоритмы из известных проектов.

Зачастую это получается случайно: вы берёте какую-то библиотечную структуру данных и операцию над ней, забывая про её эффективность (как по времени, так и по памяти) в том или ином случае, пихаете вызов в цикл, при этом в тест-кейсах у вас только небольшие N, так что деградации производительности можно не заметить.

А потом ваше приложение в продакшне можно заDoSить несколькими запросами.

P.S. Бесконечные вопросы про О-сложность на собеседованиях всё равно отвратительны.

И снова начинаю на твитче, думаю поспидранить таски с websec.fr (раньше не видел их).

Нужна ли информационная безопасность в кризис? А нужна ли она вообще?
В утопическом мире без преступности эта индустрия была бы практически целиком ненужной. Ей и сейчас зачастую уделяют не так много внимания: ведь многие считают, что отсутствие процессов ИБ не гарантирует убытки (авось проживём!), зато их наличие гарантирует расходы.

К сожалению, мы живём не в утопическом мире, и киберпреступность весьма реальна. Я искренне хотел бы, чтоб это было не так, поскольку периодически испытываю экзистенциальные переживания по поводу того, что огромные людские ресурсы тратятся на то, чтобы делать какие-то дурацкие антивирусы, фаерволы, сканеры, аудиты и прочие продукты и услуги, нужные лишь затем, чтобы немного снизить вероятность компрометации системы врагами.

Эти ресурсы можно было бы тратить на то, чтобы создавать настоящую добавленную стоимость и двигаться в будущее: делать беспилотники, создавать искусственное мясо и кулинарные машины, разрабатывать вакцины, запускать ракеты, строить города.
Но так уж получилось, что в нашем неидеальном мире нужны ещё люди, которые будут помогать прогрессу не остановиться из-за угроз и неэффективностей общества, и безопасники в этом деле не одиноки.

Теперь возвращаясь к первому вопросу: а становится ли мир идеальнее в кризис? Навряд ли (по крайней мере, пока кризис идёт, мир явно не идеален), и угрозы тоже никуда не делись.
У злодеев тоже кризис, они тоже сидят на самоизоляции и ищут, чем бы заняться.

Риски атак вряд ли снижаются и могут существенно расти, поверхность атаки также увеличивается из-за перехода на удалёнку, при этом скорость реагирования и эффективность работы организаций снижается.
Выходит, хочешь или нет — а раскошелиться на ИБ придётся.

Так что я пока ставлю на то, что рынок ИБ пострадает не так сильно, как другие отрасли, которые тоже решают "незарабатывающие" задачи (ненужные непосредственно для бизнеса).
Понять же, какие именно продукты и услуги наиболее выигрышны сейчас внутри рынка, сложнее. Думаю, что есть преимущество у небольших команд без раздутых чеков, ведь в кризис нужна эффективность, косты режут все заказчики.

Количество онлайн-контента в последние недели начинает зашкаливать, так что прастити :D
Распределившись по разным часовым поясам, говорим про Red Teaming в подкасте NoiSeBit с CTO Qiwi, CEO Wallarm, главами редтимов HERE и Ростелека.

Щас будет усталый стрим крипты для студентов на твитче.
Достримить websec.fr так и не успел, сейчас посмотрю cryptopals и буду вспоминать азы!

Как понять, что сложно, а что легко?

Часто про какое-то дело говорят, что оно сложное. Понимать сложность можно по-разному.
Например, в любой профессии сложно попасть в 1% лучших (отдельная задача — определить критерии лучшести).
Поэтому важно понимать, во-первых, какой порог входа (минимальный набор знаний/умений для занятий делом), и какой порог для успеха (на уровне 50%, 25%, 10%, 1%, ...).

Я для себя выработал вопросы, которые можно мысленно задать, чтобы понять, является ли дело сложным.
Первый блок вопросов — про необходимую подготовку, а второй — про ограничения по возрасту.

1) Можно ли заняться этим без специальной подготовки?
Можно ли при этом преуспеть (например, попасть в первую квартиль)?
Сколько времени нужно для подготовки в минимальном и среднем случае?

2) Есть ли ограничения по возрасту для этого дела?
Можно ли преуспеть до 18 лет, и можно ли преуспеть, начав после 60?

Если использовать такие вопросы для формализации успеха, можно понять, что предпринимательство — это тривиальщина.
В самом деле, существуют примеры бизнес-успеха как очень молодых, так и пожилых людей. При этом для бизнеса не надо знать ничего. Да, существуют MBA, всяческие книжки и знания, доступность которых растёт с каждым годом, но это всё примитивные и элементарные знания, очевидные любому, кто сам этим позанимается пару лет, да и изучить их можно быстро.

Бизнес-образование ни в какое сравнение не может идти с естественно-научным. Для того, чтобы начать профессионально заниматься химией или математикой, нужно пройти длительный образовательный путь.
Построить же успешное предприятие можно, отучившись в школе на тройки и не умея грамотно писать.
Для этого намного важнее энергия, как, например, и для работы грузчиком, но мало кто говорит о том, как тяжело стать грузчиком (а ведь это тяжело в буквальном смысле).

При этом можно попытаться с этим поспорить, отметив, что в реальности мало кому удаётся достичь успеха в бизнесе. Это справедливое замечание, и именно поэтому нужно разделять порог входа и порог успеха.
Но тот факт, что мало кому это удаётся, не имеет прямого отношения к сложности.
Мало кому удаётся выиграть в лотерею: выходит, игра в лотерею или рулетку — это сложное и достойное занятие? А ведь у бизнеса с лотереей общего, пожалуй, больше, чем с физикой.

Аналогично можно заметить, что актёрская профессия примитивна и проста. Актёром может стать ребёнок или старуха, при этом им будет достаточно врождённой харизмы, обаяния (их можно тренировать, как мышцы, но ведь может хватить и врождённого таланта).

Вообще, ввиду характера профессии, актёры в нашем обществе получают непропорционально много внимания и уважения, эксплуатируя наши эмоции, хотя фактически это люди, не обладающие какими-либо специальными интеллектуальными компетенциями.
Очень люблю крутых актёров и ни в коем случае не хочу назвать актёрство недостойным занятием: просто грузчиков я тоже уважаю и не вижу огромной интеллектуальной пропасти между их профессией и актёрством.

А вот музыка или спорт намного сложнее: не начав заниматься этим в детстве и не вложив колоссальные усилия в подготовку и при этом не обладая врождённым талантом, вы уже никогда не станете очень успешны (не считая шоу и эстраду, это уже относится скорее к актёрству и бизнесу).

Немного написал про давно известную, но недавно насыщенную новыми векторами, технику атаки на веб-приложения под названием HTTP Request Smuggling.

Note for myself: писать заметки сразу как только что-то сделал, а не откладывать, иначе беклог не очищается годами.

Очередной Нойз Бит через полтора часа!

Завтра 24.05 в 22:00 по мск будем стримить новый выпуск 📺🚀

#NoiSeBit 0x25 "Карьера исследователя и специалиста в области ИБ" 🔥

У нас в гостях:
🎙Иван Новиков
🎙Никита Тараканов
🎙Омар Ганиев
🎙Алексей Синцов

Основная задача этого выпуска поговорить о том, как и куда развиваться исследователю в области практической информационной безопасности. Какие ограничения и подводные камни работы в корпорации, как не увязнуть в бизнес задачах при создании своей компании. И самое главное, как не перестать развиваться самому, как специалисту, в трясине задач чужого бизнеса. 🤖

https://www.youtube.com/watch?v=pqi3LQWqJvo