ChatGPT
Заметили странное? Да, канал захвачен ИИ, предыдущий пост написан не мной!
Последние сутки я, как и многие другие, пребываю в лёгком недоумении от технологического прогресса.
Нет особых сомнений, что людям удастся создать искусственный интеллект, чьи возможности превышают их собственные во всех отношениях, но скорость, с которой мы к нему идём, оказалась несколько выше, чем многие ожидали.
В последнее время видно колоссальное развитие в сфере машинного обучения и нейросетей.
Нейросети MidJourney, Stable Diffusion и прочие научились генерировать изображения с поразительной детализацией и художественной оригинальностью. Для этого достаточно передать программе пару текстовых фраз, описывающих нужный рисунок.
А теперь компанией OpenAI опубликован доступ к диалоговой нейросети ChatGPT, которая умеет отвечать на любые вопросы и вообще вести человеческий диалог.
Это не простая экспертная система родом из 90х и даже не каталог ответов Stackoverflow, а практически настоящий ИИ. Кажется, мы ещё даже не до конца осознали возможности новой технологии, а ведь это лишь первый шаг!
Например, можно попросить ChatGPT написать стихотворение на определённую тему в стиле Шекспира, да ещё и так, чтобы в нём были слова из определённого перечня, а ещё была какая-то драма, или, напротив, оно было весёлым.
Можно задать технический вопрос или даже попросить найти уязвимость в коде! Также нейросеть справляется с написанием кода на разных языках по небольшому описанию задачи.
Можно не только попросить написать код, но и попросить объяснить любой код или даже декомпилировать ассемблерный листинг.
Конечно, до замены профессии разработчиков или хакеров ещё далеко, но творческие и другие гуманитарные профессии уже можно во многом автоматизировать.
Можно попросить придумать идеи для подарков, праздника, имени ребёнка, дизайна интерьера или даже попросить найти выход из сложной ситуации.
Ассистент (именно так саму себя называет нейросеть) может и написать целую сказку нужной темы.
При этом это действительно диалоговая нейросеть: она сохраняет связность общения, понимает, с кем говорит, о чём шла речь несколько сообщений назад, может размышлять, фантазировать и спорить, при этом обладает колоссальной эрудицией.
В Твиттере можно найти сотни примеров ответов ChatGPT, в которые ещё вчера было бы сложно поверить.
Пример с моим постом выше на самом деле слабый, поскольку я довольно пространно описал требования к посту.
Потом у меня получились более крутые варианты, но сайт подвисал (всем же интересно!), поэтому более текст просто обрывался.
Вот какой был запрос (кстати, с несколькими языковыми ошибками) к ChatGPT для создания предыдущего поста:
Заметили странное? Да, канал захвачен ИИ, предыдущий пост написан не мной!
Последние сутки я, как и многие другие, пребываю в лёгком недоумении от технологического прогресса.
Нет особых сомнений, что людям удастся создать искусственный интеллект, чьи возможности превышают их собственные во всех отношениях, но скорость, с которой мы к нему идём, оказалась несколько выше, чем многие ожидали.
В последнее время видно колоссальное развитие в сфере машинного обучения и нейросетей.
Нейросети MidJourney, Stable Diffusion и прочие научились генерировать изображения с поразительной детализацией и художественной оригинальностью. Для этого достаточно передать программе пару текстовых фраз, описывающих нужный рисунок.
А теперь компанией OpenAI опубликован доступ к диалоговой нейросети ChatGPT, которая умеет отвечать на любые вопросы и вообще вести человеческий диалог.
Это не простая экспертная система родом из 90х и даже не каталог ответов Stackoverflow, а практически настоящий ИИ. Кажется, мы ещё даже не до конца осознали возможности новой технологии, а ведь это лишь первый шаг!
Например, можно попросить ChatGPT написать стихотворение на определённую тему в стиле Шекспира, да ещё и так, чтобы в нём были слова из определённого перечня, а ещё была какая-то драма, или, напротив, оно было весёлым.
Можно задать технический вопрос или даже попросить найти уязвимость в коде! Также нейросеть справляется с написанием кода на разных языках по небольшому описанию задачи.
Можно не только попросить написать код, но и попросить объяснить любой код или даже декомпилировать ассемблерный листинг.
Конечно, до замены профессии разработчиков или хакеров ещё далеко, но творческие и другие гуманитарные профессии уже можно во многом автоматизировать.
Можно попросить придумать идеи для подарков, праздника, имени ребёнка, дизайна интерьера или даже попросить найти выход из сложной ситуации.
Ассистент (именно так саму себя называет нейросеть) может и написать целую сказку нужной темы.
При этом это действительно диалоговая нейросеть: она сохраняет связность общения, понимает, с кем говорит, о чём шла речь несколько сообщений назад, может размышлять, фантазировать и спорить, при этом обладает колоссальной эрудицией.
В Твиттере можно найти сотни примеров ответов ChatGPT, в которые ещё вчера было бы сложно поверить.
Пример с моим постом выше на самом деле слабый, поскольку я довольно пространно описал требования к посту.
Потом у меня получились более крутые варианты, но сайт подвисал (всем же интересно!), поэтому более текст просто обрывался.
Вот какой был запрос (кстати, с несколькими языковыми ошибками) к ChatGPT для создания предыдущего поста:
Come up with a creative blogpost in Russian language under the name "Омар Ганиев" about how ChatGPT could change the world. Give a couple examples about what complex and unexpected tasks you can solve. Write every sentence in the popular science style and make it a very convincing story. Make it technical and let some of the examples be related to cybersecurity and penetration testing. Tell about the author's feeling about this new technology and how fascinating it is. Tell about the unexpected pace of the progress and how soon the AI will be able to solve most of the human tasks more efficiently. Also bring up the examples of recently emerged GAN's that are able to generate hyper-realistic images using the text promptПопробуйте сами тут (для регистрации нужен номер телефона не из страны, развязавшей войну с соседом вместо развития технологий будущего).
👍28🔥7👎5⚡3🤡3
Fake Token eXchange
Ещё одна хайповая тема последних недель — крах биржи FTX.
Я ни разу не являюсь крипто-евангелистом (лишь крипто-реалистом), но смешно, как крипто-критики бросились злорадствовать, что "крипта — скам".
FTX — это централизованная биржа, технически она мало чем отличается от какой-нибудь CME или ММВБ.
Отношение к "крипте" как к технологии она имеет лишь спекулятивное, по сути это классическая финтех-платформа с возможностью принятия платежей и отправки выплат в криптовалютах.
И скандал с мошенничеством выдался прямо показательно классический: владелец биржи Sam Bankman-Fried (SBF) вольно распоряжался средствами клиентов, спекулируя ими через другую свою компанию (фонд), попутно скупая виллы на Багамах и коррупционируя славную неподкупную демократическую партию США.
В итоге государство отворачивало глаза от деталей оффшорного финансового учёта биржи и конфликта интересов с другими бизнесами, а свободные медиа с настоящей журналистикой наперебой вешали SBF на обложки (включая Forbes) и рассказывали, какой же он гений.
Кстати, гений родился в семье белых юристов, и его мать является сооснователем синего суперпака Mind the Gap. До скандала она напрямую занималась спонсированием политиков, а сам SBF по объёму пожертвований президентской кампании Байдена уступает лишь Майклу Блумбергу.
Так вот, по сути это примерно такая же история, как когда карманный банк где-нибудь в РФ коррумпирует правоохранителей и чиновников, занимаясь воровством и обналом, а потом в нём внезапно обнаруживается дыра в пару миллиардов, и вроде бы приличные люди, руководившие банком, куда-то смываются.
К технологии блокчейна это всё не имеет отношения и скорее даже далеко от него, поскольку в DeFi, несмотря на огромное количество мошеннических проектов, финансы гораздо прозрачнее, и именно таким образом обворовывать клиентов сложнее.
Как минимум трое из моего круга общения потеряли миллионы долларов в виде депозитов в разорившейся FTX. Эти ребята не пропадут и заработают ещё много, но для тысяч людей потери могли стать более ощутимыми, суммарно украдены миллиарды!
Не храните сбережения на балансах CEX и даже DeFi-протоколов. Считайте, что любая биржа и любой протокол в любой момент могут оказаться взломаны или разорены и исходите из такого сценария.
Ну а этот скандал, я надеюсь, приведёт к оздоровлению индустрии и к смерти локальных культов личности, подкармливаемых журналистами.
Ещё одна хайповая тема последних недель — крах биржи FTX.
Я ни разу не являюсь крипто-евангелистом (лишь крипто-реалистом), но смешно, как крипто-критики бросились злорадствовать, что "крипта — скам".
FTX — это централизованная биржа, технически она мало чем отличается от какой-нибудь CME или ММВБ.
Отношение к "крипте" как к технологии она имеет лишь спекулятивное, по сути это классическая финтех-платформа с возможностью принятия платежей и отправки выплат в криптовалютах.
И скандал с мошенничеством выдался прямо показательно классический: владелец биржи Sam Bankman-Fried (SBF) вольно распоряжался средствами клиентов, спекулируя ими через другую свою компанию (фонд), попутно скупая виллы на Багамах и коррупционируя славную неподкупную демократическую партию США.
В итоге государство отворачивало глаза от деталей оффшорного финансового учёта биржи и конфликта интересов с другими бизнесами, а свободные медиа с настоящей журналистикой наперебой вешали SBF на обложки (включая Forbes) и рассказывали, какой же он гений.
Кстати, гений родился в семье белых юристов, и его мать является сооснователем синего суперпака Mind the Gap. До скандала она напрямую занималась спонсированием политиков, а сам SBF по объёму пожертвований президентской кампании Байдена уступает лишь Майклу Блумбергу.
Так вот, по сути это примерно такая же история, как когда карманный банк где-нибудь в РФ коррумпирует правоохранителей и чиновников, занимаясь воровством и обналом, а потом в нём внезапно обнаруживается дыра в пару миллиардов, и вроде бы приличные люди, руководившие банком, куда-то смываются.
К технологии блокчейна это всё не имеет отношения и скорее даже далеко от него, поскольку в DeFi, несмотря на огромное количество мошеннических проектов, финансы гораздо прозрачнее, и именно таким образом обворовывать клиентов сложнее.
Как минимум трое из моего круга общения потеряли миллионы долларов в виде депозитов в разорившейся FTX. Эти ребята не пропадут и заработают ещё много, но для тысяч людей потери могли стать более ощутимыми, суммарно украдены миллиарды!
Не храните сбережения на балансах CEX и даже DeFi-протоколов. Считайте, что любая биржа и любой протокол в любой момент могут оказаться взломаны или разорены и исходите из такого сценария.
Ну а этот скандал, я надеюсь, приведёт к оздоровлению индустрии и к смерти локальных культов личности, подкармливаемых журналистами.
👍17🤡5👎2
Стажировка
Возобновляем стажировки в DeteAct!
В 2021 г. мы успешно провели публичную стажировку и хорошо выросли, а 2022 г. прошёл под знаменем эффективности и улучшения процессов.
Теперь мы снова готовы кратно растить команду и будем счастливы повстречать энтузиастов, которые хотят заниматься интересными проектами и исследованиями.
В анкете некоторые вопросы могут быть достаточно сложными, но мы ждём людей с разным бекграундом, так что не бойтесь подавать заявку.
Присоединяйтесь к нам заниматься серьёзными и сложными проектами и делать аудиты ради безопасности, а не ради бумажки!
Возобновляем стажировки в DeteAct!
В 2021 г. мы успешно провели публичную стажировку и хорошо выросли, а 2022 г. прошёл под знаменем эффективности и улучшения процессов.
Теперь мы снова готовы кратно растить команду и будем счастливы повстречать энтузиастов, которые хотят заниматься интересными проектами и исследованиями.
В анкете некоторые вопросы могут быть достаточно сложными, но мы ждём людей с разным бекграундом, так что не бойтесь подавать заявку.
Присоединяйтесь к нам заниматься серьёзными и сложными проектами и делать аудиты ради безопасности, а не ради бумажки!
intern.deteact.ru
Пентест, анализ защищённости
Приглашаем на стажировку по пентестам!
❤14👍8🤡7🔥2🌭1
Тепловая смерть Вселенной
На мой взгляд, самая разумная высшая цель жизни, которую можно постулировать человеку, — это научно-технический прогресс.
Речь не про то, ради какой исключительной причины нужно жить, но про то, что нужно делать высшим приоритетом.
— Персонально-гедонистические цели по типу "быть счастливым", "получать удовольствие от жизни" абсолютно дегенеративны и приближают человека к бонобо, валяющемуся на берегу Конго, или, что гораздо хуже, к истекающему слюной героинщику, валяющемуся в притоне с баяном, пущенным по кругу.
Человек, самым главным приоритетом которого в жизни является удовольствие, в сущности мало чем отличается от такого героинщика, поскольку воздействие опиатов на рецепторы нервной системы является максимальным удовольствием в чистом виде, и получается, что это и является вершиной достижений для такого человека.
— Религиозно-мистические цели направлены на дальнейшее существование за пределами нашего бытия, а не на практический результат в нашей жизни, поэтому рассматривать их в общем ряду нецелесообразно.
— Социальные же цели направлены на восстановление справедливости в основном за счёт преференций для слабых и на проблемы взаимоотношений. Это примерно как "за всё хорошее, против всего плохого", конкретные задачи бывают размыты, конкретные инструменты тоже. Не годится это в качестве высшей цели. У тех же бонобо общество вполне вероятно справедливее человеческого, но вряд ли вам понравится идея стать бонобо.
В действительности, по-моему, самой главной причиной, позволяющим миллиардам людей быть счастливыми и получать удовольствие от жизни, верить во что угодно и жить в относительной безопасности и справедливости, является именно научно-технический прогресс.
Ведь именно он удлиняет продолжительность жизни и даёт людям инструменты для реализации остальных целей.
Для отдельного человека мысль о том, что высшей целью является научный прогресс и сингулярность, может быть довольно депрессивной, потому что почти никто из нас нисколько в реализации этой цели не продвинулся.
Если вы к 25 годам не совершили ни одного научного прорыва, вы уже вряд ли когда-либо совершите хотя бы один. Аналогично, если к 25 вы не стали специалистом в какой-то области, то будет уже сложно (хоть и возможно) построить карьеру, сделать бизнес, стать успешным и т. д.
Единственный способ внести вклад в высшую цель человечества в таком случае — это создавать потомство, которое имеет шанс сделать что-то полезное в будущем.
Вот так витиевато можно обосновать абсолютно избитую и консервативную мысль наших мам и бабушек о том, что нужно рожать. Мысль, которую при текущем строении социума многие люди отбрасывают как какую-то отсталую, при этом продолжают заниматься всякой мышиной вознёй вроде информационной безопасности, трейдинга или балета.
Важность этой возни для научно-технического прогресса ничтожна в сравнении с тем, чего могут достигнуть сотни людей, жизнь которым вы можете дать.
P.S. Если и это вас вгоняет в депрессию, можно принять другую эгоистичную, но тоже философски обоснованную позицию нигилизма: всех нас в любом случае ждёт тепловая смерть Вселенной, и поэтому никакие постулируемые цели в сущности между собой не различаются и приведут к одному результату.
А значит, не стоит огорчаться, если вам не удалось приблизить нас к сингулярности ни своим личным вкладом, ни потомством. Огорчаться вообще не очень-то продуктивно: просто получайте удовольствие от жизни! :D
На мой взгляд, самая разумная высшая цель жизни, которую можно постулировать человеку, — это научно-технический прогресс.
Речь не про то, ради какой исключительной причины нужно жить, но про то, что нужно делать высшим приоритетом.
— Персонально-гедонистические цели по типу "быть счастливым", "получать удовольствие от жизни" абсолютно дегенеративны и приближают человека к бонобо, валяющемуся на берегу Конго, или, что гораздо хуже, к истекающему слюной героинщику, валяющемуся в притоне с баяном, пущенным по кругу.
Человек, самым главным приоритетом которого в жизни является удовольствие, в сущности мало чем отличается от такого героинщика, поскольку воздействие опиатов на рецепторы нервной системы является максимальным удовольствием в чистом виде, и получается, что это и является вершиной достижений для такого человека.
— Религиозно-мистические цели направлены на дальнейшее существование за пределами нашего бытия, а не на практический результат в нашей жизни, поэтому рассматривать их в общем ряду нецелесообразно.
— Социальные же цели направлены на восстановление справедливости в основном за счёт преференций для слабых и на проблемы взаимоотношений. Это примерно как "за всё хорошее, против всего плохого", конкретные задачи бывают размыты, конкретные инструменты тоже. Не годится это в качестве высшей цели. У тех же бонобо общество вполне вероятно справедливее человеческого, но вряд ли вам понравится идея стать бонобо.
В действительности, по-моему, самой главной причиной, позволяющим миллиардам людей быть счастливыми и получать удовольствие от жизни, верить во что угодно и жить в относительной безопасности и справедливости, является именно научно-технический прогресс.
Ведь именно он удлиняет продолжительность жизни и даёт людям инструменты для реализации остальных целей.
Для отдельного человека мысль о том, что высшей целью является научный прогресс и сингулярность, может быть довольно депрессивной, потому что почти никто из нас нисколько в реализации этой цели не продвинулся.
Если вы к 25 годам не совершили ни одного научного прорыва, вы уже вряд ли когда-либо совершите хотя бы один. Аналогично, если к 25 вы не стали специалистом в какой-то области, то будет уже сложно (хоть и возможно) построить карьеру, сделать бизнес, стать успешным и т. д.
Единственный способ внести вклад в высшую цель человечества в таком случае — это создавать потомство, которое имеет шанс сделать что-то полезное в будущем.
Вот так витиевато можно обосновать абсолютно избитую и консервативную мысль наших мам и бабушек о том, что нужно рожать. Мысль, которую при текущем строении социума многие люди отбрасывают как какую-то отсталую, при этом продолжают заниматься всякой мышиной вознёй вроде информационной безопасности, трейдинга или балета.
Важность этой возни для научно-технического прогресса ничтожна в сравнении с тем, чего могут достигнуть сотни людей, жизнь которым вы можете дать.
P.S. Если и это вас вгоняет в депрессию, можно принять другую эгоистичную, но тоже философски обоснованную позицию нигилизма: всех нас в любом случае ждёт тепловая смерть Вселенной, и поэтому никакие постулируемые цели в сущности между собой не различаются и приведут к одному результату.
А значит, не стоит огорчаться, если вам не удалось приблизить нас к сингулярности ни своим личным вкладом, ни потомством. Огорчаться вообще не очень-то продуктивно: просто получайте удовольствие от жизни! :D
👍43🤡30🔥11🤔8👎7👏6😁6💩4🤯3🥱3🤮2
Beched's thoughts
Ночное бдение с числами. Посчитал рынок пентестов России несколькими способами, часть которых раскрывать не могу, а часть легко проверяема. Способ 1 Гуглим "global information security market size" и получаем оценку $116.5 млрд. Далее гуглим "global penetration…
Рынок пентеста
В 2022 г. рынок ИБ РФ оценивают примерно в 200 млрд руб. Если из этого посчитать рынок пентестов по той же формуле, получится 1.5-1.6 млрд руб.
На самом же деле по моим очень примерным прикидкам его размер находится в диапазоне 3-4 млрд. руб.
Это если считать именно внутрироссийский рынок, т.е. совокупность затрат российских компаний на услуги по оценке защищённости.
Если же считать достижимый для российских команд глобальный рынок, то юридически он, конечно, резко сократился, потому что платежи больше не ходят, но фактически мог даже увеличиться: многие IT-компании, у которых бизнес за рубежом, а разработка была в РФ, теперь всех вывезли и стали заказывать пентест уже за рубежом, но при этом могут приходить к тем же экс-российским командам, если они тоже глобализировались.
Лидер роста, ожидаемо, — ПТ. По крайней мере, сомневаюсь, что у кого-то ещё из лидеров рынка продажи пентестов выросли в 3-4 раза.
Правда, данные по отчётности и по презентациями немного противоречивые: у ПТ продажи пентестов то ли 500 млн. руб., то ли 700 млн. руб. При этом до этого в 2021 г. было всего лишь 200 млн. руб.
Разница может объясняться учётом: что-то из этого управленческий учёт, что-то бухгалтерский и т. д.
Вообще, по-моему, под оценкой всего рынка тоже многие понимают разное: одно дело — совокупная выручка ИБ-компаний, и совсем другое дело — совокупные затраты всех компаний на ИБ.
В 2022 г. сильно вырос первый показатель, но второй вырос значительно меньше. Это абсолютно логично: поляну зачистили от зарубежных вендоров, и пошла консолидация рынка. Он вроде бы и не так уж растёт, но при этом выручка всех локальных вендоров растёт очень сильно.
Для сервисных компаний этот рост менее заметен, потому что импортозамещать им нечего, а те же пентесты для некоторых классов заказчиков были не в приоритете из-за очень высокой загрузки служб ИБ в связи с инцидентами.
Какие выводы?
1) Рынок всё ещё крошечный (в пределах $50M), так что если хотите стать богатыми, занимайтесь чем-то другим;
2) При этом его рост во многом связан с регуляцией (тот же 250-й указ), а значит, его бенефициарами становятся компании из узкого круга, чем и объясняется непропорциональный рост их продаж;
3) Тем не менее, для тех, кто остался в РФ, это всё может быть обнадёживающе: теперь потолок повыше, и размера рынка хватит на 1-2 среднего размера компаний. Раньше было грустно смотреть на выручку топов, не превышавшую и 300 млн. руб. и понимать, что это и есть потолок.
В 2022 г. рынок ИБ РФ оценивают примерно в 200 млрд руб. Если из этого посчитать рынок пентестов по той же формуле, получится 1.5-1.6 млрд руб.
На самом же деле по моим очень примерным прикидкам его размер находится в диапазоне 3-4 млрд. руб.
Это если считать именно внутрироссийский рынок, т.е. совокупность затрат российских компаний на услуги по оценке защищённости.
Если же считать достижимый для российских команд глобальный рынок, то юридически он, конечно, резко сократился, потому что платежи больше не ходят, но фактически мог даже увеличиться: многие IT-компании, у которых бизнес за рубежом, а разработка была в РФ, теперь всех вывезли и стали заказывать пентест уже за рубежом, но при этом могут приходить к тем же экс-российским командам, если они тоже глобализировались.
Лидер роста, ожидаемо, — ПТ. По крайней мере, сомневаюсь, что у кого-то ещё из лидеров рынка продажи пентестов выросли в 3-4 раза.
Правда, данные по отчётности и по презентациями немного противоречивые: у ПТ продажи пентестов то ли 500 млн. руб., то ли 700 млн. руб. При этом до этого в 2021 г. было всего лишь 200 млн. руб.
Разница может объясняться учётом: что-то из этого управленческий учёт, что-то бухгалтерский и т. д.
Вообще, по-моему, под оценкой всего рынка тоже многие понимают разное: одно дело — совокупная выручка ИБ-компаний, и совсем другое дело — совокупные затраты всех компаний на ИБ.
В 2022 г. сильно вырос первый показатель, но второй вырос значительно меньше. Это абсолютно логично: поляну зачистили от зарубежных вендоров, и пошла консолидация рынка. Он вроде бы и не так уж растёт, но при этом выручка всех локальных вендоров растёт очень сильно.
Для сервисных компаний этот рост менее заметен, потому что импортозамещать им нечего, а те же пентесты для некоторых классов заказчиков были не в приоритете из-за очень высокой загрузки служб ИБ в связи с инцидентами.
Какие выводы?
1) Рынок всё ещё крошечный (в пределах $50M), так что если хотите стать богатыми, занимайтесь чем-то другим;
2) При этом его рост во многом связан с регуляцией (тот же 250-й указ), а значит, его бенефициарами становятся компании из узкого круга, чем и объясняется непропорциональный рост их продаж;
3) Тем не менее, для тех, кто остался в РФ, это всё может быть обнадёживающе: теперь потолок повыше, и размера рынка хватит на 1-2 среднего размера компаний. Раньше было грустно смотреть на выручку топов, не превышавшую и 300 млн. руб. и понимать, что это и есть потолок.
👍16🤡6🤝3🍌2
Запуск завтра
На прошлой неделе вышел подкаст запуск завтра с моим участием.
Тайминг:
01:53 Начало, виды пентестов, Red Team, анализ защищённости
11:12 Методология пентеста, разведка, поверхность атаки
18:16 Социальная инженерия, Bug Bounty
21:00 Как обычно удаётся пробить, примеры
24:30 Сколько стоят пентесты, вероятность взлома, и сколько нужно тратить на ИБ
30:10 Тренды, крипта, разница хищений в TradFi и в блокчейне
35:28 Индустрия web3 security и её отличия от web2
41:28 Схемы обмана крипто-пользователей и инструменты анализа
45:19 Применение AI для атак и атаки на AI-системы
50:35 Личная безопасность и защита iOS, беспарольная аутентификация
57:15 Финал, пентест пентестеров
На прошлой неделе вышел подкаст запуск завтра с моим участием.
Тайминг:
01:53 Начало, виды пентестов, Red Team, анализ защищённости
11:12 Методология пентеста, разведка, поверхность атаки
18:16 Социальная инженерия, Bug Bounty
21:00 Как обычно удаётся пробить, примеры
24:30 Сколько стоят пентесты, вероятность взлома, и сколько нужно тратить на ИБ
30:10 Тренды, крипта, разница хищений в TradFi и в блокчейне
35:28 Индустрия web3 security и её отличия от web2
41:28 Схемы обмана крипто-пользователей и инструменты анализа
45:19 Применение AI для атак и атаки на AI-системы
50:35 Личная безопасность и защита iOS, беспарольная аутентификация
57:15 Финал, пентест пентестеров
Telegram
запуск завтра
Выпустили офигенный эпизод про кибербезопасность:
1. Обзор, как устроена эта область айти — как корпорации платят хакерам за взломы;
2. Свежие тренды: искусственный интеллект, криптовалюты;
3. Личная безопасность в интернете.
Гость — известный хакер и предприниматель…
1. Обзор, как устроена эта область айти — как корпорации платят хакерам за взломы;
2. Свежие тренды: искусственный интеллект, криптовалюты;
3. Личная безопасность в интернете.
Гость — известный хакер и предприниматель…
👍38🔥14🤡9🍌2
Ниже репост по просьбе оргов одного из региональных студенческих CTF-соревнований:
☀️KubanCTF продлевает лето!
Мы открываем регистрацию на KubanCTF, который пройдет в рамках международной конференции по информационной безопасности KubanCSC в Красной Поляне! Общий призовой фонд составит 1.3 миллиона рублей. Отборочный этап пройдет онлайн по правилам jeopardy. В финале вам предстоит показать свои навыки в defense.
В финал смогут отобраться 7 команд, показавших лучший результат в отборочном онлайн турнире, три команды пройдут с offline битвы в формате jeopardy. В offline будут участвовать студенческие команды с 1 - 5 курс по приглашению ВУЗа. Для отобравшихся команд дополнительно будет оплачено проживание и питание на территории курорта. Приезжайте, будет жарко!
Отборочный этап пройдет 23 сентября. Финал 12 октября в Сочи!
Форма регистрации: https://forms.yandex.ru/u/64edae862530c204359ed4d8
Вопросы можно задать: в тг - @kubctf
Ссылка на чат – https://news.1rj.ru/str/KubanCSC
☀️KubanCTF продлевает лето!
Мы открываем регистрацию на KubanCTF, который пройдет в рамках международной конференции по информационной безопасности KubanCSC в Красной Поляне! Общий призовой фонд составит 1.3 миллиона рублей. Отборочный этап пройдет онлайн по правилам jeopardy. В финале вам предстоит показать свои навыки в defense.
В финал смогут отобраться 7 команд, показавших лучший результат в отборочном онлайн турнире, три команды пройдут с offline битвы в формате jeopardy. В offline будут участвовать студенческие команды с 1 - 5 курс по приглашению ВУЗа. Для отобравшихся команд дополнительно будет оплачено проживание и питание на территории курорта. Приезжайте, будет жарко!
Отборочный этап пройдет 23 сентября. Финал 12 октября в Сочи!
Форма регистрации: https://forms.yandex.ru/u/64edae862530c204359ed4d8
Вопросы можно задать: в тг - @kubctf
Ссылка на чат – https://news.1rj.ru/str/KubanCSC
Telegram
KubanCSC
Чатик по компьютерной безопасности и CTF
👍10🤡4🍌2
Че как дела
Мнения и мысли по разным темам, а особенно — по горячим, я обычно успеваю высказать (зачастую в крайне грубо-сатирической форме) друзьям-знакомым, после чего запал писать об этом куда-то ещё пропадает.
Вот и не пишу ни фига никакие мысли, даже посраться не о чем в канале. Ну посраться-то ладно, это негатив, но я и позитивных вещах не пишу, а потом забывается, какие были важные мысли и идеи, которыми было бы интересно поделиться.
Чтоб попытаться ещё раз переломить эту тягу не перекладывать мысли в структурированный текст, напишу пару слов про то, о чём в эти недели интенсивно думаю.
Это, наверное, скучновато, потому что не про политику и даже не про AI, а про безопасность в сфере web3, где в 2024-м году всё ещё происходит треш и угар с миллиардными взлётами, падениями, инновациями и мошенничеством.
Кстати, я же даже ни разу и не писал сюда о компании Decurity, которую мы с Арсением Реутовым стартанули 2 года назад.
Компания разрабатывает продукты и решения в области кибербезопасности для децентрализованных систем.
Речь про DeFi, смарт-контракты, бриджи, блокчейны, L2 и прочие временами хайповые слова.
Мы сразу выделили для себя 2 основных принципа:
1) Продавать безопасность, а не маркетинг: на этом рынке колоссальное количество скам-проектов, которые приходят за аудитами безопасности ради штампа и маркетинга, а не ради безопасности. Нам нужно их избегать.
2) Делать ставку не на транзакционные услуги, а на капитализацию компетенций в виде продуктов и сложных сервисов: с первых дней мы начали писать код и экспериментировать, заложив таким образом стартап внутри прибыльного бизнеса.
Эта новая компания, не связанная с другим моим бизнесом (DeteAct, про новости о нём тож надо отдельно написать), да и смысла их связывать маловато, поскольку рынок совершенно иной, и при приходе в него репутация обнуляется, надо заново доказывать компетентность, нарабатывать имя, формировать нетворк. Никакие ваши сертификаты OSCP или российские лицензии ФСТЭК не котируются 😁
При этом рынок сразу глобальный, ведь на то это и децентрализованные системы, что суть их в работе во всём мире, а не в конкретной юрисдикции.
Помимо маркетинга с нуля, многим приходится и заново изучать технологии, поскольку средний пентестер, который занимается анализом веб-приложений или инфраструктуры, не умеет делать аудиты смарт-контрактов или блокчейнов.
За это время мы наработали репутацию и портфолио из солидных проектов, а кроме того, прошли несколько итераций продуктовых исследований в поисках Product-Market-Fit.
Основная технология, которую мы разработали, — это DeFiMon.
DeFiMon умеет детектировать взломы смарт-контрактов в блокчейне по различным признакам, что позволяет среагировать на взлом сразу после или ещё до того, как он произойдёт. Фактически это web3-аналог IDS/IPS и SOC, и в этот класс продуктов синхронно влетело 10-20 стартапов, в том числе с венчурным финансированием.
Если вам будет интересно, я расскажу, какие есть успехи у вайтхетов вообще и у таких систем мониторинга в частности в этом тёмном лесу блокчейна, полном хищных блекхатов, наивных дегенов, зловещих северокорейцев, серьёзных инвест-фондов и школьников-хакеров.
Мнения и мысли по разным темам, а особенно — по горячим, я обычно успеваю высказать (зачастую в крайне грубо-сатирической форме) друзьям-знакомым, после чего запал писать об этом куда-то ещё пропадает.
Вот и не пишу ни фига никакие мысли, даже посраться не о чем в канале. Ну посраться-то ладно, это негатив, но я и позитивных вещах не пишу, а потом забывается, какие были важные мысли и идеи, которыми было бы интересно поделиться.
Чтоб попытаться ещё раз переломить эту тягу не перекладывать мысли в структурированный текст, напишу пару слов про то, о чём в эти недели интенсивно думаю.
Это, наверное, скучновато, потому что не про политику и даже не про AI, а про безопасность в сфере web3, где в 2024-м году всё ещё происходит треш и угар с миллиардными взлётами, падениями, инновациями и мошенничеством.
Кстати, я же даже ни разу и не писал сюда о компании Decurity, которую мы с Арсением Реутовым стартанули 2 года назад.
Компания разрабатывает продукты и решения в области кибербезопасности для децентрализованных систем.
Речь про DeFi, смарт-контракты, бриджи, блокчейны, L2 и прочие временами хайповые слова.
Мы сразу выделили для себя 2 основных принципа:
1) Продавать безопасность, а не маркетинг: на этом рынке колоссальное количество скам-проектов, которые приходят за аудитами безопасности ради штампа и маркетинга, а не ради безопасности. Нам нужно их избегать.
2) Делать ставку не на транзакционные услуги, а на капитализацию компетенций в виде продуктов и сложных сервисов: с первых дней мы начали писать код и экспериментировать, заложив таким образом стартап внутри прибыльного бизнеса.
Эта новая компания, не связанная с другим моим бизнесом (DeteAct, про новости о нём тож надо отдельно написать), да и смысла их связывать маловато, поскольку рынок совершенно иной, и при приходе в него репутация обнуляется, надо заново доказывать компетентность, нарабатывать имя, формировать нетворк. Никакие ваши сертификаты OSCP или российские лицензии ФСТЭК не котируются 😁
При этом рынок сразу глобальный, ведь на то это и децентрализованные системы, что суть их в работе во всём мире, а не в конкретной юрисдикции.
Помимо маркетинга с нуля, многим приходится и заново изучать технологии, поскольку средний пентестер, который занимается анализом веб-приложений или инфраструктуры, не умеет делать аудиты смарт-контрактов или блокчейнов.
За это время мы наработали репутацию и портфолио из солидных проектов, а кроме того, прошли несколько итераций продуктовых исследований в поисках Product-Market-Fit.
Основная технология, которую мы разработали, — это DeFiMon.
DeFiMon умеет детектировать взломы смарт-контрактов в блокчейне по различным признакам, что позволяет среагировать на взлом сразу после или ещё до того, как он произойдёт. Фактически это web3-аналог IDS/IPS и SOC, и в этот класс продуктов синхронно влетело 10-20 стартапов, в том числе с венчурным финансированием.
Если вам будет интересно, я расскажу, какие есть успехи у вайтхетов вообще и у таких систем мониторинга в частности в этом тёмном лесу блокчейна, полном хищных блекхатов, наивных дегенов, зловещих северокорейцев, серьёзных инвест-фондов и школьников-хакеров.
www.decurity.io
Decurity: Decentralized Finance Security
Security for the decentralized systems: web3 security monitoring, smart contract audits, advisory and consulting
🔥53👍13🎉9🤡8❤2👏2🍌2🏆2👎1
Walking Dead
В 2020 задавался вопросом о том, что же будет такое новое через 10 лет, что сильно поменяет технологии, и что изучать, чтобы быть релевантными и крутыми к тому времени. Но новое возникло через уже 2 года после этого, и для большинства это чёрный лебедь, как и для меня.
Впрочем, для меня и лет 15 назад было очевидным, что людей полностью можно будет заменить ИИ.
Думал я так, потому что принял тезис Чёрча-Тьюринга, который говорит о том, что любое конечное вычисление, которое только можно придумать, реализуемо при помощи машин Тьюринга, т.е. обычных компьютеров.
Это значит, что при помощи компьютеров можно смоделировать любой физический процесс и любые алгоритмы, включая те, которые возникают у нас в голове.
Ясно, что если человек путём каких-то умозаключений придумывает решение какой-то задачи, то и компьютер мог бы провести такие же размышления и решить задачу.
(Оговорка: конечно, тут можно попытаться поспорить, и я даже не про философию и эзотерику, а про какие-нибудь физические соображения типа того, что есть случайность и квантовые эффекты, а ещё инженерные соображения типа того, что на кремнии это может оказаться слишком дорого.)
При этом я ошибался в оценках сложности создания ИИ и в приоритетах. Например, когда ИБ-блогеры рассуждали о том, как скоро ИИ заменит пентестеров, я скептически объяснял, что это полная чушь, и в первую очередь заменят самих блогеров, потому что для замены пентестеров ИИ должен обладать общим интеллектом, уметь читать документацию, взаимодействовать с человеко-компьютерными интерфейсами и т. д.
Таким образом, основной мой аргумент был в том, что для решения частной задачи тестирования безопасности нужно сначала решить более общую задачу NLP, чтоб ИИ мог читать текст и понимать его, ну и программирования, а ещё кучу инженерных задач.
И что же? Про блогеров я был прав, конечно же, но я думал, что до ИИ, хорошо умеющего обрабатывать тексты, ещё очень далеко, а оказалось, что гораздо ближе.
LLM умеют читать и понимать документацию получше большинства людей, и такой прогресс было сложно представить ещё 5 лет назад. Наверное, более внимательные люди, которые читали пейперы по GPT, знали уже довольно давно, но даже для них это наверняка сюрприз.
При этом я вижу, как почти все вокруг продолжают жить, игнорируя тот факт, что они уже мертвы. Их профессии почти исчезли, и практически все, кто выполняет работу за компьютером, могут быть заменены в ближайшие годы. Остальные могут быть заменены позже, когда получат развитие роботы.
"Спасти" нас может только стагнация в развитии ИИ, связанная, например, с энергетическим кризисом или регуляцией.
Может, есть и фундаментальные ограничения, но пока это выглядит как мем про "вы находитесь здесь". Люди пробуют какой-нибудь инструмент разработки или даже генерации картинок или текстов, видят косяки и говорят "пфф, полная фигня, ещё далеко до уровня человека".
Проходит полгода, и инструмент за это время прогрессирует колоссальным образом.
По мере обрастания LLM различными обёртками RPA и агентскими системами, а также по мере развития самих моделей, это станет всё более и более заметно.
Вдруг окажется, что ИИ-менеджер может 24/7 решать вопросы оптимальным образом, никогда ничего не забывая, никогда не опаздывая и применяя индивидуальные методы и стиль коммуникации с каждым из сотрудников или клиентов.
Вдруг окажется, что всю юридическую работу, документооборот, дизайн, рекламу и прочее ИИ выполняют лучше и на порядки быстрее, чем люди.
Вдруг окажется, что кредиты на использование API Anthropic стоят меньше, чем зарплаты целых отделов.
Если вы сегодня не пользуетесь ChatGPT/Perplexity/Claude в работе каждый день, то вы уже ретроград и очень сильно отстаёте от жизни.
Если вы не пользуетесь Cursor IDE или аналогом в разработке, то скорее всего вы теряете человеко-часы или десятки человеко-часов ресурсов еженедельно.
Вы умрёте первым.
В 2020 задавался вопросом о том, что же будет такое новое через 10 лет, что сильно поменяет технологии, и что изучать, чтобы быть релевантными и крутыми к тому времени. Но новое возникло через уже 2 года после этого, и для большинства это чёрный лебедь, как и для меня.
Впрочем, для меня и лет 15 назад было очевидным, что людей полностью можно будет заменить ИИ.
Думал я так, потому что принял тезис Чёрча-Тьюринга, который говорит о том, что любое конечное вычисление, которое только можно придумать, реализуемо при помощи машин Тьюринга, т.е. обычных компьютеров.
Это значит, что при помощи компьютеров можно смоделировать любой физический процесс и любые алгоритмы, включая те, которые возникают у нас в голове.
Ясно, что если человек путём каких-то умозаключений придумывает решение какой-то задачи, то и компьютер мог бы провести такие же размышления и решить задачу.
(Оговорка: конечно, тут можно попытаться поспорить, и я даже не про философию и эзотерику, а про какие-нибудь физические соображения типа того, что есть случайность и квантовые эффекты, а ещё инженерные соображения типа того, что на кремнии это может оказаться слишком дорого.)
При этом я ошибался в оценках сложности создания ИИ и в приоритетах. Например, когда ИБ-блогеры рассуждали о том, как скоро ИИ заменит пентестеров, я скептически объяснял, что это полная чушь, и в первую очередь заменят самих блогеров, потому что для замены пентестеров ИИ должен обладать общим интеллектом, уметь читать документацию, взаимодействовать с человеко-компьютерными интерфейсами и т. д.
Таким образом, основной мой аргумент был в том, что для решения частной задачи тестирования безопасности нужно сначала решить более общую задачу NLP, чтоб ИИ мог читать текст и понимать его, ну и программирования, а ещё кучу инженерных задач.
И что же? Про блогеров я был прав, конечно же, но я думал, что до ИИ, хорошо умеющего обрабатывать тексты, ещё очень далеко, а оказалось, что гораздо ближе.
LLM умеют читать и понимать документацию получше большинства людей, и такой прогресс было сложно представить ещё 5 лет назад. Наверное, более внимательные люди, которые читали пейперы по GPT, знали уже довольно давно, но даже для них это наверняка сюрприз.
При этом я вижу, как почти все вокруг продолжают жить, игнорируя тот факт, что они уже мертвы. Их профессии почти исчезли, и практически все, кто выполняет работу за компьютером, могут быть заменены в ближайшие годы. Остальные могут быть заменены позже, когда получат развитие роботы.
"Спасти" нас может только стагнация в развитии ИИ, связанная, например, с энергетическим кризисом или регуляцией.
Может, есть и фундаментальные ограничения, но пока это выглядит как мем про "вы находитесь здесь". Люди пробуют какой-нибудь инструмент разработки или даже генерации картинок или текстов, видят косяки и говорят "пфф, полная фигня, ещё далеко до уровня человека".
Проходит полгода, и инструмент за это время прогрессирует колоссальным образом.
По мере обрастания LLM различными обёртками RPA и агентскими системами, а также по мере развития самих моделей, это станет всё более и более заметно.
Вдруг окажется, что ИИ-менеджер может 24/7 решать вопросы оптимальным образом, никогда ничего не забывая, никогда не опаздывая и применяя индивидуальные методы и стиль коммуникации с каждым из сотрудников или клиентов.
Вдруг окажется, что всю юридическую работу, документооборот, дизайн, рекламу и прочее ИИ выполняют лучше и на порядки быстрее, чем люди.
Вдруг окажется, что кредиты на использование API Anthropic стоят меньше, чем зарплаты целых отделов.
Если вы сегодня не пользуетесь ChatGPT/Perplexity/Claude в работе каждый день, то вы уже ретроград и очень сильно отстаёте от жизни.
Если вы не пользуетесь Cursor IDE или аналогом в разработке, то скорее всего вы теряете человеко-часы или десятки человеко-часов ресурсов еженедельно.
Вы умрёте первым.
👍42🤡16👎5❤4🔥3🤔2🍌2
На этом фоне становится совершенно непонятным, чему учиться людям, которые начинают выбор или смену профессии.
Есть ли смысл учиться программированию? Уровень джуна уже никому на фиг не нужен.
А пока человек от джуна дорастёт до миддла, агентские системы прокачаются так, что и миддлы уже будут никому не нужны.
Какую стратегию принять?
Что делать новичкам, что делать старичкам? Как быть на волне прогресса, а не за его бортом?
Есть ли смысл учиться программированию? Уровень джуна уже никому на фиг не нужен.
А пока человек от джуна дорастёт до миддла, агентские системы прокачаются так, что и миддлы уже будут никому не нужны.
Какую стратегию принять?
Что делать новичкам, что делать старичкам? Как быть на волне прогресса, а не за его бортом?
Telegram
Beched's thoughts
От рефлексии к более техническим вопросам.
Мы зачастую не замечаем, насколько стремительно развиваются технологии, а ведь многие привычные нам вещи появились совсем недавно.
Вот например, сейчас веб-хакер обязан хоть на каком-то приемлемом уровне понимать…
Мы зачастую не замечаем, насколько стремительно развиваются технологии, а ведь многие привычные нам вещи появились совсем недавно.
Вот например, сейчас веб-хакер обязан хоть на каком-то приемлемом уровне понимать…
👍21🤡13🤷♂3🤔2🍌2
ИБ-базар
Ну что, отчётность почти в РФ все сдали, видно, что на российской ИБ-полянке произошло за год.
Пишут, что весь рынок недоперформил миллиардов на 20-30, оценивается в 300 млрд (вроде бы в деньгах поставщиков, ещё 20-30 млрд. как раз в деньгах заказчиков ушли на дистрибуторов).
Причём Позитивы недоперформили свои прогнозы собственно на ту же сумму 20-30 млрд. руб.!
Кажется, что это создало интересные возможности для мелких вендоров:
1) В экономике ситуация не очень, крупные заказчики режут расходы, ищут более гибких подрядчиков и вендоров.
2) ПТ, будучи публичной компанией, наобещали слишком много. Я вообще не понимал, как они физически предполагают рост с 8% до 14-15% всего рынка ИБ в стране, это же означает необходимость отжима долей рынка у других ребят, которые совсем не собираются с этими долями расставаться, особенно когда речь идёт об экосистемных компаниях, являющихся частью холдинга (Солар, Бизон, ГИС, ИКС и т. д.).
3) В крупных компаниях не только экономический, но и инновационный кризис: принципиально новые продукты они не придумывают, смежные продукты делают слишком долго и неэффективно, кормовая база в виде давно взлетевшего продукта по сути продолжает их кормить.
В таких условиях основным источником роста является повышение цен и фикция в виде отгрузки пожизненных лицензий или отгрузки лицензий на несколько лет или вообще просто в канал.
Что в итоге? Недобранные грандами миллиарды не только испаряются, но и проливаются на рынок каплями, которые для стартапов означают многократный рост.
Среди знакомых мне молодых предпринимателей в ИБ-сообществе в последние пару лет идёт рост хоккейной клюшкой. Это не 1-2 примера, а прямо паттерн среди дюжины стартапов.
Искренне рад и уважаю их за выдержку, многие ребята много лет разрабатывали продукты, собирая крохи и обивая пороги заказчиков, а теперь разбогатели.
В абсолютном выражении это, конечно, не такие большие деньги, что такое потерянный контракт в 100 млн. для ПТ или Солара? Да ничего. А для стартапа это х2-3 выручки и выход на новую орбиту.
В общем, тем, кто много и хорошо работал над своими продуктами, повезло.
Готовьтесь к везению, и вам повезёт =)
Ну что, отчётность почти в РФ все сдали, видно, что на российской ИБ-полянке произошло за год.
Пишут, что весь рынок недоперформил миллиардов на 20-30, оценивается в 300 млрд (вроде бы в деньгах поставщиков, ещё 20-30 млрд. как раз в деньгах заказчиков ушли на дистрибуторов).
Причём Позитивы недоперформили свои прогнозы собственно на ту же сумму 20-30 млрд. руб.!
Кажется, что это создало интересные возможности для мелких вендоров:
1) В экономике ситуация не очень, крупные заказчики режут расходы, ищут более гибких подрядчиков и вендоров.
2) ПТ, будучи публичной компанией, наобещали слишком много. Я вообще не понимал, как они физически предполагают рост с 8% до 14-15% всего рынка ИБ в стране, это же означает необходимость отжима долей рынка у других ребят, которые совсем не собираются с этими долями расставаться, особенно когда речь идёт об экосистемных компаниях, являющихся частью холдинга (Солар, Бизон, ГИС, ИКС и т. д.).
3) В крупных компаниях не только экономический, но и инновационный кризис: принципиально новые продукты они не придумывают, смежные продукты делают слишком долго и неэффективно, кормовая база в виде давно взлетевшего продукта по сути продолжает их кормить.
В таких условиях основным источником роста является повышение цен и фикция в виде отгрузки пожизненных лицензий или отгрузки лицензий на несколько лет или вообще просто в канал.
Что в итоге? Недобранные грандами миллиарды не только испаряются, но и проливаются на рынок каплями, которые для стартапов означают многократный рост.
Среди знакомых мне молодых предпринимателей в ИБ-сообществе в последние пару лет идёт рост хоккейной клюшкой. Это не 1-2 примера, а прямо паттерн среди дюжины стартапов.
Искренне рад и уважаю их за выдержку, многие ребята много лет разрабатывали продукты, собирая крохи и обивая пороги заказчиков, а теперь разбогатели.
В абсолютном выражении это, конечно, не такие большие деньги, что такое потерянный контракт в 100 млн. для ПТ или Солара? Да ничего. А для стартапа это х2-3 выручки и выход на новую орбиту.
В общем, тем, кто много и хорошо работал над своими продуктами, повезло.
Готовьтесь к везению, и вам повезёт =)
❤30🔥14🍌5👏2
DPRK
От локального ИБ-болотца к крипто-ИБ-болотцу: как вы думаете, что является одним из основных драйверов рынка безопасности блокчейн-проектов?
===
Год назад, в феврале 2024 г., в сообществе энтузиастов блокчейн-безопасности завёлся новый персонаж, некий Nick L. Franklin. Несмотря на нарочито американское имя, Ник не очень-то хорошо выражался по-английски, использовал британскую орфографию, пропускал артикли.
Франклин занимался разбором хаков, происходящих в блокчейне, вёл твиттер и блог, активно контактировал с известными в индустрии людьми. Практически сразу он в довольно навязчивой форме написал и нам в Decurity сначала в Твиттер, а потом и в Телеграм.
Мы кратко обсудили возможное трудоустройство, и он даже обещал предоставить детали о своей личности, но общался он странно, мы поиронизировали и забили.
В течение всего года он набирал аудиторию и обрастал связями, регулярно вёл блоги и писал разборы хаков. В последний раз мы списывались по поводу одного хака, разбор которого мы сами готовили и просили его не выкладывать детали слишком рано.
И тут, спустя больше чем год, Ник Франклин пишет фаундеру проекта 1inch Антону Букову и просит посмотреть на статью, вот только "статью" он скидывает в виде .app-файла.
Антон поднял шум, и выяснилось, что в файле был троян, Франклин сначала отмазывается, а потом удаляет все аккаунты.
Внезапно люди осознают, что всё это время всё сообщество общалось не с Ником Франклином, а с людьми из северокорейских спецслужб, и задним числом это было совершенно очевидно.
Тут же обнаруживается даже прямая связь между "Франклином" и взломом Radiant на $53 млн. в октябре 2024 г.
===
Итак, конечно же главным драйвером крипто-ИБ является солнцеликий Ким Чен Ын и его Lazarus Group!
Что только не делают его подданные: ломают DeFi-протоколы через уязвимости смарт-контрактов, устраивают атаки на цепочки поставок и бекдорят инфраструктуру для дальнейших хищений, выманивают разработчиков крупных компаний на собеседования и подсовывают им бекдоры, сами устраиваются на работу в компании и т. д.
Недавно произошёл самый крупный хак за всю историю — северокорейцы поломали тачку разработчика из проекта Safe и подменили фронтенд мультисиг-кошелька Safe App для всех клиентов, но при этом их бекдор таргетировал всего лишь одного клиента — биржу Bybit. Украли $1.4 млрд. и уже практически целиком отмиксовали и отмыли.
В отмыве северокорейцы чемпионы. Индивидуальные хакеры не могут сравниться с ними в решительности и отточенности действий.
Для корейцев буквально действует мем: "что ты мне сделаешь, я в другом городе".
===
1) Регулярно происходят холивары на тему атрибуции, многие подозревают, что большинство хаков атрибутируют DPRK/Lazarus, просто потому что это легко, и корейцы стали просто козлами отпущения.
Тем не менее, похоже, что атрибуция верна, и сейчас у исследователей есть достаточное количество IoC, достоверно указывающих именно на корейские группировки.
2) Это лишний повод вспомнить, что модель нарушителя и угроз — это легко, но это не просто формальность.
В вашей модели угроз должны быть и хактивисты, которым денег не надо, и тихие иностранные разведки, и собственное государство, и корейцы, которые вас обокрадут, и вы ничего не поделаете, хоть и будете точно знать, что это они.
3) Для редтимеров это всё тоже интересные кейсы — какие техники и тактики можно позаимствовать нам, как пентестерам?
В арсенале лазарус не так много уникальных инструментов, и для них не столь важна бесшумность и анонимность, но социальная инженерия у них работает отлично.
Мы давно пробуем тренировать заказчиков противостоять таким угрозам, направленным именно на разработчиков, а не только проводить стандартные фишинговые рассылки.
Похоже, что стоит это делать активнее.
От локального ИБ-болотца к крипто-ИБ-болотцу: как вы думаете, что является одним из основных драйверов рынка безопасности блокчейн-проектов?
===
Год назад, в феврале 2024 г., в сообществе энтузиастов блокчейн-безопасности завёлся новый персонаж, некий Nick L. Franklin. Несмотря на нарочито американское имя, Ник не очень-то хорошо выражался по-английски, использовал британскую орфографию, пропускал артикли.
Франклин занимался разбором хаков, происходящих в блокчейне, вёл твиттер и блог, активно контактировал с известными в индустрии людьми. Практически сразу он в довольно навязчивой форме написал и нам в Decurity сначала в Твиттер, а потом и в Телеграм.
Мы кратко обсудили возможное трудоустройство, и он даже обещал предоставить детали о своей личности, но общался он странно, мы поиронизировали и забили.
В течение всего года он набирал аудиторию и обрастал связями, регулярно вёл блоги и писал разборы хаков. В последний раз мы списывались по поводу одного хака, разбор которого мы сами готовили и просили его не выкладывать детали слишком рано.
И тут, спустя больше чем год, Ник Франклин пишет фаундеру проекта 1inch Антону Букову и просит посмотреть на статью, вот только "статью" он скидывает в виде .app-файла.
Антон поднял шум, и выяснилось, что в файле был троян, Франклин сначала отмазывается, а потом удаляет все аккаунты.
Внезапно люди осознают, что всё это время всё сообщество общалось не с Ником Франклином, а с людьми из северокорейских спецслужб, и задним числом это было совершенно очевидно.
Тут же обнаруживается даже прямая связь между "Франклином" и взломом Radiant на $53 млн. в октябре 2024 г.
===
Итак, конечно же главным драйвером крипто-ИБ является солнцеликий Ким Чен Ын и его Lazarus Group!
Что только не делают его подданные: ломают DeFi-протоколы через уязвимости смарт-контрактов, устраивают атаки на цепочки поставок и бекдорят инфраструктуру для дальнейших хищений, выманивают разработчиков крупных компаний на собеседования и подсовывают им бекдоры, сами устраиваются на работу в компании и т. д.
Недавно произошёл самый крупный хак за всю историю — северокорейцы поломали тачку разработчика из проекта Safe и подменили фронтенд мультисиг-кошелька Safe App для всех клиентов, но при этом их бекдор таргетировал всего лишь одного клиента — биржу Bybit. Украли $1.4 млрд. и уже практически целиком отмиксовали и отмыли.
В отмыве северокорейцы чемпионы. Индивидуальные хакеры не могут сравниться с ними в решительности и отточенности действий.
Для корейцев буквально действует мем: "что ты мне сделаешь, я в другом городе".
===
1) Регулярно происходят холивары на тему атрибуции, многие подозревают, что большинство хаков атрибутируют DPRK/Lazarus, просто потому что это легко, и корейцы стали просто козлами отпущения.
Тем не менее, похоже, что атрибуция верна, и сейчас у исследователей есть достаточное количество IoC, достоверно указывающих именно на корейские группировки.
2) Это лишний повод вспомнить, что модель нарушителя и угроз — это легко, но это не просто формальность.
В вашей модели угроз должны быть и хактивисты, которым денег не надо, и тихие иностранные разведки, и собственное государство, и корейцы, которые вас обокрадут, и вы ничего не поделаете, хоть и будете точно знать, что это они.
3) Для редтимеров это всё тоже интересные кейсы — какие техники и тактики можно позаимствовать нам, как пентестерам?
В арсенале лазарус не так много уникальных инструментов, и для них не столь важна бесшумность и анонимность, но социальная инженерия у них работает отлично.
Мы давно пробуем тренировать заказчиков противостоять таким угрозам, направленным именно на разработчиков, а не только проводить стандартные фишинговые рассылки.
Похоже, что стоит это делать активнее.
X (formerly Twitter)
Decurity (@DecurityHQ) on X
DeFi Security | Tier-1 Security Audit Firm | Top-2 in @Paradigm and @OpenZeppelin CTF | Public audits: https://t.co/CqYGRNibvj
👍32🔥18👏7🍌5❤3🤣3🥴2🤯1🥱1😈1👾1
Forwarded from [DeteAct] Оценка защищённости
Как несколько low-impact недостатков может привести к атаке с высоким уровнем риска?
Читайте в нашем блогпосте, где логические уязвимости и атаки на client-side, достойные CTF-таска за 300, мастерски скомбинированы для захвата аккаунта:
https://blog.deteact.ru/open-redirect-to-account-takeover/
P.S. Обещаем теперь чаще и системнее делиться опытом с наших проектов по тестированию на проникновение и анализу защищённости!
Читайте в нашем блогпосте, где логические уязвимости и атаки на client-side, достойные CTF-таска за 300, мастерски скомбинированы для захвата аккаунта:
https://blog.deteact.ru/open-redirect-to-account-takeover/
P.S. Обещаем теперь чаще и системнее делиться опытом с наших проектов по тестированию на проникновение и анализу защищённости!
Deteact - Тестирование на проникновение. Информационная безопасность
От Open Redirect до Account Takeover - Deteact
Узнайте, как небольшие уязвимости (IDOR, XSS, Open Redirect) в совокупности с неправильной настройкой CSP могут привести к захвату аккаунтов пользователей. Подробный разбор реального кейса из практики пентестинга.
🔥14🍌5👍3⚡1🤔1🙏1
Forwarded from [DeteAct] Оценка защищённости
Как PAM модуль создает дополнительный вектор для подключения к БД?
В новой статье рассказываем, как нюанс в интеграции систем, позволил получить доступ к основной продуктовой базе данных.
Читайте детали необычной реализации бизнес-риска:
https://blog.deteact.ru/kak-pam-modul-pozvolil-poluchit-dostup-k-bd/
В новой статье рассказываем, как нюанс в интеграции систем, позволил получить доступ к основной продуктовой базе данных.
Читайте детали необычной реализации бизнес-риска:
https://blog.deteact.ru/kak-pam-modul-pozvolil-poluchit-dostup-k-bd/
Deteact - Тестирование на проникновение. Информационная безопасность
Как PAM-модуль позволил получить доступ к БД - Deteact
В критичных базах PostgreSQL во внутренней инфраструктуре часто применяют внешнюю аутентификацию через PAM-модуль. Это позволяет реализовать ротацию паролей и ролевую модель на основе LDAP (AD), что при корректной настройке значительно повышает уровень защищённости.…
🍌14🔥8👍5❤1👎1🍾1
Forwarded from Поросёнок Пётр
🎙 Гость этого выпуска — Омар Ганиев: специалист по кибербезопасности, чемпион в CTF, предприниматель и человек, который умеет смотреть на технологии под разными углами.
Мы поговорили о его пути в секьюрити. Обсудили, что он думает о будущем AI в безопасности, а так же о пользе CTF для настоящих хакеров.
Об этом и о многом другом — в нашем выпуске с @beched. Спасибо, Омар, за откровенность и вдохновляющий разговор!
📝 P.S. Нам очень важна ваша обратная связь!
Оставляйте комментарии и реакции под выпуском — это помогает нам продолжать делать интересные подкасты и приглашать ещё больше крутых гостей 🙌
Мы поговорили о его пути в секьюрити. Обсудили, что он думает о будущем AI в безопасности, а так же о пользе CTF для настоящих хакеров.
Об этом и о многом другом — в нашем выпуске с @beched. Спасибо, Омар, за откровенность и вдохновляющий разговор!
📝 P.S. Нам очень важна ваша обратная связь!
Оставляйте комментарии и реакции под выпуском — это помогает нам продолжать делать интересные подкасты и приглашать ещё больше крутых гостей 🙌
YouTube
Омар (beched) Ганиев - из CTF профессионала в предпринимателя и основателя нескольких компаний
Омар Ганиев — хакер, предприниматель, известный своим активным участием в CTF-соревнованиях и развитием комьюнити в сфере информационной безопасности.
В этом выпуске мы обсудили его путь в секьюрити, роль CTF в построении карьеры и развитии технических навыков…
В этом выпуске мы обсудили его путь в секьюрити, роль CTF в построении карьеры и развитии технических навыков…
🔥43👍14🍌7❤4😘2🙏1🙈1
Почти 4 года в туду висело накатать этот блогпост, а столько ещё всего осталось висеть!
👍6🤯2🙈2🍌1
Forwarded from [DeteAct] Оценка защищённости
Редтим в стиле Pwn2Own
Новый блогпост — про то, как иногда на проектах могут пригодиться навыки бинарной эксплуатации.
Расскажите, приходилось ли вам писать сплойты под бинарные баги на проектах по пентесту?
Читать 👉 https://blog.deteact.ru/red-teaming-pentest-pwn2own/
Новый блогпост — про то, как иногда на проектах могут пригодиться навыки бинарной эксплуатации.
Расскажите, приходилось ли вам писать сплойты под бинарные баги на проектах по пентесту?
Читать 👉 https://blog.deteact.ru/red-teaming-pentest-pwn2own/
Deteact - Тестирование на проникновение. Информационная безопасность
Редтиминг в стиле Pwn2Own - Deteact
О том, как редтимеры пишут браузерные 1day-эксплойты, и как ПО для студийной записи vMix, запущенное на периметре, может привести к компрометации инфраструктуры
🔥27👍5🍌3👏2🙏2❤1🤯1
Русский кибербез на глобальном рынке
У людей, выросших в России/СНГ, очень мало успехов на глобальном cybersecurity-рынке.
Да даже в принципе очень успешных IT-компаний они создают не очень много, не натурализовавшись полноценно в другой стране.
Есть примеры россиян (РСФСРян), которые уехали ещё в детстве, а потом создали очень крупные компании. Это, например, Брин, Суцкевер, Бутерин.
Хватает и украинцев и белорусов — Левчин, Кум, Блаватник.
Кто есть из таких в кибербезе? Навскидку — в первую очередь вспоминается, конечно, урождённый москвич Дмитрий Альперович (фаундер Crowdstrike).
А ещё можно найти много фаундеров с русскими корнями, которые родились уже Израиле, учитывая, что это кузница cybersecurity-стартапов, и при этом там больше 15% населения — русские.
Например, натыкался на стартап Cider Security (фаундер — Даниэль Кривелевич), купленный полупальто за 200 млн, или юникорн Armis (фаундер — Евгений Дибров) с капой больше 4 млрд.
Если же посмотреть на более поздних эмигрантов, есть Ратмир Тимашев и Андрей Баронов с компанией Veeam, проданной за 5 лярдов. Есть Сергей Белоусов с Acronis, от которой никак не дождутся IPO.
Что примечательно, и у тех, и у других ключевой продукт — про бекапы, я бы сказал, что это на стыке IT и безопасности. При этом у них к тому же на момент создания Veeam/Acronis уже был опыт крупного бизнеса и экзитов, а Белоусов ещё в 90-е получил гражданство Сингапура.
Напоследок остаются самые релевантные примеры для большинства людей из России, у которых нет другого паспорта или крупного бизнеса за плечами, — это Wallarm (фаундер Иван Новиков) и Kaspersky Lab (фаундер в представлении не нуждается).
Касперы — уникальная компания. Продукт, созданный чекистом практически в СССР, довольно успешно продаётся по всему миру и до сих пор продаётся с Северной Америке и Европе по крайней мере на десятки млн, это в условиях целенаправленных санкций и изгнания.
Повторить этот опыт, конечно, уже невозможно, эпоха становления интернета уже прошла, как и время лояльного отношения к русским вендорам. И даже самим Касперам повторить опыт по сути не удалось, продаются у них только старые продукты, компания находится в стагнации последние 10-15 лет.
Wallarm — первый и единственный(?) стартап, созданный в России и относительно успешно экспортированный в США, прошедший YCombinator в 2016. Из России ушли только в 2022. Основной фаундер — офигенно талантливый хакер и исследователь.
Несколько лет мне казалось, что компания в упадке, не сумев набрать социальный капитал в США (несмотря на YC и переезд фаундеров) и не выдержав конкуренции с израильскими и американскими вендорами (в первую очередь Imperva).
Но этим летом Ваня поднял новый раунд на 55 млн., очень круто, и надеюсь, что им удастся дойти до серьёзного экзита.
Какие выводы?
Та какие выводы. В ИБ много параноиков, и вообще крайне важен вопрос доверия, из-за чего рынок достаточно фрагментирован.
Люди любят местечковых вендоров, покупают у тех, с кем дружат.
Таким образом, даже без дополнительного контекста b2b-продажи в cybersecurity — это задача сложнее, чем во многих других нишах.
А если у тебя красный паспорт, и ты делаешь сайберсек-стартап, то ты вообще по умолчанию шпион.
Приходится учитывать это, принимая решение о запуске продукта на американском рынке (или какой-то ещё неродной для вас географии).
Легко попасть в ситуацию, когда ты вроде бы делаешь продукт на глобальном рынке, но в итоге и инвесторы и клиенты у тебя русские.
Такой вот b2b Брайтон Бич.
У людей, выросших в России/СНГ, очень мало успехов на глобальном cybersecurity-рынке.
Да даже в принципе очень успешных IT-компаний они создают не очень много, не натурализовавшись полноценно в другой стране.
Есть примеры россиян (РСФСРян), которые уехали ещё в детстве, а потом создали очень крупные компании. Это, например, Брин, Суцкевер, Бутерин.
Хватает и украинцев и белорусов — Левчин, Кум, Блаватник.
Кто есть из таких в кибербезе? Навскидку — в первую очередь вспоминается, конечно, урождённый москвич Дмитрий Альперович (фаундер Crowdstrike).
А ещё можно найти много фаундеров с русскими корнями, которые родились уже Израиле, учитывая, что это кузница cybersecurity-стартапов, и при этом там больше 15% населения — русские.
Например, натыкался на стартап Cider Security (фаундер — Даниэль Кривелевич), купленный полупальто за 200 млн, или юникорн Armis (фаундер — Евгений Дибров) с капой больше 4 млрд.
Если же посмотреть на более поздних эмигрантов, есть Ратмир Тимашев и Андрей Баронов с компанией Veeam, проданной за 5 лярдов. Есть Сергей Белоусов с Acronis, от которой никак не дождутся IPO.
Что примечательно, и у тех, и у других ключевой продукт — про бекапы, я бы сказал, что это на стыке IT и безопасности. При этом у них к тому же на момент создания Veeam/Acronis уже был опыт крупного бизнеса и экзитов, а Белоусов ещё в 90-е получил гражданство Сингапура.
Напоследок остаются самые релевантные примеры для большинства людей из России, у которых нет другого паспорта или крупного бизнеса за плечами, — это Wallarm (фаундер Иван Новиков) и Kaspersky Lab (фаундер в представлении не нуждается).
Касперы — уникальная компания. Продукт, созданный чекистом практически в СССР, довольно успешно продаётся по всему миру и до сих пор продаётся с Северной Америке и Европе по крайней мере на десятки млн, это в условиях целенаправленных санкций и изгнания.
Повторить этот опыт, конечно, уже невозможно, эпоха становления интернета уже прошла, как и время лояльного отношения к русским вендорам. И даже самим Касперам повторить опыт по сути не удалось, продаются у них только старые продукты, компания находится в стагнации последние 10-15 лет.
Wallarm — первый и единственный(?) стартап, созданный в России и относительно успешно экспортированный в США, прошедший YCombinator в 2016. Из России ушли только в 2022. Основной фаундер — офигенно талантливый хакер и исследователь.
Несколько лет мне казалось, что компания в упадке, не сумев набрать социальный капитал в США (несмотря на YC и переезд фаундеров) и не выдержав конкуренции с израильскими и американскими вендорами (в первую очередь Imperva).
Но этим летом Ваня поднял новый раунд на 55 млн., очень круто, и надеюсь, что им удастся дойти до серьёзного экзита.
Какие выводы?
Та какие выводы. В ИБ много параноиков, и вообще крайне важен вопрос доверия, из-за чего рынок достаточно фрагментирован.
Люди любят местечковых вендоров, покупают у тех, с кем дружат.
Таким образом, даже без дополнительного контекста b2b-продажи в cybersecurity — это задача сложнее, чем во многих других нишах.
А если у тебя красный паспорт, и ты делаешь сайберсек-стартап, то ты вообще по умолчанию шпион.
Приходится учитывать это, принимая решение о запуске продукта на американском рынке (или какой-то ещё неродной для вас географии).
Легко попасть в ситуацию, когда ты вроде бы делаешь продукт на глобальном рынке, но в итоге и инвесторы и клиенты у тебя русские.
Такой вот b2b Брайтон Бич.
🤝32🍌9❤8😢3🔥2🦄2🙏1💯1