Архив метки: ChatGPT

Прожектор по ИБ, выпуск №19 (22.01.2024): VM-щик на час и это печать

Прожектор по ИБ, выпуск №19 (22.01.2024): VM-щик на час и это печать

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"

Снова в усиленном составе. В этом выпуске обсуждали художественную литературу 🧐📕, импортозамес (тем кто активно хейтил мой пост на эту тему - зацените, вполне возможно Антон и Лев критиковали мои предложения именно с ваших позиций; если нет, то оставьте коммент 😉), громкие критичные уязвимости, инциденты, интересные новости и статьи. А под конец выпуска Максим зачитал суровую рэпчину в свой новый микрофон. 😎🎤

00:00 Смотрим статистику по просмотрам и продолжение к "Двухфакторка рулит. GitLab - решето."
02:16 Обсуждаем художественную литературу: "Девушка с татуировкой дракона" Стиг Ларссон, романы Пелевина, "Задача трёх тел" Лю Цысинь, романы про попаданцев на AuthorToday
13:15 Импортозамещаем MS SharePoint
14:53 Импортозамещаем Cisco Unity Connection и обсуждаем использование решений из дружеских стран
20:34 Импортозамещаем GitLab и обсуждаем есть ли в этом смысл
24:16 Импортозамещаем Ivanti Connect Secure и Cisco AnyConnect
29:08 Мемасики
31:56 В Juniper-ах очередная preAuth RCE (CVE-2024-21591) с возможностью получить root-а на устройстве
34:10 Подмена прошивки в умном термостате Bosch BCC100 (CVE-2023-49722) и услуга VM-щик на час
38:06 Microsoft обвинила русских хакеров в атаке по своим системам
40:11 Очередная критичная RCE в Confluence (CVE-2023-22527)
41:43 Январский Linux Patch Wednesday
43:13 Лев комментирует пост Алекся Лукацкого: У традиционных SIEM, архитектура которых создавалась совсем в другое время, существует целый ряд проблем, которые заставляют задуматься об их будущем
47:46 В блоге Qualys вышел занимательный пост про проблемы детектирования "глубоко встроенных уязвимостей"
50:05 Исследователь, который в прошлый раз взломал «Хонду», продолжает рассказывать о своих находках
52:29 Пришёл Максим с новым микрофоном
53:29 Студент сингапурского ВУЗа автоматизировал процесс взлома с использованием чат-бота ChatGPT
55:45 ОреnАI плотно работает с военными США над инструментами кибербезопасности
59:43 Роскомнадзор создаст базу данных геолокации отечественных IP-адресов
1:01:26 Суровая заключительная рэпчина от Mr. X 🎤

Прожектор по ИБ, выпуск №12 (19.11.2023): Киберстендап, минусы SOC-Форума и зарплаты ИБшников США

Прожектор по ИБ, выпуск №12 (19.11.2023): Киберстендап, минусы SOC-Форума и зарплаты ИБшников США

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Набрали прошлым выпуском меньше сотни просмотров, но "нормальный у нас формат, послушать фоном вполне"
01:55 Прошёл крутой Киберстендап
05:35 Ноябрьский Microsoft Patch Tuesday
11:00 В Vulristics теперь можно задать профиль для анализа в JSON и получить результаты в JSON
13:36 Подъехало свежее маркетинговое чтиво от IDC "MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment"
18:07 Один из крупных конкурентов ElasticSearch — американский аналог Sumo Logic на прошлой неделе претерпел серьезный киберинцидент
23:32 Сбербанк заходит в тему Управления Уязвимостями с продуктом X-Threat Intelligence
28:14 Плюсы и минусы SOC-Форума и стенда Лаборатории Касперского
36:45 Вымогатели из BlackCat (ALPHV) подали жалобу на их недавнюю жертву — MeridianLink в комиссию по ценным бумагам США (SEC)
41:15 Ноябрьский Linux Patch Wednesday
45:34 Обсуждаем зарплаты ИБ-шников в США
53:33 Распределение видов списаний с карт жертв в схеме Fake Date с помощью фейкового мобильного приложения
55:01 На днях начал использовать чатботы для генерации кода
01:01:32 Постановление Правительства и 100% Отечественный Производитель
01:08:11 Прощание от Mr.X

На днях начал использовать чатботы для генерации кода

На днях начал использовать чатботы для генерации кода

На днях начал использовать чатботы для генерации кода. Удобно. С задачками типа "напиши python код, который сделает текстовую замену в docx файле и сохранит его как новый docx файл" справляется хорошо. Можно брать код и использовать as is.

🔹 Можно ли нагуглить ответ на такой вопрос и чуть подправить под себя? Безусловно. Но через бота удобнее.

🔹 Заменит ли это программистов? Вряд ли, но даст буст. Причём и джунам, и мидлам, и сеньорам. Всем станет эффективнее и удобнее работать. Но совсем профанам буст не даст, т.к. нужно понимать, что конкретно ты хочешь от бота.

🔹 А как это скажется на безопасности? Пока непонятно. Не так давно у Start X (бывшие Антифишинг) вышла статья и видяшка, в которой они описали работу с ботом для генерации кода веб-приложения и смогли получить приложение с небезопасной десериализацией пользовательских данных. 🤷‍♂️ Так что без скиллов в безопасной разработке обойтись не получится.

Tenable анонсировали Vulnerability (Exposure) Management с генеративным AI а-ля ChatGPT

Tenable анонсировали Vulnerability (Exposure) Management с генеративным AI а-ля ChatGPTTenable анонсировали Vulnerability (Exposure) Management с генеративным AI а-ля ChatGPTTenable анонсировали Vulnerability (Exposure) Management с генеративным AI а-ля ChatGPT

Tenable анонсировали Vulnerability (Exposure) Management с генеративным AI а-ля ChatGPT. Продукт (или скорее технология) будет называться ExposureAI и будет доступен в составе Tenable One.

Основные фичи:

1. Можно будет делать запросы на естественном языке.
2. Можно будет генерить человекочитаемые описания Attack Path сценариев (экономит время при составлении отчётов).
3. Можно будет видеть инсайты "чем в первую очередь нужно заняться".

Как и в случае с Cyclops Security, которые анонсировали похожую функциональность чуть раньше, всё зависит от того, насколько система окажется умной и как сильно она будет ошибаться. А так-то прикольно. Думаю чуть менее чем все VM-вендоры будут с такой функциональностью экспериментировать.

🎞 Видяшка у них забавная, ироничная. 👍🙂

Прочитал про свежий около-VMный ИзраильскийСтартап™ под названием Cyclops Security

Прочитал про свежий около-VMный ИзраильскийСтартап™ под названием Cyclops Security

Прочитал про свежий около-VMный ИзраильскийСтартап™ под названием Cyclops Security. Основная фишка у них это возможность делать запросы о состоянии ИБ в организации на естественном языке, а-ля ChatGPT. Для VM-щиков обещают:

🔹 Приоритизировать критичность уязвимостей
🔹 Повысить эффективность
🔹 Дополнять решения по ремедиации уязвимостей бизнес-контекстом
🔹 Снизить уровень шума

В целом, если сможет аргументированно (например, на уровне Perplexity AI) отвечать на выскоуровневые общие вопросы типа "через что нас скорее всего поломают?", "чем сейчас полезнее всего было бы заняться VM-щикам?", "в какой IT-команде самая жесть с уязвимостями и что конкретно нам от них нужно?", то будет вполне себе полезная штука. 🙂 А если она ещё сможет сама пропушивать патчинг и вести задушевные мотивирующие разговоры c IT-шниками, то вообще будет топ и shut up and take my money. 😅 💸

Про Perplexity AI

Про Perplexity AIПро Perplexity AI

Про Perplexity AI. По поводу ChatGPT моё мнение не поменялось. Это малополезный бредогенератор. Однако это не значит, что я против ИИ чатботов вообще. Приемлемая альтернатива, с которой я теперь частенько играюсь, это Perplexity AI. Сервис также использует модель GPT-3, но в отличие от ChatGPT имеет ряд важных преимуществ:

- можно использовать бесплатно и без регистрации
- работает с актуальными данными (например знает о MS Patch Tuesday на прошлой неделе)
- показывает пруфлинки, можно залезть и проверить на основании чего был нагенерен текст
- позволяет исключать нерелевантные ссылки и перегенерировать текст (например в запросе об "Alexander V. Leonov" можно убрать инфу подтянутую из биографии тезки-океанолога)

В общем, вполне удобная штука, если нужно быстро узнать мнение по какому-то вопросу, а самому искать, ходить по ссылкам и вычитывать странички не хочется. 🙂 На скриншотах сбор ссылок с обзорами MS Patch Tuesday и сбор громких кейсов по фишинговым атакам.

Про дипломную работу, написанную ChatGPT

Про дипломную работу, написанную ChatGPT. Прочитал оригинальный тред biblikz (ссылку давать не буду, чтобы не рекламировать). Если кто-то слышал мельком новость и думает, что ChatGPT сам смог выдать структурированный осмысленный текст, который хотя бы издали был похож на дипломную работу, тот ошибается. Если кто-то думает, что студент использовал ChatGPT для развития собственных мыслей, что это какое-то совместное творчество человека и машины, тот тоже ошибается. Все гораздо проще и гнуснее.

1. Студент несколько раз пытался сдать своему научному руководителю сгенерированный ChatGPT текст как план дипломной бакалаврской работы "Анализ и совершенствование управления игровой организацией", принципиально не желая написать его нормально по методичке. "И на четвертый раз ломаю научницу, она присылает план моего диплома". План ему написали.
2. Чтобы получить введение, студент вводил в ChatGPT план диплома целиком (!) в качестве запроса, получал какой-то бред (потому что релевантный ответ на "это" получить нельзя), а потом переводил его яндекс-переводчиком.
3. Для теоретической части студент генерил текст в ChatGPT на тему "5 принципов менеджмента", а потом переводил это опять же яндекс-переводчиком.
4. Практическая часть это рерайт текста из чужого дипломного проекта про мясокомбинат. 😐
5. Проверку научного руководителя полученный текст не прошел, студент приводил текст до более-менее читаемого вида вручную и с помощью ChatGPT. Основной критерий, на который смотрели это уникальность текста по антиплагиату.
6. Отзывы студенту написали нормальные.
7. На защите диплома студент устроил клоунаду, его выгоняли из аудиториии, но в итоге трояк поставили.

После этого студент вывалил всю эту позорную историю в паблик, подставляя научного руководителя, рецензентов, дипломную комиссию и ВУЗ в целом. Видимо за то, что те не выгнали его в шею, хотя он этого полностью заслуживал, а выдали несчастную корку. Видимо из жалости. Не знаю как вам, но по мне так это всё отвратительно от начала и до конца.

С другой стороны это наглядная демонстрация типичного адепта ChatGPT - человека, которому достоверность сгенеренного текста глубоко безразлична, лишь бы только этот текст доставался бесплатно в неограниченных количествах и выглядел убедительно.