Немного написал про давно известную, но недавно насыщенную новыми векторами, технику атаки на веб-приложения под названием HTTP Request Smuggling.

Note for myself: писать заметки сразу как только что-то сделал, а не откладывать, иначе беклог не очищается годами.

Очередной Нойз Бит через полтора часа!

Завтра 24.05 в 22:00 по мск будем стримить новый выпуск 📺🚀

#NoiSeBit 0x25 "Карьера исследователя и специалиста в области ИБ" 🔥

У нас в гостях:
🎙Иван Новиков
🎙Никита Тараканов
🎙Омар Ганиев
🎙Алексей Синцов

Основная задача этого выпуска поговорить о том, как и куда развиваться исследователю в области практической информационной безопасности. Какие ограничения и подводные камни работы в корпорации, как не увязнуть в бизнес задачах при создании своей компании. И самое главное, как не перестать развиваться самому, как специалисту, в трясине задач чужого бизнеса. 🤖

https://www.youtube.com/watch?v=pqi3LQWqJvo

Начали, на этот раз не пришлось генерировать новую ссылку =)

26.05.2020, 12:00 МСК
Онлайн-конференция «Тестирование на проникновение»
Спикеры конференции расскажут о поплярной во всём миру услуге в области информационной безопасности. Суть таких тестов заключается в санкционированной попытке обойти существующий комплекс средств защиты информационной системы. В ходе тестирования специалист по анализу защищенности выполняет роль злоумышленника, мотивированного на нарушение информационной безопасности сети заказчика.
В программе доклад Омара Ганиева «Эффективный пентест или «Думай как хакер»
Модератор конференции: Ольга Поздняк, продюсер семейства проектов КОД ИБ

Похоже, соло-конфа получилась =)

Mitigating XSS can be hard, learn more about Content Security Policy in our blog: https://blog.deteact.com/csp-bypass/

Недисциплинированный из меня блогер...

К слову о хакерской культуре и этике: одним из ключевых принципов хакеров является открытость информации.
Между тем, с развитием хакерских сегментов индустрии ИБ исследовательская деятельность частично перешла в разряд коммерческих.
На практике это означает, что большинство "исследований" (в кавычках, потому что обычно это достаточно тривиальные вещи в сравнении с хорошими академическими исследованиями) делаются для пиара конкретного человека или для пиара компании.

Да, автору исследования его предмет может быть очень интересен, и он действительно хочет этим поделиться, но коммерционализированность выражается в том, что информацию удерживают от публикации до поры до времени.

Иногда публикацию задерживают, потому что ожидают исправления каких-то уязвимостей вендорами, но обычно всё-таки потому что хотят достичь максимального хайпа в СМИ или потому что хотят рассказать всё на конференции, и почему-то до самой конференции публиковать ничего нельзя.

В нашем русском сообществе это началось с появлением большого количества вакансий для хакеров: все исследования стали корпоративными, и на них либо распространяется NDA, либо они публикуются в маркетинговых материалах ради упоминаний. Раньше же их публиковали на форумах, где информация, правда, тоже могла быть закрыта от общего доступа в приватных разделах.

Из последних примеров проявления мышления корпоративных исследователей — только что наткнулся на твит, пожалуй, самого известного сейчас исследователя веб-уязвимостей Джеймса Кеттла из авторитетной компании Portswigger (которая платит ему зарплату за то, чтобы он фуллтайм искал какие-нибудь интересные штуки для публикаций и выступлений для пиара их флагманского продукта).

Чувак выложил ссылку на материал 2005 года про проблемы безопасности UTF-8. На вопрос, является ли это предметом его исследования, ответил, что "хаха нет, в таком случае я бы не выкладывал ссылку на материал!".
Вот так! Не стал бы делиться ссылкой на чужой материал 2005 года, чтобы побольше оттуда вытащить ценного для собственной публикации и хайпа.

Хорошо ли это, плохо ли? Да чёрт его знает... Цель любой компании — генерация прибыли, и если при этом побочно генерируется какое-то знание, это уже полезно.
Но это точно идеологически не хакерский подход к исследованиям. Наверное, это же иллюстрирует и тренд последних ~5 лет на создание названий, логотипов и лендингов для уязвимостей.

Журналу Phrack хватало ASCII art.

Как водится у всех в карантин, немножко успел заняться образованием.
Впервые взял языковые уроки (по китайскому), для этого воспользовался italki (ловите рефералку, раз уж такое дело).
Опыт нескольких занятий заставляет недоумевать, зачем люди вообще пользуются русскоязычными преподавателями на сервисах типа skyeng.

Возможно, грамматику языка действительно лучше подтягивать с русским преподавателем, который понимает и сможет объяснить разницу. Но ведь большинство берёт уроки ради разговорной практики, и разговорная практика не с носителем кажется довольно абсурдной.
Будете учиться у такого преподавателя делать ошибки, говорить с русским акцентом и т. д.

Если думаете, что вашего уровня языка не хватит для разговора с носителем, это тоже ерунда. В том-то и смысл преподавателя, что он должен уметь подстраиваться под ваш уровень, использовать ограниченную лексику, говорить понятно, поправлять.
К тому же, всегда можно подглядеть слово в словаре или показать жестами.
На часовых разговорах по китайскому с носителем мне практически не приходится использовать английский (разве что иногда для экономии времени), хотя у меня совсем элементарный уровень.

До этого я учил китайский очень редко, эпизодически заглядывая в мобильные приложения для повторения иероглифов и чтения текстов. Обычно хватался за приложения прямо перед поездкой в китаеязычные страны. В результате практически вся практика сводилась к чтению, а не к говорению и слушанию.

Что характерно, с английским ситуация та же, и мне довольно сложно даётся понимание на слух. Да что там, даже с русским! Если частью вашей работы не являются бесконечные встречи, вам практически не нужно говорить и слушать, зато нужно много читать и писать.
Практически всё наше общение письменное, а прослушивание аудио крайне неэффективно и отвлекает.

P.S. Интересно, есть ли аналог сайта neprivet.ru для тех, кто шлёт аудиосообщения? Причём скорее всего у этого сайта те же самые пациенты =)

Если мы внезапно живём в симуляции, то это и грустно, и весело.

Грустно, потому что:
- это (как и всё остальное) не даёт нам духовного удовлетворения и понимания смысла жизни,
- это не даёт ответов о вселенной, потому что возникает чрезвычайно сложный вопрос (кто авторы симуляции, в каком мире живут они, и как он возник?),
- скорее всего, сами авторы симуляции ни черта толком не понимают и просто занимаются фаззингом различных фундаментальных констант и начальных условий в нашем физическом мире, чтоб посмотреть, что из этого получается.

Последнее предположение возникает из наблюдения за нынешним развитием технологий ИИ, когда зачастую получаемые благодаря нейронным сетям модели плохо интерпретируемы, и не ясен "ход мысли" сети, трудно поменять её структуру.

Если в этом мета-мире технологии действительно работают примерно так, как у нас сейчас, это создаёт и причину, почему такой вариант реальности довольно весёлый.
Ведь симуляция — это программа. В программах бывают ошибки и уязвимости.
В таком случае мы, можем попытаться их эксплуатировать изнутри, оказавшись внутри weird machine вместо симуляции, после чего, возможно, сможем изменить параметры самой симуляции или начать коммуницировать с её авторами.

Это могут быть логические уязвимости, это может быть что-то вроде memory corruption.
Фаззинг может привести к крашу, так что вселенная исчезнет, но, если у авторов симуляции есть трейсинг и дамп памяти, они в теории могут её пофиксить и запустить с того же момента. Тогда, возможно, мы даже сможем понять, что стриггерили краш.

Ещё интересно так думать про use-after-free или утечки памяти: что если авторы симуляции не memset'или память перед использованием? Что если в информации, кодирующей материю вокруг нас, есть биты, которые находились в памяти мета-компьютера до аллоцирования памяти для нашей вселенной?

Поскольку мы находимся в машине для вычисления симуляций (что-то типа Ci/CD build-машины или машины для обучения моделей, хотя конечно это может быть и десктоп студента на лабе в универе), это скорее всего будут куски памяти из предыдущих симуляций, такие вот глюки и артефакты.

Вот только научиться считывать эти биты совсем не легко. Ведь любой радиошум может оказаться на самом деле каким-то куском данных из прошлой симуляции (например, описанием материального объекта).

P.S. Разумеется, есть куча сайтов, обсуждений и книг на эту тему, и мои рассуждения наверняка сто раз уже кем-то описаны. Знаком лишь с парочкой аргументов в пользу гипотезы.
Сам не вижу в ней особого смысла, лишь повод пофилософствовать.

Сейчас опять какой-то эфир!
https://www.facebook.com/PositiveTechnologies/photos/a.310472392316535/3421989264498150/

Сегодня я получил самое офигенное автоматически сгенерированное письмо со ссылкой на запись вебинара.
Какая-то чудесная система зачем-то перевела моё имя на английский, и я превратился в 🦞:D

Выступал в прошлом году в пиджаке на конфе в стиле TEDx для екоммерсов и финтеха.
https://www.facebook.com/ecommtalks/videos/325662628616723/

Блог ни черта не веду, но опять попадаю в видеоформат, на этот раз в эфир в инстаграме в 17:00:
https://www.instagram.com/codeib_community/

Видимо, на очереди тикток.

Ломал давеча intentionally vulnerable смарт-контракты DeFi от OpenZeppelin на Solidity.
Первые 7 несложные, последний оставил, чтоб попробовать в онлайне его поломать.

Го смотреть, как туплю с жабоскриптом и блохчейном (прям щас, скажем, в 23:00)!
Пойду настраивать твитч и OBS.
Не решу за полчаса-час — пойду спать.

Контракт вчера поддался в срок, хотя я долго тупил с разрядностью количества токенов и длинно комментировал всё.
Кстати, мы тут предлагаем услуги по безопасности DeFi-проектов в партнёрстве с Byzantine Solutions.
Сейчас не 2017 год, но уже и не криптозима, а уязвимости того времени до сих пор никуда не делись.

Календарные праздники — условность, но необходимая для нашего циклично мыслящего сознания, которому нужны засечки для рефлексии, подведения итогов и построения планов.
Главное — не расслабляйтесь и фигачьте, что есть мочи, чтоб двигать человеческий прогресс вперёд, и да пребудет с вами сила для этого в грядущий оборот нашего бренного космического обломка вокруг солнца.
С Новым годом!

Привет! Мыслей было много, а в канал ничего не дампил. И щас не мысль, а спам.

Ищем веб-хекера: https://hh.ru/vacancy/41479232
Также, вероятно, скоро будем искать аналитика/техписа и редтимера.

По вебу собираем резюме и выдаём тестовое задание.

Может, это у меня такое субъективное впечатление, но уже многократно убеждаюсь, что Фейсбук — скамерская контора.

Неделями вижу рекламу наркобарыг в ленте, при этом легитимные бизнесы запросто банят и с трудом восстанавливают аккаунты.
Репортишь такую рекламу или, например, кремлебота — быстро приходит отбивка, что с постом всё ок.

При этом сотрудники Марка толком не умеют кодить: встречается куча багов в базовой функциональности и в вёрстке, очень перегруженный пользовательский интерфейс, отвратительный интерфейс для бизнесов и т. д.

Но это всё ерунда, потому что соцсеть уже слишком велика, чтоб быстро потерять аудиторию, и ведь главный её продукт — это не софт, а та самая аудитория, которой и с говнокодом можно кормить политическую пропаганду и рекламу наркоты.

Знаю, это слово всем уже осточертело за последнюю неделю, но, не выдержав социального давления и последовав трендам, трём вечерами за похек в клабхаусе.
Следуйте примеру Олега Тинькова и заходите к нам на огонёк.
Мой хендл @beched.