Архив за месяц: Май 2024

Мой доклад на PHDays "Кризис NVD и светлое БуДУщее" пройдёт 24 мая (Пятница) в 16:25–17:10 в локации Галактика

Мой доклад на PHDays Кризис NVD и светлое БуДУщее пройдёт 24 мая (Пятница) в 16:25–17:10 в локации Галактика

Мой доклад на PHDays "Кризис NVD и светлое БуДУщее" пройдёт 24 мая (Пятница) в 16:25–17:10 в локации Галактика. На сайте PHDays уже доступно расписание.

В рамках доклада рассмотрим:

🔹 Как ретроспективно развивался кризис NVD, реакцию на него со стороны сообщества безопасников и текущее состояние.
🔹 Какие меры предлагались сообществом для уменьшения зависимости от NVD, чтобы такая ситуация в будущем не могла повториться.
🔹 Оценку текущего состояния NVD и БДУ ФСТЭК: возможно ли для российских организаций использовать только БДУ?
🔹 Уязвимости, которые присутствуют только в БДУ ФСТЭК: общее количество, распределение по годам, типы уязвимостей, уязвимые продукты.

Сразу после доклада в 17:20–18:20 в той же локации будет дискуссия "Источники данных об уязвимости в современных реалиях" с моим участием (и модерированием).

upd. 22.05 Обновил время начала

Ох уж этот Voronezh.

Ох уж этот Voronezh.

Ох уж этот Voronezh… 🙂

Мы часто ездим в Африку,
В Австралию, Бразилию,
Обычно самолетами,
И реже по воде.
Но если вы котёнок,
И вас зовут ̶В̶а̶с̶и̶л̶и̶е̶м̶ Дмитрием,
То лучше, чем Воронеж
Нет города нигде. (с)

Уже завтра стартует онлайн-хакатон от команды MaxPatrol VM Positive Technologies по разработке правил детектирования уязвимостей

Уже завтра стартует онлайн-хакатон от команды MaxPatrol VM Positive Technologies по разработке правил детектирования уязвимостей

Уже завтра стартует онлайн-хакатон от команды MaxPatrol VM Positive Technologies по разработке правил детектирования уязвимостей. Ограничений на участие сотрудников PT не было, так что я тоже подался и буду делиться впечатлениями в канале. 😏 Весь в предвкушении. 🤩

Имхо, подключение сообщества к разработке security content-а это как раз то, что кардинальным образом улучшит полноту и качество детектирования уязвимостей и мисконфигураций VM-продуктами. Т.е. самую их суть.

Про AI, музыку и клонирование творческой манеры

Про AI, музыку и клонирование творческой манеры

Про AI, музыку и клонирование творческой манеры. Открыл для себя ещё один AI сервис для генерации музыки по тексту - Udio, который делает это лучше и реалистичнее Suno. Как он это делает я не знаю, но такое ощущение, что там в зависимости от промпта выбирается какой-то конкретный исполнитель, на произведениях которого обучалась "сетка". Отсюда большая целостность. Но насколько это этично и законно - вопрос.

Первая же генерация на стихотворение Гумилёва в стиле "folk, contemporary folk, traditional folk, guitar, folk rock, acoustic blues" внезапно выдала мне узнаваемого исполнителя-иноагента. 😲🫣

И это не случайность. Поиск в Udio по его фамилии выдаёт много качественных треков узнаваемым голосом и в узнаваемой манере. Причём те, которые он сам вряд ли стал бы исполнять. Например, на день рождение Ленина про "пристальный взгляд Ильича". Хотя как знать… 🤔🙂

Выводы?
🔹 Разнообразной музыки будет больше
🔹 Фейки станут ещё реалистичнее
🔹 Ожидаются интересные суды

И пожарные сдают OSCP (Offensive Security Certified Professional)

И пожарные сдают OSCP (Offensive Security Certified Professional)

И пожарные сдают OSCP (Offensive Security Certified Professional). В продолжение темы про курсы по оффенсиву. Мне в личку написали, что реклама вполне правдивая: в оффенсиве большой спрос, много денег и достаточно несложный вход.

Но вот вопрос: а для кого?

Для студента ИБшника или ITшника вход может быть и правда достаточно прост. Но меня вымораживает, когда организаторы курсов пишут, что специальных знаний не требуется. 😱 Можно ли рандомного слесаря за год довести до нанимаемого пентестера? Имхо, сомнительно.

А как быть с историями, когда повара и пожарные сдают сложные практические экзамены по ИБ? Нужно смотреть детали. Например, у пожарного на иллюстрации 7 лет технического образования, диплом "Electrics and softwares engineering" и вся лента в постах про задания Hack The Box. 😉 Не похож на рандомного товарища, прошедшего курсы в погоне за длинным рублём, правда?

Имхо, даже если сам курс неплох, обманывать людей в маркетинге это отвратительно и непрофессионально.

Вчера на меня в VK старгетировалась видео-реклама обучающих курсов по профессии "Белый Хакер"

Вчера на меня в VK старгетировалась видео-реклама обучающих курсов по профессии Белый Хакер

Вчера на меня в VK старгетировалась видео-реклама обучающих курсов по профессии "Белый Хакер". Раньше не обращал внимание на то, как это сейчас подают. 🫣 Напомнило монолог из ДМБ:

"…Перед дембелем лежат все мечты! Потому что любят его очень — и здесь, и там. В пожарные берут, и в милицию. Там курорты от профсоюза, бесплатный проезд на автобусе." И барышни по нему плачут. 🙂

Т.е. в основном про то, что такие спецы деньги гребут, их везде с руками отрывают, а вкатиться может буквально каждый. Никакой начальной подготовки не требуется. Нужно только пройти годовые курсы за 4-5 млн. рублей. 😎

Честно говоря, отвратительно и на грани разводилова. Не сложно представить фрустрацию людей, которые это пройдут и окажется, что в оффенсиве совсем не так радужно, для востребованности требуется колоссальный уровень экспертизы, который нужно поддерживать.

Это не халява и точно не для всех!

Наверняка часть таких обученных по верхам попробует блечить и сядет. 🤷‍♂️🙁

В новостях разгоняют про новую уязвимость в Chromium (CVE-2024-4671)

В новостях разгоняют про новую уязвимость в Chromium (CVE-2024-4671)

В новостях разгоняют про новую уязвимость в Chromium (CVE-2024-4671). Насколько я понимаю, в основном из-за строчки в бюллетене безопасности, в котором Google пишут, что им известно о существовании эксплоита для этой уязвимости ("exists in the wild"). Из этого делают вывод, что раз эксплоит есть, то видимо и уязвимость в атаках используется. Имхо, лучше всё же подождать подтвержденных инцидентов или попыток эксплуатации.

Тип уязвимости "use after free". Уязвимость нашли в компоненте Visuals, который отвечает за рендеринг и отображение контента. То, что уязвимость может приводить к RCE вендор НЕ сообщает, но CIS и Hive Pro утверждают, что это возможно. 🤷‍♂️

Обновления для Chromium/Chrome:

🔹 124.0.6367.201/.202 (Mac/Windows)
🔹 124.0.6367.201 (Linux)

Также стоит ждать обновлений для всех Chromium-based браузеров: Microsoft Edge, Vivaldi, Brave, Opera, Yandex Browser и т.д. И лучше ставить в настройках галку автообновления (если вы доверяете вендору).