На сайте ФСТЭК выложили финальную версию "Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации". Что изменилось по сравнению с драфтом в части Управления Уязвимостями?
🔻 Поправили опечатку "их сети Интернет".
🔻 В обоих пунктах появилась приписка "или в отношении таких уязвимостей реализованы компенсирующие меры".
Понятно почему появилась приписка про компенсирующие меры - не всегда уязвимости можно исправить обновлением. Но есть опасность, что этим будут злоупотреблять, т.к. не указано какие меры можно считать компенсирующими. Возможно толкование, что компенсирующие меры могут выбираться произвольно. В духе "на десктопе есть EDR, значит все уязвимости на нём скомпенсированы". 🤪 Но даже если меры будут браться строго от вендора или из БДУ непонятно как контролировать, то что они были корректно применены, а главное, что эти меры действительно препятствуют эксплуатации уязвимости. На практике это будет выглядеть так: сканер детектирует уязвимости, а IT/ИБ с покерфейсом говорят "а у нас всё скомпенсировано". 😐 Так что моё мнение - без приписки было лучше, не нужно было создавать такую лазейку.
Также остался вопрос с "датой публикации обновления (компенсирующих мер по устранению)". Такой даты нет в БДУ (равно как и в других базах уязвимостей). Непонятно откуда её массово забирать, чтобы автоматически отслеживать, что организация укладывается в сроки. Вряд ли источник с датами появится, так что видимо на практике в VM-решениях будут использовать какую-то другую дату (например дату заведения уязвимости). А в случае инцидента это будет повод для лишних разбирательств. Имхо, зря это сразу не прояснили.
На эту же тему может быть интересная ситуация: допустим выходит обновление в котором вендор втихую исправляет уязвимость критического уровня опасности. А о существовании этой уязвимости становится известно, допустим, через полгода. В момент публикации данных об этой уязвимости у организации сразу получается просрочка. 🤷♂️ Просто потому, что используется дата, привязанная к обновлению, а не к уязвимости. Надумана ли такая ситуация? Да нет, "silent patches" проблема достаточно распространенная.
В этом, правда, есть и позитивный момент. Чтобы не попасть в такую ситуацию организации придётся выстраивать Patch Management процесс независящий от уязвимостей. И с неплохими требованиями регулярности обновлений: 30 дней для хостов на периметре, 90 дней для десктопов и серверов. 😏
PS: Также pdf-документ выпустили как-то странно, так что по нему не работает поиск. По odt-документу поиск работает нормально.
@avleonovrus #ФСТЭК #FSTEC #КИИ
🔻 Поправили опечатку "их сети Интернет".
🔻 В обоих пунктах появилась приписка "или в отношении таких уязвимостей реализованы компенсирующие меры".
Понятно почему появилась приписка про компенсирующие меры - не всегда уязвимости можно исправить обновлением. Но есть опасность, что этим будут злоупотреблять, т.к. не указано какие меры можно считать компенсирующими. Возможно толкование, что компенсирующие меры могут выбираться произвольно. В духе "на десктопе есть EDR, значит все уязвимости на нём скомпенсированы". 🤪 Но даже если меры будут браться строго от вендора или из БДУ непонятно как контролировать, то что они были корректно применены, а главное, что эти меры действительно препятствуют эксплуатации уязвимости. На практике это будет выглядеть так: сканер детектирует уязвимости, а IT/ИБ с покерфейсом говорят "а у нас всё скомпенсировано". 😐 Так что моё мнение - без приписки было лучше, не нужно было создавать такую лазейку.
Также остался вопрос с "датой публикации обновления (компенсирующих мер по устранению)". Такой даты нет в БДУ (равно как и в других базах уязвимостей). Непонятно откуда её массово забирать, чтобы автоматически отслеживать, что организация укладывается в сроки. Вряд ли источник с датами появится, так что видимо на практике в VM-решениях будут использовать какую-то другую дату (например дату заведения уязвимости). А в случае инцидента это будет повод для лишних разбирательств. Имхо, зря это сразу не прояснили.
На эту же тему может быть интересная ситуация: допустим выходит обновление в котором вендор втихую исправляет уязвимость критического уровня опасности. А о существовании этой уязвимости становится известно, допустим, через полгода. В момент публикации данных об этой уязвимости у организации сразу получается просрочка. 🤷♂️ Просто потому, что используется дата, привязанная к обновлению, а не к уязвимости. Надумана ли такая ситуация? Да нет, "silent patches" проблема достаточно распространенная.
В этом, правда, есть и позитивный момент. Чтобы не попасть в такую ситуацию организации придётся выстраивать Patch Management процесс независящий от уязвимостей. И с неплохими требованиями регулярности обновлений: 30 дней для хостов на периметре, 90 дней для десктопов и серверов. 😏
PS: Также pdf-документ выпустили как-то странно, так что по нему не работает поиск. По odt-документу поиск работает нормально.
@avleonovrus #ФСТЭК #FSTEC #КИИ
Зарелизили материалы по апрельским трендовым уязвимостям. Всего выделили 5 уязвимостей.
🔻 Удалённое выполнение команд в устройствах PaloAlto (CVE-2024-3400) [Горячий пятничный привет]
🔻 4 уязвимости Microsoft Windows (CVE-2022-38028, CVE-2023-35628, CVE-2024-29988, CVE-2024-26234)
🗣 Моя статья на Хабре по мотивам постов из канала
🚀 Дайджест на сайте PT (коротко и по делу)
🟥 Пост в канале PT
🎞 Рубрика "В тренде VM" в ролике SecLab-а выйдет в понедельник 🙂 Upd. Выложили.
@avleonovrus #PositiveTechnologies #PaloAlto #Microsoft #втрендеVM #TrendVulns
🔻 Удалённое выполнение команд в устройствах PaloAlto (CVE-2024-3400) [Горячий пятничный привет]
🔻 4 уязвимости Microsoft Windows (CVE-2022-38028, CVE-2023-35628, CVE-2024-29988, CVE-2024-26234)
🗣 Моя статья на Хабре по мотивам постов из канала
🚀 Дайджест на сайте PT (коротко и по делу)
🟥 Пост в канале PT
🎞 Рубрика "В тренде VM" в ролике SecLab-а выйдет в понедельник 🙂 Upd. Выложили.
@avleonovrus #PositiveTechnologies #PaloAlto #Microsoft #втрендеVM #TrendVulns
С Днём Победы! 09.05.1945
Через 2 дня после начала войны в газете Известия было опубликовано стихотворение Евгения Долматовского "Будем крушить разбойничью рать!". Я попробовал превратить его в песню с помощью сервиса Suno. Получилось, конечно, не без огрех, особенно в части ударений и произношения (к сожалению, это пока слабо настраивается). Но по общему настроению, как мне кажется, получилось неплохо.
Нашему солнцу сиять всегда! С праздником!
В самую короткую ночь в году
— Час этот в памяти заучи —
Коршун напал на нашу звезду,
Когти обжёг об ее лучи.
Будем крушить разбойничью рать
Бомбой, пулей, снарядом, штыком.
Чтоб коршуну перьев своих не собрать,
Чтоб пепел взлетел над его гнездом.
С той ночи на убыль пойдёт его день,
А нашему солнцу сиять всегда.
Нет, не затмит зловещая тень
Наши родимые города.
Дорогой отечественной войны
Лавиной идём на чёрный фашизм.
Дни врага уже сочтены,
Смертью его будет наша жизнь.
Страница той самой газеты, где было опубликовано стихотворение.
На фотографии пехотинцы из состава сводной колонны 248-й стрелковой дивизии 9-го стрелкового корпуса 5-й ударной гвардейской армии по пути к месту берлинского Парада Победы 7 сентября 1945 года.
@avleonovrus #ДеньПобеды
Через 2 дня после начала войны в газете Известия было опубликовано стихотворение Евгения Долматовского "Будем крушить разбойничью рать!". Я попробовал превратить его в песню с помощью сервиса Suno. Получилось, конечно, не без огрех, особенно в части ударений и произношения (к сожалению, это пока слабо настраивается). Но по общему настроению, как мне кажется, получилось неплохо.
Нашему солнцу сиять всегда! С праздником!
В самую короткую ночь в году
— Час этот в памяти заучи —
Коршун напал на нашу звезду,
Когти обжёг об ее лучи.
Будем крушить разбойничью рать
Бомбой, пулей, снарядом, штыком.
Чтоб коршуну перьев своих не собрать,
Чтоб пепел взлетел над его гнездом.
С той ночи на убыль пойдёт его день,
А нашему солнцу сиять всегда.
Нет, не затмит зловещая тень
Наши родимые города.
Дорогой отечественной войны
Лавиной идём на чёрный фашизм.
Дни врага уже сочтены,
Смертью его будет наша жизнь.
Страница той самой газеты, где было опубликовано стихотворение.
На фотографии пехотинцы из состава сводной колонны 248-й стрелковой дивизии 9-го стрелкового корпуса 5-й ударной гвардейской армии по пути к месту берлинского Парада Победы 7 сентября 1945 года.
@avleonovrus #ДеньПобеды
YouTube
Нашему солнцу сиять всегда! (на стихи Е. А. Долматовского)
В самую короткую ночь в году
— Час этот в памяти заучи —
Коршун напал на нашу звезду,
Когти обжег об ее лучи.
Будем крушить разбойничью рать
Бомбой, пулей, снарядом, штыком,
Чтоб коршуну перьев своих не собрать,
Чтоб пепел взлетел над его гнездом.
С той…
— Час этот в памяти заучи —
Коршун напал на нашу звезду,
Когти обжег об ее лучи.
Будем крушить разбойничью рать
Бомбой, пулей, снарядом, штыком,
Чтоб коршуну перьев своих не собрать,
Чтоб пепел взлетел над его гнездом.
С той…
В новостях разгоняют про новую уязвимость в Chromium (CVE-2024-4671). Насколько я понимаю, в основном из-за строчки в бюллетене безопасности, в котором Google пишут, что им известно о существовании эксплоита для этой уязвимости ("exists in the wild"). Из этого делают вывод, что раз эксплоит есть, то видимо и уязвимость в атаках используется. Имхо, лучше всё же подождать подтвержденных инцидентов или попыток эксплуатации.
Тип уязвимости "use after free". Уязвимость нашли в компоненте Visuals, который отвечает за рендеринг и отображение контента. То, что уязвимость может приводить к RCE вендор НЕ сообщает, но CIS и Hive Pro утверждают, что это возможно. 🤷♂️
Обновления для Chromium/Chrome:
🔹 124.0.6367.201/.202 (Mac/Windows)
🔹 124.0.6367.201 (Linux)
Также стоит ждать обновлений для всех Chromium-based браузеров: Microsoft Edge, Vivaldi, Brave, Opera, Yandex Browser и т.д. И лучше ставить в настройках галку автообновления (если вы доверяете вендору).
@avleonovrus #Chrome #Chromium
Тип уязвимости "use after free". Уязвимость нашли в компоненте Visuals, который отвечает за рендеринг и отображение контента. То, что уязвимость может приводить к RCE вендор НЕ сообщает, но CIS и Hive Pro утверждают, что это возможно. 🤷♂️
Обновления для Chromium/Chrome:
🔹 124.0.6367.201/.202 (Mac/Windows)
🔹 124.0.6367.201 (Linux)
Также стоит ждать обновлений для всех Chromium-based браузеров: Microsoft Edge, Vivaldi, Brave, Opera, Yandex Browser и т.д. И лучше ставить в настройках галку автообновления (если вы доверяете вендору).
@avleonovrus #Chrome #Chromium
Вчера на меня в VK старгетировалась видео-реклама обучающих курсов по профессии "Белый Хакер". Раньше не обращал внимание на то, как это сейчас подают. 🫣 Напомнило монолог из ДМБ:
"...Перед дембелем лежат все мечты! Потому что любят его очень — и здесь, и там. В пожарные берут, и в милицию. Там курорты от профсоюза, бесплатный проезд на автобусе." И барышни по нему плачут. 🙂
Т.е. в основном про то, что такие спецы деньги гребут, их везде с руками отрывают, а вкатиться может буквально каждый. Никакой начальной подготовки не требуется. Нужно только пройти годовые курсы за 4-5 млн. рублей. 😎
Честно говоря, отвратительно и на грани разводилова. Не сложно представить фрустрацию людей, которые это пройдут и окажется, что в оффенсиве совсем не так радужно, для востребованности требуется колоссальный уровень экспертизы, который нужно поддерживать.
Это не халява и точно не для всех!
Наверняка часть таких обученных по верхам попробует блечить и сядет. 🤷♂️🙁
@avleonovrus #education #offensive
"...Перед дембелем лежат все мечты! Потому что любят его очень — и здесь, и там. В пожарные берут, и в милицию. Там курорты от профсоюза, бесплатный проезд на автобусе." И барышни по нему плачут. 🙂
Т.е. в основном про то, что такие спецы деньги гребут, их везде с руками отрывают, а вкатиться может буквально каждый. Никакой начальной подготовки не требуется. Нужно только пройти годовые курсы за 4-5 млн. рублей. 😎
Честно говоря, отвратительно и на грани разводилова. Не сложно представить фрустрацию людей, которые это пройдут и окажется, что в оффенсиве совсем не так радужно, для востребованности требуется колоссальный уровень экспертизы, который нужно поддерживать.
Это не халява и точно не для всех!
Наверняка часть таких обученных по верхам попробует блечить и сядет. 🤷♂️🙁
@avleonovrus #education #offensive
И пожарные сдают OSCP (Offensive Security Certified Professional). В продолжение темы про курсы по оффенсиву. Мне в личку написали, что реклама вполне правдивая: в оффенсиве большой спрос, много денег и достаточно несложный вход.
Но вот вопрос: а для кого?
Для студента ИБшника или ITшника вход может быть и правда достаточно прост. Но меня вымораживает, когда организаторы курсов пишут, что специальных знаний не требуется. 😱 Можно ли рандомного слесаря за год довести до нанимаемого пентестера? Имхо, сомнительно.
А как быть с историями, когда повара и пожарные сдают сложные практические экзамены по ИБ? Нужно смотреть детали. Например, у пожарного на иллюстрации 7 лет технического образования, диплом "Electrics and softwares engineering" и вся лента в постах про задания Hack The Box. 😉 Не похож на рандомного товарища, прошедшего курсы в погоне за длинным рублём, правда?
Имхо, даже если сам курс неплох, обманывать людей в маркетинге это отвратительно и непрофессионально.
@avleonovrus #education #offensive
Но вот вопрос: а для кого?
Для студента ИБшника или ITшника вход может быть и правда достаточно прост. Но меня вымораживает, когда организаторы курсов пишут, что специальных знаний не требуется. 😱 Можно ли рандомного слесаря за год довести до нанимаемого пентестера? Имхо, сомнительно.
А как быть с историями, когда повара и пожарные сдают сложные практические экзамены по ИБ? Нужно смотреть детали. Например, у пожарного на иллюстрации 7 лет технического образования, диплом "Electrics and softwares engineering" и вся лента в постах про задания Hack The Box. 😉 Не похож на рандомного товарища, прошедшего курсы в погоне за длинным рублём, правда?
Имхо, даже если сам курс неплох, обманывать людей в маркетинге это отвратительно и непрофессионально.
@avleonovrus #education #offensive
Про AI, музыку и клонирование творческой манеры. Открыл для себя ещё один AI сервис для генерации музыки по тексту - Udio, который делает это лучше и реалистичнее Suno. Как он это делает я не знаю, но такое ощущение, что там в зависимости от промпта выбирается какой-то конкретный исполнитель, на произведениях которого обучалась "сетка". Отсюда большая целостность. Но насколько это этично и законно - вопрос.
Первая же генерация на стихотворение Гумилёва в стиле "folk, contemporary folk, traditional folk, guitar, folk rock, acoustic blues" внезапно выдала мне узнаваемого исполнителя-иноагента. 😲🫣
И это не случайность. Поиск в Udio по его фамилии выдаёт много качественных треков узнаваемым голосом и в узнаваемой манере. Причём те, которые он сам вряд ли стал бы исполнять. Например, на день рождение Ленина про "пристальный взгляд Ильича". Хотя как знать... 🤔🙂
Выводы?
🔹 Разнообразной музыки будет больше
🔹 Фейки станут ещё реалистичнее
🔹 Ожидаются интересные суды
@avleonovrus #udio #music #ai #offtopic
Первая же генерация на стихотворение Гумилёва в стиле "folk, contemporary folk, traditional folk, guitar, folk rock, acoustic blues" внезапно выдала мне узнаваемого исполнителя-иноагента. 😲🫣
И это не случайность. Поиск в Udio по его фамилии выдаёт много качественных треков узнаваемым голосом и в узнаваемой манере. Причём те, которые он сам вряд ли стал бы исполнять. Например, на день рождение Ленина про "пристальный взгляд Ильича". Хотя как знать... 🤔🙂
Выводы?
🔹 Разнообразной музыки будет больше
🔹 Фейки станут ещё реалистичнее
🔹 Ожидаются интересные суды
@avleonovrus #udio #music #ai #offtopic
Уже завтра стартует онлайн-хакатон от команды MaxPatrol VM Positive Technologies по разработке правил детектирования уязвимостей. Ограничений на участие сотрудников PT не было, так что я тоже подался и буду делиться впечатлениями в канале. 😏 Весь в предвкушении. 🤩
Имхо, подключение сообщества к разработке security content-а это как раз то, что кардинальным образом улучшит полноту и качество детектирования уязвимостей и мисконфигураций VM-продуктами. Т.е. самую их суть.
@avleonovrus #PositiveTechnologies #MaxPatrolVM #PTVMHackathon
Имхо, подключение сообщества к разработке security content-а это как раз то, что кардинальным образом улучшит полноту и качество детектирования уязвимостей и мисконфигураций VM-продуктами. Т.е. самую их суть.
@avleonovrus #PositiveTechnologies #MaxPatrolVM #PTVMHackathon
Ох уж этот Voronezh... 🙂
Мы часто ездим в Африку,
В Австралию, Бразилию,
Обычно самолетами,
И реже по воде.
Но если вы котёнок,
И вас зовут ̶В̶а̶с̶и̶л̶и̶е̶м̶ Дмитрием,
То лучше, чем Воронеж
Нет города нигде. (с)
@avleonovrus #lockbit #fun
Мы часто ездим в Африку,
В Австралию, Бразилию,
Обычно самолетами,
И реже по воде.
Но если вы котёнок,
И вас зовут ̶В̶а̶с̶и̶л̶и̶е̶м̶ Дмитрием,
То лучше, чем Воронеж
Нет города нигде. (с)
@avleonovrus #lockbit #fun
Мой доклад на PHDays "Кризис NVD и светлое БуДУщее" пройдёт 24 мая (Пятница) в 16:25–17:10 в локации Галактика. На сайте PHDays уже доступно расписание.
В рамках доклада рассмотрим:
🔹 Как ретроспективно развивался кризис NVD, реакцию на него со стороны сообщества безопасников и текущее состояние.
🔹 Какие меры предлагались сообществом для уменьшения зависимости от NVD, чтобы такая ситуация в будущем не могла повториться.
🔹 Оценку текущего состояния NVD и БДУ ФСТЭК: возможно ли для российских организаций использовать только БДУ?
🔹 Уязвимости, которые присутствуют только в БДУ ФСТЭК: общее количество, распределение по годам, типы уязвимостей, уязвимые продукты.
Сразу после доклада в 17:20–18:20 в той же локации будет дискуссия "Источники данных об уязвимости в современных реалиях" с моим участием (и модерированием).
upd. 22.05 Обновил время начала
@avleonovrus #phd2024 #phd2 #phdays #БДУ #ФСТЭК #NVD #event
В рамках доклада рассмотрим:
🔹 Как ретроспективно развивался кризис NVD, реакцию на него со стороны сообщества безопасников и текущее состояние.
🔹 Какие меры предлагались сообществом для уменьшения зависимости от NVD, чтобы такая ситуация в будущем не могла повториться.
🔹 Оценку текущего состояния NVD и БДУ ФСТЭК: возможно ли для российских организаций использовать только БДУ?
🔹 Уязвимости, которые присутствуют только в БДУ ФСТЭК: общее количество, распределение по годам, типы уязвимостей, уязвимые продукты.
Сразу после доклада в 17:20–18:20 в той же локации будет дискуссия "Источники данных об уязвимости в современных реалиях" с моим участием (и модерированием).
upd. 22.05 Обновил время начала
@avleonovrus #phd2024 #phd2 #phdays #БДУ #ФСТЭК #NVD #event
Awillix открыли приём заявок на Pentest Award 2024. Собирают заявки до 23 июня, награждать будут 2 августа. В этот раз будет 6 номинаций, по 3 призовых места в каждой.
3 номинации остались с прошлого года:
🔸 Hack the logic
🔸 Раз bypass, два bypass
🔸 Ловись рыбка
3 новых:
🔻 Пробив WEB (от BIZONE Bug Bounty)
🔻 Пробив инфраструктуры (от VK)
🔻 Девайс
Заявлены прикольные призы: макбуки, айфоны, смарт-часы, умные колонки и прочее.
Уютный канальчик "Управление Уязвимостями и прочее" в инфопартнёрах. 😉
Подавайтесь!
@avleonovrus #offensive #awillix #pentest #pentestaward #bizone #vk
3 номинации остались с прошлого года:
🔸 Hack the logic
🔸 Раз bypass, два bypass
🔸 Ловись рыбка
3 новых:
🔻 Пробив WEB (от BIZONE Bug Bounty)
🔻 Пробив инфраструктуры (от VK)
🔻 Девайс
Заявлены прикольные призы: макбуки, айфоны, смарт-часы, умные колонки и прочее.
Уютный канальчик "Управление Уязвимостями и прочее" в инфопартнёрах. 😉
Подавайтесь!
@avleonovrus #offensive #awillix #pentest #pentestaward #bizone #vk
Американцы выпустили joint Cybersecurity Advisory (CISA, FBI, HHS, MS-ISAC) против шифровальщика Black Basta. Утверждается, что по состоянию на май 2024, от Black Basta пострадали более 500 организаций по всему миру, включая бизнесы и критическую инфраструктуру в Северной Америке, Австралии и Европе. Затронуто 12 из 16 секторов критической инфраструктуры.
Шифровальщик впервые замечен в апреле 2022 года. Первоначальное заражение выполняет с помощью фишинга или эксплуатацией февральской уязвимости обхода аутентификации в ConnectWise ScreenConnect (CVE-2024-1709).
Инструментарий для подъема привилегии и горизонтального перемещения: Mimikatz и эксплуатация уязвимостей ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287), PrintNightmare (CVE-2021-34527). Исправления уязвимостей были доступны годами, но в организациях их не применяли. 🤷♂️ Возможно надеялись, что периметр никогда не проломят. Вышло иначе. 😏
@avleonovrus #BlackBasta #Mimikatz #ZeroLogon #NoPac #PrintNightmare #CISA #StopRansomware
Шифровальщик впервые замечен в апреле 2022 года. Первоначальное заражение выполняет с помощью фишинга или эксплуатацией февральской уязвимости обхода аутентификации в ConnectWise ScreenConnect (CVE-2024-1709).
Инструментарий для подъема привилегии и горизонтального перемещения: Mimikatz и эксплуатация уязвимостей ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287), PrintNightmare (CVE-2021-34527). Исправления уязвимостей были доступны годами, но в организациях их не применяли. 🤷♂️ Возможно надеялись, что периметр никогда не проломят. Вышло иначе. 😏
@avleonovrus #BlackBasta #Mimikatz #ZeroLogon #NoPac #PrintNightmare #CISA #StopRansomware
Докажи - покажи! Сгенерил трек в Suno про популярный способ саботажа Vulnerability Management процесса. Который в итоге приводит к утечкам данных и пошифрованной инфре. 🤷♂️ В этот раз схалтурил, так что без рифм. 🙂 Кидайте вашим IT-шникам, если заметили, что они с вами в докажи-покажи начали играть. 😉
Мы уже исправили уязвимость, это сканер наверное фолсит. Да мы уже запатчили всё. Это сканер наверное фолсит... Мы уверены в том, что ваш сканер всё время фолсит. А тыыыы...
Докажи - покажи! Докажи - покажи! Докажи нам! Давай - давай!
ОК, уязвимость действительно есть. Да, похоже, уязвимость действительно есть. Но она не эксплуатабельна! Точно, она не эксплуатабельна! Сто пудов не эксплуатабельна! А тыыыы...
Докажи - покажи! Докажи - покажи! Докажи нам! Давай - давай!
Ок, уязвимость в принципе эксплуатабельна. Вроде да, она эксплуатабельна. Но только не у нас! Нет, точно не у нас! Только не в нашей инфре! А тыыыы...
Докажи - покажи! Докажи - покажи! Докажи нам! Давай - давай!
Ок, в нашей инфре эксплуатабельна. Доказали, и в нашей инфре эксплуатабельна. Но это некритичный хост! Даже если сломают - не страшно! Мы точно считаем - не страшно! А тыыыы...
Докажи - покажи! Докажи - покажи! Докажи нам! Давай - давай!
Ладно - ладно, сломают - будет плохо. Потратил кучу времени и сил, и нам доказал, будет плохо. Ты молодец, мы уязвимость эту исправим. Конкретно эту уязвимость исправим. А в остальном ваш сканер наверное фолсит... Так что даваай!
Докажи - покажи! Докажи - покажи! Докажи нам! Давай - давай!
@avleonovrus #exploitability #VMprocess #fun #music #поёмCVE
Мы уже исправили уязвимость, это сканер наверное фолсит. Да мы уже запатчили всё. Это сканер наверное фолсит... Мы уверены в том, что ваш сканер всё время фолсит. А тыыыы...
Докажи - покажи! Докажи - покажи! Докажи нам! Давай - давай!
ОК, уязвимость действительно есть. Да, похоже, уязвимость действительно есть. Но она не эксплуатабельна! Точно, она не эксплуатабельна! Сто пудов не эксплуатабельна! А тыыыы...
Докажи - покажи! Докажи - покажи! Докажи нам! Давай - давай!
Ок, уязвимость в принципе эксплуатабельна. Вроде да, она эксплуатабельна. Но только не у нас! Нет, точно не у нас! Только не в нашей инфре! А тыыыы...
Докажи - покажи! Докажи - покажи! Докажи нам! Давай - давай!
Ок, в нашей инфре эксплуатабельна. Доказали, и в нашей инфре эксплуатабельна. Но это некритичный хост! Даже если сломают - не страшно! Мы точно считаем - не страшно! А тыыыы...
Докажи - покажи! Докажи - покажи! Докажи нам! Давай - давай!
Ладно - ладно, сломают - будет плохо. Потратил кучу времени и сил, и нам доказал, будет плохо. Ты молодец, мы уязвимость эту исправим. Конкретно эту уязвимость исправим. А в остальном ваш сканер наверное фолсит... Так что даваай!
Докажи - покажи! Докажи - покажи! Докажи нам! Давай - давай!
@avleonovrus #exploitability #VMprocess #fun #music #поёмCVE
YouTube
Докажи - покажи! Песня про саботаж исправления уязвимостей
Мы уже исправили уязвимость, это сканер наверное фолсит.
Да мы уже запатчили всё. Это сканер наверное фолсит...
Мы уверены в том, что ваш сканер всё время фолсит.
А тыыыы...
Докажи - покажи! Докажи - покажи! Докажи нам! Давай - давай!
ОК, уязвимость…
Да мы уже запатчили всё. Это сканер наверное фолсит...
Мы уверены в том, что ваш сканер всё время фолсит.
А тыыыы...
Докажи - покажи! Докажи - покажи! Докажи нам! Давай - давай!
ОК, уязвимость…