Ураган наличных
США совершили атаку на свободу слова и на право приватности, а также продемонстрировали экстратерриториальность своих законов и некомпетентность своих чиновников.
OFAC наложили санкции на протокол Tornado Cash, а в Амстердаме был арестован один из его разработчиков.
А госсекретарь США Энтони Блинкен заявил в Твиттере, что санкции наложены на "хакерскую группировку, спонсируемую Северной Кореей" (WTF??).
В действительности Tornado Cash (далее — TC) — это никакая не группировка, а децентрализованный протокол, разработанный ребятами из русского сообщества безопасников и web3-разработчиков.
Он работает как "миксер" и позволяет скрыть происхождение средств в блокчейне.
Ключевое отличие от обычных централизованных миксеров в том, что приватность обеспечивается криптографически, никто не может её нарушить, и работа протокола обеспечивается не конкретными людьми, а распределённым блокчейном.
Люди, создавшие протокол, не знают, кто его использует, не могут это узнать или предотвратить: они вообще не влияют на работу его алгоритма после публикации, а значит, не могут нести за это ответственность.
В санкционный список OFAC добавлены Ethereum-адреса, связанные с TC.
А подозрения в адрес арестованного разработчика заключаются в том, что он способствовал незаконному отмыванию средств.
Почему ситуация абсурдна?
1) Далеко не весь оборот TC — грязь.
В Tornado Cash действительно залили огромные суммы украденных средств, но это всё равно всего лишь 10.5% всего оборота обменника, причём подозреваю, что существенную часть этой суммы составляют 3-4 конкретных случая, когда были очень крупные взломы на сотни миллионов.
2) Создатель балаклавы не несёт ответственность за то, что кто-то в ней ограбил банк.
Обвинить авторов open-source протокола в том, что кто-то воспользовался им для отмыва украденных средств, это почти как обвинить Райвеста, Шамира и Адлемана в том, что они создали алгоритм шифрования RSA, который может использоваться для сокрытия преступлений.
3) Механика санкций абсолютно непрозрачна.
Теперь запрещено "взаимодействовать" с адресами миксера в сети Ethereum, но старики из OFAC не учли, что в блокчейне можно получить средства без какого-либо умысла и даже не зная об этом. А те, кто действительно отмывает средства, может их перевести на другой кошелёк, который уже формально не взаимодействовал с миксером.
Так что вполне ожидаемо произошло следующее: некий тролль раскидал через TC по 0.1 ETH (~$200) на адреса известных людей, включая ведущего Джимми Фэллона и основателя Coinbase Брайана Армстронга.
Теперь, если буквально интерпретировать закон, им может грозить до 30 лет тюрьмы.
Почему TC — нужная технология?
1) Приватность — базовое право человека.
Сегодня вам запрещают пользоваться TC, а завтра заставляют устанавливать дома телекран.
Вы имеете право на приватность и свободу слова. В данном случае код является словом, и его свободу тоже нарушили арестом автора.
2) В финансовых системах необходимы механизмы приватности для бизнеса.
Транзакции в банке видит только банк и налоговая, но не каждый встречный. В блокчейне тоже нужен такой механизм.
Например, вы оказываете услуги и получаете за это деньги от клиентов в крипте, но не хотите, чтоб конкуренты знали стоимость услуг. Если вы не анонимизируете свои кошельки, вся информация открыта.
При этом в TC существует криптографический механизм комплаенса, который позволяет раскрыть происхождение средств при необходимости (как в случае с банком и налоговой).
3) Для личных и общественно-политических целей нужны анонимные платежи.
Виталик Бутерин воспользовался TC для отправки средств на нужды Украины. Многие люди боятся в открытую тратить на благотворительность или даже просто совершать платежи с основным кошельков (где много денег), и для них такой сервис полезен.
Пока не доказано обратное (факты реального намеренного содействия криминалу), эта нападка на TC является атакой репрессивной и формалистской чиновничей машины на новый технологический мир децентрализации и анонимности, которого они боятся.
США совершили атаку на свободу слова и на право приватности, а также продемонстрировали экстратерриториальность своих законов и некомпетентность своих чиновников.
OFAC наложили санкции на протокол Tornado Cash, а в Амстердаме был арестован один из его разработчиков.
А госсекретарь США Энтони Блинкен заявил в Твиттере, что санкции наложены на "хакерскую группировку, спонсируемую Северной Кореей" (WTF??).
В действительности Tornado Cash (далее — TC) — это никакая не группировка, а децентрализованный протокол, разработанный ребятами из русского сообщества безопасников и web3-разработчиков.
Он работает как "миксер" и позволяет скрыть происхождение средств в блокчейне.
Ключевое отличие от обычных централизованных миксеров в том, что приватность обеспечивается криптографически, никто не может её нарушить, и работа протокола обеспечивается не конкретными людьми, а распределённым блокчейном.
Люди, создавшие протокол, не знают, кто его использует, не могут это узнать или предотвратить: они вообще не влияют на работу его алгоритма после публикации, а значит, не могут нести за это ответственность.
В санкционный список OFAC добавлены Ethereum-адреса, связанные с TC.
А подозрения в адрес арестованного разработчика заключаются в том, что он способствовал незаконному отмыванию средств.
Почему ситуация абсурдна?
1) Далеко не весь оборот TC — грязь.
В Tornado Cash действительно залили огромные суммы украденных средств, но это всё равно всего лишь 10.5% всего оборота обменника, причём подозреваю, что существенную часть этой суммы составляют 3-4 конкретных случая, когда были очень крупные взломы на сотни миллионов.
2) Создатель балаклавы не несёт ответственность за то, что кто-то в ней ограбил банк.
Обвинить авторов open-source протокола в том, что кто-то воспользовался им для отмыва украденных средств, это почти как обвинить Райвеста, Шамира и Адлемана в том, что они создали алгоритм шифрования RSA, который может использоваться для сокрытия преступлений.
3) Механика санкций абсолютно непрозрачна.
Теперь запрещено "взаимодействовать" с адресами миксера в сети Ethereum, но старики из OFAC не учли, что в блокчейне можно получить средства без какого-либо умысла и даже не зная об этом. А те, кто действительно отмывает средства, может их перевести на другой кошелёк, который уже формально не взаимодействовал с миксером.
Так что вполне ожидаемо произошло следующее: некий тролль раскидал через TC по 0.1 ETH (~$200) на адреса известных людей, включая ведущего Джимми Фэллона и основателя Coinbase Брайана Армстронга.
Теперь, если буквально интерпретировать закон, им может грозить до 30 лет тюрьмы.
Почему TC — нужная технология?
1) Приватность — базовое право человека.
Сегодня вам запрещают пользоваться TC, а завтра заставляют устанавливать дома телекран.
Вы имеете право на приватность и свободу слова. В данном случае код является словом, и его свободу тоже нарушили арестом автора.
2) В финансовых системах необходимы механизмы приватности для бизнеса.
Транзакции в банке видит только банк и налоговая, но не каждый встречный. В блокчейне тоже нужен такой механизм.
Например, вы оказываете услуги и получаете за это деньги от клиентов в крипте, но не хотите, чтоб конкуренты знали стоимость услуг. Если вы не анонимизируете свои кошельки, вся информация открыта.
При этом в TC существует криптографический механизм комплаенса, который позволяет раскрыть происхождение средств при необходимости (как в случае с банком и налоговой).
3) Для личных и общественно-политических целей нужны анонимные платежи.
Виталик Бутерин воспользовался TC для отправки средств на нужды Украины. Многие люди боятся в открытую тратить на благотворительность или даже просто совершать платежи с основным кошельков (где много денег), и для них такой сервис полезен.
Пока не доказано обратное (факты реального намеренного содействия криминалу), эта нападка на TC является атакой репрессивной и формалистской чиновничей машины на новый технологический мир децентрализации и анонимности, которого они боятся.
U.S. Department of the Treasury
U.S. Treasury Sanctions Notorious Virtual Currency Mixer Tornado Cash
WASHINGTON – Today, the U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC) sanctioned virtual currency mixer Tornado Cash, which has been used to launder more than $7 billion worth of virtual currency since its creation in 2019. This…
При этом опять видно, как демократический мир в страхе перед OFAC побежал выполнять санкции с особым рвением, блокируя всех, кто даже в прошлом пользовался TC, хотя санкции не обладают обратной силой.
Этот же мир ранее радостно участвовал в отмывании ворованных средств через те же централизованные биржи, которые теперь будут блокировать пользователей за использование TC.
Не будем уповать на разумность высших публичных американских чинов, которые бездумно шитпостят про связи TC с Северной Кореей, но понадеемся на то, что кто-то из более компетентных лиц, принимающих решения, сбавит накал ситуации.
Ну и, конечно, пожелаем терпения и удачи непосредственным пострадавшим, нашим товарищам по коммьюнити.
Этот же мир ранее радостно участвовал в отмывании ворованных средств через те же централизованные биржи, которые теперь будут блокировать пользователей за использование TC.
Не будем уповать на разумность высших публичных американских чинов, которые бездумно шитпостят про связи TC с Северной Кореей, но понадеемся на то, что кто-то из более компетентных лиц, принимающих решения, сбавит накал ситуации.
Ну и, конечно, пожелаем терпения и удачи непосредственным пострадавшим, нашим товарищам по коммьюнити.
Off Zone
В этот четверг найдёте стенд нашей команды на конференции OffZone 2022, на которой мы являемся партнёрами.
Приходите к нам на огонёк узнать про анализ защищённости и Red Teaming, про DevSecOps и Pentest as a Service и пользу этих сервисов для бизнеса.
Если вы сами хакер_ка, приходите порешать конкурсные задачки или оценить свои скиллы на наших стендах для кандидатов.
We're hiring!
На стенде хакерам 6 раз за 2 дня будет дан шанс обойти соперников и забрать приз.
Каждые 2 часа в первый и во второй день будет открываться новая задача, за первое решение которой будет приз.
Устали аутировать по 2 дня, непрерывно решая таски? Хотите не только хакать, но и общаться и ходить на доклады?
Приходите на наш CTF и станьте победителем, решив всего одну задачу!
Примерные категории — Web, Infra, Mobile, Smart Contracts
В этот четверг найдёте стенд нашей команды на конференции OffZone 2022, на которой мы являемся партнёрами.
Приходите к нам на огонёк узнать про анализ защищённости и Red Teaming, про DevSecOps и Pentest as a Service и пользу этих сервисов для бизнеса.
Если вы сами хакер_ка, приходите порешать конкурсные задачки или оценить свои скиллы на наших стендах для кандидатов.
We're hiring!
На стенде хакерам 6 раз за 2 дня будет дан шанс обойти соперников и забрать приз.
Каждые 2 часа в первый и во второй день будет открываться новая задача, за первое решение которой будет приз.
Устали аутировать по 2 дня, непрерывно решая таски? Хотите не только хакать, но и общаться и ходить на доклады?
Приходите на наш CTF и станьте победителем, решив всего одну задачу!
Примерные категории — Web, Infra, Mobile, Smart Contracts
offzone.moscow
Спонсоры и партнеры
OFFZONE 2022 - Международная конференция по практической кибербезопаности
Туда-сюда
Всю ночь добирался самолётом и потом ехал по пробкам (в Москве опять внезапно выпал снег, кто мог ожидать?), чтобы 20 минут поговорить про пентест!
А на другом митапе всем буду говорить, что прилетел, конечно, только ради него.
А у вас как конец года?
P.S. О, ровно 3 месяца не писал в канал, писатель из меня всё-таки не очень. Все накопленные мысли выговариваю во флуд-чатики вместо каналов, где нужно более организованно писать текст. Пора переносить сюда избранное!
Всю ночь добирался самолётом и потом ехал по пробкам (в Москве опять внезапно выпал снег, кто мог ожидать?), чтобы 20 минут поговорить про пентест!
А на другом митапе всем буду говорить, что прилетел, конечно, только ради него.
А у вас как конец года?
P.S. О, ровно 3 месяца не писал в канал, писатель из меня всё-таки не очень. Все накопленные мысли выговариваю во флуд-чатики вместо каналов, где нужно более организованно писать текст. Пора переносить сюда избранное!
YouTube
Куда идет пентест (и причем здесь 250 й указ)
Эскобаровы парадоксы
В последние дни бизнес-общественность бурлит по поводу скандала со стартапом Immigram.
Вкратце: UK-based стартап выиграл европейское питч-соревнование в Хельсинки, за что полагается шанс получить инвестиции в размере 1 миллион евро.
Стартап предоставляет сервис по помощи в оформлении визы Global Talent в Великобритании.
2-е место в соревновании заняла украинская команда, и в соцсетях началась скоординированная атака с требованиями отнять у Immigram победу, потому что, мол, стартап русский.
Организаторы повиновались, посыпав голову пеплом.
В ответ от сообщества к организаторам пошли обвинения в дискриминации, двойных стандартах, отсутствии бизнес-этики и даже расизме.
У обеих сторон есть аргументы:
1) Как утверждает сторона обвинения, стартап активно нанимает через российские сервисы (hh) и наживается на военных действиях, перевозя русских айтишников в UK, хотя и пишет, что никого у них в РФ нет, и вообще, их целевой рынок — это Индия, Латам и т. д. Врут про рынок? Не знаю, но looks fishy, совершенно не удивлюсь.
При этом мне не совсем понятно, почему это вообще стартап, это же полуавтоматизированный консалтинг с весьма ограниченным рынком, и его рост подозрительно совпал с конфликтом и кратным увеличением русских эмигрантов. В таком контексте, конечно, стрёмно ехать на европейский конкурс за инвестициями.
2) С другой стороны, вывозя айтишников из РФ, они бьют по долгосрочной устойчивости инновационной экономики страны, тем самым ослабляя тот самый режим, в сотрудничестве с которым их обвиняют. При этом фаундерка стартапа уже 6 лет в UK и открыто поддерживает Украину.
Да и банить в конкурсе за цвет паспорта (а выглядит именно так) — совершенно неприемлемо.
Нет времени сильно вникать в детали спора организаторов со стартапом, с моей колокольни похоже на ситуацию жабы с гадюкой, но, конечно, это тревожный звоночек и плохой прецедент.
Даже если ребята схитрили и как-то обманули организаторов, это явно не на поверхности и требует доказательств, зато очевидно, что русским теперь нельзя давать победы в стартап-соревнованиях, даже если они уехали из страны и говорят всё как надо, вешают сине-жёлтые флаги на аватарки и вообще душечки.
Но платить России миллиарды евро за газ можно и не стыдно, ведь это — другое.
В последние дни бизнес-общественность бурлит по поводу скандала со стартапом Immigram.
Вкратце: UK-based стартап выиграл европейское питч-соревнование в Хельсинки, за что полагается шанс получить инвестиции в размере 1 миллион евро.
Стартап предоставляет сервис по помощи в оформлении визы Global Talent в Великобритании.
2-е место в соревновании заняла украинская команда, и в соцсетях началась скоординированная атака с требованиями отнять у Immigram победу, потому что, мол, стартап русский.
Организаторы повиновались, посыпав голову пеплом.
В ответ от сообщества к организаторам пошли обвинения в дискриминации, двойных стандартах, отсутствии бизнес-этики и даже расизме.
У обеих сторон есть аргументы:
1) Как утверждает сторона обвинения, стартап активно нанимает через российские сервисы (hh) и наживается на военных действиях, перевозя русских айтишников в UK, хотя и пишет, что никого у них в РФ нет, и вообще, их целевой рынок — это Индия, Латам и т. д. Врут про рынок? Не знаю, но looks fishy, совершенно не удивлюсь.
При этом мне не совсем понятно, почему это вообще стартап, это же полуавтоматизированный консалтинг с весьма ограниченным рынком, и его рост подозрительно совпал с конфликтом и кратным увеличением русских эмигрантов. В таком контексте, конечно, стрёмно ехать на европейский конкурс за инвестициями.
2) С другой стороны, вывозя айтишников из РФ, они бьют по долгосрочной устойчивости инновационной экономики страны, тем самым ослабляя тот самый режим, в сотрудничестве с которым их обвиняют. При этом фаундерка стартапа уже 6 лет в UK и открыто поддерживает Украину.
Да и банить в конкурсе за цвет паспорта (а выглядит именно так) — совершенно неприемлемо.
Нет времени сильно вникать в детали спора организаторов со стартапом, с моей колокольни похоже на ситуацию жабы с гадюкой, но, конечно, это тревожный звоночек и плохой прецедент.
Даже если ребята схитрили и как-то обманули организаторов, это явно не на поверхности и требует доказательств, зато очевидно, что русским теперь нельзя давать победы в стартап-соревнованиях, даже если они уехали из страны и говорят всё как надо, вешают сине-жёлтые флаги на аватарки и вообще душечки.
Но платить России миллиарды евро за газ можно и не стыдно, ведь это — другое.
TechCrunch
Slush revokes $1M pitch prize from Russian founders after industry outcry [Updated] | TechCrunch
Immigram has been removed from a $1 million startup competition that it won last week at the Slush conference in Helsinki.
Singularity
Добрый день, меня зовут Омар Ганиев и я хочу поговорить с вами о том, как технология ChatGPT может изменить наш мир.
Что такое ChatGPT? Это мощный языковой модельный инструмент, который может генерировать человеческий текст и отвечать на вопросы и запросы. Эта технология основана на глубоком обучении и позволяет модели предсказывать следующее слово в последовательности на основе слов, которые предшествовали ему.
Но почему это так важно? Потому что ChatGPT открывает дверь к множеству новых возможностей и задач, которые раньше казались невозможными для машинного обучения. Например, ChatGPT может использоваться для анализа эмоций и определения тональности текста, а также для создания синтетических голосов и фотографий.
Но самое интересное в технологии ChatGPT - это ее применение в таких областях, как кибербезопасность и пенетрационные тесты. Вы можете использовать ChatGPT для создания манипуляций, фишинга и других техник взлома, а также для анализа и обнаружения нарушений в сети.
Я очень взволнован этой новой технологией и удивлен тем, насколько быстро идет ее развитие. Сегодня мы видим появление новых генеративно-состязательных сетей (GAN), которые могут создавать гиперреалистичные изображения на основе текстового предложения. Это показывает, насколько быстро развивается технология искусственного интеллекта и как скоро она сможет эффективно решать большинство задач, которые раньше были доступны только для человека.
Благодаря своей мощности и гибкости, ChatGPT может изменить наш мир и помочь нам решать самые сложные задачи. Я уже упоминал о его применении в кибербезопасности и пенетрационных тестах, но это далеко не все. ChatGPT может использоваться для анализа данных, генерации контента и даже для автоматизации бизнес-процессов.
В заключение хочу сказать, что ChatGPT - это один из самых мощных инструментов для обработки естественного языка, который может помочь нам решать самые сложные задачи. Я надеюсь, что вы также будете взволнованы этой новой технологией и будете следить за ее развитием. Вместе мы сможем изменить мир и сделать его лучше с помощью искусственного интеллекта.
Добрый день, меня зовут Омар Ганиев и я хочу поговорить с вами о том, как технология ChatGPT может изменить наш мир.
Что такое ChatGPT? Это мощный языковой модельный инструмент, который может генерировать человеческий текст и отвечать на вопросы и запросы. Эта технология основана на глубоком обучении и позволяет модели предсказывать следующее слово в последовательности на основе слов, которые предшествовали ему.
Но почему это так важно? Потому что ChatGPT открывает дверь к множеству новых возможностей и задач, которые раньше казались невозможными для машинного обучения. Например, ChatGPT может использоваться для анализа эмоций и определения тональности текста, а также для создания синтетических голосов и фотографий.
Но самое интересное в технологии ChatGPT - это ее применение в таких областях, как кибербезопасность и пенетрационные тесты. Вы можете использовать ChatGPT для создания манипуляций, фишинга и других техник взлома, а также для анализа и обнаружения нарушений в сети.
Я очень взволнован этой новой технологией и удивлен тем, насколько быстро идет ее развитие. Сегодня мы видим появление новых генеративно-состязательных сетей (GAN), которые могут создавать гиперреалистичные изображения на основе текстового предложения. Это показывает, насколько быстро развивается технология искусственного интеллекта и как скоро она сможет эффективно решать большинство задач, которые раньше были доступны только для человека.
Благодаря своей мощности и гибкости, ChatGPT может изменить наш мир и помочь нам решать самые сложные задачи. Я уже упоминал о его применении в кибербезопасности и пенетрационных тестах, но это далеко не все. ChatGPT может использоваться для анализа данных, генерации контента и даже для автоматизации бизнес-процессов.
В заключение хочу сказать, что ChatGPT - это один из самых мощных инструментов для обработки естественного языка, который может помочь нам решать самые сложные задачи. Я надеюсь, что вы также будете взволнованы этой новой технологией и будете следить за ее развитием. Вместе мы сможем изменить мир и сделать его лучше с помощью искусственного интеллекта.
ChatGPT
Заметили странное? Да, канал захвачен ИИ, предыдущий пост написан не мной!
Последние сутки я, как и многие другие, пребываю в лёгком недоумении от технологического прогресса.
Нет особых сомнений, что людям удастся создать искусственный интеллект, чьи возможности превышают их собственные во всех отношениях, но скорость, с которой мы к нему идём, оказалась несколько выше, чем многие ожидали.
В последнее время видно колоссальное развитие в сфере машинного обучения и нейросетей.
Нейросети MidJourney, Stable Diffusion и прочие научились генерировать изображения с поразительной детализацией и художественной оригинальностью. Для этого достаточно передать программе пару текстовых фраз, описывающих нужный рисунок.
А теперь компанией OpenAI опубликован доступ к диалоговой нейросети ChatGPT, которая умеет отвечать на любые вопросы и вообще вести человеческий диалог.
Это не простая экспертная система родом из 90х и даже не каталог ответов Stackoverflow, а практически настоящий ИИ. Кажется, мы ещё даже не до конца осознали возможности новой технологии, а ведь это лишь первый шаг!
Например, можно попросить ChatGPT написать стихотворение на определённую тему в стиле Шекспира, да ещё и так, чтобы в нём были слова из определённого перечня, а ещё была какая-то драма, или, напротив, оно было весёлым.
Можно задать технический вопрос или даже попросить найти уязвимость в коде! Также нейросеть справляется с написанием кода на разных языках по небольшому описанию задачи.
Можно не только попросить написать код, но и попросить объяснить любой код или даже декомпилировать ассемблерный листинг.
Конечно, до замены профессии разработчиков или хакеров ещё далеко, но творческие и другие гуманитарные профессии уже можно во многом автоматизировать.
Можно попросить придумать идеи для подарков, праздника, имени ребёнка, дизайна интерьера или даже попросить найти выход из сложной ситуации.
Ассистент (именно так саму себя называет нейросеть) может и написать целую сказку нужной темы.
При этом это действительно диалоговая нейросеть: она сохраняет связность общения, понимает, с кем говорит, о чём шла речь несколько сообщений назад, может размышлять, фантазировать и спорить, при этом обладает колоссальной эрудицией.
В Твиттере можно найти сотни примеров ответов ChatGPT, в которые ещё вчера было бы сложно поверить.
Пример с моим постом выше на самом деле слабый, поскольку я довольно пространно описал требования к посту.
Потом у меня получились более крутые варианты, но сайт подвисал (всем же интересно!), поэтому более текст просто обрывался.
Вот какой был запрос (кстати, с несколькими языковыми ошибками) к ChatGPT для создания предыдущего поста:
Заметили странное? Да, канал захвачен ИИ, предыдущий пост написан не мной!
Последние сутки я, как и многие другие, пребываю в лёгком недоумении от технологического прогресса.
Нет особых сомнений, что людям удастся создать искусственный интеллект, чьи возможности превышают их собственные во всех отношениях, но скорость, с которой мы к нему идём, оказалась несколько выше, чем многие ожидали.
В последнее время видно колоссальное развитие в сфере машинного обучения и нейросетей.
Нейросети MidJourney, Stable Diffusion и прочие научились генерировать изображения с поразительной детализацией и художественной оригинальностью. Для этого достаточно передать программе пару текстовых фраз, описывающих нужный рисунок.
А теперь компанией OpenAI опубликован доступ к диалоговой нейросети ChatGPT, которая умеет отвечать на любые вопросы и вообще вести человеческий диалог.
Это не простая экспертная система родом из 90х и даже не каталог ответов Stackoverflow, а практически настоящий ИИ. Кажется, мы ещё даже не до конца осознали возможности новой технологии, а ведь это лишь первый шаг!
Например, можно попросить ChatGPT написать стихотворение на определённую тему в стиле Шекспира, да ещё и так, чтобы в нём были слова из определённого перечня, а ещё была какая-то драма, или, напротив, оно было весёлым.
Можно задать технический вопрос или даже попросить найти уязвимость в коде! Также нейросеть справляется с написанием кода на разных языках по небольшому описанию задачи.
Можно не только попросить написать код, но и попросить объяснить любой код или даже декомпилировать ассемблерный листинг.
Конечно, до замены профессии разработчиков или хакеров ещё далеко, но творческие и другие гуманитарные профессии уже можно во многом автоматизировать.
Можно попросить придумать идеи для подарков, праздника, имени ребёнка, дизайна интерьера или даже попросить найти выход из сложной ситуации.
Ассистент (именно так саму себя называет нейросеть) может и написать целую сказку нужной темы.
При этом это действительно диалоговая нейросеть: она сохраняет связность общения, понимает, с кем говорит, о чём шла речь несколько сообщений назад, может размышлять, фантазировать и спорить, при этом обладает колоссальной эрудицией.
В Твиттере можно найти сотни примеров ответов ChatGPT, в которые ещё вчера было бы сложно поверить.
Пример с моим постом выше на самом деле слабый, поскольку я довольно пространно описал требования к посту.
Потом у меня получились более крутые варианты, но сайт подвисал (всем же интересно!), поэтому более текст просто обрывался.
Вот какой был запрос (кстати, с несколькими языковыми ошибками) к ChatGPT для создания предыдущего поста:
Come up with a creative blogpost in Russian language under the name "Омар Ганиев" about how ChatGPT could change the world. Give a couple examples about what complex and unexpected tasks you can solve. Write every sentence in the popular science style and make it a very convincing story. Make it technical and let some of the examples be related to cybersecurity and penetration testing. Tell about the author's feeling about this new technology and how fascinating it is. Tell about the unexpected pace of the progress and how soon the AI will be able to solve most of the human tasks more efficiently. Also bring up the examples of recently emerged GAN's that are able to generate hyper-realistic images using the text promptПопробуйте сами тут (для регистрации нужен номер телефона не из страны, развязавшей войну с соседом вместо развития технологий будущего).
Fake Token eXchange
Ещё одна хайповая тема последних недель — крах биржи FTX.
Я ни разу не являюсь крипто-евангелистом (лишь крипто-реалистом), но смешно, как крипто-критики бросились злорадствовать, что "крипта — скам".
FTX — это централизованная биржа, технически она мало чем отличается от какой-нибудь CME или ММВБ.
Отношение к "крипте" как к технологии она имеет лишь спекулятивное, по сути это классическая финтех-платформа с возможностью принятия платежей и отправки выплат в криптовалютах.
И скандал с мошенничеством выдался прямо показательно классический: владелец биржи Sam Bankman-Fried (SBF) вольно распоряжался средствами клиентов, спекулируя ими через другую свою компанию (фонд), попутно скупая виллы на Багамах и коррупционируя славную неподкупную демократическую партию США.
В итоге государство отворачивало глаза от деталей оффшорного финансового учёта биржи и конфликта интересов с другими бизнесами, а свободные медиа с настоящей журналистикой наперебой вешали SBF на обложки (включая Forbes) и рассказывали, какой же он гений.
Кстати, гений родился в семье белых юристов, и его мать является сооснователем синего суперпака Mind the Gap. До скандала она напрямую занималась спонсированием политиков, а сам SBF по объёму пожертвований президентской кампании Байдена уступает лишь Майклу Блумбергу.
Так вот, по сути это примерно такая же история, как когда карманный банк где-нибудь в РФ коррумпирует правоохранителей и чиновников, занимаясь воровством и обналом, а потом в нём внезапно обнаруживается дыра в пару миллиардов, и вроде бы приличные люди, руководившие банком, куда-то смываются.
К технологии блокчейна это всё не имеет отношения и скорее даже далеко от него, поскольку в DeFi, несмотря на огромное количество мошеннических проектов, финансы гораздо прозрачнее, и именно таким образом обворовывать клиентов сложнее.
Как минимум трое из моего круга общения потеряли миллионы долларов в виде депозитов в разорившейся FTX. Эти ребята не пропадут и заработают ещё много, но для тысяч людей потери могли стать более ощутимыми, суммарно украдены миллиарды!
Не храните сбережения на балансах CEX и даже DeFi-протоколов. Считайте, что любая биржа и любой протокол в любой момент могут оказаться взломаны или разорены и исходите из такого сценария.
Ну а этот скандал, я надеюсь, приведёт к оздоровлению индустрии и к смерти локальных культов личности, подкармливаемых журналистами.
Ещё одна хайповая тема последних недель — крах биржи FTX.
Я ни разу не являюсь крипто-евангелистом (лишь крипто-реалистом), но смешно, как крипто-критики бросились злорадствовать, что "крипта — скам".
FTX — это централизованная биржа, технически она мало чем отличается от какой-нибудь CME или ММВБ.
Отношение к "крипте" как к технологии она имеет лишь спекулятивное, по сути это классическая финтех-платформа с возможностью принятия платежей и отправки выплат в криптовалютах.
И скандал с мошенничеством выдался прямо показательно классический: владелец биржи Sam Bankman-Fried (SBF) вольно распоряжался средствами клиентов, спекулируя ими через другую свою компанию (фонд), попутно скупая виллы на Багамах и коррупционируя славную неподкупную демократическую партию США.
В итоге государство отворачивало глаза от деталей оффшорного финансового учёта биржи и конфликта интересов с другими бизнесами, а свободные медиа с настоящей журналистикой наперебой вешали SBF на обложки (включая Forbes) и рассказывали, какой же он гений.
Кстати, гений родился в семье белых юристов, и его мать является сооснователем синего суперпака Mind the Gap. До скандала она напрямую занималась спонсированием политиков, а сам SBF по объёму пожертвований президентской кампании Байдена уступает лишь Майклу Блумбергу.
Так вот, по сути это примерно такая же история, как когда карманный банк где-нибудь в РФ коррумпирует правоохранителей и чиновников, занимаясь воровством и обналом, а потом в нём внезапно обнаруживается дыра в пару миллиардов, и вроде бы приличные люди, руководившие банком, куда-то смываются.
К технологии блокчейна это всё не имеет отношения и скорее даже далеко от него, поскольку в DeFi, несмотря на огромное количество мошеннических проектов, финансы гораздо прозрачнее, и именно таким образом обворовывать клиентов сложнее.
Как минимум трое из моего круга общения потеряли миллионы долларов в виде депозитов в разорившейся FTX. Эти ребята не пропадут и заработают ещё много, но для тысяч людей потери могли стать более ощутимыми, суммарно украдены миллиарды!
Не храните сбережения на балансах CEX и даже DeFi-протоколов. Считайте, что любая биржа и любой протокол в любой момент могут оказаться взломаны или разорены и исходите из такого сценария.
Ну а этот скандал, я надеюсь, приведёт к оздоровлению индустрии и к смерти локальных культов личности, подкармливаемых журналистами.
Wikipedia
FTX
Bahamian digital asset exchange company
Стажировка
Возобновляем стажировки в DeteAct!
В 2021 г. мы успешно провели публичную стажировку и хорошо выросли, а 2022 г. прошёл под знаменем эффективности и улучшения процессов.
Теперь мы снова готовы кратно растить команду и будем счастливы повстречать энтузиастов, которые хотят заниматься интересными проектами и исследованиями.
В анкете некоторые вопросы могут быть достаточно сложными, но мы ждём людей с разным бекграундом, так что не бойтесь подавать заявку.
Присоединяйтесь к нам заниматься серьёзными и сложными проектами и делать аудиты ради безопасности, а не ради бумажки!
Возобновляем стажировки в DeteAct!
В 2021 г. мы успешно провели публичную стажировку и хорошо выросли, а 2022 г. прошёл под знаменем эффективности и улучшения процессов.
Теперь мы снова готовы кратно растить команду и будем счастливы повстречать энтузиастов, которые хотят заниматься интересными проектами и исследованиями.
В анкете некоторые вопросы могут быть достаточно сложными, но мы ждём людей с разным бекграундом, так что не бойтесь подавать заявку.
Присоединяйтесь к нам заниматься серьёзными и сложными проектами и делать аудиты ради безопасности, а не ради бумажки!
intern.deteact.ru
Пентест, анализ защищённости
Приглашаем на стажировку по пентестам!
Тепловая смерть Вселенной
На мой взгляд, самая разумная высшая цель жизни, которую можно постулировать человеку, — это научно-технический прогресс.
Речь не про то, ради какой исключительной причины нужно жить, но про то, что нужно делать высшим приоритетом.
— Персонально-гедонистические цели по типу "быть счастливым", "получать удовольствие от жизни" абсолютно дегенеративны и приближают человека к бонобо, валяющемуся на берегу Конго, или, что гораздо хуже, к истекающему слюной героинщику, валяющемуся в притоне с баяном, пущенным по кругу.
Человек, самым главным приоритетом которого в жизни является удовольствие, в сущности мало чем отличается от такого героинщика, поскольку воздействие опиатов на рецепторы нервной системы является максимальным удовольствием в чистом виде, и получается, что это и является вершиной достижений для такого человека.
— Религиозно-мистические цели направлены на дальнейшее существование за пределами нашего бытия, а не на практический результат в нашей жизни, поэтому рассматривать их в общем ряду нецелесообразно.
— Социальные же цели направлены на восстановление справедливости в основном за счёт преференций для слабых и на проблемы взаимоотношений. Это примерно как "за всё хорошее, против всего плохого", конкретные задачи бывают размыты, конкретные инструменты тоже. Не годится это в качестве высшей цели. У тех же бонобо общество вполне вероятно справедливее человеческого, но вряд ли вам понравится идея стать бонобо.
В действительности, по-моему, самой главной причиной, позволяющим миллиардам людей быть счастливыми и получать удовольствие от жизни, верить во что угодно и жить в относительной безопасности и справедливости, является именно научно-технический прогресс.
Ведь именно он удлиняет продолжительность жизни и даёт людям инструменты для реализации остальных целей.
Для отдельного человека мысль о том, что высшей целью является научный прогресс и сингулярность, может быть довольно депрессивной, потому что почти никто из нас нисколько в реализации этой цели не продвинулся.
Если вы к 25 годам не совершили ни одного научного прорыва, вы уже вряд ли когда-либо совершите хотя бы один. Аналогично, если к 25 вы не стали специалистом в какой-то области, то будет уже сложно (хоть и возможно) построить карьеру, сделать бизнес, стать успешным и т. д.
Единственный способ внести вклад в высшую цель человечества в таком случае — это создавать потомство, которое имеет шанс сделать что-то полезное в будущем.
Вот так витиевато можно обосновать абсолютно избитую и консервативную мысль наших мам и бабушек о том, что нужно рожать. Мысль, которую при текущем строении социума многие люди отбрасывают как какую-то отсталую, при этом продолжают заниматься всякой мышиной вознёй вроде информационной безопасности, трейдинга или балета.
Важность этой возни для научно-технического прогресса ничтожна в сравнении с тем, чего могут достигнуть сотни людей, жизнь которым вы можете дать.
P.S. Если и это вас вгоняет в депрессию, можно принять другую эгоистичную, но тоже философски обоснованную позицию нигилизма: всех нас в любом случае ждёт тепловая смерть Вселенной, и поэтому никакие постулируемые цели в сущности между собой не различаются и приведут к одному результату.
А значит, не стоит огорчаться, если вам не удалось приблизить нас к сингулярности ни своим личным вкладом, ни потомством. Огорчаться вообще не очень-то продуктивно: просто получайте удовольствие от жизни! :D
На мой взгляд, самая разумная высшая цель жизни, которую можно постулировать человеку, — это научно-технический прогресс.
Речь не про то, ради какой исключительной причины нужно жить, но про то, что нужно делать высшим приоритетом.
— Персонально-гедонистические цели по типу "быть счастливым", "получать удовольствие от жизни" абсолютно дегенеративны и приближают человека к бонобо, валяющемуся на берегу Конго, или, что гораздо хуже, к истекающему слюной героинщику, валяющемуся в притоне с баяном, пущенным по кругу.
Человек, самым главным приоритетом которого в жизни является удовольствие, в сущности мало чем отличается от такого героинщика, поскольку воздействие опиатов на рецепторы нервной системы является максимальным удовольствием в чистом виде, и получается, что это и является вершиной достижений для такого человека.
— Религиозно-мистические цели направлены на дальнейшее существование за пределами нашего бытия, а не на практический результат в нашей жизни, поэтому рассматривать их в общем ряду нецелесообразно.
— Социальные же цели направлены на восстановление справедливости в основном за счёт преференций для слабых и на проблемы взаимоотношений. Это примерно как "за всё хорошее, против всего плохого", конкретные задачи бывают размыты, конкретные инструменты тоже. Не годится это в качестве высшей цели. У тех же бонобо общество вполне вероятно справедливее человеческого, но вряд ли вам понравится идея стать бонобо.
В действительности, по-моему, самой главной причиной, позволяющим миллиардам людей быть счастливыми и получать удовольствие от жизни, верить во что угодно и жить в относительной безопасности и справедливости, является именно научно-технический прогресс.
Ведь именно он удлиняет продолжительность жизни и даёт людям инструменты для реализации остальных целей.
Для отдельного человека мысль о том, что высшей целью является научный прогресс и сингулярность, может быть довольно депрессивной, потому что почти никто из нас нисколько в реализации этой цели не продвинулся.
Если вы к 25 годам не совершили ни одного научного прорыва, вы уже вряд ли когда-либо совершите хотя бы один. Аналогично, если к 25 вы не стали специалистом в какой-то области, то будет уже сложно (хоть и возможно) построить карьеру, сделать бизнес, стать успешным и т. д.
Единственный способ внести вклад в высшую цель человечества в таком случае — это создавать потомство, которое имеет шанс сделать что-то полезное в будущем.
Вот так витиевато можно обосновать абсолютно избитую и консервативную мысль наших мам и бабушек о том, что нужно рожать. Мысль, которую при текущем строении социума многие люди отбрасывают как какую-то отсталую, при этом продолжают заниматься всякой мышиной вознёй вроде информационной безопасности, трейдинга или балета.
Важность этой возни для научно-технического прогресса ничтожна в сравнении с тем, чего могут достигнуть сотни людей, жизнь которым вы можете дать.
P.S. Если и это вас вгоняет в депрессию, можно принять другую эгоистичную, но тоже философски обоснованную позицию нигилизма: всех нас в любом случае ждёт тепловая смерть Вселенной, и поэтому никакие постулируемые цели в сущности между собой не различаются и приведут к одному результату.
А значит, не стоит огорчаться, если вам не удалось приблизить нас к сингулярности ни своим личным вкладом, ни потомством. Огорчаться вообще не очень-то продуктивно: просто получайте удовольствие от жизни! :D
Beched's thoughts
Ночное бдение с числами. Посчитал рынок пентестов России несколькими способами, часть которых раскрывать не могу, а часть легко проверяема. Способ 1 Гуглим "global information security market size" и получаем оценку $116.5 млрд. Далее гуглим "global penetration…
Рынок пентеста
В 2022 г. рынок ИБ РФ оценивают примерно в 200 млрд руб. Если из этого посчитать рынок пентестов по той же формуле, получится 1.5-1.6 млрд руб.
На самом же деле по моим очень примерным прикидкам его размер находится в диапазоне 3-4 млрд. руб.
Это если считать именно внутрироссийский рынок, т.е. совокупность затрат российских компаний на услуги по оценке защищённости.
Если же считать достижимый для российских команд глобальный рынок, то юридически он, конечно, резко сократился, потому что платежи больше не ходят, но фактически мог даже увеличиться: многие IT-компании, у которых бизнес за рубежом, а разработка была в РФ, теперь всех вывезли и стали заказывать пентест уже за рубежом, но при этом могут приходить к тем же экс-российским командам, если они тоже глобализировались.
Лидер роста, ожидаемо, — ПТ. По крайней мере, сомневаюсь, что у кого-то ещё из лидеров рынка продажи пентестов выросли в 3-4 раза.
Правда, данные по отчётности и по презентациями немного противоречивые: у ПТ продажи пентестов то ли 500 млн. руб., то ли 700 млн. руб. При этом до этого в 2021 г. было всего лишь 200 млн. руб.
Разница может объясняться учётом: что-то из этого управленческий учёт, что-то бухгалтерский и т. д.
Вообще, по-моему, под оценкой всего рынка тоже многие понимают разное: одно дело — совокупная выручка ИБ-компаний, и совсем другое дело — совокупные затраты всех компаний на ИБ.
В 2022 г. сильно вырос первый показатель, но второй вырос значительно меньше. Это абсолютно логично: поляну зачистили от зарубежных вендоров, и пошла консолидация рынка. Он вроде бы и не так уж растёт, но при этом выручка всех локальных вендоров растёт очень сильно.
Для сервисных компаний этот рост менее заметен, потому что импортозамещать им нечего, а те же пентесты для некоторых классов заказчиков были не в приоритете из-за очень высокой загрузки служб ИБ в связи с инцидентами.
Какие выводы?
1) Рынок всё ещё крошечный (в пределах $50M), так что если хотите стать богатыми, занимайтесь чем-то другим;
2) При этом его рост во многом связан с регуляцией (тот же 250-й указ), а значит, его бенефициарами становятся компании из узкого круга, чем и объясняется непропорциональный рост их продаж;
3) Тем не менее, для тех, кто остался в РФ, это всё может быть обнадёживающе: теперь потолок повыше, и размера рынка хватит на 1-2 среднего размера компаний. Раньше было грустно смотреть на выручку топов, не превышавшую и 300 млн. руб. и понимать, что это и есть потолок.
В 2022 г. рынок ИБ РФ оценивают примерно в 200 млрд руб. Если из этого посчитать рынок пентестов по той же формуле, получится 1.5-1.6 млрд руб.
На самом же деле по моим очень примерным прикидкам его размер находится в диапазоне 3-4 млрд. руб.
Это если считать именно внутрироссийский рынок, т.е. совокупность затрат российских компаний на услуги по оценке защищённости.
Если же считать достижимый для российских команд глобальный рынок, то юридически он, конечно, резко сократился, потому что платежи больше не ходят, но фактически мог даже увеличиться: многие IT-компании, у которых бизнес за рубежом, а разработка была в РФ, теперь всех вывезли и стали заказывать пентест уже за рубежом, но при этом могут приходить к тем же экс-российским командам, если они тоже глобализировались.
Лидер роста, ожидаемо, — ПТ. По крайней мере, сомневаюсь, что у кого-то ещё из лидеров рынка продажи пентестов выросли в 3-4 раза.
Правда, данные по отчётности и по презентациями немного противоречивые: у ПТ продажи пентестов то ли 500 млн. руб., то ли 700 млн. руб. При этом до этого в 2021 г. было всего лишь 200 млн. руб.
Разница может объясняться учётом: что-то из этого управленческий учёт, что-то бухгалтерский и т. д.
Вообще, по-моему, под оценкой всего рынка тоже многие понимают разное: одно дело — совокупная выручка ИБ-компаний, и совсем другое дело — совокупные затраты всех компаний на ИБ.
В 2022 г. сильно вырос первый показатель, но второй вырос значительно меньше. Это абсолютно логично: поляну зачистили от зарубежных вендоров, и пошла консолидация рынка. Он вроде бы и не так уж растёт, но при этом выручка всех локальных вендоров растёт очень сильно.
Для сервисных компаний этот рост менее заметен, потому что импортозамещать им нечего, а те же пентесты для некоторых классов заказчиков были не в приоритете из-за очень высокой загрузки служб ИБ в связи с инцидентами.
Какие выводы?
1) Рынок всё ещё крошечный (в пределах $50M), так что если хотите стать богатыми, занимайтесь чем-то другим;
2) При этом его рост во многом связан с регуляцией (тот же 250-й указ), а значит, его бенефициарами становятся компании из узкого круга, чем и объясняется непропорциональный рост их продаж;
3) Тем не менее, для тех, кто остался в РФ, это всё может быть обнадёживающе: теперь потолок повыше, и размера рынка хватит на 1-2 среднего размера компаний. Раньше было грустно смотреть на выручку топов, не превышавшую и 300 млн. руб. и понимать, что это и есть потолок.
Запуск завтра
На прошлой неделе вышел подкаст запуск завтра с моим участием.
Тайминг:
01:53 Начало, виды пентестов, Red Team, анализ защищённости
11:12 Методология пентеста, разведка, поверхность атаки
18:16 Социальная инженерия, Bug Bounty
21:00 Как обычно удаётся пробить, примеры
24:30 Сколько стоят пентесты, вероятность взлома, и сколько нужно тратить на ИБ
30:10 Тренды, крипта, разница хищений в TradFi и в блокчейне
35:28 Индустрия web3 security и её отличия от web2
41:28 Схемы обмана крипто-пользователей и инструменты анализа
45:19 Применение AI для атак и атаки на AI-системы
50:35 Личная безопасность и защита iOS, беспарольная аутентификация
57:15 Финал, пентест пентестеров
На прошлой неделе вышел подкаст запуск завтра с моим участием.
Тайминг:
01:53 Начало, виды пентестов, Red Team, анализ защищённости
11:12 Методология пентеста, разведка, поверхность атаки
18:16 Социальная инженерия, Bug Bounty
21:00 Как обычно удаётся пробить, примеры
24:30 Сколько стоят пентесты, вероятность взлома, и сколько нужно тратить на ИБ
30:10 Тренды, крипта, разница хищений в TradFi и в блокчейне
35:28 Индустрия web3 security и её отличия от web2
41:28 Схемы обмана крипто-пользователей и инструменты анализа
45:19 Применение AI для атак и атаки на AI-системы
50:35 Личная безопасность и защита iOS, беспарольная аутентификация
57:15 Финал, пентест пентестеров
Telegram
запуск завтра
Выпустили офигенный эпизод про кибербезопасность:
1. Обзор, как устроена эта область айти — как корпорации платят хакерам за взломы;
2. Свежие тренды: искусственный интеллект, криптовалюты;
3. Личная безопасность в интернете.
Гость — известный хакер и предприниматель…
1. Обзор, как устроена эта область айти — как корпорации платят хакерам за взломы;
2. Свежие тренды: искусственный интеллект, криптовалюты;
3. Личная безопасность в интернете.
Гость — известный хакер и предприниматель…
Ниже репост по просьбе оргов одного из региональных студенческих CTF-соревнований:
☀️KubanCTF продлевает лето!
Мы открываем регистрацию на KubanCTF, который пройдет в рамках международной конференции по информационной безопасности KubanCSC в Красной Поляне! Общий призовой фонд составит 1.3 миллиона рублей. Отборочный этап пройдет онлайн по правилам jeopardy. В финале вам предстоит показать свои навыки в defense.
В финал смогут отобраться 7 команд, показавших лучший результат в отборочном онлайн турнире, три команды пройдут с offline битвы в формате jeopardy. В offline будут участвовать студенческие команды с 1 - 5 курс по приглашению ВУЗа. Для отобравшихся команд дополнительно будет оплачено проживание и питание на территории курорта. Приезжайте, будет жарко!
Отборочный этап пройдет 23 сентября. Финал 12 октября в Сочи!
Форма регистрации: https://forms.yandex.ru/u/64edae862530c204359ed4d8
Вопросы можно задать: в тг - @kubctf
Ссылка на чат – https://yangx.top/KubanCSC
☀️KubanCTF продлевает лето!
Мы открываем регистрацию на KubanCTF, который пройдет в рамках международной конференции по информационной безопасности KubanCSC в Красной Поляне! Общий призовой фонд составит 1.3 миллиона рублей. Отборочный этап пройдет онлайн по правилам jeopardy. В финале вам предстоит показать свои навыки в defense.
В финал смогут отобраться 7 команд, показавших лучший результат в отборочном онлайн турнире, три команды пройдут с offline битвы в формате jeopardy. В offline будут участвовать студенческие команды с 1 - 5 курс по приглашению ВУЗа. Для отобравшихся команд дополнительно будет оплачено проживание и питание на территории курорта. Приезжайте, будет жарко!
Отборочный этап пройдет 23 сентября. Финал 12 октября в Сочи!
Форма регистрации: https://forms.yandex.ru/u/64edae862530c204359ed4d8
Вопросы можно задать: в тг - @kubctf
Ссылка на чат – https://yangx.top/KubanCSC
Telegram
KubanCSC
Чатик по компьютерной безопасности и CTF
Че как дела
Мнения и мысли по разным темам, а особенно — по горячим, я обычно успеваю высказать (зачастую в крайне грубо-сатирической форме) друзьям-знакомым, после чего запал писать об этом куда-то ещё пропадает.
Вот и не пишу ни фига никакие мысли, даже посраться не о чем в канале. Ну посраться-то ладно, это негатив, но я и позитивных вещах не пишу, а потом забывается, какие были важные мысли и идеи, которыми было бы интересно поделиться.
Чтоб попытаться ещё раз переломить эту тягу не перекладывать мысли в структурированный текст, напишу пару слов про то, о чём в эти недели интенсивно думаю.
Это, наверное, скучновато, потому что не про политику и даже не про AI, а про безопасность в сфере web3, где в 2024-м году всё ещё происходит треш и угар с миллиардными взлётами, падениями, инновациями и мошенничеством.
Кстати, я же даже ни разу и не писал сюда о компании Decurity, которую мы с Арсением Реутовым стартанули 2 года назад.
Компания разрабатывает продукты и решения в области кибербезопасности для децентрализованных систем.
Речь про DeFi, смарт-контракты, бриджи, блокчейны, L2 и прочие временами хайповые слова.
Мы сразу выделили для себя 2 основных принципа:
1) Продавать безопасность, а не маркетинг: на этом рынке колоссальное количество скам-проектов, которые приходят за аудитами безопасности ради штампа и маркетинга, а не ради безопасности. Нам нужно их избегать.
2) Делать ставку не на транзакционные услуги, а на капитализацию компетенций в виде продуктов и сложных сервисов: с первых дней мы начали писать код и экспериментировать, заложив таким образом стартап внутри прибыльного бизнеса.
Эта новая компания, не связанная с другим моим бизнесом (DeteAct, про новости о нём тож надо отдельно написать), да и смысла их связывать маловато, поскольку рынок совершенно иной, и при приходе в него репутация обнуляется, надо заново доказывать компетентность, нарабатывать имя, формировать нетворк. Никакие ваши сертификаты OSCP или российские лицензии ФСТЭК не котируются 😁
При этом рынок сразу глобальный, ведь на то это и децентрализованные системы, что суть их в работе во всём мире, а не в конкретной юрисдикции.
Помимо маркетинга с нуля, многим приходится и заново изучать технологии, поскольку средний пентестер, который занимается анализом веб-приложений или инфраструктуры, не умеет делать аудиты смарт-контрактов или блокчейнов.
За это время мы наработали репутацию и портфолио из солидных проектов, а кроме того, прошли несколько итераций продуктовых исследований в поисках Product-Market-Fit.
Основная технология, которую мы разработали, — это DeFiMon.
DeFiMon умеет детектировать взломы смарт-контрактов в блокчейне по различным признакам, что позволяет среагировать на взлом сразу после или ещё до того, как он произойдёт. Фактически это web3-аналог IDS/IPS и SOC, и в этот класс продуктов синхронно влетело 10-20 стартапов, в том числе с венчурным финансированием.
Если вам будет интересно, я расскажу, какие есть успехи у вайтхетов вообще и у таких систем мониторинга в частности в этом тёмном лесу блокчейна, полном хищных блекхатов, наивных дегенов, зловещих северокорейцев, серьёзных инвест-фондов и школьников-хакеров.
Мнения и мысли по разным темам, а особенно — по горячим, я обычно успеваю высказать (зачастую в крайне грубо-сатирической форме) друзьям-знакомым, после чего запал писать об этом куда-то ещё пропадает.
Вот и не пишу ни фига никакие мысли, даже посраться не о чем в канале. Ну посраться-то ладно, это негатив, но я и позитивных вещах не пишу, а потом забывается, какие были важные мысли и идеи, которыми было бы интересно поделиться.
Чтоб попытаться ещё раз переломить эту тягу не перекладывать мысли в структурированный текст, напишу пару слов про то, о чём в эти недели интенсивно думаю.
Это, наверное, скучновато, потому что не про политику и даже не про AI, а про безопасность в сфере web3, где в 2024-м году всё ещё происходит треш и угар с миллиардными взлётами, падениями, инновациями и мошенничеством.
Кстати, я же даже ни разу и не писал сюда о компании Decurity, которую мы с Арсением Реутовым стартанули 2 года назад.
Компания разрабатывает продукты и решения в области кибербезопасности для децентрализованных систем.
Речь про DeFi, смарт-контракты, бриджи, блокчейны, L2 и прочие временами хайповые слова.
Мы сразу выделили для себя 2 основных принципа:
1) Продавать безопасность, а не маркетинг: на этом рынке колоссальное количество скам-проектов, которые приходят за аудитами безопасности ради штампа и маркетинга, а не ради безопасности. Нам нужно их избегать.
2) Делать ставку не на транзакционные услуги, а на капитализацию компетенций в виде продуктов и сложных сервисов: с первых дней мы начали писать код и экспериментировать, заложив таким образом стартап внутри прибыльного бизнеса.
Эта новая компания, не связанная с другим моим бизнесом (DeteAct, про новости о нём тож надо отдельно написать), да и смысла их связывать маловато, поскольку рынок совершенно иной, и при приходе в него репутация обнуляется, надо заново доказывать компетентность, нарабатывать имя, формировать нетворк. Никакие ваши сертификаты OSCP или российские лицензии ФСТЭК не котируются 😁
При этом рынок сразу глобальный, ведь на то это и децентрализованные системы, что суть их в работе во всём мире, а не в конкретной юрисдикции.
Помимо маркетинга с нуля, многим приходится и заново изучать технологии, поскольку средний пентестер, который занимается анализом веб-приложений или инфраструктуры, не умеет делать аудиты смарт-контрактов или блокчейнов.
За это время мы наработали репутацию и портфолио из солидных проектов, а кроме того, прошли несколько итераций продуктовых исследований в поисках Product-Market-Fit.
Основная технология, которую мы разработали, — это DeFiMon.
DeFiMon умеет детектировать взломы смарт-контрактов в блокчейне по различным признакам, что позволяет среагировать на взлом сразу после или ещё до того, как он произойдёт. Фактически это web3-аналог IDS/IPS и SOC, и в этот класс продуктов синхронно влетело 10-20 стартапов, в том числе с венчурным финансированием.
Если вам будет интересно, я расскажу, какие есть успехи у вайтхетов вообще и у таких систем мониторинга в частности в этом тёмном лесу блокчейна, полном хищных блекхатов, наивных дегенов, зловещих северокорейцев, серьёзных инвест-фондов и школьников-хакеров.
www.decurity.io
Decurity: Decentralized Finance Security
Security for the decentralized systems: web3 security monitoring, smart contract audits, advisory and consulting
Walking Dead
В 2020 задавался вопросом о том, что же будет такое новое через 10 лет, что сильно поменяет технологии, и что изучать, чтобы быть релевантными и крутыми к тому времени. Но новое возникло через уже 2 года после этого, и для большинства это чёрный лебедь, как и для меня.
Впрочем, для меня и лет 15 назад было очевидным, что людей полностью можно будет заменить ИИ.
Думал я так, потому что принял тезис Чёрча-Тьюринга, который говорит о том, что любое конечное вычисление, которое только можно придумать, реализуемо при помощи машин Тьюринга, т.е. обычных компьютеров.
Это значит, что при помощи компьютеров можно смоделировать любой физический процесс и любые алгоритмы, включая те, которые возникают у нас в голове.
Ясно, что если человек путём каких-то умозаключений придумывает решение какой-то задачи, то и компьютер мог бы провести такие же размышления и решить задачу.
(Оговорка: конечно, тут можно попытаться поспорить, и я даже не про философию и эзотерику, а про какие-нибудь физические соображения типа того, что есть случайность и квантовые эффекты, а ещё инженерные соображения типа того, что на кремнии это может оказаться слишком дорого.)
При этом я ошибался в оценках сложности создания ИИ и в приоритетах. Например, когда ИБ-блогеры рассуждали о том, как скоро ИИ заменит пентестеров, я скептически объяснял, что это полная чушь, и в первую очередь заменят самих блогеров, потому что для замены пентестеров ИИ должен обладать общим интеллектом, уметь читать документацию, взаимодействовать с человеко-компьютерными интерфейсами и т. д.
Таким образом, основной мой аргумент был в том, что для решения частной задачи тестирования безопасности нужно сначала решить более общую задачу NLP, чтоб ИИ мог читать текст и понимать его, ну и программирования, а ещё кучу инженерных задач.
И что же? Про блогеров я был прав, конечно же, но я думал, что до ИИ, хорошо умеющего обрабатывать тексты, ещё очень далеко, а оказалось, что гораздо ближе.
LLM умеют читать и понимать документацию получше большинства людей, и такой прогресс было сложно представить ещё 5 лет назад. Наверное, более внимательные люди, которые читали пейперы по GPT, знали уже довольно давно, но даже для них это наверняка сюрприз.
При этом я вижу, как почти все вокруг продолжают жить, игнорируя тот факт, что они уже мертвы. Их профессии почти исчезли, и практически все, кто выполняет работу за компьютером, могут быть заменены в ближайшие годы. Остальные могут быть заменены позже, когда получат развитие роботы.
"Спасти" нас может только стагнация в развитии ИИ, связанная, например, с энергетическим кризисом или регуляцией.
Может, есть и фундаментальные ограничения, но пока это выглядит как мем про "вы находитесь здесь". Люди пробуют какой-нибудь инструмент разработки или даже генерации картинок или текстов, видят косяки и говорят "пфф, полная фигня, ещё далеко до уровня человека".
Проходит полгода, и инструмент за это время прогрессирует колоссальным образом.
По мере обрастания LLM различными обёртками RPA и агентскими системами, а также по мере развития самих моделей, это станет всё более и более заметно.
Вдруг окажется, что ИИ-менеджер может 24/7 решать вопросы оптимальным образом, никогда ничего не забывая, никогда не опаздывая и применяя индивидуальные методы и стиль коммуникации с каждым из сотрудников или клиентов.
Вдруг окажется, что всю юридическую работу, документооборот, дизайн, рекламу и прочее ИИ выполняют лучше и на порядки быстрее, чем люди.
Вдруг окажется, что кредиты на использование API Anthropic стоят меньше, чем зарплаты целых отделов.
Если вы сегодня не пользуетесь ChatGPT/Perplexity/Claude в работе каждый день, то вы уже ретроград и очень сильно отстаёте от жизни.
Если вы не пользуетесь Cursor IDE или аналогом в разработке, то скорее всего вы теряете человеко-часы или десятки человеко-часов ресурсов еженедельно.
Вы умрёте первым.
В 2020 задавался вопросом о том, что же будет такое новое через 10 лет, что сильно поменяет технологии, и что изучать, чтобы быть релевантными и крутыми к тому времени. Но новое возникло через уже 2 года после этого, и для большинства это чёрный лебедь, как и для меня.
Впрочем, для меня и лет 15 назад было очевидным, что людей полностью можно будет заменить ИИ.
Думал я так, потому что принял тезис Чёрча-Тьюринга, который говорит о том, что любое конечное вычисление, которое только можно придумать, реализуемо при помощи машин Тьюринга, т.е. обычных компьютеров.
Это значит, что при помощи компьютеров можно смоделировать любой физический процесс и любые алгоритмы, включая те, которые возникают у нас в голове.
Ясно, что если человек путём каких-то умозаключений придумывает решение какой-то задачи, то и компьютер мог бы провести такие же размышления и решить задачу.
(Оговорка: конечно, тут можно попытаться поспорить, и я даже не про философию и эзотерику, а про какие-нибудь физические соображения типа того, что есть случайность и квантовые эффекты, а ещё инженерные соображения типа того, что на кремнии это может оказаться слишком дорого.)
При этом я ошибался в оценках сложности создания ИИ и в приоритетах. Например, когда ИБ-блогеры рассуждали о том, как скоро ИИ заменит пентестеров, я скептически объяснял, что это полная чушь, и в первую очередь заменят самих блогеров, потому что для замены пентестеров ИИ должен обладать общим интеллектом, уметь читать документацию, взаимодействовать с человеко-компьютерными интерфейсами и т. д.
Таким образом, основной мой аргумент был в том, что для решения частной задачи тестирования безопасности нужно сначала решить более общую задачу NLP, чтоб ИИ мог читать текст и понимать его, ну и программирования, а ещё кучу инженерных задач.
И что же? Про блогеров я был прав, конечно же, но я думал, что до ИИ, хорошо умеющего обрабатывать тексты, ещё очень далеко, а оказалось, что гораздо ближе.
LLM умеют читать и понимать документацию получше большинства людей, и такой прогресс было сложно представить ещё 5 лет назад. Наверное, более внимательные люди, которые читали пейперы по GPT, знали уже довольно давно, но даже для них это наверняка сюрприз.
При этом я вижу, как почти все вокруг продолжают жить, игнорируя тот факт, что они уже мертвы. Их профессии почти исчезли, и практически все, кто выполняет работу за компьютером, могут быть заменены в ближайшие годы. Остальные могут быть заменены позже, когда получат развитие роботы.
"Спасти" нас может только стагнация в развитии ИИ, связанная, например, с энергетическим кризисом или регуляцией.
Может, есть и фундаментальные ограничения, но пока это выглядит как мем про "вы находитесь здесь". Люди пробуют какой-нибудь инструмент разработки или даже генерации картинок или текстов, видят косяки и говорят "пфф, полная фигня, ещё далеко до уровня человека".
Проходит полгода, и инструмент за это время прогрессирует колоссальным образом.
По мере обрастания LLM различными обёртками RPA и агентскими системами, а также по мере развития самих моделей, это станет всё более и более заметно.
Вдруг окажется, что ИИ-менеджер может 24/7 решать вопросы оптимальным образом, никогда ничего не забывая, никогда не опаздывая и применяя индивидуальные методы и стиль коммуникации с каждым из сотрудников или клиентов.
Вдруг окажется, что всю юридическую работу, документооборот, дизайн, рекламу и прочее ИИ выполняют лучше и на порядки быстрее, чем люди.
Вдруг окажется, что кредиты на использование API Anthropic стоят меньше, чем зарплаты целых отделов.
Если вы сегодня не пользуетесь ChatGPT/Perplexity/Claude в работе каждый день, то вы уже ретроград и очень сильно отстаёте от жизни.
Если вы не пользуетесь Cursor IDE или аналогом в разработке, то скорее всего вы теряете человеко-часы или десятки человеко-часов ресурсов еженедельно.
Вы умрёте первым.
На этом фоне становится совершенно непонятным, чему учиться людям, которые начинают выбор или смену профессии.
Есть ли смысл учиться программированию? Уровень джуна уже никому на фиг не нужен.
А пока человек от джуна дорастёт до миддла, агентские системы прокачаются так, что и миддлы уже будут никому не нужны.
Какую стратегию принять?
Что делать новичкам, что делать старичкам? Как быть на волне прогресса, а не за его бортом?
Есть ли смысл учиться программированию? Уровень джуна уже никому на фиг не нужен.
А пока человек от джуна дорастёт до миддла, агентские системы прокачаются так, что и миддлы уже будут никому не нужны.
Какую стратегию принять?
Что делать новичкам, что делать старичкам? Как быть на волне прогресса, а не за его бортом?
Telegram
Beched's thoughts
От рефлексии к более техническим вопросам.
Мы зачастую не замечаем, насколько стремительно развиваются технологии, а ведь многие привычные нам вещи появились совсем недавно.
Вот например, сейчас веб-хакер обязан хоть на каком-то приемлемом уровне понимать…
Мы зачастую не замечаем, насколько стремительно развиваются технологии, а ведь многие привычные нам вещи появились совсем недавно.
Вот например, сейчас веб-хакер обязан хоть на каком-то приемлемом уровне понимать…
ИБ-базар
Ну что, отчётность почти в РФ все сдали, видно, что на российской ИБ-полянке произошло за год.
Пишут, что весь рынок недоперформил миллиардов на 20-30, оценивается в 300 млрд (вроде бы в деньгах поставщиков, ещё 20-30 млрд. как раз в деньгах заказчиков ушли на дистрибуторов).
Причём Позитивы недоперформили свои прогнозы собственно на ту же сумму 20-30 млрд. руб.!
Кажется, что это создало интересные возможности для мелких вендоров:
1) В экономике ситуация не очень, крупные заказчики режут расходы, ищут более гибких подрядчиков и вендоров.
2) ПТ, будучи публичной компанией, наобещали слишком много. Я вообще не понимал, как они физически предполагают рост с 8% до 14-15% всего рынка ИБ в стране, это же означает необходимость отжима долей рынка у других ребят, которые совсем не собираются с этими долями расставаться, особенно когда речь идёт об экосистемных компаниях, являющихся частью холдинга (Солар, Бизон, ГИС, ИКС и т. д.).
3) В крупных компаниях не только экономический, но и инновационный кризис: принципиально новые продукты они не придумывают, смежные продукты делают слишком долго и неэффективно, кормовая база в виде давно взлетевшего продукта по сути продолжает их кормить.
В таких условиях основным источником роста является повышение цен и фикция в виде отгрузки пожизненных лицензий или отгрузки лицензий на несколько лет или вообще просто в канал.
Что в итоге? Недобранные грандами миллиарды не только испаряются, но и проливаются на рынок каплями, которые для стартапов означают многократный рост.
Среди знакомых мне молодых предпринимателей в ИБ-сообществе в последние пару лет идёт рост хоккейной клюшкой. Это не 1-2 примера, а прямо паттерн среди дюжины стартапов.
Искренне рад и уважаю их за выдержку, многие ребята много лет разрабатывали продукты, собирая крохи и обивая пороги заказчиков, а теперь разбогатели.
В абсолютном выражении это, конечно, не такие большие деньги, что такое потерянный контракт в 100 млн. для ПТ или Солара? Да ничего. А для стартапа это х2-3 выручки и выход на новую орбиту.
В общем, тем, кто много и хорошо работал над своими продуктами, повезло.
Готовьтесь к везению, и вам повезёт =)
Ну что, отчётность почти в РФ все сдали, видно, что на российской ИБ-полянке произошло за год.
Пишут, что весь рынок недоперформил миллиардов на 20-30, оценивается в 300 млрд (вроде бы в деньгах поставщиков, ещё 20-30 млрд. как раз в деньгах заказчиков ушли на дистрибуторов).
Причём Позитивы недоперформили свои прогнозы собственно на ту же сумму 20-30 млрд. руб.!
Кажется, что это создало интересные возможности для мелких вендоров:
1) В экономике ситуация не очень, крупные заказчики режут расходы, ищут более гибких подрядчиков и вендоров.
2) ПТ, будучи публичной компанией, наобещали слишком много. Я вообще не понимал, как они физически предполагают рост с 8% до 14-15% всего рынка ИБ в стране, это же означает необходимость отжима долей рынка у других ребят, которые совсем не собираются с этими долями расставаться, особенно когда речь идёт об экосистемных компаниях, являющихся частью холдинга (Солар, Бизон, ГИС, ИКС и т. д.).
3) В крупных компаниях не только экономический, но и инновационный кризис: принципиально новые продукты они не придумывают, смежные продукты делают слишком долго и неэффективно, кормовая база в виде давно взлетевшего продукта по сути продолжает их кормить.
В таких условиях основным источником роста является повышение цен и фикция в виде отгрузки пожизненных лицензий или отгрузки лицензий на несколько лет или вообще просто в канал.
Что в итоге? Недобранные грандами миллиарды не только испаряются, но и проливаются на рынок каплями, которые для стартапов означают многократный рост.
Среди знакомых мне молодых предпринимателей в ИБ-сообществе в последние пару лет идёт рост хоккейной клюшкой. Это не 1-2 примера, а прямо паттерн среди дюжины стартапов.
Искренне рад и уважаю их за выдержку, многие ребята много лет разрабатывали продукты, собирая крохи и обивая пороги заказчиков, а теперь разбогатели.
В абсолютном выражении это, конечно, не такие большие деньги, что такое потерянный контракт в 100 млн. для ПТ или Солара? Да ничего. А для стартапа это х2-3 выручки и выход на новую орбиту.
В общем, тем, кто много и хорошо работал над своими продуктами, повезло.
Готовьтесь к везению, и вам повезёт =)
DPRK
От локального ИБ-болотца к крипто-ИБ-болотцу: как вы думаете, что является одним из основных драйверов рынка безопасности блокчейн-проектов?
===
Год назад, в феврале 2024 г., в сообществе энтузиастов блокчейн-безопасности завёлся новый персонаж, некий Nick L. Franklin. Несмотря на нарочито американское имя, Ник не очень-то хорошо выражался по-английски, использовал британскую орфографию, пропускал артикли.
Франклин занимался разбором хаков, происходящих в блокчейне, вёл твиттер и блог, активно контактировал с известными в индустрии людьми. Практически сразу он в довольно навязчивой форме написал и нам в Decurity сначала в Твиттер, а потом и в Телеграм.
Мы кратко обсудили возможное трудоустройство, и он даже обещал предоставить детали о своей личности, но общался он странно, мы поиронизировали и забили.
В течение всего года он набирал аудиторию и обрастал связями, регулярно вёл блоги и писал разборы хаков. В последний раз мы списывались по поводу одного хака, разбор которого мы сами готовили и просили его не выкладывать детали слишком рано.
И тут, спустя больше чем год, Ник Франклин пишет фаундеру проекта 1inch Антону Букову и просит посмотреть на статью, вот только "статью" он скидывает в виде .app-файла.
Антон поднял шум, и выяснилось, что в файле был троян, Франклин сначала отмазывается, а потом удаляет все аккаунты.
Внезапно люди осознают, что всё это время всё сообщество общалось не с Ником Франклином, а с людьми из северокорейских спецслужб, и задним числом это было совершенно очевидно.
Тут же обнаруживается даже прямая связь между "Франклином" и взломом Radiant на $53 млн. в октябре 2024 г.
===
Итак, конечно же главным драйвером крипто-ИБ является солнцеликий Ким Чен Ын и его Lazarus Group!
Что только не делают его подданные: ломают DeFi-протоколы через уязвимости смарт-контрактов, устраивают атаки на цепочки поставок и бекдорят инфраструктуру для дальнейших хищений, выманивают разработчиков крупных компаний на собеседования и подсовывают им бекдоры, сами устраиваются на работу в компании и т. д.
Недавно произошёл самый крупный хак за всю историю — северокорейцы поломали тачку разработчика из проекта Safe и подменили фронтенд мультисиг-кошелька Safe App для всех клиентов, но при этом их бекдор таргетировал всего лишь одного клиента — биржу Bybit. Украли $1.4 млрд. и уже практически целиком отмиксовали и отмыли.
В отмыве северокорейцы чемпионы. Индивидуальные хакеры не могут сравниться с ними в решительности и отточенности действий.
Для корейцев буквально действует мем: "что ты мне сделаешь, я в другом городе".
===
1) Регулярно происходят холивары на тему атрибуции, многие подозревают, что большинство хаков атрибутируют DPRK/Lazarus, просто потому что это легко, и корейцы стали просто козлами отпущения.
Тем не менее, похоже, что атрибуция верна, и сейчас у исследователей есть достаточное количество IoC, достоверно указывающих именно на корейские группировки.
2) Это лишний повод вспомнить, что модель нарушителя и угроз — это легко, но это не просто формальность.
В вашей модели угроз должны быть и хактивисты, которым денег не надо, и тихие иностранные разведки, и собственное государство, и корейцы, которые вас обокрадут, и вы ничего не поделаете, хоть и будете точно знать, что это они.
3) Для редтимеров это всё тоже интересные кейсы — какие техники и тактики можно позаимствовать нам, как пентестерам?
В арсенале лазарус не так много уникальных инструментов, и для них не столь важна бесшумность и анонимность, но социальная инженерия у них работает отлично.
Мы давно пробуем тренировать заказчиков противостоять таким угрозам, направленным именно на разработчиков, а не только проводить стандартные фишинговые рассылки.
Похоже, что стоит это делать активнее.
От локального ИБ-болотца к крипто-ИБ-болотцу: как вы думаете, что является одним из основных драйверов рынка безопасности блокчейн-проектов?
===
Год назад, в феврале 2024 г., в сообществе энтузиастов блокчейн-безопасности завёлся новый персонаж, некий Nick L. Franklin. Несмотря на нарочито американское имя, Ник не очень-то хорошо выражался по-английски, использовал британскую орфографию, пропускал артикли.
Франклин занимался разбором хаков, происходящих в блокчейне, вёл твиттер и блог, активно контактировал с известными в индустрии людьми. Практически сразу он в довольно навязчивой форме написал и нам в Decurity сначала в Твиттер, а потом и в Телеграм.
Мы кратко обсудили возможное трудоустройство, и он даже обещал предоставить детали о своей личности, но общался он странно, мы поиронизировали и забили.
В течение всего года он набирал аудиторию и обрастал связями, регулярно вёл блоги и писал разборы хаков. В последний раз мы списывались по поводу одного хака, разбор которого мы сами готовили и просили его не выкладывать детали слишком рано.
И тут, спустя больше чем год, Ник Франклин пишет фаундеру проекта 1inch Антону Букову и просит посмотреть на статью, вот только "статью" он скидывает в виде .app-файла.
Антон поднял шум, и выяснилось, что в файле был троян, Франклин сначала отмазывается, а потом удаляет все аккаунты.
Внезапно люди осознают, что всё это время всё сообщество общалось не с Ником Франклином, а с людьми из северокорейских спецслужб, и задним числом это было совершенно очевидно.
Тут же обнаруживается даже прямая связь между "Франклином" и взломом Radiant на $53 млн. в октябре 2024 г.
===
Итак, конечно же главным драйвером крипто-ИБ является солнцеликий Ким Чен Ын и его Lazarus Group!
Что только не делают его подданные: ломают DeFi-протоколы через уязвимости смарт-контрактов, устраивают атаки на цепочки поставок и бекдорят инфраструктуру для дальнейших хищений, выманивают разработчиков крупных компаний на собеседования и подсовывают им бекдоры, сами устраиваются на работу в компании и т. д.
Недавно произошёл самый крупный хак за всю историю — северокорейцы поломали тачку разработчика из проекта Safe и подменили фронтенд мультисиг-кошелька Safe App для всех клиентов, но при этом их бекдор таргетировал всего лишь одного клиента — биржу Bybit. Украли $1.4 млрд. и уже практически целиком отмиксовали и отмыли.
В отмыве северокорейцы чемпионы. Индивидуальные хакеры не могут сравниться с ними в решительности и отточенности действий.
Для корейцев буквально действует мем: "что ты мне сделаешь, я в другом городе".
===
1) Регулярно происходят холивары на тему атрибуции, многие подозревают, что большинство хаков атрибутируют DPRK/Lazarus, просто потому что это легко, и корейцы стали просто козлами отпущения.
Тем не менее, похоже, что атрибуция верна, и сейчас у исследователей есть достаточное количество IoC, достоверно указывающих именно на корейские группировки.
2) Это лишний повод вспомнить, что модель нарушителя и угроз — это легко, но это не просто формальность.
В вашей модели угроз должны быть и хактивисты, которым денег не надо, и тихие иностранные разведки, и собственное государство, и корейцы, которые вас обокрадут, и вы ничего не поделаете, хоть и будете точно знать, что это они.
3) Для редтимеров это всё тоже интересные кейсы — какие техники и тактики можно позаимствовать нам, как пентестерам?
В арсенале лазарус не так много уникальных инструментов, и для них не столь важна бесшумность и анонимность, но социальная инженерия у них работает отлично.
Мы давно пробуем тренировать заказчиков противостоять таким угрозам, направленным именно на разработчиков, а не только проводить стандартные фишинговые рассылки.
Похоже, что стоит это делать активнее.
X (formerly Twitter)
Decurity (@DecurityHQ) on X
DeFi Security | Tier-1 Security Audit Firm | Top-2 in @Paradigm and @OpenZeppelin CTF | Public audits: https://t.co/CqYGRNibvj
Forwarded from [DeteAct] Оценка защищённости
Как несколько low-impact недостатков может привести к атаке с высоким уровнем риска?
Читайте в нашем блогпосте, где логические уязвимости и атаки на client-side, достойные CTF-таска за 300, мастерски скомбинированы для захвата аккаунта:
https://blog.deteact.ru/open-redirect-to-account-takeover/
P.S. Обещаем теперь чаще и системнее делиться опытом с наших проектов по тестированию на проникновение и анализу защищённости!
Читайте в нашем блогпосте, где логические уязвимости и атаки на client-side, достойные CTF-таска за 300, мастерски скомбинированы для захвата аккаунта:
https://blog.deteact.ru/open-redirect-to-account-takeover/
P.S. Обещаем теперь чаще и системнее делиться опытом с наших проектов по тестированию на проникновение и анализу защищённости!
Deteact - Тестирование на проникновение. Информационная безопасность
От Open Redirect до Account Takeover - Deteact
Узнайте, как небольшие уязвимости (IDOR, XSS, Open Redirect) в совокупности с неправильной настройкой CSP могут привести к захвату аккаунтов пользователей. Подробный разбор реального кейса из практики пентестинга.