Количество онлайн-контента в последние недели начинает зашкаливать, так что прастити :D
Распределившись по разным часовым поясам, говорим про Red Teaming в подкасте NoiSeBit с CTO Qiwi, CEO Wallarm, главами редтимов HERE и Ростелека.

Щас будет усталый стрим крипты для студентов на твитче.
Достримить websec.fr так и не успел, сейчас посмотрю cryptopals и буду вспоминать азы!

Как понять, что сложно, а что легко?

Часто про какое-то дело говорят, что оно сложное. Понимать сложность можно по-разному.
Например, в любой профессии сложно попасть в 1% лучших (отдельная задача — определить критерии лучшести).
Поэтому важно понимать, во-первых, какой порог входа (минимальный набор знаний/умений для занятий делом), и какой порог для успеха (на уровне 50%, 25%, 10%, 1%, ...).

Я для себя выработал вопросы, которые можно мысленно задать, чтобы понять, является ли дело сложным.
Первый блок вопросов — про необходимую подготовку, а второй — про ограничения по возрасту.

1) Можно ли заняться этим без специальной подготовки?
Можно ли при этом преуспеть (например, попасть в первую квартиль)?
Сколько времени нужно для подготовки в минимальном и среднем случае?

2) Есть ли ограничения по возрасту для этого дела?
Можно ли преуспеть до 18 лет, и можно ли преуспеть, начав после 60?

Если использовать такие вопросы для формализации успеха, можно понять, что предпринимательство — это тривиальщина.
В самом деле, существуют примеры бизнес-успеха как очень молодых, так и пожилых людей. При этом для бизнеса не надо знать ничего. Да, существуют MBA, всяческие книжки и знания, доступность которых растёт с каждым годом, но это всё примитивные и элементарные знания, очевидные любому, кто сам этим позанимается пару лет, да и изучить их можно быстро.

Бизнес-образование ни в какое сравнение не может идти с естественно-научным. Для того, чтобы начать профессионально заниматься химией или математикой, нужно пройти длительный образовательный путь.
Построить же успешное предприятие можно, отучившись в школе на тройки и не умея грамотно писать.
Для этого намного важнее энергия, как, например, и для работы грузчиком, но мало кто говорит о том, как тяжело стать грузчиком (а ведь это тяжело в буквальном смысле).

При этом можно попытаться с этим поспорить, отметив, что в реальности мало кому удаётся достичь успеха в бизнесе. Это справедливое замечание, и именно поэтому нужно разделять порог входа и порог успеха.
Но тот факт, что мало кому это удаётся, не имеет прямого отношения к сложности.
Мало кому удаётся выиграть в лотерею: выходит, игра в лотерею или рулетку — это сложное и достойное занятие? А ведь у бизнеса с лотереей общего, пожалуй, больше, чем с физикой.

Аналогично можно заметить, что актёрская профессия примитивна и проста. Актёром может стать ребёнок или старуха, при этом им будет достаточно врождённой харизмы, обаяния (их можно тренировать, как мышцы, но ведь может хватить и врождённого таланта).

Вообще, ввиду характера профессии, актёры в нашем обществе получают непропорционально много внимания и уважения, эксплуатируя наши эмоции, хотя фактически это люди, не обладающие какими-либо специальными интеллектуальными компетенциями.
Очень люблю крутых актёров и ни в коем случае не хочу назвать актёрство недостойным занятием: просто грузчиков я тоже уважаю и не вижу огромной интеллектуальной пропасти между их профессией и актёрством.

А вот музыка или спорт намного сложнее: не начав заниматься этим в детстве и не вложив колоссальные усилия в подготовку и при этом не обладая врождённым талантом, вы уже никогда не станете очень успешны (не считая шоу и эстраду, это уже относится скорее к актёрству и бизнесу).

Немного написал про давно известную, но недавно насыщенную новыми векторами, технику атаки на веб-приложения под названием HTTP Request Smuggling.

Note for myself: писать заметки сразу как только что-то сделал, а не откладывать, иначе беклог не очищается годами.

Очередной Нойз Бит через полтора часа!

Завтра 24.05 в 22:00 по мск будем стримить новый выпуск 📺🚀

#NoiSeBit 0x25 "Карьера исследователя и специалиста в области ИБ" 🔥

У нас в гостях:
🎙Иван Новиков
🎙Никита Тараканов
🎙Омар Ганиев
🎙Алексей Синцов

Основная задача этого выпуска поговорить о том, как и куда развиваться исследователю в области практической информационной безопасности. Какие ограничения и подводные камни работы в корпорации, как не увязнуть в бизнес задачах при создании своей компании. И самое главное, как не перестать развиваться самому, как специалисту, в трясине задач чужого бизнеса. 🤖

https://www.youtube.com/watch?v=pqi3LQWqJvo

Начали, на этот раз не пришлось генерировать новую ссылку =)

26.05.2020, 12:00 МСК
Онлайн-конференция «Тестирование на проникновение»
Спикеры конференции расскажут о поплярной во всём миру услуге в области информационной безопасности. Суть таких тестов заключается в санкционированной попытке обойти существующий комплекс средств защиты информационной системы. В ходе тестирования специалист по анализу защищенности выполняет роль злоумышленника, мотивированного на нарушение информационной безопасности сети заказчика.
В программе доклад Омара Ганиева «Эффективный пентест или «Думай как хакер»
Модератор конференции: Ольга Поздняк, продюсер семейства проектов КОД ИБ

Похоже, соло-конфа получилась =)

Mitigating XSS can be hard, learn more about Content Security Policy in our blog: https://blog.deteact.com/csp-bypass/

Недисциплинированный из меня блогер...

К слову о хакерской культуре и этике: одним из ключевых принципов хакеров является открытость информации.
Между тем, с развитием хакерских сегментов индустрии ИБ исследовательская деятельность частично перешла в разряд коммерческих.
На практике это означает, что большинство "исследований" (в кавычках, потому что обычно это достаточно тривиальные вещи в сравнении с хорошими академическими исследованиями) делаются для пиара конкретного человека или для пиара компании.

Да, автору исследования его предмет может быть очень интересен, и он действительно хочет этим поделиться, но коммерционализированность выражается в том, что информацию удерживают от публикации до поры до времени.

Иногда публикацию задерживают, потому что ожидают исправления каких-то уязвимостей вендорами, но обычно всё-таки потому что хотят достичь максимального хайпа в СМИ или потому что хотят рассказать всё на конференции, и почему-то до самой конференции публиковать ничего нельзя.

В нашем русском сообществе это началось с появлением большого количества вакансий для хакеров: все исследования стали корпоративными, и на них либо распространяется NDA, либо они публикуются в маркетинговых материалах ради упоминаний. Раньше же их публиковали на форумах, где информация, правда, тоже могла быть закрыта от общего доступа в приватных разделах.

Из последних примеров проявления мышления корпоративных исследователей — только что наткнулся на твит, пожалуй, самого известного сейчас исследователя веб-уязвимостей Джеймса Кеттла из авторитетной компании Portswigger (которая платит ему зарплату за то, чтобы он фуллтайм искал какие-нибудь интересные штуки для публикаций и выступлений для пиара их флагманского продукта).

Чувак выложил ссылку на материал 2005 года про проблемы безопасности UTF-8. На вопрос, является ли это предметом его исследования, ответил, что "хаха нет, в таком случае я бы не выкладывал ссылку на материал!".
Вот так! Не стал бы делиться ссылкой на чужой материал 2005 года, чтобы побольше оттуда вытащить ценного для собственной публикации и хайпа.

Хорошо ли это, плохо ли? Да чёрт его знает... Цель любой компании — генерация прибыли, и если при этом побочно генерируется какое-то знание, это уже полезно.
Но это точно идеологически не хакерский подход к исследованиям. Наверное, это же иллюстрирует и тренд последних ~5 лет на создание названий, логотипов и лендингов для уязвимостей.

Журналу Phrack хватало ASCII art.

Как водится у всех в карантин, немножко успел заняться образованием.
Впервые взял языковые уроки (по китайскому), для этого воспользовался italki (ловите рефералку, раз уж такое дело).
Опыт нескольких занятий заставляет недоумевать, зачем люди вообще пользуются русскоязычными преподавателями на сервисах типа skyeng.

Возможно, грамматику языка действительно лучше подтягивать с русским преподавателем, который понимает и сможет объяснить разницу. Но ведь большинство берёт уроки ради разговорной практики, и разговорная практика не с носителем кажется довольно абсурдной.
Будете учиться у такого преподавателя делать ошибки, говорить с русским акцентом и т. д.

Если думаете, что вашего уровня языка не хватит для разговора с носителем, это тоже ерунда. В том-то и смысл преподавателя, что он должен уметь подстраиваться под ваш уровень, использовать ограниченную лексику, говорить понятно, поправлять.
К тому же, всегда можно подглядеть слово в словаре или показать жестами.
На часовых разговорах по китайскому с носителем мне практически не приходится использовать английский (разве что иногда для экономии времени), хотя у меня совсем элементарный уровень.

До этого я учил китайский очень редко, эпизодически заглядывая в мобильные приложения для повторения иероглифов и чтения текстов. Обычно хватался за приложения прямо перед поездкой в китаеязычные страны. В результате практически вся практика сводилась к чтению, а не к говорению и слушанию.

Что характерно, с английским ситуация та же, и мне довольно сложно даётся понимание на слух. Да что там, даже с русским! Если частью вашей работы не являются бесконечные встречи, вам практически не нужно говорить и слушать, зато нужно много читать и писать.
Практически всё наше общение письменное, а прослушивание аудио крайне неэффективно и отвлекает.

P.S. Интересно, есть ли аналог сайта neprivet.ru для тех, кто шлёт аудиосообщения? Причём скорее всего у этого сайта те же самые пациенты =)

Если мы внезапно живём в симуляции, то это и грустно, и весело.

Грустно, потому что:
- это (как и всё остальное) не даёт нам духовного удовлетворения и понимания смысла жизни,
- это не даёт ответов о вселенной, потому что возникает чрезвычайно сложный вопрос (кто авторы симуляции, в каком мире живут они, и как он возник?),
- скорее всего, сами авторы симуляции ни черта толком не понимают и просто занимаются фаззингом различных фундаментальных констант и начальных условий в нашем физическом мире, чтоб посмотреть, что из этого получается.

Последнее предположение возникает из наблюдения за нынешним развитием технологий ИИ, когда зачастую получаемые благодаря нейронным сетям модели плохо интерпретируемы, и не ясен "ход мысли" сети, трудно поменять её структуру.

Если в этом мета-мире технологии действительно работают примерно так, как у нас сейчас, это создаёт и причину, почему такой вариант реальности довольно весёлый.
Ведь симуляция — это программа. В программах бывают ошибки и уязвимости.
В таком случае мы, можем попытаться их эксплуатировать изнутри, оказавшись внутри weird machine вместо симуляции, после чего, возможно, сможем изменить параметры самой симуляции или начать коммуницировать с её авторами.

Это могут быть логические уязвимости, это может быть что-то вроде memory corruption.
Фаззинг может привести к крашу, так что вселенная исчезнет, но, если у авторов симуляции есть трейсинг и дамп памяти, они в теории могут её пофиксить и запустить с того же момента. Тогда, возможно, мы даже сможем понять, что стриггерили краш.

Ещё интересно так думать про use-after-free или утечки памяти: что если авторы симуляции не memset'или память перед использованием? Что если в информации, кодирующей материю вокруг нас, есть биты, которые находились в памяти мета-компьютера до аллоцирования памяти для нашей вселенной?

Поскольку мы находимся в машине для вычисления симуляций (что-то типа Ci/CD build-машины или машины для обучения моделей, хотя конечно это может быть и десктоп студента на лабе в универе), это скорее всего будут куски памяти из предыдущих симуляций, такие вот глюки и артефакты.

Вот только научиться считывать эти биты совсем не легко. Ведь любой радиошум может оказаться на самом деле каким-то куском данных из прошлой симуляции (например, описанием материального объекта).

P.S. Разумеется, есть куча сайтов, обсуждений и книг на эту тему, и мои рассуждения наверняка сто раз уже кем-то описаны. Знаком лишь с парочкой аргументов в пользу гипотезы.
Сам не вижу в ней особого смысла, лишь повод пофилософствовать.

Сейчас опять какой-то эфир!
https://www.facebook.com/PositiveTechnologies/photos/a.310472392316535/3421989264498150/

Сегодня я получил самое офигенное автоматически сгенерированное письмо со ссылкой на запись вебинара.
Какая-то чудесная система зачем-то перевела моё имя на английский, и я превратился в 🦞:D

Выступал в прошлом году в пиджаке на конфе в стиле TEDx для екоммерсов и финтеха.
https://www.facebook.com/ecommtalks/videos/325662628616723/

Блог ни черта не веду, но опять попадаю в видеоформат, на этот раз в эфир в инстаграме в 17:00:
https://www.instagram.com/codeib_community/

Видимо, на очереди тикток.

Ломал давеча intentionally vulnerable смарт-контракты DeFi от OpenZeppelin на Solidity.
Первые 7 несложные, последний оставил, чтоб попробовать в онлайне его поломать.

Го смотреть, как туплю с жабоскриптом и блохчейном (прям щас, скажем, в 23:00)!
Пойду настраивать твитч и OBS.
Не решу за полчаса-час — пойду спать.

Контракт вчера поддался в срок, хотя я долго тупил с разрядностью количества токенов и длинно комментировал всё.
Кстати, мы тут предлагаем услуги по безопасности DeFi-проектов в партнёрстве с Byzantine Solutions.
Сейчас не 2017 год, но уже и не криптозима, а уязвимости того времени до сих пор никуда не делись.

Календарные праздники — условность, но необходимая для нашего циклично мыслящего сознания, которому нужны засечки для рефлексии, подведения итогов и построения планов.
Главное — не расслабляйтесь и фигачьте, что есть мочи, чтоб двигать человеческий прогресс вперёд, и да пребудет с вами сила для этого в грядущий оборот нашего бренного космического обломка вокруг солнца.
С Новым годом!