Архив метки: профдеформация

Сидим в кафе за столиком с прикольным видом на рыбок

Добавить комментарий

Сидим в кафе за столиком с прикольным видом на рыбок
Сидим в кафе за столиком с прикольным видом на рыбокСидим в кафе за столиком с прикольным видом на рыбокСидим в кафе за столиком с прикольным видом на рыбок

Сидим в кафе за столиком с прикольным видом на рыбок. Смотрю на них и думаю: вот и в Vulnerability Management-е также. Масса мелких уязвимостей-рыбёшек. Ты с ними возишься, исправляешь по мере сил. А потом в произвольный момент флегматично из-за поворота выплывает супер-мега-критикал акула. 😱 Только в VM-е прикольнее, т.к. маленькая рыбка мгновенно в акулу не превратится, а с уязвимостями такое сплошь и рядом случается. 😏

Есть бородатый анекдот, когда студентам разных специальностей показывают кирпич и спрашивают о чём каждый из них в этот момент думает. Архитектор о том, какой дом можно построить из таких кирпичей, математик о свойствах параллелепипеда и т.д. А курсант военного ВУЗа думает о женщинах. Почему? А он всегда о них думает. 🤷‍♂️😉

Три богатыря и Bug Bounty

Добавить комментарий

Три богатыря и Bug Bounty

Три богатыря и Bug Bounty. Сходили в кино на анимационный фильм "Три богатыря. Ни дня без подвига". Три короткие истории. Первая, думаю, ИБшникам зайдёт. 😉

Князь с подачи коня Юлия внедряет во дворце систему безопасности и объявляет багбаунти программу для выявления уязвимостей в ней: кто проникнет во дворец и выполнит реализацию недопустимого события (кражу короны), тот получит 100 сладких пряников.

В результате недопустимое событие реализуют, но за наградой никто не обращается. 😱🫣

Пришлось Алёше Поповичу проводить ресёрч как же злоумышленнику получилось обойти средства защиты. 😏

В итоге оказалось, что был реализован совсем не тот вектор, от которого защищались. 🤷‍♂️ Как это и бывает.

Мораль? 🙂 Тщательнее оговаривайте условия Bug Bounty программы. Она не обязательно должна быть публичной, зачастую приватная программа с ограниченным количеством проверенных участников (или даже обычный пентест) получается эффективнее и безопаснее. 😉

Колядка про Vulnerability Management "Пропатчите уязвимость"

Добавить комментарий

Колядка про Vulnerability Management "Пропатчите уязвимость". 🙂 Наигрывал сегодня разные новогодние и рождественские песенки, и мне пришла в голову идея, что "We Wish You a Merry Christmas" с требованием инжирного пудинга отличное описывает процесс пушинга исправления критичных уязвимостей.

Что, в общем, и накидал по-быстрому. Подозреваю, что это первая песня, которая упоминает "НКЦКИ". 😅

Поздравляю всех с наступающим Новым 2024 Годом! Всем здоровья, счастья и интересных задачек! Ура! 🎄🎉

ИБшники радостно перекидывают друг другу pdf-ку с новогодним поздравлением якобы от НКЦКИ, оформленным под бюллетень безопасности

Добавить комментарий

ИБшники радостно перекидывают друг другу pdf-ку с новогодним поздравлением якобы от НКЦКИ, оформленным под бюллетень безопасностиИБшники радостно перекидывают друг другу pdf-ку с новогодним поздравлением якобы от НКЦКИ, оформленным под бюллетень безопасностиИБшники радостно перекидывают друг другу pdf-ку с новогодним поздравлением якобы от НКЦКИ, оформленным под бюллетень безопасности

ИБшники радостно перекидывают друг другу pdf-ку с новогодним поздравлением якобы от НКЦКИ, оформленным под бюллетень безопасности. Хотя на safe-surf такого бюллетеня с поздравлением нет. 🧐 Не буду утверждать, что конкретно эта pdf-ка зловредная. Но выглядит как идеальная тема для атаки на российских ИБшников, пока они на расслабоне. ИБшник, бди!

Upd. По поводу данного конкретного кейса пишут, что pdf-ка прилетела в почтовой рассылке с правильного адреса, а safe-surf выкладывает всё с задержкой. 😉 Так что панику не разводим, но как возможный сценарий атаки учитываем.

"Аленький цветочек" и приоритизация уязвимостей в условиях неполной информации

Добавить комментарий

Аленький цветочек и приоритизация уязвимостей в условиях неполной информации

"Аленький цветочек" и приоритизация уязвимостей в условиях неполной информации. Когда нашего сомнительного купца просят привести цветочек "краше не было на белом свете" он отвечает ровно так, как стоило бы отвечать Vulnerability Management специалисту на просьбу найти самую критичную уязвимость в инфраструктуре:

"— Ну, задала ты мне работу потяжеле сестриных: коли знаешь, что искать, то как не сыскать, а как найти то, чего сам не знаешь? Аленький цветочек не хитро найти, да как же узнать мне, что краше его нет на белом свете? Буду стараться, а на гостинце не взыщи."

Какую-то критичную уязвимость выделим, а вот гарантировать, что эта уязвимость будет наиболее критичной из существующих - тут извините. Способы детектирования и наши знания о характеристиках уязвимостей существенно ограничены. Не взыщите. И занимайтесь лучше безусловным патчингом. 😉

Ходили сегодня с семейством в театр на "Аленький Цветочек"

1 комментарий

Ходили сегодня с семейством в театр на Аленький Цветочек

Ходили сегодня с семейством в театр на "Аленький Цветочек". Что-то я в детстве не обращал внимание как купец рассуждает о том, что гостинцы дочерям достать будет непросто. Вот про "золотой венец":

"— Хорошо, дочь моя милая, хорошая и пригожая, привезу я тебе таково‌й венец; знаю я за‌ морем такого человека, который достанет мне таковой венец; а и есть он у одной королевишны заморской, а и спрятан он в кладовой каменной, а и стоит та кладовая в каменной горе, глубиной на три сажени, за тремя дверьми железными, за тремя замками немецкими. Работа будет немалая: да для моей казны супротивного нет."

Со вторым подарком аналогично, только замков больше и с вооруженной охраной. 🤨

Так и хочется спросить: дядь, а ты точно купец? 😏 Кажется тех, кто занимается такой "работой", называют как-то иначе.

Сходили сегодня на "Сказки старого фонаря" в театр А-Я

Добавить комментарий

Сходили сегодня на "Сказки старого фонаря" в театр А-Я. Музыкальный спектакль по мотивам сказок Г. Х. Андерсена «Принцесса и свинопас», «Оловянный солдатик, «Снежная королева» и «Старый уличный фонарь». Очень понравилось. Особенно сцена собеседования фонарщиков в начале, т.к. собеседования ИБшников напомнило. 🙂

Было 2 кандидата. Один из них заявил примерно следующее:

"Я из семьи уважаемых стекольщиков, разбираюсь во всем, что связано со светом. В школе учился на все пятерки. Вот мой аттестат, дипломы и рекомендации. Обязуюсь аккуратно исполнять свои обязанности и вовремя зажигать и тушить фонари".

Второй заявил:

"Мне нечего сказать кроме того, что я с детства хотел зажигать и гасить фонари, потому что это красиво и нужно всем людям. Обещаю, что буду стараться… А если вы не возьмёте меня, то я уйду из города и подамся в разбойники или пираты".

Взяли второго. Почему? Да фиг его знает.

Собеседование это во многом лотерея и никогда не угадаешь что в голове у собеседующего происходит и на что он в первую очередь смотрит. 🙂 Но упомянуть к какому делу у тебя страсть тоже никогда лишним не будет.

А потом по прошествии времени тот парень, которого не взяли фонарщиком, дорос до бургомистра города и устроил всем веселенькую жизнь (особенно тем, на кого был обижен).

И это тоже напоминание о том, что собеседование надо проводить корректно, уважительно, а не оттягиваться на кандидатах. Мир тесен (особенно ИБшный) и никогда не знаешь как у кого сложится и при каких обстоятельствах может жизнь дальше свести. Роли вполне могут поменяться на противоположные, тогда будет неприятно и некрасиво. 🙂