Рождения

На планете примерно 7.7 млрд людей, и все они были кем-то рождены (к сожалению, мы ещё не научились синтезировать людей).

Средняя глобальная фертильность женщин сейчас порядка 2.5.
Если очень упростить, можно представить, что 3.4 млрд людей являются родителями, поскольку [1.7 млрд женщин * 2.5] детей + 3.4 млрд родителей = 7.65 млрд людей.
Даже с таким упрощением, получается, что доля родителей во всём населении превышает 44%.

В реальном мире распределение более сложное, но, судя по моим беглым подсчётам по публичной статистике, потомство есть у 80-85% людей во всём мире, учитывая все возрастные группы, включая детей (неужели не сильно ошибся?).
Если это так, то на момент смерти доля родителей должна быть ещё больше.

Войти в это число — статистически даже менее почётно, чем дожить до 28 лет.
Такими мелочами не стоит гордиться, но им обязательно нужно радоваться.
Радуйтесь мелочам и добивайтесь настоящих поводов для гордости!

Хабр

Всегда терпеть не мог токсичных комментаторов хабра и редко туда заходил.
Но всё-таки это самый большой русскоязычный IT-ресурс, так что завели там корпоративный блог и будем надеяться на минимум токсичности =)

Для старта опубликовал статью про квантовый шеллкодинг (если точнее, то про решение задачки на реверс-инжиниринг и квантовое программирование).

Похоже, пора нанимать писателей, чтоб оформить накопившиеся интересности в статьи =)

Подписывайтесь, ставьте лайки!

Госблечеры

Весь мир последние несколько дней обсуждает NSO Group.
Западная твиттерская общественность вдруг всколыхнулась: оказывается, какая-то израильская лавка поставляет кибероружие различным нехорошим людям, и они потом с его помощью убивают людей.

На самом деле, это, конечно, не единственная такая лавка, но одна из самых известных и наглых. И не случайно она находится в Израиле: это страна, которая одновременно и инновационная Startup Nation, и милитаристская держава, поэтому там среди IT-компаний непропорционально много тех, которые занимаются именно кибербезопасностью.

И из них, в свою очередь, непропорционально много тех, которые занимаются тем, что называется offensive security: разработка продуктов и исследования в интересах спецслужб.
Понятно, что совсем кому угодно продать продать оружие им вроде как не должны разрешать, а значит, всё это должно происходить с одобрения старших (Моссад, АНБ, ЦРУ).

Всегда считал все эти лавки "блечерами" (black hats): они существуют официально, но являются лишь квазилегитимными. Их деятельность поощряется спецслужбами конкретных стран, но вообще-то технически не отличается от деятельности какой-нибудь ОПГ, за которой гоняются, и участников которой потом сажают.
Отличие лишь в том, что у этих ОПГ вроде NSO Group есть крыша в виде спецслужбы, и вряд ли эти ребята ездят по курортам в недружественных странах.

Ах да: узнали о конкретных жертвах Pegasus, потому что какой-то добрый человек слил базу номеров телефонов жертв оружия NSO Group.
Похожая ситуация произошла в 2015 году с итальянской компанией того же offensive-профиля Hacking Team: их тогда взломали и слили в паблик вообще всё, включая всю почтовую переписку, инструменты и прочее.

Какие выводы можно сделать?
В мире есть несколько, скажем так, полу-преступных группировок, которые совершенно официально и легально продают инструменты для удалённого или локального взлома айфонов, компьютеров и прочего.
Продать их могут как всесильному АНБ, так и какому-нибудь банановому правительству, которое при помощи них отследит нелюбимого журналиста и замочит его.
А что с этим делает АНБ, журналисты даже писать боятся, наверное.

Если вы в группе риска (журналистика, политика, крупный бизнес) и пользуетесь айфоном, проследуйте хотя бы этим рекомендациям:
— Перезагружайте айфон каждый день (защита от persistance),
— Отключите iMessage, Facetime, Airdrop,
— Отключите Javanoscript в Safari,
— Вовремя обновляйте iOS,
— Используйте пасскод, отключите FaceID,
— Защитите iCloud

Если у вас вдруг андроид, рекомендации в целом аналогичны: обновления, пасскод, VPN, отключение максимального количества функций (bluetooth, javanoscript, и т. д.).

Code is Law

Второй день люди из мира DeFi в прямом эфире наблюдают за самым крупным хищением в истории не только блокчейна, но и вообще IT, финансовой системы, да и, может, в принципе человечества.

Некий анонимус спёр 611 (шестьсот одиннадцать) миллионов долларов США из китайского проекта poly.network.

Уязвимость, через которую они это сделали, сочетала в себе недостаток авторизации и хитрую особенность языка Solidity, на котором пишут смарт-контракты (а именно, способ вызова функций на уровне байт-кода).

В какой-то момент атакующему кто-то в комментарии к транзакции дал подсказку о том, что часть похищенных токенов начали блокировать, и в знак благодарности хакер переслал подсказчику 13.37 ETH. Всего $43k, а мог ведь и $4M перевести =)

В результате на кошельках атакующего появляются тысячи транзакций людей, умоляющих поделиться награбленным. Каждый мечтает о том, что Робин Гуд скинет жалкие $500k именно ему на счёт.

Сам же хакер там же просит у "подписчиков" советов, как ему поступить с деньгами. В какой-то момент он даже начал возвращать средства проекту, но почему-то до сих пор не вернул всё.

Как обычно, хищение вскрыло вечные философские вопросы...

Должны ли быть DeFi-проекты по-настоящему децентрализованы?
Тут, например, компания Tether заблокировала атакующему $30M кастодиальных токенов USDT. Это противоречит духу DeFi, но зато может помочь вернуть деньги.

Является ли код смарт-контракта законом в конечной инстанции, а следовательно, и взломы — правомерным поведением в рамках контракта?
Если да, то каким образом защищаться от бекдоров и закладывать в экономику проекта риски, которые заведомо признаются нормальным поведением кода?
Если нет, то на кой чёрт тогда блокчейн вместо централизованного сервиса?

Кто несёт ответственность за потери?
Взломанный проект вроде как аудировали несколько команд, и уязвимость эту они не нашли.
При этом авторы проекта даже не удосужились выложить его код и результаты аудитов, так что со стороны такой объём средств в проекте выглядит как полнейшая глупость со стороны пользователей.

По-моему, в "традиционных" индустриях давно нет такого драйва, крутых задач и веселья (да и взломов таких там просто не может быть :D).
Так что, в очередной раз призываю вливаться и вникать: ведь как бы вы ни относились к этому явлению, оно уже существует и создаёт возможности и проблемы =)

Русский Мир

Поразительно, в уличном интервью в Австралии в 1962 г. на вопрос "какие языки необходимо преподавать в австралийских школах?" примерно половина респондентов упомянула русский.
Некоторые объяснили это тем, что русские скоро захватят мир и будут доминирующей нацией.

Выходит, несмотря на всю антисоветскую пропаганду, люди на Западе (в случае с этим видео — не в географическом, а в культурном смысле) воспринимали эту страну как победителя.

Похожим образом сейчас многие обосновывают необходимость изучать китайский.
Интересно, как будут выглядеть такие доводы через 60 лет...

Корпоративно-спортивный хакинг

Кстати, полтора месяца назад поучаствовали в чемпионате HackTheBox Business CTF среди компаний, которые предоставляют услуги по пентесту.

На самом деле, там, конечно, регистрировались и внутренние команды различных корпораций и банков, да и просто какие-то фрилансерские или академические команды.

Начали за здравие, удерживая 1-е место, но потом скатились на 7-е, сохранив 1-е среди российских команд.

На типичных CTF-соревнованиях нужно решать сложные задачи по бинарной эксплуатации, реверс-инжирингу, криптоанализу и прочим категориям.

Здесь же, помимо традиционных олимпиадных заданий, было много "тачек" в стиле HackTheBox: нужно было взламывать Active Directory, Kubernetes, повышать привилегии на Windows и Linux и т. д.

В целом, по-моему, делать корпоративные хакерские чемпионаты — прикольная идея.
И реализация была на удивление неплохой, я ожидал куда более идиотские таски.

В случае с HTB, конечно, мотивация очевидна: одним из их направлений бизнеса является как раз b2b, и им нужно продавать свои тренинги, для чего они и решили привлечь аудиторию таким ивентом.

Ну а наши ребята отлично потренились и добавили фактуры нашей корпоративной рекламе DeteAct про "чемпионов мира по хакингу", хотя, конечно, я всё ещё верен принципу, что в любых соревнованиях всё, кроме 1-го места, — это поражение ;)

9\\11

20 лет назад беззаботно гонял мяч в облупленном дворе, а потом прибежал домой, где взрослые сидели на кухне и безотрывно пырили в маленький телик, где показывали то, что в значительной мере определило или по крайней мере символизировало последующие 20 лет жизни всего человечества и, наверное, в большей степени повлияло на облик профессии безопасников.

Начинался 21 век.

DoS: не недоступностью единой

Безнадёжно отстали от контент-плана по статьям на Хабре, но вот выкатил заметку на тему, о которой хотел основательно подумать последние 3-4 года, но так и не подумал достаточно хорошо =)

Думаю, что есть ещё немало интересных техник эксплуатации такого класса, и соответствующие недостатки трудно найти как вручную, так и автоматически.

Ask Me Anything

Ещё я тут залетел в Т-Ж на AMA.
В течение нескольких дней придётся отвечать на вопросы, заодно разобравшись в них самому =)
Все желающие могут накидать своих вопросов или полайкать понравившиеся.

Часто самые простые на первый взгляд вопросы от "простых юзеров" вызывают самые длительные баталии ИБшников, что я как раз недавно проверил, задав в паре чатов вопрос о том, как лучше хранить пароли.

И тут ведь ситуация как у врачей: "пациенты" будут возлагать ответственность на экспертов, поэтому нужно давать максимально понятные и невредные советы =)

Редакция

Немного снялись в фильме канала "Редакция" про всякое хакерство.

Когда ребята уже пришли к нам в офис, мы поняли, что нужно сделать какую-то демку для съёмок =)
Готово ничего не было, а в очередной раз ломать wi-fi для ТВ — баян, поэтому решили сделать что-то интереснее.

Сплойт под непатченный десктопный Chrome или мобильный Safari с ходу завести не успели, так что не придумали ничего, кроме запуска Responder и демонстрации взлома netntlm-хеша, что можно угадать по кадрам.
Интересно, понятно ли что-то обычному зрителю %)

Банальности

Даже и забыл, что у меня есть канал.

А ещё, в суете изучения нового валютного законодательства, — и о том, что каждому иногда приходится говорить банальные, вроде бы очевидные и как будто даже формальные вещи вроде "будь здоров", "с днём рождения" и "нет".

Из-за чего-то вроде синдрома самозванца мне часто бывает неудобно говорить банальности, потому что кажется, что это выглядит неискренне, что я просто повторяю за всеми, и что это и так понятно.

Оказывается, понятно не всем, и в такие дни многие обнажают свою истинную или, напротив, поддельную сущность, сбиваясь на эмоции и наговорив гадостей прежним друзьям и знакомым, призывая к убийствам и ненависти.

Убеждён, что геополитические цели и моральная эквилибристика не оправдывают этого нападения, и это ошибка, которая совершена людьми, потерявшими связь с реальностью.

Что делать прямо сейчас — каждый решает самостоятельно, и единственный безопасный инвестиционный совет, который я готов дать по этому поводу, — это не залипать на новостных каналах и пропаганде и не фокусироваться на этом негативе.
Нам нужен незамутнённый и холодный и не потерявший связи с реальностью разум для принятия решений как о своей жизни, так и о жизнях родных, сограждан, друзей и соседей, о бизнесе и государстве.

Высокая нагрузка

Я пока ещё в Москве, и завтра таки должна состояться давно запланированная и несколько раз перенесённая конференция HighLoad++, куда я в прошлом году подавал докладик.
На прошлом хайлоаде я рассказывал про пентест AI-систем, а на этот раз тема чуть более приземлённая и приближенная к первоначальной тематике конференции.

Кто едет, пинайте, буду рад обсудить ломание и защиту со старыми и новыми знакомыми.

Подкаст

А вот и вторая серия нашего подкаста: Yet Another Hacker.

Вместе с гостем подкаста мы развили увлекательнейшую тему для большинства наших слушателей - Соревновательность в хакинге и соревнования.

В этой серии мы обсуждаем тему, которая делает хакинг для многих столь привлекательным. Очень часто специалисты здесь могут и хотят померяться силами: кто быстрее взломает? кто больше знает? кто больше опыта имеет? Отчасти поэтому турниры и багбаунти платформы так популярны. Все видят подиум, но могут даже не представлять себе то, что на пути к этому подиуму стоит. Стоит ли игра свеч, является ли успех в соревновательных активностях показательным или обманчивым, как часто именно пентестеры проявляют себя в подобного рода мероприятиях и как часто это делают не они - вопросы нашей сегодняшней встречи.

В гостях: Омар Ганиев (@beched)

Episode page: https://podcast.ru/e/Yelq50Lk86
Podcast page: https://podcast.ru/1626820774

P.S. Всем приятного прослушивания!

Ждём ещё больше крепких хакеров, готовых ломать и качаться.
Если хотите смотреть изнутри на системы крупных (и не очень) компаний с миллионами пользователей и хакать их, идите к нам!

Веб-пентестер (Junior+/Middle- — Middle+)

Continuous Technologies (бренд DeteAct) — растущая компания, предоставляющая сервисы и разрабатывающая продукты в сфере кибербезопасности.
Мы — одни из лидеров на рынке услуг по оценке защищённости в России.
Мы помогаем клиентам обнаруживать уязвимости и действовать для их устранения, опередив злоумышленников.

Задача: участие в проектах по тестированию на проникновение и анализу защищённости приложений.
Вилка: 120-170 т.р. на руки

Обязанности:
— Анализ защищённости веб-приложений, фронтендов, API, исходного кода,
— Работа в команде как с российскими, так и зарубежными заказчиками (корпорации, стартапы, банки, компании любого размера и из различных индустрий),
— При желании: совместные исследования, разработка продуктов и сервисов, участие в соревнованиях и конференциях.

Примерные требования:
— Опыт проведения пентестов, понимание методологии, умение находить, эксплуатировать и объяснять основные веб-уязвимости,
— Уверенное владение всем необходимым инструментарием (Burp Suite, расширения, различные сканеры и нюансы их конфигурации) и технологическим стеком (программирование),
— Умение формулировать стандартные рекомендации по исправлению багов,
— Умение корректно оценивать уровень риска уязвимостей, придумывать атаки на бизнес-логику.

Условия:
— Работа удалённо или в московском офисе в БЦ "Савёловский Сити",
— Молодой коллектив и быстрорастущая компания,
— Время на исследования и публикации,
— Участие в конференциях и обучение.

HH: https://hh.ru/vacancy/68107810
В ЛС (neprivet.ru): @r0hack или @beched

Hack the World

Победным в любом соревновании является только первое место. Так всегда нужно рассуждать, когда вы в нём участвуете.
Когда же оно закончилось, можно немного расслабиться и посчитать успехом и попадание в тройку или пятёрку.

Вообще, именно победными часто ощущаются не самые высокие результаты: ведь занять 2-е означает проиграть 1-му, и это обидно.
Если же занять 3-е — выходит, что это уже "бронза", вырванная зубами!
Аналогично, 4-е — это провал, ведь не удалось взойти на пьедестал, а 5-е — это приятный круглый результат.

Именно так я мотивировал коллег, рассказывая, что наше на тот момент 5-е место в The Standoff 2022 в мае (* и победа в категории Bug Hunting) — это круто, но в последние минуты нам засчитали ещё очков, и мы вернулись на 4-е, про которое я только что объяснил, что это обидный провал, в отличие от нашего достойного круглого места :D

Зато пару недель назад ребята отыгрались и улучшили результат, заняв как раз 5-е из 657 на хакерском чемпионате среди компаний — HTB Business CTF.

Если вы в компании занимаетесь практической безопасностью и не участвуете пару раз в год в таких мероприятиях — попробуйте, это отличные интенсивные командные учения.
В последние годы набирают обороты даже внутренние CTF, которые компании проводят для обучения сотрудников безопасной разработке.

Ураган наличных

США совершили атаку на свободу слова и на право приватности, а также продемонстрировали экстратерриториальность своих законов и некомпетентность своих чиновников.
OFAC наложили санкции на протокол Tornado Cash, а в Амстердаме был арестован один из его разработчиков.
А госсекретарь США Энтони Блинкен заявил в Твиттере, что санкции наложены на "хакерскую группировку, спонсируемую Северной Кореей" (WTF??).

В действительности Tornado Cash (далее — TC) — это никакая не группировка, а децентрализованный протокол, разработанный ребятами из русского сообщества безопасников и web3-разработчиков.
Он работает как "миксер" и позволяет скрыть происхождение средств в блокчейне.
Ключевое отличие от обычных централизованных миксеров в том, что приватность обеспечивается криптографически, никто не может её нарушить, и работа протокола обеспечивается не конкретными людьми, а распределённым блокчейном.

Люди, создавшие протокол, не знают, кто его использует, не могут это узнать или предотвратить: они вообще не влияют на работу его алгоритма после публикации, а значит, не могут нести за это ответственность.

В санкционный список OFAC добавлены Ethereum-адреса, связанные с TC.
А подозрения в адрес арестованного разработчика заключаются в том, что он способствовал незаконному отмыванию средств.

Почему ситуация абсурдна?

1) Далеко не весь оборот TC — грязь.
В Tornado Cash действительно залили огромные суммы украденных средств, но это всё равно всего лишь 10.5% всего оборота обменника, причём подозреваю, что существенную часть этой суммы составляют 3-4 конкретных случая, когда были очень крупные взломы на сотни миллионов.

2) Создатель балаклавы не несёт ответственность за то, что кто-то в ней ограбил банк.
Обвинить авторов open-source протокола в том, что кто-то воспользовался им для отмыва украденных средств, это почти как обвинить Райвеста, Шамира и Адлемана в том, что они создали алгоритм шифрования RSA, который может использоваться для сокрытия преступлений.

3) Механика санкций абсолютно непрозрачна.
Теперь запрещено "взаимодействовать" с адресами миксера в сети Ethereum, но старики из OFAC не учли, что в блокчейне можно получить средства без какого-либо умысла и даже не зная об этом. А те, кто действительно отмывает средства, может их перевести на другой кошелёк, который уже формально не взаимодействовал с миксером.
Так что вполне ожидаемо произошло следующее: некий тролль раскидал через TC по 0.1 ETH (~$200) на адреса известных людей, включая ведущего Джимми Фэллона и основателя Coinbase Брайана Армстронга.
Теперь, если буквально интерпретировать закон, им может грозить до 30 лет тюрьмы.


Почему TC — нужная технология?

1) Приватность — базовое право человека.
Сегодня вам запрещают пользоваться TC, а завтра заставляют устанавливать дома телекран.
Вы имеете право на приватность и свободу слова. В данном случае код является словом, и его свободу тоже нарушили арестом автора.

2) В финансовых системах необходимы механизмы приватности для бизнеса.
Транзакции в банке видит только банк и налоговая, но не каждый встречный. В блокчейне тоже нужен такой механизм.
Например, вы оказываете услуги и получаете за это деньги от клиентов в крипте, но не хотите, чтоб конкуренты знали стоимость услуг. Если вы не анонимизируете свои кошельки, вся информация открыта.
При этом в TC существует криптографический механизм комплаенса, который позволяет раскрыть происхождение средств при необходимости (как в случае с банком и налоговой).

3) Для личных и общественно-политических целей нужны анонимные платежи.
Виталик Бутерин воспользовался TC для отправки средств на нужды Украины. Многие люди боятся в открытую тратить на благотворительность или даже просто совершать платежи с основным кошельков (где много денег), и для них такой сервис полезен.


Пока не доказано обратное (факты реального намеренного содействия криминалу), эта нападка на TC является атакой репрессивной и формалистской чиновничей машины на новый технологический мир децентрализации и анонимности, которого они боятся.

При этом опять видно, как демократический мир в страхе перед OFAC побежал выполнять санкции с особым рвением, блокируя всех, кто даже в прошлом пользовался TC, хотя санкции не обладают обратной силой.
Этот же мир ранее радостно участвовал в отмывании ворованных средств через те же централизованные биржи, которые теперь будут блокировать пользователей за использование TC.

Не будем уповать на разумность высших публичных американских чинов, которые бездумно шитпостят про связи TC с Северной Кореей, но понадеемся на то, что кто-то из более компетентных лиц, принимающих решения, сбавит накал ситуации.
Ну и, конечно, пожелаем терпения и удачи непосредственным пострадавшим, нашим товарищам по коммьюнити.

Off Zone

В этот четверг найдёте стенд нашей команды на конференции OffZone 2022, на которой мы являемся партнёрами.
Приходите к нам на огонёк узнать про анализ защищённости и Red Teaming, про DevSecOps и Pentest as a Service и пользу этих сервисов для бизнеса.

Если вы сами хакер_ка, приходите порешать конкурсные задачки или оценить свои скиллы на наших стендах для кандидатов.
We're hiring!

На стенде хакерам 6 раз за 2 дня будет дан шанс обойти соперников и забрать приз.
Каждые 2 часа в первый и во второй день будет открываться новая задача, за первое решение которой будет приз.
Устали аутировать по 2 дня, непрерывно решая таски? Хотите не только хакать, но и общаться и ходить на доклады?
Приходите на наш CTF и станьте победителем, решив всего одну задачу!
Примерные категории — Web, Infra, Mobile, Smart Contracts

Туда-сюда

Всю ночь добирался самолётом и потом ехал по пробкам (в Москве опять внезапно выпал снег, кто мог ожидать?), чтобы 20 минут поговорить про пентест!
А на другом митапе всем буду говорить, что прилетел, конечно, только ради него.

А у вас как конец года?

P.S. О, ровно 3 месяца не писал в канал, писатель из меня всё-таки не очень. Все накопленные мысли выговариваю во флуд-чатики вместо каналов, где нужно более организованно писать текст. Пора переносить сюда избранное!

Эскобаровы парадоксы

В последние дни бизнес-общественность бурлит по поводу скандала со стартапом Immigram.
Вкратце: UK-based стартап выиграл европейское питч-соревнование в Хельсинки, за что полагается шанс получить инвестиции в размере 1 миллион евро.
Стартап предоставляет сервис по помощи в оформлении визы Global Talent в Великобритании.

2-е место в соревновании заняла украинская команда, и в соцсетях началась скоординированная атака с требованиями отнять у Immigram победу, потому что, мол, стартап русский.
Организаторы повиновались, посыпав голову пеплом.
В ответ от сообщества к организаторам пошли обвинения в дискриминации, двойных стандартах, отсутствии бизнес-этики и даже расизме.

У обеих сторон есть аргументы:
1) Как утверждает сторона обвинения, стартап активно нанимает через российские сервисы (hh) и наживается на военных действиях, перевозя русских айтишников в UK, хотя и пишет, что никого у них в РФ нет, и вообще, их целевой рынок — это Индия, Латам и т. д. Врут про рынок? Не знаю, но looks fishy, совершенно не удивлюсь.

При этом мне не совсем понятно, почему это вообще стартап, это же полуавтоматизированный консалтинг с весьма ограниченным рынком, и его рост подозрительно совпал с конфликтом и кратным увеличением русских эмигрантов. В таком контексте, конечно, стрёмно ехать на европейский конкурс за инвестициями.

2) С другой стороны, вывозя айтишников из РФ, они бьют по долгосрочной устойчивости инновационной экономики страны, тем самым ослабляя тот самый режим, в сотрудничестве с которым их обвиняют. При этом фаундерка стартапа уже 6 лет в UK и открыто поддерживает Украину.
Да и банить в конкурсе за цвет паспорта (а выглядит именно так) — совершенно неприемлемо.


Нет времени сильно вникать в детали спора организаторов со стартапом, с моей колокольни похоже на ситуацию жабы с гадюкой, но, конечно, это тревожный звоночек и плохой прецедент.

Даже если ребята схитрили и как-то обманули организаторов, это явно не на поверхности и требует доказательств, зато очевидно, что русским теперь нельзя давать победы в стартап-соревнованиях, даже если они уехали из страны и говорят всё как надо, вешают сине-жёлтые флаги на аватарки и вообще душечки.
Но платить России миллиарды евро за газ можно и не стыдно, ведь это — другое.