Про AI, музыку и клонирование творческой манеры

Добавить комментарий

Про AI, музыку и клонирование творческой манеры

Про AI, музыку и клонирование творческой манеры. Открыл для себя ещё один AI сервис для генерации музыки по тексту - Udio, который делает это лучше и реалистичнее Suno. Как он это делает я не знаю, но такое ощущение, что там в зависимости от промпта выбирается какой-то конкретный исполнитель, на произведениях которого обучалась "сетка". Отсюда большая целостность. Но насколько это этично и законно - вопрос.

Первая же генерация на стихотворение Гумилёва в стиле "folk, contemporary folk, traditional folk, guitar, folk rock, acoustic blues" внезапно выдала мне узнаваемого исполнителя-иноагента. 😲🫣

И это не случайность. Поиск в Udio по его фамилии выдаёт много качественных треков узнаваемым голосом и в узнаваемой манере. Причём те, которые он сам вряд ли стал бы исполнять. Например, на день рождение Ленина про "пристальный взгляд Ильича". Хотя как знать… 🤔🙂

Выводы?
🔹 Разнообразной музыки будет больше
🔹 Фейки станут ещё реалистичнее
🔹 Ожидаются интересные суды

И пожарные сдают OSCP (Offensive Security Certified Professional)

Добавить комментарий

И пожарные сдают OSCP (Offensive Security Certified Professional)

И пожарные сдают OSCP (Offensive Security Certified Professional). В продолжение темы про курсы по оффенсиву. Мне в личку написали, что реклама вполне правдивая: в оффенсиве большой спрос, много денег и достаточно несложный вход.

Но вот вопрос: а для кого?

Для студента ИБшника или ITшника вход может быть и правда достаточно прост. Но меня вымораживает, когда организаторы курсов пишут, что специальных знаний не требуется. 😱 Можно ли рандомного слесаря за год довести до нанимаемого пентестера? Имхо, сомнительно.

А как быть с историями, когда повара и пожарные сдают сложные практические экзамены по ИБ? Нужно смотреть детали. Например, у пожарного на иллюстрации 7 лет технического образования, диплом "Electrics and softwares engineering" и вся лента в постах про задания Hack The Box. 😉 Не похож на рандомного товарища, прошедшего курсы в погоне за длинным рублём, правда?

Имхо, даже если сам курс неплох, обманывать людей в маркетинге это отвратительно и непрофессионально.

Вчера на меня в VK старгетировалась видео-реклама обучающих курсов по профессии "Белый Хакер"

2 комментария

Вчера на меня в VK старгетировалась видео-реклама обучающих курсов по профессии Белый Хакер

Вчера на меня в VK старгетировалась видео-реклама обучающих курсов по профессии "Белый Хакер". Раньше не обращал внимание на то, как это сейчас подают. 🫣 Напомнило монолог из ДМБ:

"…Перед дембелем лежат все мечты! Потому что любят его очень — и здесь, и там. В пожарные берут, и в милицию. Там курорты от профсоюза, бесплатный проезд на автобусе." И барышни по нему плачут. 🙂

Т.е. в основном про то, что такие спецы деньги гребут, их везде с руками отрывают, а вкатиться может буквально каждый. Никакой начальной подготовки не требуется. Нужно только пройти годовые курсы за 4-5 млн. рублей. 😎

Честно говоря, отвратительно и на грани разводилова. Не сложно представить фрустрацию людей, которые это пройдут и окажется, что в оффенсиве совсем не так радужно, для востребованности требуется колоссальный уровень экспертизы, который нужно поддерживать.

Это не халява и точно не для всех!

Наверняка часть таких обученных по верхам попробует блечить и сядет. 🤷‍♂️🙁

В новостях разгоняют про новую уязвимость в Chromium (CVE-2024-4671)

Добавить комментарий

В новостях разгоняют про новую уязвимость в Chromium (CVE-2024-4671)

В новостях разгоняют про новую уязвимость в Chromium (CVE-2024-4671). Насколько я понимаю, в основном из-за строчки в бюллетене безопасности, в котором Google пишут, что им известно о существовании эксплоита для этой уязвимости ("exists in the wild"). Из этого делают вывод, что раз эксплоит есть, то видимо и уязвимость в атаках используется. Имхо, лучше всё же подождать подтвержденных инцидентов или попыток эксплуатации.

Тип уязвимости "use after free". Уязвимость нашли в компоненте Visuals, который отвечает за рендеринг и отображение контента. То, что уязвимость может приводить к RCE вендор НЕ сообщает, но CIS и Hive Pro утверждают, что это возможно. 🤷‍♂️

Обновления для Chromium/Chrome:

🔹 124.0.6367.201/.202 (Mac/Windows)
🔹 124.0.6367.201 (Linux)

Также стоит ждать обновлений для всех Chromium-based браузеров: Microsoft Edge, Vivaldi, Brave, Opera, Yandex Browser и т.д. И лучше ставить в настройках галку автообновления (если вы доверяете вендору).

С Днём Победы!

Добавить комментарий

С Днём Победы! 09.05.1945

Через 2 дня после начала войны в газете Известия было опубликовано стихотворение Евгения Долматовского "Будем крушить разбойничью рать!". Я попробовал превратить его в песню с помощью сервиса Suno. Получилось, конечно, не без огрех, особенно в части ударений и произношения (к сожалению, это пока слабо настраивается). Но по общему настроению, как мне кажется, получилось неплохо.

Нашему солнцу сиять всегда! С праздником!

В самую короткую ночь в году
— Час этот в памяти заучи —
Коршун напал на нашу звезду,
Когти обжёг об ее лучи.

Будем крушить разбойничью рать
Бомбой, пулей, снарядом, штыком.
Чтоб коршуну перьев своих не собрать,
Чтоб пепел взлетел над его гнездом.

С той ночи на убыль пойдёт его день,
А нашему солнцу сиять всегда.
Нет, не затмит зловещая тень
Наши родимые города.

Дорогой отечественной войны
Лавиной идём на чёрный фашизм.
Дни врага уже сочтены,
Смертью его будет наша жизнь.

Страница той самой газеты, где было опубликовано стихотворение.

На фотографии пехотинцы из состава сводной колонны 248-й стрелковой дивизии 9-го стрелкового корпуса 5-й ударной гвардейской армии по пути к месту берлинского Парада Победы 7 сентября 1945 года.

Зарелизили материалы по апрельским трендовым уязвимостям

1 комментарий

Зарелизили материалы по апрельским трендовым уязвимостям

Зарелизили материалы по апрельским трендовым уязвимостям. Всего выделили 5 уязвимостей.

🔻 Удалённое выполнение команд в устройствах PaloAlto (CVE-2024-3400) [Горячий пятничный привет]
🔻 4 уязвимости Microsoft Windows (CVE-2022-38028, CVE-2023-35628, CVE-2024-29988, CVE-2024-26234)

🗣 Моя статья на Хабре по мотивам постов из канала
🚀 Дайджест на сайте PT (коротко и по делу)
🟥 Пост в канале PT
🎞 Рубрика "В тренде VM" в ролике SecLab-а выйдет в понедельник 🙂 Upd. Выложили.

На сайте ФСТЭК выложили финальную версию "Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации"

1 комментарий

На сайте ФСТЭК выложили финальную версию Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации

На сайте ФСТЭК выложили финальную версию "Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации". Что изменилось по сравнению с драфтом в части Управления Уязвимостями?

🔻 Поправили опечатку "их сети Интернет".
🔻 В обоих пунктах появилась приписка "или в отношении таких уязвимостей реализованы компенсирующие меры".

Понятно почему появилась приписка про компенсирующие меры - не всегда уязвимости можно исправить обновлением. Но есть опасность, что этим будут злоупотреблять, т.к. не указано какие меры можно считать компенсирующими. Возможно толкование, что компенсирующие меры могут выбираться произвольно. В духе "на десктопе есть EDR, значит все уязвимости на нём скомпенсированы". 🤪 Но даже если меры будут браться строго от вендора или из БДУ непонятно как контролировать, то что они были корректно применены, а главное, что эти меры действительно препятствуют эксплуатации уязвимости. На практике это будет выглядеть так: сканер детектирует уязвимости, а IT/ИБ с покерфейсом говорят "а у нас всё скомпенсировано". 😐 Так что моё мнение - без приписки было лучше, не нужно было создавать такую лазейку.

Также остался вопрос с "датой публикации обновления (компенсирующих мер по устранению)". Такой даты нет в БДУ (равно как и в других базах уязвимостей). Непонятно откуда её массово забирать, чтобы автоматически отслеживать, что организация укладывается в сроки. Вряд ли источник с датами появится, так что видимо на практике в VM-решениях будут использовать какую-то другую дату (например дату заведения уязвимости). А в случае инцидента это будет повод для лишних разбирательств. Имхо, зря это сразу не прояснили.

На эту же тему может быть интересная ситуация: допустим выходит обновление в котором вендор втихую исправляет уязвимость критического уровня опасности. А о существовании этой уязвимости становится известно, допустим, через полгода. В момент публикации данных об этой уязвимости у организации сразу получается просрочка. 🤷‍♂️ Просто потому, что используется дата, привязанная к обновлению, а не к уязвимости. Надумана ли такая ситуация? Да нет, "silent patches" проблема достаточно распространенная.

В этом, правда, есть и позитивный момент. Чтобы не попасть в такую ситуацию организации придётся выстраивать Patch Management процесс независящий от уязвимостей. И с неплохими требованиями регулярности обновлений: 30 дней для хостов на периметре, 90 дней для десктопов и серверов. 😏

PS: Также pdf-документ выпустили как-то странно, так что по нему не работает поиск. По odt-документу поиск работает нормально.