Сходили сегодня семьей на "Хозяйку Медной горы". Хороший спектакль, поучительный.
1. CEO Барин дает задание сделать вазу за месяц. Project Manager Приказчик спускает сроки as is. Junior мастер Данила порывается сдать проект за день. Senior мастер Прокопьич предупреждает джуна, что это приведет к проблемам. За день не за день, но Junior сдает проект значительно раньше срока, получает у проджекта задание ещё на 2 аналогичные вазы. В итоге за месяц выдают 3 вазы. Project Manager Приказчик молодец получает поощрение. Junior мастер Данила и Senior мастер Прокопьич получают втык за затягивание сроков по предыдущим проектам, трамбовать задач в них теперь будут больше и контролировать строже.
2. На второй усложненный проект вазы выделяется "хоть 5 лет", требования подтверждены ТЗ (чертежом). В итоге проект сдают за год. Планирование конечно атас, но хоть уже без дурных попыток нафигачить и сдать всё за день. Казалось бы джун Данила становится адекватнее. Но фиг там.
3. Помимо основной работы джун Данила придумывает себе pet-project. В текущих рабочих проектах он не видит красоты, архитектура не та, "сила камня не раскрывается". Фигачит в свободное от основной работы время вазу по дурман-цветку. Senior мастер Прокопьич предостерегает от нарушения work-life balance, т.к. нечем хорошим это не кончится - либо выгоришь, либо двинешься. Тщетно. Данила окончательно слетает с катушек, буянит и отъезжает, образно выражаясь, "к хозяйке Медной горы смотреть каменный цветок".
4. К счастью, история заканчивается хэппи-эндом. Прошедший процедурки Данила возвращается к производительному труду, женится на Екатерине, выращившей его из заведения "хозяйки Медной горы". И вроде даже обходилось без значительных рецидивов. "Только нет-нет - и задумается Данило. Катя понимала, конечно, - о чем, да помалкивала".
@avleonovrus #projectmanagement #worklifebalance #дыбр #сказки #профдеформация
1. CEO Барин дает задание сделать вазу за месяц. Project Manager Приказчик спускает сроки as is. Junior мастер Данила порывается сдать проект за день. Senior мастер Прокопьич предупреждает джуна, что это приведет к проблемам. За день не за день, но Junior сдает проект значительно раньше срока, получает у проджекта задание ещё на 2 аналогичные вазы. В итоге за месяц выдают 3 вазы. Project Manager Приказчик молодец получает поощрение. Junior мастер Данила и Senior мастер Прокопьич получают втык за затягивание сроков по предыдущим проектам, трамбовать задач в них теперь будут больше и контролировать строже.
2. На второй усложненный проект вазы выделяется "хоть 5 лет", требования подтверждены ТЗ (чертежом). В итоге проект сдают за год. Планирование конечно атас, но хоть уже без дурных попыток нафигачить и сдать всё за день. Казалось бы джун Данила становится адекватнее. Но фиг там.
3. Помимо основной работы джун Данила придумывает себе pet-project. В текущих рабочих проектах он не видит красоты, архитектура не та, "сила камня не раскрывается". Фигачит в свободное от основной работы время вазу по дурман-цветку. Senior мастер Прокопьич предостерегает от нарушения work-life balance, т.к. нечем хорошим это не кончится - либо выгоришь, либо двинешься. Тщетно. Данила окончательно слетает с катушек, буянит и отъезжает, образно выражаясь, "к хозяйке Медной горы смотреть каменный цветок".
4. К счастью, история заканчивается хэппи-эндом. Прошедший процедурки Данила возвращается к производительному труду, женится на Екатерине, выращившей его из заведения "хозяйки Медной горы". И вроде даже обходилось без значительных рецидивов. "Только нет-нет - и задумается Данило. Катя понимала, конечно, - о чем, да помалкивала".
@avleonovrus #projectmanagement #worklifebalance #дыбр #сказки #профдеформация
Сходили с семейством на "Сказку о царе Салтане". Ничего так. Про проблемы с ИБ в Saltan Inc. и крайне удачливый, но и крайне мутный IT-стартап GWI Done. 🙂
1. Проблемы с ИБ в Saltan Inc. видны с самого начала. Ключевой сервис GONE.c компании подвержен критической уязвимости, позволившей злоумышленникам провести атаку "человек посередине" (MitM) и выполнить действия от имени CEO Салтанова. Процедуры подтверждения решений не было, платёжка прошла, активы ушли в "бездну вод". Инцидент замяли. Крайним выставили CTO Гвидонова, которому пришлось покинуть компанию.
2. Гвидонов запускает стартап GWI Done. Разработка PoC ведётся в режиме жёсткой экономии и по Agile:
"Ломит он у дуба сук
И в тугой сгибает лук,
Со креста снурок шелковый
Натянул на лук дубовый,
Тонку тросточку сломил,
Стрелкой легкой завострил"
Гвидонову необыкновенно везёт, он знакомится с ключевым инвестором и будущим партнёром по бизнесу, влиятельной г-жой Лебедевой. Это предрешает успех всего предприятия. После первого успешного проекта получены инвестиции, гарантирующие развитие компании на годы вперед. За счёт этих средств успешно запустили блокчейн-платформу Belka.
"Из скорлупок льют монету,
Да пускают в ход по свету;"
"Князю прибыль, белке честь"
Силовую поддержку бизнеса обеспечивают, "братья" Лебедевой под руководством Черноморова.
3. Кульминационный момент это сделка о недружественном поглощения Saltan Inc. со стороны GWI Done. Ключевую роль здесь снова сыграли проблемы с ИБ в Saltan. Успешная APT атака позволила Гвидонову и Лебедевой получить доступ ко всем переговорам внутри Saltan Inc. в реальном времени (почта, месенджеры, сервис телеконференций) и купировать все попытки противодействия ТОПов Saltan. Не брезговали даже причинением лёгкого вреда здоровью ТОПов. В итоге Гвидонов и Лебедева успешно отжимают бизнес, расходятся относительно мирно с предыдущей командой, даже номинально оставляют в компании Салтанова, и продолжают жить-поживать, да добра наживать.
Мораль: связи решают, а проблемы с ИБ могут иметь самые плачевные последствия для бизнеса. 🙂
В прошлый раз про Данилу-мастера разбирал.
@avleonovrus #сказки #профдеформация #дыбр #APT #MitM
1. Проблемы с ИБ в Saltan Inc. видны с самого начала. Ключевой сервис GONE.c компании подвержен критической уязвимости, позволившей злоумышленникам провести атаку "человек посередине" (MitM) и выполнить действия от имени CEO Салтанова. Процедуры подтверждения решений не было, платёжка прошла, активы ушли в "бездну вод". Инцидент замяли. Крайним выставили CTO Гвидонова, которому пришлось покинуть компанию.
2. Гвидонов запускает стартап GWI Done. Разработка PoC ведётся в режиме жёсткой экономии и по Agile:
"Ломит он у дуба сук
И в тугой сгибает лук,
Со креста снурок шелковый
Натянул на лук дубовый,
Тонку тросточку сломил,
Стрелкой легкой завострил"
Гвидонову необыкновенно везёт, он знакомится с ключевым инвестором и будущим партнёром по бизнесу, влиятельной г-жой Лебедевой. Это предрешает успех всего предприятия. После первого успешного проекта получены инвестиции, гарантирующие развитие компании на годы вперед. За счёт этих средств успешно запустили блокчейн-платформу Belka.
"Из скорлупок льют монету,
Да пускают в ход по свету;"
"Князю прибыль, белке честь"
Силовую поддержку бизнеса обеспечивают, "братья" Лебедевой под руководством Черноморова.
3. Кульминационный момент это сделка о недружественном поглощения Saltan Inc. со стороны GWI Done. Ключевую роль здесь снова сыграли проблемы с ИБ в Saltan. Успешная APT атака позволила Гвидонову и Лебедевой получить доступ ко всем переговорам внутри Saltan Inc. в реальном времени (почта, месенджеры, сервис телеконференций) и купировать все попытки противодействия ТОПов Saltan. Не брезговали даже причинением лёгкого вреда здоровью ТОПов. В итоге Гвидонов и Лебедева успешно отжимают бизнес, расходятся относительно мирно с предыдущей командой, даже номинально оставляют в компании Салтанова, и продолжают жить-поживать, да добра наживать.
Мораль: связи решают, а проблемы с ИБ могут иметь самые плачевные последствия для бизнеса. 🙂
В прошлый раз про Данилу-мастера разбирал.
@avleonovrus #сказки #профдеформация #дыбр #APT #MitM
Вынужденно смотрю много детских мультов, в частности "Маленькое королевство Бена и Холли". Понравилась одна серия про принятие риска ТОПом. Распространенный финт в Управлении Уязвимостями и в ИБ вообще. Посмотрите, всего 10 минут.
Серия называется Банти 2. Сюжет следующий. Мистер Эльф строит лодку Банти 2. Почему 2? Потому что первую лодку Банти съела рыба Большой-злой-Барри. Лодка идеально подходит для круиза по тропическим морям. Но как защитить её от Большого-злого-Барри? У Мистера Эльфа есть решение - "Банти 2 никогда не спустится на воду".
Защищаем уязвимый актив через ограничение (сетевого) доступа. Как это часто бывает с компенсационными мерами, выглядит это довольно по-дурацки, но задачу решает. 🙂 Почему не рассмотрели внедрение средств обнаружения и защиты история умалчивает. Можно предположить, что на это не было бюджета. Поэтому вот так.
Король Чертополох заявляет, что это нелепо и у него есть идея. Он заявляет Мистеру Эльфу:
- Как король я приказываю тебе спустить Банти 2 на воду и отправиться в тропический круиз.
- Но как же Большой-злой-Барри?
- Не бойся, если Барри съест Банти 2 я возьму ответственность на себя
- Что это значит?
- Будешь винить во всем меня
- Но, но...
- Чудно, тогда решено, мы едем в отпуск!
- Лаадно...
Т.е. ТОП пушит принятие решения по небезопасной эксплуатации актива, владельцем которого он не является. Владелец актива прогибается, при этом у него на руках нет ничего кроме расплывчатой устной договоренности.
Далее Банти 2 успешно уплывает от Большого-злого-Барри, но в итоге её съедает Гигантский Осьминог. Происходит диалог:
- Ааа! Моя лодка съедена, я же говорил вам!
- Нет, ты говорил, что её съест Большой-злой-Барри, но её съел Гигантский Осьминог.
- Это катастрофа...
- Не волнуйся, я обещал взять ответственность на себя и я возьму.
- И?
- И всё, я взял ответственность на себя.
Ущерб нанесен, никакого возмещения с ТОПа истребовать теперь невозможно. Крайним оказывается владелец актива. Чтобы было совсем по классике по итогам должно быть что-то от ТОПа: "Когда я говорил, что принимаю риск, я не понимал всей опасности, ведь не я же профессионал в этом, а вы! Это ваш актив! Зачем вы меня слушали? Это ваша вина!" Крыть такое особенно нечем. 🙂
Мораль для реальной жизни?
1. Не ведитесь на "я принимаю риск", "ответственность на мне".
2. Моделируйте что будет в случае реализации риска. Возможный ущерб лучше переводить в деньги.
3. Аккуратно фиксируйте договоренности, слова к делу не пришьешь. Предложение написать заявление по собственному с открытой датой на случай реализации риска обычно заставляет человека задуматься, а стоит ли упорствовать.
4. Подумайте что вы будете делать, если завтра этот ТОП сам уволится, а наследовать этот риск никто не захочет, не окажитесь ли вы при этом крайним.
5. Информируйте о происходящем CEO/Board. Возможно они вообще не в курсе и их точка зрения будет гораздо ближе к вашей, чем вы думаете.
6. Старайтесь не работать с чудаками.
@avleonovrus #сказки #профдеформация #дыбр #БенИХолли
Серия называется Банти 2. Сюжет следующий. Мистер Эльф строит лодку Банти 2. Почему 2? Потому что первую лодку Банти съела рыба Большой-злой-Барри. Лодка идеально подходит для круиза по тропическим морям. Но как защитить её от Большого-злого-Барри? У Мистера Эльфа есть решение - "Банти 2 никогда не спустится на воду".
Защищаем уязвимый актив через ограничение (сетевого) доступа. Как это часто бывает с компенсационными мерами, выглядит это довольно по-дурацки, но задачу решает. 🙂 Почему не рассмотрели внедрение средств обнаружения и защиты история умалчивает. Можно предположить, что на это не было бюджета. Поэтому вот так.
Король Чертополох заявляет, что это нелепо и у него есть идея. Он заявляет Мистеру Эльфу:
- Как король я приказываю тебе спустить Банти 2 на воду и отправиться в тропический круиз.
- Но как же Большой-злой-Барри?
- Не бойся, если Барри съест Банти 2 я возьму ответственность на себя
- Что это значит?
- Будешь винить во всем меня
- Но, но...
- Чудно, тогда решено, мы едем в отпуск!
- Лаадно...
Т.е. ТОП пушит принятие решения по небезопасной эксплуатации актива, владельцем которого он не является. Владелец актива прогибается, при этом у него на руках нет ничего кроме расплывчатой устной договоренности.
Далее Банти 2 успешно уплывает от Большого-злого-Барри, но в итоге её съедает Гигантский Осьминог. Происходит диалог:
- Ааа! Моя лодка съедена, я же говорил вам!
- Нет, ты говорил, что её съест Большой-злой-Барри, но её съел Гигантский Осьминог.
- Это катастрофа...
- Не волнуйся, я обещал взять ответственность на себя и я возьму.
- И?
- И всё, я взял ответственность на себя.
Ущерб нанесен, никакого возмещения с ТОПа истребовать теперь невозможно. Крайним оказывается владелец актива. Чтобы было совсем по классике по итогам должно быть что-то от ТОПа: "Когда я говорил, что принимаю риск, я не понимал всей опасности, ведь не я же профессионал в этом, а вы! Это ваш актив! Зачем вы меня слушали? Это ваша вина!" Крыть такое особенно нечем. 🙂
Мораль для реальной жизни?
1. Не ведитесь на "я принимаю риск", "ответственность на мне".
2. Моделируйте что будет в случае реализации риска. Возможный ущерб лучше переводить в деньги.
3. Аккуратно фиксируйте договоренности, слова к делу не пришьешь. Предложение написать заявление по собственному с открытой датой на случай реализации риска обычно заставляет человека задуматься, а стоит ли упорствовать.
4. Подумайте что вы будете делать, если завтра этот ТОП сам уволится, а наследовать этот риск никто не захочет, не окажитесь ли вы при этом крайним.
5. Информируйте о происходящем CEO/Board. Возможно они вообще не в курсе и их точка зрения будет гораздо ближе к вашей, чем вы думаете.
6. Старайтесь не работать с чудаками.
@avleonovrus #сказки #профдеформация #дыбр #БенИХолли
Сходили сегодня на "Сказки старого фонаря" в театр А-Я. Музыкальный спектакль по мотивам сказок Г. Х. Андерсена «Принцесса и свинопас», «Оловянный солдатик, «Снежная королева» и «Старый уличный фонарь». Очень понравилось. Особенно сцена собеседования фонарщиков в начале, т.к. собеседования ИБшников напомнило. 🙂
Было 2 кандидата. Один из них заявил примерно следующее:
"Я из семьи уважаемых стекольщиков, разбираюсь во всем, что связано со светом. В школе учился на все пятерки. Вот мой аттестат, дипломы и рекомендации. Обязуюсь аккуратно исполнять свои обязанности и вовремя зажигать и тушить фонари".
Второй заявил:
"Мне нечего сказать кроме того, что я с детства хотел зажигать и гасить фонари, потому что это красиво и нужно всем людям. Обещаю, что буду стараться... А если вы не возьмёте меня, то я уйду из города и подамся в разбойники или пираты".
Взяли второго. Почему? Да фиг его знает.
Собеседование это во многом лотерея и никогда не угадаешь что в голове у собеседующего происходит и на что он в первую очередь смотрит. 🙂 Но упомянуть к какому делу у тебя страсть тоже никогда лишним не будет.
А потом по прошествии времени тот парень, которого не взяли фонарщиком, дорос до бургомистра города и устроил всем веселенькую жизнь (особенно тем, на кого был обижен).
И это тоже напоминание о том, что собеседование надо проводить корректно, уважительно, а не оттягиваться на кандидатах. Мир тесен (особенно ИБшный) и никогда не знаешь как у кого сложится и при каких обстоятельствах может жизнь дальше свести. Роли вполне могут поменяться на противоположные, тогда будет неприятно и некрасиво. 🙂
@avleonovrus #собеседования #сказки #дыбр #профдеформация
Было 2 кандидата. Один из них заявил примерно следующее:
"Я из семьи уважаемых стекольщиков, разбираюсь во всем, что связано со светом. В школе учился на все пятерки. Вот мой аттестат, дипломы и рекомендации. Обязуюсь аккуратно исполнять свои обязанности и вовремя зажигать и тушить фонари".
Второй заявил:
"Мне нечего сказать кроме того, что я с детства хотел зажигать и гасить фонари, потому что это красиво и нужно всем людям. Обещаю, что буду стараться... А если вы не возьмёте меня, то я уйду из города и подамся в разбойники или пираты".
Взяли второго. Почему? Да фиг его знает.
Собеседование это во многом лотерея и никогда не угадаешь что в голове у собеседующего происходит и на что он в первую очередь смотрит. 🙂 Но упомянуть к какому делу у тебя страсть тоже никогда лишним не будет.
А потом по прошествии времени тот парень, которого не взяли фонарщиком, дорос до бургомистра города и устроил всем веселенькую жизнь (особенно тем, на кого был обижен).
И это тоже напоминание о том, что собеседование надо проводить корректно, уважительно, а не оттягиваться на кандидатах. Мир тесен (особенно ИБшный) и никогда не знаешь как у кого сложится и при каких обстоятельствах может жизнь дальше свести. Роли вполне могут поменяться на противоположные, тогда будет неприятно и некрасиво. 🙂
@avleonovrus #собеседования #сказки #дыбр #профдеформация
Ходили сегодня с семейством в театр на "Аленький Цветочек". Что-то я в детстве не обращал внимание как купец рассуждает о том, что гостинцы дочерям достать будет непросто. Вот про "золотой венец":
"— Хорошо, дочь моя милая, хорошая и пригожая, привезу я тебе таковой венец; знаю я за морем такого человека, который достанет мне таковой венец; а и есть он у одной королевишны заморской, а и спрятан он в кладовой каменной, а и стоит та кладовая в каменной горе, глубиной на три сажени, за тремя дверьми железными, за тремя замками немецкими. Работа будет немалая: да для моей казны супротивного нет."
Со вторым подарком аналогично, только замков больше и с вооруженной охраной. 🤨
Так и хочется спросить: дядь, а ты точно купец? 😏 Кажется тех, кто занимается такой "работой", называют как-то иначе.
@avleonovrus #сказки #дыбр #профдеформация
"— Хорошо, дочь моя милая, хорошая и пригожая, привезу я тебе таковой венец; знаю я за морем такого человека, который достанет мне таковой венец; а и есть он у одной королевишны заморской, а и спрятан он в кладовой каменной, а и стоит та кладовая в каменной горе, глубиной на три сажени, за тремя дверьми железными, за тремя замками немецкими. Работа будет немалая: да для моей казны супротивного нет."
Со вторым подарком аналогично, только замков больше и с вооруженной охраной. 🤨
Так и хочется спросить: дядь, а ты точно купец? 😏 Кажется тех, кто занимается такой "работой", называют как-то иначе.
@avleonovrus #сказки #дыбр #профдеформация
"Аленький цветочек" и приоритизация уязвимостей в условиях неполной информации. Когда нашего сомнительного купца просят привести цветочек "краше не было на белом свете" он отвечает ровно так, как стоило бы отвечать Vulnerability Management специалисту на просьбу найти самую критичную уязвимость в инфраструктуре:
"— Ну, задала ты мне работу потяжеле сестриных: коли знаешь, что искать, то как не сыскать, а как найти то, чего сам не знаешь? Аленький цветочек не хитро найти, да как же узнать мне, что краше его нет на белом свете? Буду стараться, а на гостинце не взыщи."
Какую-то критичную уязвимость выделим, а вот гарантировать, что эта уязвимость будет наиболее критичной из существующих - тут извините. Способы детектирования и наши знания о характеристиках уязвимостей существенно ограничены. Не взыщите. И занимайтесь лучше безусловным патчингом. 😉
@avleonovrus #сказки #дыбр #профдеформация
"— Ну, задала ты мне работу потяжеле сестриных: коли знаешь, что искать, то как не сыскать, а как найти то, чего сам не знаешь? Аленький цветочек не хитро найти, да как же узнать мне, что краше его нет на белом свете? Буду стараться, а на гостинце не взыщи."
Какую-то критичную уязвимость выделим, а вот гарантировать, что эта уязвимость будет наиболее критичной из существующих - тут извините. Способы детектирования и наши знания о характеристиках уязвимостей существенно ограничены. Не взыщите. И занимайтесь лучше безусловным патчингом. 😉
@avleonovrus #сказки #дыбр #профдеформация
ИБшники радостно перекидывают друг другу pdf-ку с новогодним поздравлением якобы от НКЦКИ, оформленным под бюллетень безопасности. Хотя на safe-surf такого бюллетеня с поздравлением нет. 🧐 Не буду утверждать, что конкретно эта pdf-ка зловредная. Но выглядит как идеальная тема для атаки на российских ИБшников, пока они на расслабоне. ИБшник, бди!
Upd. По поводу данного конкретного кейса пишут, что pdf-ка прилетела в почтовой рассылке с правильного адреса, а safe-surf выкладывает всё с задержкой. 😉 Так что панику не разводим, но как возможный сценарий атаки учитываем.
@avleonovrus #pdf #профдеформация #зануда #ny2024 #НКЦКИ
Upd. По поводу данного конкретного кейса пишут, что pdf-ка прилетела в почтовой рассылке с правильного адреса, а safe-surf выкладывает всё с задержкой. 😉 Так что панику не разводим, но как возможный сценарий атаки учитываем.
@avleonovrus #pdf #профдеформация #зануда #ny2024 #НКЦКИ
Колядка про Vulnerability Management "Пропатчите уязвимость". 🙂 Наигрывал сегодня разные новогодние и рождественские песенки, и мне пришла в голову идея, что "We Wish You a Merry Christmas" с требованием инжирного пудинга отличное описывает процесс пушинга исправления критичных уязвимостей.
Что, в общем, и накидал по-быстрому. Подозреваю, что это первая песня, которая упоминает "НКЦКИ". 😅
Поздравляю всех с наступающим Новым 2024 Годом! Всем здоровья, счастья и интересных задачек! Ура! 🎄🎉
@avleonovrus #профдеформация #fun #Music #Ukulele #ChristmasCarol #ny2024 #VMprocess #ФСТЭК #НКЦКИ
Что, в общем, и накидал по-быстрому. Подозреваю, что это первая песня, которая упоминает "НКЦКИ". 😅
Поздравляю всех с наступающим Новым 2024 Годом! Всем здоровья, счастья и интересных задачек! Ура! 🎄🎉
@avleonovrus #профдеформация #fun #Music #Ukulele #ChristmasCarol #ny2024 #VMprocess #ФСТЭК #НКЦКИ
YouTube
Александр Леонов - Пропатчите уязвимость
Пропатчите уязвимость,
Пропатчите уязвимость,
Пропатчите уязвимость,
А не то быть беде!
Мы новость несём,
Вкратце о том:
На периметре RCEшка
Для неё PoC на GitHub!
Поставьте же вы апдейты,
Поставьте же вы апдейты,
Накатите уже апдейты,
И ребутните хост!…
Пропатчите уязвимость,
Пропатчите уязвимость,
А не то быть беде!
Мы новость несём,
Вкратце о том:
На периметре RCEшка
Для неё PoC на GitHub!
Поставьте же вы апдейты,
Поставьте же вы апдейты,
Накатите уже апдейты,
И ребутните хост!…
Три богатыря и Bug Bounty. Сходили в кино на анимационный фильм "Три богатыря. Ни дня без подвига". Три короткие истории. Первая, думаю, ИБшникам зайдёт. 😉
Князь с подачи коня Юлия внедряет во дворце систему безопасности и объявляет багбаунти программу для выявления уязвимостей в ней: кто проникнет во дворец и выполнит реализацию недопустимого события (кражу короны), тот получит 100 сладких пряников.
В результате недопустимое событие реализуют, но за наградой никто не обращается. 😱🫣
Пришлось Алёше Поповичу проводить ресёрч как же злоумышленнику получилось обойти средства защиты. 😏
В итоге оказалось, что был реализован совсем не тот вектор, от которого защищались. 🤷♂️ Как это и бывает.
Мораль? 🙂 Тщательнее оговаривайте условия Bug Bounty программы. Она не обязательно должна быть публичной, зачастую приватная программа с ограниченным количеством проверенных участников (или даже обычный пентест) получается эффективнее и безопаснее. 😉
@avleonovrus #профдеформация #fun #BugBounty #pentest #мульт #дыбр
Князь с подачи коня Юлия внедряет во дворце систему безопасности и объявляет багбаунти программу для выявления уязвимостей в ней: кто проникнет во дворец и выполнит реализацию недопустимого события (кражу короны), тот получит 100 сладких пряников.
В результате недопустимое событие реализуют, но за наградой никто не обращается. 😱🫣
Пришлось Алёше Поповичу проводить ресёрч как же злоумышленнику получилось обойти средства защиты. 😏
В итоге оказалось, что был реализован совсем не тот вектор, от которого защищались. 🤷♂️ Как это и бывает.
Мораль? 🙂 Тщательнее оговаривайте условия Bug Bounty программы. Она не обязательно должна быть публичной, зачастую приватная программа с ограниченным количеством проверенных участников (или даже обычный пентест) получается эффективнее и безопаснее. 😉
@avleonovrus #профдеформация #fun #BugBounty #pentest #мульт #дыбр
Сидим в кафе за столиком с прикольным видом на рыбок. Смотрю на них и думаю: вот и в Vulnerability Management-е также. Масса мелких уязвимостей-рыбёшек. Ты с ними возишься, исправляешь по мере сил. А потом в произвольный момент флегматично из-за поворота выплывает супер-мега-критикал акула. 😱 Только в VM-е прикольнее, т.к. маленькая рыбка мгновенно в акулу не превратится, а с уязвимостями такое сплошь и рядом случается. 😏
Есть бородатый анекдот, когда студентам разных специальностей показывают кирпич и спрашивают о чём каждый из них в этот момент думает. Архитектор о том, какой дом можно построить из таких кирпичей, математик о свойствах параллелепипеда и т.д. А курсант военного ВУЗа думает о женщинах. Почему? А он всегда о них думает. 🤷♂️😉
@avleonovrus #дыбр #профдеформация #fun
Есть бородатый анекдот, когда студентам разных специальностей показывают кирпич и спрашивают о чём каждый из них в этот момент думает. Архитектор о том, какой дом можно построить из таких кирпичей, математик о свойствах параллелепипеда и т.д. А курсант военного ВУЗа думает о женщинах. Почему? А он всегда о них думает. 🤷♂️😉
@avleonovrus #дыбр #профдеформация #fun
Мастер-класс по росписи ёлочных игрушек прошёл успешно. 👍 Сказали, что можно рисовать всё что угодно. 😏 Нарисовал Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086). 😅
@avleonovrus #дыбр #профдеформация #fun #nftables #Linux #EoP #LPE #MakeMeRoot #DirtyPagedirectory
@avleonovrus #дыбр #профдеформация #fun #nftables #Linux #EoP #LPE #MakeMeRoot #DirtyPagedirectory
Русалочка и неудачная закупка VM-решения. Ходили вчера в театр на Русалочку. По интерпретации, мягко говоря, не Дисней. 🫣 Действо максимально приближено к оригинальному тексту Андерсена. Ну, не без режиссёрских находок, конечно. Ведьма почему-то везде ходит с раком-отшельником (в прошлом тоже принцем 🤨) и делится с ним подробностями своих злодейских гешефтов. А он на это только офигивает и жалобно мычит. Жутковатая фигня. В остальном же всё близко к тексту. Финал трагический. 🤷♂️
Так вот, смотрел я эту постановку и думал, что Русалочка там похожа на VM-щика, который крайне неудачно закупил решение у VM-вендора (ведьмы). Спешил, повёлся на маркетинг. В итоге приобрёл пепяку, которой нестерпимо больно пользоваться. А функциональности её недостаточно для решения бизнес-задач. Ещё и вынужден помалкивать - бюджет-то слил и получается сам дурак, что недостаточно тестил решение перед закупкой. Приходится теперь превозмогать и плясать на том, что есть. 🕺
@avleonovrus #дыбр #VMprocess #профдеформация #сказки
Так вот, смотрел я эту постановку и думал, что Русалочка там похожа на VM-щика, который крайне неудачно закупил решение у VM-вендора (ведьмы). Спешил, повёлся на маркетинг. В итоге приобрёл пепяку, которой нестерпимо больно пользоваться. А функциональности её недостаточно для решения бизнес-задач. Ещё и вынужден помалкивать - бюджет-то слил и получается сам дурак, что недостаточно тестил решение перед закупкой. Приходится теперь превозмогать и плясать на том, что есть. 🕺
@avleonovrus #дыбр #VMprocess #профдеформация #сказки
Малышарики и Управление Уязвимостями на опенсурсе. Ходили вчера в кино на "Малышарики. День рождения". Прикольный милый фильм про родительство. По сюжету Хабенский покупает на день рождения дочки набор игрушек малышариков, приносит их в квартиру. Ожившие игрушки вылезают из коробки и путешествуют по квартире в поисках домика. С перерывами на песенки типа "у кота 4 лапы и усы как у Френка Заппы". 😅
Они забираются на стол и видят праздничный торт. Рассудив, что "крыша есть, стены есть, похоже на домик", они начинают дербанить несчастный десерт с помощью "палки-прорубалки". Через некоторое время им приходит озарение: "стойте, это же не домик, это торт". 😲😏🤷♂️
Частенько наблюдал в организациях похожие порывы замутить VM-решение на основе бесплатного опенсурсного проекта. С таким же результатом. Потратив кучу времени и сил на допиливание, инициаторы признавали, что довести ЭТО до юзабельного состояния невозможно и лучше выбить бюджет на коммерческое решение. 🙃
@avleonovrus #VMprocess #профдеформация #дыбр
Они забираются на стол и видят праздничный торт. Рассудив, что "крыша есть, стены есть, похоже на домик", они начинают дербанить несчастный десерт с помощью "палки-прорубалки". Через некоторое время им приходит озарение: "стойте, это же не домик, это торт". 😲😏🤷♂️
Частенько наблюдал в организациях похожие порывы замутить VM-решение на основе бесплатного опенсурсного проекта. С таким же результатом. Потратив кучу времени и сил на допиливание, инициаторы признавали, что довести ЭТО до юзабельного состояния невозможно и лучше выбить бюджет на коммерческое решение. 🙃
@avleonovrus #VMprocess #профдеформация #дыбр