Сейчас опять какой-то эфир!
https://www.facebook.com/PositiveTechnologies/photos/a.310472392316535/3421989264498150/
https://www.facebook.com/PositiveTechnologies/photos/a.310472392316535/3421989264498150/
Facebook
Positive Technologies
Проект #ИБшникнаудаленке вернулся из недельного отпуска и снова готов к вещанию на самые актуальные темы из мира информационной безопасности. В новом выпуске поговорим о форензике (компьютерной...
🤡4
Сегодня я получил самое офигенное автоматически сгенерированное письмо со ссылкой на запись вебинара.
Какая-то чудесная система зачем-то перевела моё имя на английский, и я превратился в 🦞:D
Какая-то чудесная система зачем-то перевела моё имя на английский, и я превратился в 🦞:D
🤡4
Выступал в прошлом году в пиджаке на конфе в стиле TEDx для екоммерсов и финтеха.
https://www.facebook.com/ecommtalks/videos/325662628616723/
https://www.facebook.com/ecommtalks/videos/325662628616723/
Facebook
Log in or sign up to view
See posts, photos and more on Facebook.
🤡3
Блог ни черта не веду, но опять попадаю в видеоформат, на этот раз в эфир в инстаграме в 17:00:
https://www.instagram.com/codeib_community/
Видимо, на очереди тикток.
https://www.instagram.com/codeib_community/
Видимо, на очереди тикток.
🤡3
Ломал давеча intentionally vulnerable смарт-контракты DeFi от OpenZeppelin на Solidity.
Первые 7 несложные, последний оставил, чтоб попробовать в онлайне его поломать.
Го смотреть, как туплю с жабоскриптом и блохчейном (прям щас, скажем, в 23:00)!
Пойду настраивать твитч и OBS.
Не решу за полчаса-час — пойду спать.
Первые 7 несложные, последний оставил, чтоб попробовать в онлайне его поломать.
Го смотреть, как туплю с жабоскриптом и блохчейном (прям щас, скажем, в 23:00)!
Пойду настраивать твитч и OBS.
Не решу за полчаса-час — пойду спать.
Twitch
beched - Twitch
beched streams live on Twitch! Check out their videos, sign up to chat, and join their community.
🤡4
Контракт вчера поддался в срок, хотя я долго тупил с разрядностью количества токенов и длинно комментировал всё.
Кстати, мы тут предлагаем услуги по безопасности DeFi-проектов в партнёрстве с Byzantine Solutions.
Сейчас не 2017 год, но уже и не криптозима, а уязвимости того времени до сих пор никуда не делись.
Кстати, мы тут предлагаем услуги по безопасности DeFi-проектов в партнёрстве с Byzantine Solutions.
Сейчас не 2017 год, но уже и не криптозима, а уязвимости того времени до сих пор никуда не делись.
defisecurity.io
DeFi Security Audit, Smart Contract Security Audit, Blockchain Security
Continuous security services for the decentralized finance
🤡3
Календарные праздники — условность, но необходимая для нашего циклично мыслящего сознания, которому нужны засечки для рефлексии, подведения итогов и построения планов.
Главное — не расслабляйтесь и фигачьте, что есть мочи, чтоб двигать человеческий прогресс вперёд, и да пребудет с вами сила для этого в грядущий оборот нашего бренного космического обломка вокруг солнца.
С Новым годом!
Главное — не расслабляйтесь и фигачьте, что есть мочи, чтоб двигать человеческий прогресс вперёд, и да пребудет с вами сила для этого в грядущий оборот нашего бренного космического обломка вокруг солнца.
С Новым годом!
🤡2
Привет! Мыслей было много, а в канал ничего не дампил. И щас не мысль, а спам.
Ищем веб-хекера: https://hh.ru/vacancy/41479232
Также, вероятно, скоро будем искать аналитика/техписа и редтимера.
По вебу собираем резюме и выдаём тестовое задание.
Ищем веб-хекера: https://hh.ru/vacancy/41479232
Также, вероятно, скоро будем искать аналитика/техписа и редтимера.
По вебу собираем резюме и выдаём тестовое задание.
hh.ru
Вакансия Web Pentester в Москве, работа в компании Непрерывные Технологии (вакансия в архиве c 10 февраля 2021)
Зарплата: не указана. Москва. Требуемый опыт: 1–3 года. Полная занятость. Дата публикации: 11.01.2021.
🤡3
image_2021-02-03_22-35-16.png
558.5 KB
Может, это у меня такое субъективное впечатление, но уже многократно убеждаюсь, что Фейсбук — скамерская контора.
Неделями вижу рекламу наркобарыг в ленте, при этом легитимные бизнесы запросто банят и с трудом восстанавливают аккаунты.
Репортишь такую рекламу или, например, кремлебота — быстро приходит отбивка, что с постом всё ок.
При этом сотрудники Марка толком не умеют кодить: встречается куча багов в базовой функциональности и в вёрстке, очень перегруженный пользовательский интерфейс, отвратительный интерфейс для бизнесов и т. д.
Но это всё ерунда, потому что соцсеть уже слишком велика, чтоб быстро потерять аудиторию, и ведь главный её продукт — это не софт, а та самая аудитория, которой и с говнокодом можно кормить политическую пропаганду и рекламу наркоты.
Неделями вижу рекламу наркобарыг в ленте, при этом легитимные бизнесы запросто банят и с трудом восстанавливают аккаунты.
Репортишь такую рекламу или, например, кремлебота — быстро приходит отбивка, что с постом всё ок.
При этом сотрудники Марка толком не умеют кодить: встречается куча багов в базовой функциональности и в вёрстке, очень перегруженный пользовательский интерфейс, отвратительный интерфейс для бизнесов и т. д.
Но это всё ерунда, потому что соцсеть уже слишком велика, чтоб быстро потерять аудиторию, и ведь главный её продукт — это не софт, а та самая аудитория, которой и с говнокодом можно кормить политическую пропаганду и рекламу наркоты.
🤡3
Знаю, это слово всем уже осточертело за последнюю неделю, но, не выдержав социального давления и последовав трендам, трём вечерами за похек в клабхаусе.
Следуйте примеру Олега Тинькова и заходите к нам на огонёк.
Мой хендл @beched.
Следуйте примеру Олега Тинькова и заходите к нам на огонёк.
Мой хендл @beched.
🤡3👍1
Регуляция пентестов.
На рынке пентестов нет нормальной экспертизы качества, и нет прозрачного ценообразования (как и во многих других нишах b2b enterprise).
Но есть некоторые регуляторные требования со стороны государств, которые ограничивают или лицензируют деятельность пентестеров.
Из здравого смысла ясно, что сделать это по-настоящему невозможно, потому что никто не может запретить консалтинг. Математически поиск ошибок от поиска уязвимостей не отличается, поэтому не очень понятно, как строго отличить пентест или аудит безопасности от функционального тестирования или технического аудита. На практике же это обычно возможно, конечно.
Требования по идее должны защищать заказчиков и государство от недобросовестных подрядчиков, а как на деле?
Я не специалист по регуляторным требованиям, так что поправьте меня, если моя картина мира слишком узкая. Глядя на то, какие есть государственные сертификации и лицензии для пентестерских компаний за рубежом, и какие они у нас, не могу не обратить внимание, например, на Великобританию.
В UK есть схема CHECK, принадлежность к которой могут требовать многие компании, а также это обязательно для тестирования КИИ (CNI).
Для присоединения к CHECK компаниям нужно:
1) Работать по английскому праву,
2) Иметь 12 месяцев официального опыта пентестов,
3) Все члены команды должны пройти проверку SC (Security Check) clearance, это аналог наших форм допуска,
4) Как минимум один член команды должен:
- Пройти экзамен по одной из 3 программ сертификации (там везде тесты, практические лабы, собеседования, стоимость экзамена порядка $2000-3000),
- Иметь опыт пентестов не менее 12 месяцев,
- Предоставить 2 примера обезличенных отчётов по пентесту,
- Предоставить техническое резюме,
5) Платить ежегодную пошлину (около $7000-15000 в зависимости от уровня).
Разумно звучит? Вполне разумно, даёт понимание, что в компании в принципе есть пентестерская компетенция. Там же в UK есть ещё и коммерческая сертификация CREST с похожими, но более жёсткими требованиями, которая ещё дороже и требует страховку, экзамен 3 сотрудников, а также прохождение комплаенса по ISO27001 или ISO9001.
Какие аналоги у нас?
А у нас пентесты регулируются организацией под названием ФСТЭК, и, например, Центробанк для проведения банковских пентестов требует наличие лицензии на деятельность по ТЗКИ, выдаваемой ФСТЭК.
Что же нужно для получения этой лицензии?
1) 3 человека в штате, у которых в бумажной трудовой книжке написано "специалист по защите информации", и там не менее 3 лет опыта у двоих из них и не менее 5 лет у одного (существует даже рынок найма таких людей ради их трудовых книжек),
2) Ежегодная аттестация помещения, где будет не более 1 окна, толстые стены, металлическая дверь, различные генераторы белого шума на стенах и батареях и двери (для проведения очень важных переговоров),
3) Покупка у ФСТЭК и ФГУП Стандартинформ бумажных заверенных копий различных ГОСТов,
4) Оплата госпошлины ($100),
5) Куча разного бумагомарательного говна вроде подписывания 150 листов бумаги.
ТЗКИ покрывает не только пентесты, это более широкое понятие, но всё равно очевидно, что это полный маразм и коррупция, требования отстали от жизни по меньшей мере на 30 лет.
Никакой проверки качества здесь нет, никакой страховки рисков для государства нет. Лицензию часто получают безымянные лавки, открытые вчера, после чего (незаконно) перепродают услуги, отдавая на субподряд.
Что делать? Не знаю. Бодаться с замшелой бюрократической организацией — себе дороже, так что все молча проходят через эти испытания и получают лицензию. Изменить ситуацию, наверное, могут банки и другие большие заказчики.
Ёжики плакали и кололись, но продолжали жрать кактус.
На рынке пентестов нет нормальной экспертизы качества, и нет прозрачного ценообразования (как и во многих других нишах b2b enterprise).
Но есть некоторые регуляторные требования со стороны государств, которые ограничивают или лицензируют деятельность пентестеров.
Из здравого смысла ясно, что сделать это по-настоящему невозможно, потому что никто не может запретить консалтинг. Математически поиск ошибок от поиска уязвимостей не отличается, поэтому не очень понятно, как строго отличить пентест или аудит безопасности от функционального тестирования или технического аудита. На практике же это обычно возможно, конечно.
Требования по идее должны защищать заказчиков и государство от недобросовестных подрядчиков, а как на деле?
Я не специалист по регуляторным требованиям, так что поправьте меня, если моя картина мира слишком узкая. Глядя на то, какие есть государственные сертификации и лицензии для пентестерских компаний за рубежом, и какие они у нас, не могу не обратить внимание, например, на Великобританию.
В UK есть схема CHECK, принадлежность к которой могут требовать многие компании, а также это обязательно для тестирования КИИ (CNI).
Для присоединения к CHECK компаниям нужно:
1) Работать по английскому праву,
2) Иметь 12 месяцев официального опыта пентестов,
3) Все члены команды должны пройти проверку SC (Security Check) clearance, это аналог наших форм допуска,
4) Как минимум один член команды должен:
- Пройти экзамен по одной из 3 программ сертификации (там везде тесты, практические лабы, собеседования, стоимость экзамена порядка $2000-3000),
- Иметь опыт пентестов не менее 12 месяцев,
- Предоставить 2 примера обезличенных отчётов по пентесту,
- Предоставить техническое резюме,
5) Платить ежегодную пошлину (около $7000-15000 в зависимости от уровня).
Разумно звучит? Вполне разумно, даёт понимание, что в компании в принципе есть пентестерская компетенция. Там же в UK есть ещё и коммерческая сертификация CREST с похожими, но более жёсткими требованиями, которая ещё дороже и требует страховку, экзамен 3 сотрудников, а также прохождение комплаенса по ISO27001 или ISO9001.
Какие аналоги у нас?
А у нас пентесты регулируются организацией под названием ФСТЭК, и, например, Центробанк для проведения банковских пентестов требует наличие лицензии на деятельность по ТЗКИ, выдаваемой ФСТЭК.
Что же нужно для получения этой лицензии?
1) 3 человека в штате, у которых в бумажной трудовой книжке написано "специалист по защите информации", и там не менее 3 лет опыта у двоих из них и не менее 5 лет у одного (существует даже рынок найма таких людей ради их трудовых книжек),
2) Ежегодная аттестация помещения, где будет не более 1 окна, толстые стены, металлическая дверь, различные генераторы белого шума на стенах и батареях и двери (для проведения очень важных переговоров),
3) Покупка у ФСТЭК и ФГУП Стандартинформ бумажных заверенных копий различных ГОСТов,
4) Оплата госпошлины ($100),
5) Куча разного бумагомарательного говна вроде подписывания 150 листов бумаги.
ТЗКИ покрывает не только пентесты, это более широкое понятие, но всё равно очевидно, что это полный маразм и коррупция, требования отстали от жизни по меньшей мере на 30 лет.
Никакой проверки качества здесь нет, никакой страховки рисков для государства нет. Лицензию часто получают безымянные лавки, открытые вчера, после чего (незаконно) перепродают услуги, отдавая на субподряд.
Что делать? Не знаю. Бодаться с замшелой бюрократической организацией — себе дороже, так что все молча проходят через эти испытания и получают лицензию. Изменить ситуацию, наверное, могут банки и другие большие заказчики.
Ёжики плакали и кололись, но продолжали жрать кактус.
🤡3❤1
В последнее время ОПГ из СНГ, ломавшие банки, притихли. Кто-то насытился, кого-то посадили, кто-то боится, а кто-то, может, постригся в монахи.
Вокруг этих группировок было очень много шума, очень много сил вкладывали в расследования, но многих (Carbanak) так и не поймали, распугав пресс-релизами, а по некоторым делам посадили не тех (дело банка Авангард), а многих других даже не начинали искать (десятки крупных хищений в год, особенно страдали платёжные системы).
Какой же был ущерб от таких атак? Никто не знает, хотя приводят оценки объёма хищений в миллиарды долларов, но это на весь мир и не за один год, и вообще это из пресс-релизов ИБ-компаний, которые заинтересованы раздувать FUD.
Это звучит весьма контрастно с сегодняшним днём, когда ежедневно у всех на глазах происходят хищения, зачастую многократно превосходящие по объёму любой банковский взлом.
Речь, конечно, про блокчейн-проекты (сейчас это называют Decentralized Finance или DeFi). Несмотря на их хайповость и публичность финансовых потоков, о блокчейн-инцидентах в ИБ-среде говорят как будто меньше. Скорее даже вообще не говорят.
Связываю это с 2 причинами:
1) Инертность индустрии ИБ: она просто не успевает за бурно меняющимися новыми технологиями. Так, я практически не вижу пересечений между хакерским коммьюнити и коммьюнити DeFi, даже на уровне чатов этого пересечения почти нет.
2) Общественная опасность: банковские инциденты затрагивают фундаментальные общественные институты, государственную финансовую систему и, грубо говоря, простых граждан. А хищение же криптовалюты — это в глазах многих просто перекладывание фантиков из кармана одного спекулянта в карман другого, которое происходит в серой неконтролируемой зоне.
Но игнорировать всю эту индустрию и её проблемы безопасности мне кажется странным.
Если посмотреть на новости о таких хищениях, а потом открыть гитхаб и посмотреть исходники ограбленных смарт-контрактов, можно увидеть совершенно дурацкие уязвимости, которые можно было сразу поймать при маломальском аудите силами любого, кто в принципе умеет читать код.
Для затравки некоторые примеры, на которые натыкался (специально не собирал):
1) Alpha Homora (украдено $37.5M) — хитрый финансовый продукт, позволяющий зарабатывать на yield farming и займах в блокчейне: https://blog.alphafinance.io/alpha-homora-v2-post-mortem/
2) Yearn Finance (украдено $11+M) — ещё один хитрый продукт из нескольких финансовых протоколов, в частности, что-то вроде агрегатора разных других продуктов для займов и депозитов: https://github.com/iearn-finance/yearn-security/blob/master/disclosures/2021-02-04.md
3) IceCreamSwap (украдено ~$1M в BNB, потом курс подскочил, так что уже близко к $3M) — очередной форк SushiSwap, в котором умудрились допустить уязвимость, поменяв пару строк, смотрите сами: https://github.com/IceCreamSwap/contracts/blob/7e433aa1d2633665b95a12687a17fc84d2a9c1ac/farm-contracts/MasterChef.sol
4) Куча других копеечных хищений, которые не попали на радары, например, вот украли примерно $160k из того же SushiSwap: https://www.rekt.news/badgers-digg-sushi/
И это всё только за последний месяц, а впереди ещё целый год! =)
Так что, ребята, придётся кому-то из нас вникать в запутанные нюансы финансовых продуктов, чтоб быть в контексте и понимать новые уязвимости.
Ведь особенностью атак на DeFi является то, что зачастую уязвимость заключается не столько в программной реализации, сколько во всей финансовой логике продукта.
Вокруг этих группировок было очень много шума, очень много сил вкладывали в расследования, но многих (Carbanak) так и не поймали, распугав пресс-релизами, а по некоторым делам посадили не тех (дело банка Авангард), а многих других даже не начинали искать (десятки крупных хищений в год, особенно страдали платёжные системы).
Какой же был ущерб от таких атак? Никто не знает, хотя приводят оценки объёма хищений в миллиарды долларов, но это на весь мир и не за один год, и вообще это из пресс-релизов ИБ-компаний, которые заинтересованы раздувать FUD.
Это звучит весьма контрастно с сегодняшним днём, когда ежедневно у всех на глазах происходят хищения, зачастую многократно превосходящие по объёму любой банковский взлом.
Речь, конечно, про блокчейн-проекты (сейчас это называют Decentralized Finance или DeFi). Несмотря на их хайповость и публичность финансовых потоков, о блокчейн-инцидентах в ИБ-среде говорят как будто меньше. Скорее даже вообще не говорят.
Связываю это с 2 причинами:
1) Инертность индустрии ИБ: она просто не успевает за бурно меняющимися новыми технологиями. Так, я практически не вижу пересечений между хакерским коммьюнити и коммьюнити DeFi, даже на уровне чатов этого пересечения почти нет.
2) Общественная опасность: банковские инциденты затрагивают фундаментальные общественные институты, государственную финансовую систему и, грубо говоря, простых граждан. А хищение же криптовалюты — это в глазах многих просто перекладывание фантиков из кармана одного спекулянта в карман другого, которое происходит в серой неконтролируемой зоне.
Но игнорировать всю эту индустрию и её проблемы безопасности мне кажется странным.
Если посмотреть на новости о таких хищениях, а потом открыть гитхаб и посмотреть исходники ограбленных смарт-контрактов, можно увидеть совершенно дурацкие уязвимости, которые можно было сразу поймать при маломальском аудите силами любого, кто в принципе умеет читать код.
Для затравки некоторые примеры, на которые натыкался (специально не собирал):
1) Alpha Homora (украдено $37.5M) — хитрый финансовый продукт, позволяющий зарабатывать на yield farming и займах в блокчейне: https://blog.alphafinance.io/alpha-homora-v2-post-mortem/
2) Yearn Finance (украдено $11+M) — ещё один хитрый продукт из нескольких финансовых протоколов, в частности, что-то вроде агрегатора разных других продуктов для займов и депозитов: https://github.com/iearn-finance/yearn-security/blob/master/disclosures/2021-02-04.md
3) IceCreamSwap (украдено ~$1M в BNB, потом курс подскочил, так что уже близко к $3M) — очередной форк SushiSwap, в котором умудрились допустить уязвимость, поменяв пару строк, смотрите сами: https://github.com/IceCreamSwap/contracts/blob/7e433aa1d2633665b95a12687a17fc84d2a9c1ac/farm-contracts/MasterChef.sol
4) Куча других копеечных хищений, которые не попали на радары, например, вот украли примерно $160k из того же SushiSwap: https://www.rekt.news/badgers-digg-sushi/
И это всё только за последний месяц, а впереди ещё целый год! =)
Так что, ребята, придётся кому-то из нас вникать в запутанные нюансы финансовых продуктов, чтоб быть в контексте и понимать новые уязвимости.
Ведь особенностью атак на DeFi является то, что зачастую уязвимость заключается не столько в программной реализации, сколько во всей финансовой логике продукта.
🤡3❤1
image_2021-04-19_17-03-14.png
466.9 KB
Инцидент с утечкой базы free.navalny.com банален, базы отовсюду воруют.
И, боюсь, для этого совсем не нужны никакие завербованные ФСБ инсайдеры.
Ведь пароль администратора Django-бекенда можно увидеть прямо в коде Next.JS-фронтенда.
P.S. Если что, пароль к админке сейчас не подходит, так что уже не уязвимость, но чёрт знает, кто успел воспользоваться.
И, боюсь, для этого совсем не нужны никакие завербованные ФСБ инсайдеры.
Ведь пароль администратора Django-бекенда можно увидеть прямо в коде Next.JS-фронтенда.
P.S. Если что, пароль к админке сейчас не подходит, так что уже не уязвимость, но чёрт знает, кто успел воспользоваться.
🤡3
После полуторагодичного простоя больших конференций влетаю сразу на 2 за неделю: Highload++ и PHDays.
И там и там с баззвордами: AI и DeFi.
И на PHDays, и на Highload++ немного расскажу про опыт пентеста AI-систем и их инфраструктуры.
В этой сфере очень много работ про математические атаки на собственно саму ML-составляющую и алгоритмы, но на самом деле, более низко висящий фрукт — это, конечно, обёртки вокруг математики, такие как препроцессинг или хранение данных.
На PHDays также участвую в Blockchain Village и делаю задачки для конкурса DeFi Hack.
Конкурс будет в онлайне, так что участвуйте, есть простые таски, можно успеть разобраться в взломе смарт-контрактов и DeFi-протоколов.
Помимо разработки задачек, попробую систематизировать подход к аудиту 3rd-party проектов с целью риск-менеджмента.
Ведь обычно аудиторы не включают в модель нарушителя самих владельцев проекта и не пишут в отчёте про вероятность скама, а стороннему инвестору это важно.
Поэтому существует такой вот особый класс аудитов (не только в контексте блокчейна, но и вообще), похожих на кредитный или страховой скоринг, когда заказчиком является третья сторона.
С PHDays в этом году вообще особенная история, поскольку организатор конференции теперь оказался под санкциями Минфина США, и в том числе прозвучало абсурдное обвинение о том, что спецслужбы де вербуют хакеров на этой самой конференции.
Теперь организаторы 2 из 3 главных хакерских конференций в России находятся под санкциями.
В чатиках мы обсуждали такую возможность за пару месяцев до санкций, поскольку в публикации одной западной организации узнали под кодовым именем именно ПТ, такая конспирация выглядела подозрительной.
Грустно, но можно было смело шортить облигации ;)
И там и там с баззвордами: AI и DeFi.
И на PHDays, и на Highload++ немного расскажу про опыт пентеста AI-систем и их инфраструктуры.
В этой сфере очень много работ про математические атаки на собственно саму ML-составляющую и алгоритмы, но на самом деле, более низко висящий фрукт — это, конечно, обёртки вокруг математики, такие как препроцессинг или хранение данных.
На PHDays также участвую в Blockchain Village и делаю задачки для конкурса DeFi Hack.
Конкурс будет в онлайне, так что участвуйте, есть простые таски, можно успеть разобраться в взломе смарт-контрактов и DeFi-протоколов.
Помимо разработки задачек, попробую систематизировать подход к аудиту 3rd-party проектов с целью риск-менеджмента.
Ведь обычно аудиторы не включают в модель нарушителя самих владельцев проекта и не пишут в отчёте про вероятность скама, а стороннему инвестору это важно.
Поэтому существует такой вот особый класс аудитов (не только в контексте блокчейна, но и вообще), похожих на кредитный или страховой скоринг, когда заказчиком является третья сторона.
С PHDays в этом году вообще особенная история, поскольку организатор конференции теперь оказался под санкциями Минфина США, и в том числе прозвучало абсурдное обвинение о том, что спецслужбы де вербуют хакеров на этой самой конференции.
Теперь организаторы 2 из 3 главных хакерских конференций в России находятся под санкциями.
В чатиках мы обсуждали такую возможность за пару месяцев до санкций, поскольку в публикации одной западной организации узнали под кодовым именем именно ПТ, такая конспирация выглядела подозрительной.
Грустно, но можно было смело шортить облигации ;)
🤡3
Стажировка
Нам в DeteAct нужно быстро расти, поэтому запустили набор стажёров для обучения пентесту.
У нас есть позитивный опыт внутреннего обучения и роста компетенций, хочется попробовать его масштабировать.
Пока планируем провести именно летнее обучение-практику с последующим отбором в штат, но, конечно, итоговый формат будет зависеть от качества и количества собранных анкет.
В анкете есть технические вопросы достаточно творческого характера, ответы на которые мы будем оценивать вручную.
В России всего 10-15 компаний, которые реально делают пентесты, и ещё под сотню тех, кто их продаёт. Мы занимаемся и тем, и другим: стремимся ломать круче всех и получать больше всех хороших клиентов.
Так что ждём всех желающих присоединиться к профильной команде хакеров и заниматься разнообразными проектами для заказчиков, которым это действительно интересно!
Нам в DeteAct нужно быстро расти, поэтому запустили набор стажёров для обучения пентесту.
У нас есть позитивный опыт внутреннего обучения и роста компетенций, хочется попробовать его масштабировать.
Пока планируем провести именно летнее обучение-практику с последующим отбором в штат, но, конечно, итоговый формат будет зависеть от качества и количества собранных анкет.
В анкете есть технические вопросы достаточно творческого характера, ответы на которые мы будем оценивать вручную.
В России всего 10-15 компаний, которые реально делают пентесты, и ещё под сотню тех, кто их продаёт. Мы занимаемся и тем, и другим: стремимся ломать круче всех и получать больше всех хороших клиентов.
Так что ждём всех желающих присоединиться к профильной команде хакеров и заниматься разнообразными проектами для заказчиков, которым это действительно интересно!
intern.deteact.ru
Пентест, анализ защищённости
Приглашаем на стажировку по пентестам!
🤡3
Крутые математики
Топ-10 самых интересных математиков, жизненный путь, способности, открытия или взгляды которых меня когда-то впечатлили.
Random fact: среди них 4 еврея, 2 русских, 2 немца, француз и индиец.
Факты из биографий приведены в вольном пересказе, который может содержать неточности.
Израиль Моисеевич Гельфанд
Этого мальчика с говорящим именем, отчеством и фамилией совки выгнали (заодно с одноклассником Мильманом) из школы, так что он не получил даже среднего образования.
Не имея корочек, занимаясь самообразованием, в 19 лет стал преподавателем в МГУ и аспирантом аж у Колмогорова.
Был полиматом и, помимо математики и физики, внёс существенный вклад в биологическую науку (кстати, в том числе через своих потомков, многие из которых занимаются биологией и медициной).
Сриниваса Рамануджан Айенгор
Этот индус самостоятельно проштудировал сборник тождеств и фанатично начал выводить собственные формулы (в основном цепные тождества), зачастую весьма сложные в доказательстве.
Не имея высшего образования, приехал в Британию и стал там членом Лондонского королевского общества.
Утверждал, что формулы ему во сне рассказывает богиня Намагири Тхайяр (о_О). Умер в Индии в 32 года.
Игорь Ростиславович Шафаревич
А этот суровый тип в 15 лет окончил школу, в 17 лет — мехмат, в 19 стал кандидатом физико-математических наук, в 23 — доктором, а в 35 — членкором РАН. Основной вклад внёс в теорию чисел и алгебру.
Был диссидентом и публицистом (хоть и сомнительным), прожил 94 года.
Иоганн Карл Фридрих Гаусс
Этому колоссу науки повезло прожить достаточно, чтоб привнести фантастически много нового в теорию чисел, алгебру, статистику (да-да, привет ML'щикам, не было бы ваших 300кк/сек без Карла), механику, геометрию и даже астрономию.
Отличался невероятными способностями к устному счёту, научной плодотворностью и знанием языков.
Джон фон Нейман
Этот добродушный дядька жил вполне благополучно, к 23 годам защитил PhD, затем уехал из Венгрии в США, где придумал архитектуру компьютера (за что, пожалуй, больше всего известен), а ещё, внёс существенный вклад в логику и аксиоматизацию математики, в квантовую механику, а также помогал в разработке ядерного оружия (может, не очень-то и добродушный был)!
Эварист Галуа
Дерзкий французский юнец, революционер, убитый в 20 лет в ходе дуэли (то ли из-за женщины, то ли из-за политики). За свою короткую жизнь успел пережить кучу бед и придумать группы, поля и многое другое, дав орудие для всей современной алгебры и криптографии. Интересно, что он был современником других выдающихся математиков: Фурье, Коши, Гаусса, Абеля, Пуассона, Якоби и других.
Allons enfants de la Patrie!
Григорий Яковлевич Перельман
Очевидный выбор для топа: межнар (абсолютное 1 место на ММО в 1983 году), лауреат филдсовской медали (от денежной премии, как известно, отказался), 7 лет безвылазно фигачил, работая над одной нерешённой задачей, не сдаваясь.
Пожалуй, именно такая способность — самая нужная черта для любого исследователя, будь то математик или хакер.
Курт Фридрих Гёдель
Этот ариец внёс потрясающий вклад в математическую логику и философию науки, его теоремами жонглируют в софистических дискуссиях эрудиты всех мастей (даже Онотоле). При всей строгости мышления и разумности страдал от параноидального расстройства личности и погиб от истощения.
Юрий Иванович Манин
Мечтатель и поэт, ученик Шафаревича, алгебро-геометр, логик, теор-физик, лингвист и философ. Советую к чтению его любопытную книжку "Математика как метафора".
Между прочим, Манин придумал квантовый компьютер!
Пал Эрдёш
Ещё один венгерский еврей, один из самых активных и меметичных математиков, часто встречающийся в математических анекдотах. Стал соавтором примерно 1500 статей, так что даже есть отдельный термин "Число Эрдёша", означающее длину пути от какого-либо математика до Эрдёша на графе совместных публикаций. В 21 год досрочно защитил диссертацию, внёс вклад во множество разных областей математики.
Топ-10 самых интересных математиков, жизненный путь, способности, открытия или взгляды которых меня когда-то впечатлили.
Random fact: среди них 4 еврея, 2 русских, 2 немца, француз и индиец.
Факты из биографий приведены в вольном пересказе, который может содержать неточности.
Израиль Моисеевич Гельфанд
Этого мальчика с говорящим именем, отчеством и фамилией совки выгнали (заодно с одноклассником Мильманом) из школы, так что он не получил даже среднего образования.
Не имея корочек, занимаясь самообразованием, в 19 лет стал преподавателем в МГУ и аспирантом аж у Колмогорова.
Был полиматом и, помимо математики и физики, внёс существенный вклад в биологическую науку (кстати, в том числе через своих потомков, многие из которых занимаются биологией и медициной).
Сриниваса Рамануджан Айенгор
Этот индус самостоятельно проштудировал сборник тождеств и фанатично начал выводить собственные формулы (в основном цепные тождества), зачастую весьма сложные в доказательстве.
Не имея высшего образования, приехал в Британию и стал там членом Лондонского королевского общества.
Утверждал, что формулы ему во сне рассказывает богиня Намагири Тхайяр (о_О). Умер в Индии в 32 года.
Игорь Ростиславович Шафаревич
А этот суровый тип в 15 лет окончил школу, в 17 лет — мехмат, в 19 стал кандидатом физико-математических наук, в 23 — доктором, а в 35 — членкором РАН. Основной вклад внёс в теорию чисел и алгебру.
Был диссидентом и публицистом (хоть и сомнительным), прожил 94 года.
Иоганн Карл Фридрих Гаусс
Этому колоссу науки повезло прожить достаточно, чтоб привнести фантастически много нового в теорию чисел, алгебру, статистику (да-да, привет ML'щикам, не было бы ваших 300кк/сек без Карла), механику, геометрию и даже астрономию.
Отличался невероятными способностями к устному счёту, научной плодотворностью и знанием языков.
Джон фон Нейман
Этот добродушный дядька жил вполне благополучно, к 23 годам защитил PhD, затем уехал из Венгрии в США, где придумал архитектуру компьютера (за что, пожалуй, больше всего известен), а ещё, внёс существенный вклад в логику и аксиоматизацию математики, в квантовую механику, а также помогал в разработке ядерного оружия (может, не очень-то и добродушный был)!
Эварист Галуа
Дерзкий французский юнец, революционер, убитый в 20 лет в ходе дуэли (то ли из-за женщины, то ли из-за политики). За свою короткую жизнь успел пережить кучу бед и придумать группы, поля и многое другое, дав орудие для всей современной алгебры и криптографии. Интересно, что он был современником других выдающихся математиков: Фурье, Коши, Гаусса, Абеля, Пуассона, Якоби и других.
Allons enfants de la Patrie!
Григорий Яковлевич Перельман
Очевидный выбор для топа: межнар (абсолютное 1 место на ММО в 1983 году), лауреат филдсовской медали (от денежной премии, как известно, отказался), 7 лет безвылазно фигачил, работая над одной нерешённой задачей, не сдаваясь.
Пожалуй, именно такая способность — самая нужная черта для любого исследователя, будь то математик или хакер.
Курт Фридрих Гёдель
Этот ариец внёс потрясающий вклад в математическую логику и философию науки, его теоремами жонглируют в софистических дискуссиях эрудиты всех мастей (даже Онотоле). При всей строгости мышления и разумности страдал от параноидального расстройства личности и погиб от истощения.
Юрий Иванович Манин
Мечтатель и поэт, ученик Шафаревича, алгебро-геометр, логик, теор-физик, лингвист и философ. Советую к чтению его любопытную книжку "Математика как метафора".
Между прочим, Манин придумал квантовый компьютер!
Пал Эрдёш
Ещё один венгерский еврей, один из самых активных и меметичных математиков, часто встречающийся в математических анекдотах. Стал соавтором примерно 1500 статей, так что даже есть отдельный термин "Число Эрдёша", означающее длину пути от какого-либо математика до Эрдёша на графе совместных публикаций. В 21 год досрочно защитил диссертацию, внёс вклад во множество разных областей математики.
🤡3
Подкасты
Ниже топ-3 подкастов/видеоблогов в моём арсенале в последнее время. Топ-10 не будет, потому что не может быть столько времени на такой тип контента, я и из этих 3 подкастов суммарно слушаю только небольшую часть выпусков.
1) Lex Fridman podcast
Офигенный (видео-)подкаст, 3-4-часовые выпуски которого хочется слушать целиком, найдя 25-й час в сутках. Космические гости (Маск, Виталик, Роган, Докинз, Вольфрам, Геохот, Каспаров и т. д.) и темы (от борьбы и ММА до алгебраической топологии), классный ведущий, который занимается разработкой беспилотных автомобилей.
Кстати, ведущий — из России, его семья эмигрировала в США в 90-е. Его отец — физик плазмы, весьма харизматичный чувак, с ним Лекс даже сделал несколько выпусков.
2) Запуск завтра
В этом подкасте я даже был гостем в одном из первых эпизодов, у автора ещё есть одноимённый канал. Самат классный чувак и отлично умеет формировать сообщество.
Со времени первых эпизодов он круто прокачал навыки интервьюера, даёт много объяснений "для мамы" и умеет удивляться, даже когда на самом деле и так знал ответ на вопрос :)
Тут много про процессы разработки в различных компаниях, про работу в стартапах и технологических гигантах, про айти и предпринимательство в целом. Эпизоды довольно короткие, так что слушаю большую часть.
3) Русские норм
Видео-интервью с успешными русскими предпринимателями, разработчиками, менеджерами, экономистами.
Ведущая (Елизавета Осетинская) хорошо разбирается в мире технологического предпринимательства, классно готовит вопросы и поднимает важные темы, раскрывая гостей.
Воды — минимум, много примеров образа мышления и жизненного пути топовых челов, многие из которых удивляют. Бывает интересно слушать даже интервью с людьми из чуждых для меня индустрий (например, ритейл).
Ниже топ-3 подкастов/видеоблогов в моём арсенале в последнее время. Топ-10 не будет, потому что не может быть столько времени на такой тип контента, я и из этих 3 подкастов суммарно слушаю только небольшую часть выпусков.
1) Lex Fridman podcast
Офигенный (видео-)подкаст, 3-4-часовые выпуски которого хочется слушать целиком, найдя 25-й час в сутках. Космические гости (Маск, Виталик, Роган, Докинз, Вольфрам, Геохот, Каспаров и т. д.) и темы (от борьбы и ММА до алгебраической топологии), классный ведущий, который занимается разработкой беспилотных автомобилей.
Кстати, ведущий — из России, его семья эмигрировала в США в 90-е. Его отец — физик плазмы, весьма харизматичный чувак, с ним Лекс даже сделал несколько выпусков.
2) Запуск завтра
В этом подкасте я даже был гостем в одном из первых эпизодов, у автора ещё есть одноимённый канал. Самат классный чувак и отлично умеет формировать сообщество.
Со времени первых эпизодов он круто прокачал навыки интервьюера, даёт много объяснений "для мамы" и умеет удивляться, даже когда на самом деле и так знал ответ на вопрос :)
Тут много про процессы разработки в различных компаниях, про работу в стартапах и технологических гигантах, про айти и предпринимательство в целом. Эпизоды довольно короткие, так что слушаю большую часть.
3) Русские норм
Видео-интервью с успешными русскими предпринимателями, разработчиками, менеджерами, экономистами.
Ведущая (Елизавета Осетинская) хорошо разбирается в мире технологического предпринимательства, классно готовит вопросы и поднимает важные темы, раскрывая гостей.
Воды — минимум, много примеров образа мышления и жизненного пути топовых челов, многие из которых удивляют. Бывает интересно слушать даже интервью с людьми из чуждых для меня индустрий (например, ритейл).
🤡3
Beched's thoughts
В последнее время ОПГ из СНГ, ломавшие банки, притихли. Кто-то насытился, кого-то посадили, кто-то боится, а кто-то, может, постригся в монахи. Вокруг этих группировок было очень много шума, очень много сил вкладывали в расследования, но многих (Carbanak)…
Хаки, конечно, продолжились, вот небольшая подборка недавних инцидентов: https://twitter.com/hosseeb/status/1405637755141431297
Twitter
Haseeb Qureshi
A snapshot of DeFi hacks since 2020. Notice the transition from yellow to blue (Ethereum => BSC). Credit @FrankResearcher
🤡3
Рождения
На планете примерно 7.7 млрд людей, и все они были кем-то рождены (к сожалению, мы ещё не научились синтезировать людей).
Средняя глобальная фертильность женщин сейчас порядка 2.5.
Если очень упростить, можно представить, что 3.4 млрд людей являются родителями, поскольку [1.7 млрд женщин * 2.5] детей + 3.4 млрд родителей = 7.65 млрд людей.
Даже с таким упрощением, получается, что доля родителей во всём населении превышает 44%.
В реальном мире распределение более сложное, но, судя по моим беглым подсчётам по публичной статистике, потомство есть у 80-85% людей во всём мире, учитывая все возрастные группы, включая детей (неужели не сильно ошибся?).
Если это так, то на момент смерти доля родителей должна быть ещё больше.
Войти в это число — статистически даже менее почётно, чем дожить до 28 лет.
Такими мелочами не стоит гордиться, но им обязательно нужно радоваться.
Радуйтесь мелочам и добивайтесь настоящих поводов для гордости!
На планете примерно 7.7 млрд людей, и все они были кем-то рождены (к сожалению, мы ещё не научились синтезировать людей).
Средняя глобальная фертильность женщин сейчас порядка 2.5.
Если очень упростить, можно представить, что 3.4 млрд людей являются родителями, поскольку [1.7 млрд женщин * 2.5] детей + 3.4 млрд родителей = 7.65 млрд людей.
Даже с таким упрощением, получается, что доля родителей во всём населении превышает 44%.
В реальном мире распределение более сложное, но, судя по моим беглым подсчётам по публичной статистике, потомство есть у 80-85% людей во всём мире, учитывая все возрастные группы, включая детей (неужели не сильно ошибся?).
Если это так, то на момент смерти доля родителей должна быть ещё больше.
Войти в это число — статистически даже менее почётно, чем дожить до 28 лет.
Такими мелочами не стоит гордиться, но им обязательно нужно радоваться.
Радуйтесь мелочам и добивайтесь настоящих поводов для гордости!
🤡3