Камрады, а вот и новое интервью с Омаром Ганиевым, он же beched.
Истории про форумы с блечерами, взлом античата, участие в CTF по миру, денежные призы, математику, как открыть свою компанию и много другое.

Думаю что в среде ИБ Омара знают все, надеюсь будет интересно послушать его историю.

Приятного просмотра!
И не забудьте подписаться, это очень важно!

https://youtu.be/9UZNOi783FA

К слову о применении алгоритмических навыков, читал вчера занятный блог, где разобраны некоторые "ошибочно квадратичные" алгоритмы из известных проектов.

Зачастую это получается случайно: вы берёте какую-то библиотечную структуру данных и операцию над ней, забывая про её эффективность (как по времени, так и по памяти) в том или ином случае, пихаете вызов в цикл, при этом в тест-кейсах у вас только небольшие N, так что деградации производительности можно не заметить.

А потом ваше приложение в продакшне можно заDoSить несколькими запросами.

P.S. Бесконечные вопросы про О-сложность на собеседованиях всё равно отвратительны.

И снова начинаю на твитче, думаю поспидранить таски с websec.fr (раньше не видел их).

Нужна ли информационная безопасность в кризис? А нужна ли она вообще?
В утопическом мире без преступности эта индустрия была бы практически целиком ненужной. Ей и сейчас зачастую уделяют не так много внимания: ведь многие считают, что отсутствие процессов ИБ не гарантирует убытки (авось проживём!), зато их наличие гарантирует расходы.

К сожалению, мы живём не в утопическом мире, и киберпреступность весьма реальна. Я искренне хотел бы, чтоб это было не так, поскольку периодически испытываю экзистенциальные переживания по поводу того, что огромные людские ресурсы тратятся на то, чтобы делать какие-то дурацкие антивирусы, фаерволы, сканеры, аудиты и прочие продукты и услуги, нужные лишь затем, чтобы немного снизить вероятность компрометации системы врагами.

Эти ресурсы можно было бы тратить на то, чтобы создавать настоящую добавленную стоимость и двигаться в будущее: делать беспилотники, создавать искусственное мясо и кулинарные машины, разрабатывать вакцины, запускать ракеты, строить города.
Но так уж получилось, что в нашем неидеальном мире нужны ещё люди, которые будут помогать прогрессу не остановиться из-за угроз и неэффективностей общества, и безопасники в этом деле не одиноки.

Теперь возвращаясь к первому вопросу: а становится ли мир идеальнее в кризис? Навряд ли (по крайней мере, пока кризис идёт, мир явно не идеален), и угрозы тоже никуда не делись.
У злодеев тоже кризис, они тоже сидят на самоизоляции и ищут, чем бы заняться.

Риски атак вряд ли снижаются и могут существенно расти, поверхность атаки также увеличивается из-за перехода на удалёнку, при этом скорость реагирования и эффективность работы организаций снижается.
Выходит, хочешь или нет — а раскошелиться на ИБ придётся.

Так что я пока ставлю на то, что рынок ИБ пострадает не так сильно, как другие отрасли, которые тоже решают "незарабатывающие" задачи (ненужные непосредственно для бизнеса).
Понять же, какие именно продукты и услуги наиболее выигрышны сейчас внутри рынка, сложнее. Думаю, что есть преимущество у небольших команд без раздутых чеков, ведь в кризис нужна эффективность, косты режут все заказчики.

Количество онлайн-контента в последние недели начинает зашкаливать, так что прастити :D
Распределившись по разным часовым поясам, говорим про Red Teaming в подкасте NoiSeBit с CTO Qiwi, CEO Wallarm, главами редтимов HERE и Ростелека.

Щас будет усталый стрим крипты для студентов на твитче.
Достримить websec.fr так и не успел, сейчас посмотрю cryptopals и буду вспоминать азы!

Как понять, что сложно, а что легко?

Часто про какое-то дело говорят, что оно сложное. Понимать сложность можно по-разному.
Например, в любой профессии сложно попасть в 1% лучших (отдельная задача — определить критерии лучшести).
Поэтому важно понимать, во-первых, какой порог входа (минимальный набор знаний/умений для занятий делом), и какой порог для успеха (на уровне 50%, 25%, 10%, 1%, ...).

Я для себя выработал вопросы, которые можно мысленно задать, чтобы понять, является ли дело сложным.
Первый блок вопросов — про необходимую подготовку, а второй — про ограничения по возрасту.

1) Можно ли заняться этим без специальной подготовки?
Можно ли при этом преуспеть (например, попасть в первую квартиль)?
Сколько времени нужно для подготовки в минимальном и среднем случае?

2) Есть ли ограничения по возрасту для этого дела?
Можно ли преуспеть до 18 лет, и можно ли преуспеть, начав после 60?

Если использовать такие вопросы для формализации успеха, можно понять, что предпринимательство — это тривиальщина.
В самом деле, существуют примеры бизнес-успеха как очень молодых, так и пожилых людей. При этом для бизнеса не надо знать ничего. Да, существуют MBA, всяческие книжки и знания, доступность которых растёт с каждым годом, но это всё примитивные и элементарные знания, очевидные любому, кто сам этим позанимается пару лет, да и изучить их можно быстро.

Бизнес-образование ни в какое сравнение не может идти с естественно-научным. Для того, чтобы начать профессионально заниматься химией или математикой, нужно пройти длительный образовательный путь.
Построить же успешное предприятие можно, отучившись в школе на тройки и не умея грамотно писать.
Для этого намного важнее энергия, как, например, и для работы грузчиком, но мало кто говорит о том, как тяжело стать грузчиком (а ведь это тяжело в буквальном смысле).

При этом можно попытаться с этим поспорить, отметив, что в реальности мало кому удаётся достичь успеха в бизнесе. Это справедливое замечание, и именно поэтому нужно разделять порог входа и порог успеха.
Но тот факт, что мало кому это удаётся, не имеет прямого отношения к сложности.
Мало кому удаётся выиграть в лотерею: выходит, игра в лотерею или рулетку — это сложное и достойное занятие? А ведь у бизнеса с лотереей общего, пожалуй, больше, чем с физикой.

Аналогично можно заметить, что актёрская профессия примитивна и проста. Актёром может стать ребёнок или старуха, при этом им будет достаточно врождённой харизмы, обаяния (их можно тренировать, как мышцы, но ведь может хватить и врождённого таланта).

Вообще, ввиду характера профессии, актёры в нашем обществе получают непропорционально много внимания и уважения, эксплуатируя наши эмоции, хотя фактически это люди, не обладающие какими-либо специальными интеллектуальными компетенциями.
Очень люблю крутых актёров и ни в коем случае не хочу назвать актёрство недостойным занятием: просто грузчиков я тоже уважаю и не вижу огромной интеллектуальной пропасти между их профессией и актёрством.

А вот музыка или спорт намного сложнее: не начав заниматься этим в детстве и не вложив колоссальные усилия в подготовку и при этом не обладая врождённым талантом, вы уже никогда не станете очень успешны (не считая шоу и эстраду, это уже относится скорее к актёрству и бизнесу).

Немного написал про давно известную, но недавно насыщенную новыми векторами, технику атаки на веб-приложения под названием HTTP Request Smuggling.

Note for myself: писать заметки сразу как только что-то сделал, а не откладывать, иначе беклог не очищается годами.

Очередной Нойз Бит через полтора часа!

Завтра 24.05 в 22:00 по мск будем стримить новый выпуск 📺🚀

#NoiSeBit 0x25 "Карьера исследователя и специалиста в области ИБ" 🔥

У нас в гостях:
🎙Иван Новиков
🎙Никита Тараканов
🎙Омар Ганиев
🎙Алексей Синцов

Основная задача этого выпуска поговорить о том, как и куда развиваться исследователю в области практической информационной безопасности. Какие ограничения и подводные камни работы в корпорации, как не увязнуть в бизнес задачах при создании своей компании. И самое главное, как не перестать развиваться самому, как специалисту, в трясине задач чужого бизнеса. 🤖

https://www.youtube.com/watch?v=pqi3LQWqJvo

Начали, на этот раз не пришлось генерировать новую ссылку =)

26.05.2020, 12:00 МСК
Онлайн-конференция «Тестирование на проникновение»
Спикеры конференции расскажут о поплярной во всём миру услуге в области информационной безопасности. Суть таких тестов заключается в санкционированной попытке обойти существующий комплекс средств защиты информационной системы. В ходе тестирования специалист по анализу защищенности выполняет роль злоумышленника, мотивированного на нарушение информационной безопасности сети заказчика.
В программе доклад Омара Ганиева «Эффективный пентест или «Думай как хакер»
Модератор конференции: Ольга Поздняк, продюсер семейства проектов КОД ИБ

Похоже, соло-конфа получилась =)

Mitigating XSS can be hard, learn more about Content Security Policy in our blog: https://blog.deteact.com/csp-bypass/

Недисциплинированный из меня блогер...

К слову о хакерской культуре и этике: одним из ключевых принципов хакеров является открытость информации.
Между тем, с развитием хакерских сегментов индустрии ИБ исследовательская деятельность частично перешла в разряд коммерческих.
На практике это означает, что большинство "исследований" (в кавычках, потому что обычно это достаточно тривиальные вещи в сравнении с хорошими академическими исследованиями) делаются для пиара конкретного человека или для пиара компании.

Да, автору исследования его предмет может быть очень интересен, и он действительно хочет этим поделиться, но коммерционализированность выражается в том, что информацию удерживают от публикации до поры до времени.

Иногда публикацию задерживают, потому что ожидают исправления каких-то уязвимостей вендорами, но обычно всё-таки потому что хотят достичь максимального хайпа в СМИ или потому что хотят рассказать всё на конференции, и почему-то до самой конференции публиковать ничего нельзя.

В нашем русском сообществе это началось с появлением большого количества вакансий для хакеров: все исследования стали корпоративными, и на них либо распространяется NDA, либо они публикуются в маркетинговых материалах ради упоминаний. Раньше же их публиковали на форумах, где информация, правда, тоже могла быть закрыта от общего доступа в приватных разделах.

Из последних примеров проявления мышления корпоративных исследователей — только что наткнулся на твит, пожалуй, самого известного сейчас исследователя веб-уязвимостей Джеймса Кеттла из авторитетной компании Portswigger (которая платит ему зарплату за то, чтобы он фуллтайм искал какие-нибудь интересные штуки для публикаций и выступлений для пиара их флагманского продукта).

Чувак выложил ссылку на материал 2005 года про проблемы безопасности UTF-8. На вопрос, является ли это предметом его исследования, ответил, что "хаха нет, в таком случае я бы не выкладывал ссылку на материал!".
Вот так! Не стал бы делиться ссылкой на чужой материал 2005 года, чтобы побольше оттуда вытащить ценного для собственной публикации и хайпа.

Хорошо ли это, плохо ли? Да чёрт его знает... Цель любой компании — генерация прибыли, и если при этом побочно генерируется какое-то знание, это уже полезно.
Но это точно идеологически не хакерский подход к исследованиям. Наверное, это же иллюстрирует и тренд последних ~5 лет на создание названий, логотипов и лендингов для уязвимостей.

Журналу Phrack хватало ASCII art.

Как водится у всех в карантин, немножко успел заняться образованием.
Впервые взял языковые уроки (по китайскому), для этого воспользовался italki (ловите рефералку, раз уж такое дело).
Опыт нескольких занятий заставляет недоумевать, зачем люди вообще пользуются русскоязычными преподавателями на сервисах типа skyeng.

Возможно, грамматику языка действительно лучше подтягивать с русским преподавателем, который понимает и сможет объяснить разницу. Но ведь большинство берёт уроки ради разговорной практики, и разговорная практика не с носителем кажется довольно абсурдной.
Будете учиться у такого преподавателя делать ошибки, говорить с русским акцентом и т. д.

Если думаете, что вашего уровня языка не хватит для разговора с носителем, это тоже ерунда. В том-то и смысл преподавателя, что он должен уметь подстраиваться под ваш уровень, использовать ограниченную лексику, говорить понятно, поправлять.
К тому же, всегда можно подглядеть слово в словаре или показать жестами.
На часовых разговорах по китайскому с носителем мне практически не приходится использовать английский (разве что иногда для экономии времени), хотя у меня совсем элементарный уровень.

До этого я учил китайский очень редко, эпизодически заглядывая в мобильные приложения для повторения иероглифов и чтения текстов. Обычно хватался за приложения прямо перед поездкой в китаеязычные страны. В результате практически вся практика сводилась к чтению, а не к говорению и слушанию.

Что характерно, с английским ситуация та же, и мне довольно сложно даётся понимание на слух. Да что там, даже с русским! Если частью вашей работы не являются бесконечные встречи, вам практически не нужно говорить и слушать, зато нужно много читать и писать.
Практически всё наше общение письменное, а прослушивание аудио крайне неэффективно и отвлекает.

P.S. Интересно, есть ли аналог сайта neprivet.ru для тех, кто шлёт аудиосообщения? Причём скорее всего у этого сайта те же самые пациенты =)

Если мы внезапно живём в симуляции, то это и грустно, и весело.

Грустно, потому что:
- это (как и всё остальное) не даёт нам духовного удовлетворения и понимания смысла жизни,
- это не даёт ответов о вселенной, потому что возникает чрезвычайно сложный вопрос (кто авторы симуляции, в каком мире живут они, и как он возник?),
- скорее всего, сами авторы симуляции ни черта толком не понимают и просто занимаются фаззингом различных фундаментальных констант и начальных условий в нашем физическом мире, чтоб посмотреть, что из этого получается.

Последнее предположение возникает из наблюдения за нынешним развитием технологий ИИ, когда зачастую получаемые благодаря нейронным сетям модели плохо интерпретируемы, и не ясен "ход мысли" сети, трудно поменять её структуру.

Если в этом мета-мире технологии действительно работают примерно так, как у нас сейчас, это создаёт и причину, почему такой вариант реальности довольно весёлый.
Ведь симуляция — это программа. В программах бывают ошибки и уязвимости.
В таком случае мы, можем попытаться их эксплуатировать изнутри, оказавшись внутри weird machine вместо симуляции, после чего, возможно, сможем изменить параметры самой симуляции или начать коммуницировать с её авторами.

Это могут быть логические уязвимости, это может быть что-то вроде memory corruption.
Фаззинг может привести к крашу, так что вселенная исчезнет, но, если у авторов симуляции есть трейсинг и дамп памяти, они в теории могут её пофиксить и запустить с того же момента. Тогда, возможно, мы даже сможем понять, что стриггерили краш.

Ещё интересно так думать про use-after-free или утечки памяти: что если авторы симуляции не memset'или память перед использованием? Что если в информации, кодирующей материю вокруг нас, есть биты, которые находились в памяти мета-компьютера до аллоцирования памяти для нашей вселенной?

Поскольку мы находимся в машине для вычисления симуляций (что-то типа Ci/CD build-машины или машины для обучения моделей, хотя конечно это может быть и десктоп студента на лабе в универе), это скорее всего будут куски памяти из предыдущих симуляций, такие вот глюки и артефакты.

Вот только научиться считывать эти биты совсем не легко. Ведь любой радиошум может оказаться на самом деле каким-то куском данных из прошлой симуляции (например, описанием материального объекта).

P.S. Разумеется, есть куча сайтов, обсуждений и книг на эту тему, и мои рассуждения наверняка сто раз уже кем-то описаны. Знаком лишь с парочкой аргументов в пользу гипотезы.
Сам не вижу в ней особого смысла, лишь повод пофилософствовать.

Сейчас опять какой-то эфир!
https://www.facebook.com/PositiveTechnologies/photos/a.310472392316535/3421989264498150/

Сегодня я получил самое офигенное автоматически сгенерированное письмо со ссылкой на запись вебинара.
Какая-то чудесная система зачем-то перевела моё имя на английский, и я превратился в 🦞:D

Выступал в прошлом году в пиджаке на конфе в стиле TEDx для екоммерсов и финтеха.
https://www.facebook.com/ecommtalks/videos/325662628616723/