Архив метки: ChatGPT

Прожектор по ИБ, выпуск №19 (22.01.2024): VM-щик на час и это печать

Добавить комментарий

Прожектор по ИБ, выпуск №19 (22.01.2024): VM-щик на час и это печать

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"

Снова в усиленном составе. В этом выпуске обсуждали художественную литературу 🧐📕, импортозамес (тем кто активно хейтил мой пост на эту тему — зацените, вполне возможно Антон и Лев критиковали мои предложения именно с ваших позиций; если нет, то оставьте коммент 😉), громкие критичные уязвимости, инциденты, интересные новости и статьи. А под конец выпуска Максим зачитал суровую рэпчину в свой новый микрофон. 😎🎤

00:00 Смотрим статистику по просмотрам и продолжение к "Двухфакторка рулит. Git­Lab — решето."
02:16 Обсуждаем художественную литературу: "Девушка с татуировкой дракона" Стиг Ларссон, романы Пелевина, "Задача трёх тел" Лю Цысинь, романы про попаданцев на Author­To­day
13:15 Импортозамещаем MS Share­Point
14:53 Импортозамещаем Cis­co Uni­ty Con­nec­tion и обсуждаем использование решений из дружеских стран
20:34 Импортозамещаем Git­Lab и обсуждаем есть ли в этом смысл
24:16 Импортозамещаем Ivan­ti Con­nect Secure и Cis­co Any­Con­nect
29:08 Мемасики
31:56 В Juniper-ах очередная preAuth RCE (CVE-2024–21591) с возможностью получить root‑а на устройстве
34:10 Подмена прошивки в умном термостате Bosch BCC100 (CVE-2023–49722) и услуга VM-щик на час
38:06 Microsoft обвинила русских хакеров в атаке по своим системам
40:11 Очередная критичная RCE в Con­flu­ence (CVE-2023–22527)
41:43 Январский Lin­ux Patch Wednes­day
43:13 Лев комментирует пост Алекся Лукацкого: У традиционных SIEM, архитектура которых создавалась совсем в другое время, существует целый ряд проблем, которые заставляют задуматься об их будущем
47:46 В блоге Qualys вышел занимательный пост про проблемы детектирования "глубоко встроенных уязвимостей"
50:05 Исследователь, который в прошлый раз взломал «Хонду», продолжает рассказывать о своих находках
52:29 Пришёл Максим с новым микрофоном
53:29 Студент сингапурского ВУЗа автоматизировал процесс взлома с использованием чат-бота Chat­G­PT
55:45 ОреnАI плотно работает с военными США над инструментами кибербезопасности
59:43 Роскомнадзор создаст базу данных геолокации отечественных IP-адресов
1:01:26 Суровая заключительная рэпчина от Mr. X 🎤

Прожектор по ИБ, выпуск №12 (19.11.2023): Киберстендап, минусы SOC-Форума и зарплаты ИБшников США

Добавить комментарий

Прожектор по ИБ, выпуск №12 (19.11.2023): Киберстендап, минусы SOC-Форума и зарплаты ИБшников США

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

00:00 Набрали прошлым выпуском меньше сотни просмотров, но "нормальный у нас формат, послушать фоном вполне"
01:55 Прошёл крутой Киберстендап
05:35 Ноябрьский Microsoft Patch Tues­day
11:00 В Vul­ris­tics теперь можно задать профиль для анализа в JSON и получить результаты в JSON
13:36 Подъехало свежее маркетинговое чтиво от IDC "Mar­ketScape: World­wide Risk-Based Vul­ner­a­bil­i­ty Man­age­ment Plat­forms 2023 Ven­dor Assess­ment"
18:07 Один из крупных конкурентов Elas­tic­Search — американский аналог Sumo Log­ic на прошлой неделе претерпел серьезный киберинцидент
23:32 Сбербанк заходит в тему Управления Уязвимостями с продуктом X‑Threat Intel­li­gence
28:14 Плюсы и минусы SOC-Форума и стенда Лаборатории Касперского
36:45 Вымогатели из Black­Cat (ALPHV) подали жалобу на их недавнюю жертву — Merid­i­an­Link в комиссию по ценным бумагам США (SEC)
41:15 Ноябрьский Lin­ux Patch Wednes­day
45:34 Обсуждаем зарплаты ИБ-шников в США
53:33 Распределение видов списаний с карт жертв в схеме Fake Date с помощью фейкового мобильного приложения
55:01 На днях начал использовать чатботы для генерации кода
01:01:32 Постановление Правительства и 100% Отечественный Производитель
01:08:11 Прощание от Mr.X

На днях начал использовать чатботы для генерации кода

1 комментарий

На днях начал использовать чатботы для генерации кода

На днях начал использовать чатботы для генерации кода. Удобно. С задачками типа "напиши python код, который сделает текстовую замену в docx файле и сохранит его как новый docx файл" справляется хорошо. Можно брать код и использовать as is.

🔹 Можно ли нагуглить ответ на такой вопрос и чуть подправить под себя? Безусловно. Но через бота удобнее.

🔹 Заменит ли это программистов? Вряд ли, но даст буст. Причём и джунам, и мидлам, и сеньорам. Всем станет эффективнее и удобнее работать. Но совсем профанам буст не даст, т.к. нужно понимать, что конкретно ты хочешь от бота.

🔹 А как это скажется на безопасности? Пока непонятно. Не так давно у Start X (бывшие Антифишинг) вышла статья и видяшка, в которой они описали работу с ботом для генерации кода веб-приложения и смогли получить приложение с небезопасной десериализацией пользовательских данных. 🤷‍♂️ Так что без скиллов в безопасной разработке обойтись не получится.

Tenable анонсировали Vulnerability (Exposure) Management с генеративным AI а‑ля ChatGPT

Добавить комментарий

Tenable анонсировали Vulnerability (Exposure) Management с генеративным AI а-ля ChatGPTTenable анонсировали Vulnerability (Exposure) Management с генеративным AI а-ля ChatGPTTenable анонсировали Vulnerability (Exposure) Management с генеративным AI а-ля ChatGPT

Ten­able анонсировали Vul­ner­a­bil­i­ty (Expo­sure) Man­age­ment с генеративным AI а‑ля Chat­G­PT. Продукт (или скорее технология) будет называться Expo­sureAI и будет доступен в составе Ten­able One.

Основные фичи:

1. Можно будет делать запросы на естественном языке.
2. Можно будет генерить человекочитаемые описания Attack Path сценариев (экономит время при составлении отчётов).
3. Можно будет видеть инсайты "чем в первую очередь нужно заняться".

Как и в случае с Cyclops Secu­ri­ty, которые анонсировали похожую функциональность чуть раньше, всё зависит от того, насколько система окажется умной и как сильно она будет ошибаться. А так-то прикольно. Думаю чуть менее чем все VM-вендоры будут с такой функциональностью экспериментировать.

🎞 Видяшка у них забавная, ироничная. 👍🙂

Прочитал про свежий около-VMный ИзраильскийСтартап™ под названием Cyclops Security

1 комментарий

Прочитал про свежий около-VMный ИзраильскийСтартап™ под названием Cyclops Security

Прочитал про свежий около-VMный ИзраильскийСтартап™ под названием Cyclops Secu­ri­ty. Основная фишка у них это возможность делать запросы о состоянии ИБ в организации на естественном языке, а‑ля Chat­G­PT. Для VM-щиков обещают:

🔹 Приоритизировать критичность уязвимостей
🔹 Повысить эффективность
🔹 Дополнять решения по ремедиации уязвимостей бизнес-контекстом
🔹 Снизить уровень шума

В целом, если сможет аргументированно (например, на уровне Per­plex­i­ty AI) отвечать на выскоуровневые общие вопросы типа "через что нас скорее всего поломают?", "чем сейчас полезнее всего было бы заняться VM-щикам?", "в какой IT-команде самая жесть с уязвимостями и что конкретно нам от них нужно?", то будет вполне себе полезная штука. 🙂 А если она ещё сможет сама пропушивать патчинг и вести задушевные мотивирующие разговоры c IT-шниками, то вообще будет топ и shut up and take my mon­ey. 😅 💸

Про Perplexity AI

Добавить комментарий

Про Perplexity AIПро Perplexity AI

Про Per­plex­i­ty AI. По поводу Chat­G­PT моё мнение не поменялось. Это малополезный бредогенератор. Однако это не значит, что я против ИИ чатботов вообще. Приемлемая альтернатива, с которой я теперь частенько играюсь, это Per­plex­i­ty AI. Сервис также использует модель GPT‑3, но в отличие от Chat­G­PT имеет ряд важных преимуществ:

- можно использовать бесплатно и без регистрации
- работает с актуальными данными (например знает о MS Patch Tues­day на прошлой неделе)
- показывает пруфлинки, можно залезть и проверить на основании чего был нагенерен текст
- позволяет исключать нерелевантные ссылки и перегенерировать текст (например в запросе об "Alexan­der V. Leonov" можно убрать инфу подтянутую из биографии тезки-океанолога)

В общем, вполне удобная штука, если нужно быстро узнать мнение по какому-то вопросу, а самому искать, ходить по ссылкам и вычитывать странички не хочется. 🙂 На скриншотах сбор ссылок с обзорами MS Patch Tues­day и сбор громких кейсов по фишинговым атакам.

Про дипломную работу, написанную ChatGPT

Добавить комментарий

Про дипломную работу, написанную Chat­G­PT. Прочитал оригинальный тред bib­likz (ссылку давать не буду, чтобы не рекламировать). Если кто-то слышал мельком новость и думает, что Chat­G­PT сам смог выдать структурированный осмысленный текст, который хотя бы издали был похож на дипломную работу, тот ошибается. Если кто-то думает, что студент использовал Chat­G­PT для развития собственных мыслей, что это какое-то совместное творчество человека и машины, тот тоже ошибается. Все гораздо проще и гнуснее.

1. Студент несколько раз пытался сдать своему научному руководителю сгенерированный Chat­G­PT текст как план дипломной бакалаврской работы "Анализ и совершенствование управления игровой организацией", принципиально не желая написать его нормально по методичке. "И на четвертый раз ломаю научницу, она присылает план моего диплома". План ему написали.
2. Чтобы получить введение, студент вводил в Chat­G­PT план диплома целиком (!) в качестве запроса, получал какой-то бред (потому что релевантный ответ на "это" получить нельзя), а потом переводил его яндекс-переводчиком.
3. Для теоретической части студент генерил текст в Chat­G­PT на тему "5 принципов менеджмента", а потом переводил это опять же яндекс-переводчиком.
4. Практическая часть это рерайт текста из чужого дипломного проекта про мясокомбинат. 😐
5. Проверку научного руководителя полученный текст не прошел, студент приводил текст до более-менее читаемого вида вручную и с помощью Chat­G­PT. Основной критерий, на который смотрели это уникальность текста по антиплагиату.
6. Отзывы студенту написали нормальные.
7. На защите диплома студент устроил клоунаду, его выгоняли из аудиториии, но в итоге трояк поставили.

После этого студент вывалил всю эту позорную историю в паблик, подставляя научного руководителя, рецензентов, дипломную комиссию и ВУЗ в целом. Видимо за то, что те не выгнали его в шею, хотя он этого полностью заслуживал, а выдали несчастную корку. Видимо из жалости. Не знаю как вам, но по мне так это всё отвратительно от начала и до конца.

С другой стороны это наглядная демонстрация типичного адепта Chat­G­PT — человека, которому достоверность сгенеренного текста глубоко безразлична, лишь бы только этот текст доставался бесплатно в неограниченных количествах и выглядел убедительно.