Архив метки: ChatGPT

Кирилл Ермаков, основатель и CEO vulners.com, поделился историей провала своего стартапа 4Hackers

Добавить комментарий

Кирилл Ермаков, основатель и CEO vulners.com, поделился историей провала своего стартапа 4Hackers

Кирилл Ермаков, основатель и CEO vulners.com, поделился историей провала своего стартапа 4Hackers. Идея была в том, чтобы сделать чат-бот на опенсурсных LLM-ках, у которого не было бы проблем с решением пентестерских задач: написание эксплоитов, составление шаблонов писем для фишинга, разработка сценариев атаки и т.п. То есть c "чувствительными" темами, на которые мейнстримные чатботы общаться не любят. 😉 Кроме того, к 4Hackers были прикручены скрапперы для решения задач OSINT-а. 🕵️‍♂️

В итоге за год проект съел $200 000 из кармана Кирилла и не взлетел. 🗿 4Hackers проработает ещё несколько недель и потом шнур выдернут. 💀

Кирилл подробно перечисляет причины провала, но суммировать их можно так:

💬 Оценка востребованности не проводилась, в итоге был разработан продукт для несуществующих пользователей.

📊 Так как сервис платный и даже без триала, то пользователи не росли и вирусного эффекта не было.

💸 Хостить такой сервис on-prem оказалось супер-дорого. 🤷‍♂️

Прожектор по ИБ, выпуск №19 (22.01.2024): VM-щик на час и это печать

Добавить комментарий

Прожектор по ИБ, выпуск №19 (22.01.2024): VM-щик на час и это печать

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"

Снова в усиленном составе. В этом выпуске обсуждали художественную литературу 🧐📕, импортозамес (тем кто активно хейтил мой пост на эту тему - зацените, вполне возможно Антон и Лев критиковали мои предложения именно с ваших позиций; если нет, то оставьте коммент 😉), громкие критичные уязвимости, инциденты, интересные новости и статьи. А под конец выпуска Максим зачитал суровую рэпчину в свой новый микрофон. 😎🎤

00:00 Смотрим статистику по просмотрам и продолжение к "Двухфакторка рулит. GitLab - решето."
02:16 Обсуждаем художественную литературу: "Девушка с татуировкой дракона" Стиг Ларссон, романы Пелевина, "Задача трёх тел" Лю Цысинь, романы про попаданцев на AuthorToday
13:15 Импортозамещаем MS SharePoint
14:53 Импортозамещаем Cisco Unity Connection и обсуждаем использование решений из дружеских стран
20:34 Импортозамещаем GitLab и обсуждаем есть ли в этом смысл
24:16 Импортозамещаем Ivanti Connect Secure и Cisco AnyConnect
29:08 Мемасики
31:56 В Juniper-ах очередная preAuth RCE (CVE-2024-21591) с возможностью получить root-а на устройстве
34:10 Подмена прошивки в умном термостате Bosch BCC100 (CVE-2023-49722) и услуга VM-щик на час
38:06 Microsoft обвинила русских хакеров в атаке по своим системам
40:11 Очередная критичная RCE в Confluence (CVE-2023-22527)
41:43 Январский Linux Patch Wednesday
43:13 Лев комментирует пост Алекся Лукацкого: У традиционных SIEM, архитектура которых создавалась совсем в другое время, существует целый ряд проблем, которые заставляют задуматься об их будущем
47:46 В блоге Qualys вышел занимательный пост про проблемы детектирования "глубоко встроенных уязвимостей"
50:05 Исследователь, который в прошлый раз взломал «Хонду», продолжает рассказывать о своих находках
52:29 Пришёл Максим с новым микрофоном
53:29 Студент сингапурского ВУЗа автоматизировал процесс взлома с использованием чат-бота ChatGPT
55:45 ОреnАI плотно работает с военными США над инструментами кибербезопасности
59:43 Роскомнадзор создаст базу данных геолокации отечественных IP-адресов
1:01:26 Суровая заключительная рэпчина от Mr. X 🎤

Прожектор по ИБ, выпуск №12 (19.11.2023): Киберстендап, минусы SOC-Форума и зарплаты ИБшников США

Добавить комментарий

Прожектор по ИБ, выпуск №12 (19.11.2023): Киберстендап, минусы SOC-Форума и зарплаты ИБшников США

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Набрали прошлым выпуском меньше сотни просмотров, но "нормальный у нас формат, послушать фоном вполне"
01:55 Прошёл крутой Киберстендап
05:35 Ноябрьский Microsoft Patch Tuesday
11:00 В Vulristics теперь можно задать профиль для анализа в JSON и получить результаты в JSON
13:36 Подъехало свежее маркетинговое чтиво от IDC "MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment"
18:07 Один из крупных конкурентов ElasticSearch — американский аналог Sumo Logic на прошлой неделе претерпел серьезный киберинцидент
23:32 Сбербанк заходит в тему Управления Уязвимостями с продуктом X-Threat Intelligence
28:14 Плюсы и минусы SOC-Форума и стенда Лаборатории Касперского
36:45 Вымогатели из BlackCat (ALPHV) подали жалобу на их недавнюю жертву — MeridianLink в комиссию по ценным бумагам США (SEC)
41:15 Ноябрьский Linux Patch Wednesday
45:34 Обсуждаем зарплаты ИБ-шников в США
53:33 Распределение видов списаний с карт жертв в схеме Fake Date с помощью фейкового мобильного приложения
55:01 На днях начал использовать чатботы для генерации кода
01:01:32 Постановление Правительства и 100% Отечественный Производитель
01:08:11 Прощание от Mr.X

На днях начал использовать чатботы для генерации кода

1 комментарий

На днях начал использовать чатботы для генерации кода

На днях начал использовать чатботы для генерации кода. Удобно. С задачками типа "напиши python код, который сделает текстовую замену в docx файле и сохранит его как новый docx файл" справляется хорошо. Можно брать код и использовать as is.

🔹 Можно ли нагуглить ответ на такой вопрос и чуть подправить под себя? Безусловно. Но через бота удобнее.

🔹 Заменит ли это программистов? Вряд ли, но даст буст. Причём и джунам, и мидлам, и сеньорам. Всем станет эффективнее и удобнее работать. Но совсем профанам буст не даст, т.к. нужно понимать, что конкретно ты хочешь от бота.

🔹 А как это скажется на безопасности? Пока непонятно. Не так давно у Start X (бывшие Антифишинг) вышла статья и видяшка, в которой они описали работу с ботом для генерации кода веб-приложения и смогли получить приложение с небезопасной десериализацией пользовательских данных. 🤷‍♂️ Так что без скиллов в безопасной разработке обойтись не получится.

Tenable анонсировали Vulnerability (Exposure) Management с генеративным AI а-ля ChatGPT

Добавить комментарий

Tenable анонсировали Vulnerability (Exposure) Management с генеративным AI а-ля ChatGPTTenable анонсировали Vulnerability (Exposure) Management с генеративным AI а-ля ChatGPTTenable анонсировали Vulnerability (Exposure) Management с генеративным AI а-ля ChatGPT

Tenable анонсировали Vulnerability (Exposure) Management с генеративным AI а-ля ChatGPT. Продукт (или скорее технология) будет называться ExposureAI и будет доступен в составе Tenable One.

Основные фичи:

1. Можно будет делать запросы на естественном языке.
2. Можно будет генерить человекочитаемые описания Attack Path сценариев (экономит время при составлении отчётов).
3. Можно будет видеть инсайты "чем в первую очередь нужно заняться".

Как и в случае с Cyclops Security, которые анонсировали похожую функциональность чуть раньше, всё зависит от того, насколько система окажется умной и как сильно она будет ошибаться. А так-то прикольно. Думаю чуть менее чем все VM-вендоры будут с такой функциональностью экспериментировать.

🎞 Видяшка у них забавная, ироничная. 👍🙂

Прочитал про свежий около-VMный ИзраильскийСтартап™ под названием Cyclops Security

1 комментарий

Прочитал про свежий около-VMный ИзраильскийСтартап™ под названием Cyclops Security

Прочитал про свежий около-VMный ИзраильскийСтартап™ под названием Cyclops Security. Основная фишка у них это возможность делать запросы о состоянии ИБ в организации на естественном языке, а-ля ChatGPT. Для VM-щиков обещают:

🔹 Приоритизировать критичность уязвимостей
🔹 Повысить эффективность
🔹 Дополнять решения по ремедиации уязвимостей бизнес-контекстом
🔹 Снизить уровень шума

В целом, если сможет аргументированно (например, на уровне Perplexity AI) отвечать на выскоуровневые общие вопросы типа "через что нас скорее всего поломают?", "чем сейчас полезнее всего было бы заняться VM-щикам?", "в какой IT-команде самая жесть с уязвимостями и что конкретно нам от них нужно?", то будет вполне себе полезная штука. 🙂 А если она ещё сможет сама пропушивать патчинг и вести задушевные мотивирующие разговоры c IT-шниками, то вообще будет топ и shut up and take my money. 😅 💸

Про Perplexity AI

Добавить комментарий

Про Perplexity AIПро Perplexity AI

Про Perplexity AI. По поводу ChatGPT моё мнение не поменялось. Это малополезный бредогенератор. Однако это не значит, что я против ИИ чатботов вообще. Приемлемая альтернатива, с которой я теперь частенько играюсь, это Perplexity AI. Сервис также использует модель GPT-3, но в отличие от ChatGPT имеет ряд важных преимуществ:

- можно использовать бесплатно и без регистрации
- работает с актуальными данными (например знает о MS Patch Tuesday на прошлой неделе)
- показывает пруфлинки, можно залезть и проверить на основании чего был нагенерен текст
- позволяет исключать нерелевантные ссылки и перегенерировать текст (например в запросе об "Alexander V. Leonov" можно убрать инфу подтянутую из биографии тезки-океанолога)

В общем, вполне удобная штука, если нужно быстро узнать мнение по какому-то вопросу, а самому искать, ходить по ссылкам и вычитывать странички не хочется. 🙂 На скриншотах сбор ссылок с обзорами MS Patch Tuesday и сбор громких кейсов по фишинговым атакам.