Beched's thoughts
1.63K subscribers
3 photos
2 files
59 links
Персональный канал Омара Ганиева @beched.
https://pentest.global/

Чат канала: https://t.me/masterbeched_chat
Download Telegram
Банальности

Даже и забыл, что у меня есть канал.

А ещё, в суете изучения нового валютного законодательства, — и о том, что каждому иногда приходится говорить банальные, вроде бы очевидные и как будто даже формальные вещи вроде "будь здоров", "с днём рождения" и "нет".

Из-за чего-то вроде синдрома самозванца мне часто бывает неудобно говорить банальности, потому что кажется, что это выглядит неискренне, что я просто повторяю за всеми, и что это и так понятно.

Оказывается, понятно не всем, и в такие дни многие обнажают свою истинную или, напротив, поддельную сущность, сбиваясь на эмоции и наговорив гадостей прежним друзьям и знакомым, призывая к убийствам и ненависти.

Убеждён, что геополитические цели и моральная эквилибристика не оправдывают этого нападения, и это ошибка, которая совершена людьми, потерявшими связь с реальностью.

Что делать прямо сейчас — каждый решает самостоятельно, и единственный безопасный инвестиционный совет, который я готов дать по этому поводу, — это не залипать на новостных каналах и пропаганде и не фокусироваться на этом негативе.
Нам нужен незамутнённый и холодный и не потерявший связи с реальностью разум для принятия решений как о своей жизни, так и о жизнях родных, сограждан, друзей и соседей, о бизнесе и государстве.
Высокая нагрузка

Я пока ещё в Москве, и завтра таки должна состояться давно запланированная и несколько раз перенесённая конференция HighLoad++, куда я в прошлом году подавал докладик.
На прошлом хайлоаде я рассказывал про пентест AI-систем, а на этот раз тема чуть более приземлённая и приближенная к первоначальной тематике конференции.

Кто едет, пинайте, буду рад обсудить ломание и защиту со старыми и новыми знакомыми.
Forwarded from YAH (Egor Bogomolov)
Подкаст

А вот и вторая серия нашего подкаста: Yet Another Hacker.

Вместе с гостем подкаста мы развили увлекательнейшую тему для большинства наших слушателей - Соревновательность в хакинге и соревнования.

В этой серии мы обсуждаем тему, которая делает хакинг для многих столь привлекательным. Очень часто специалисты здесь могут и хотят померяться силами: кто быстрее взломает? кто больше знает? кто больше опыта имеет? Отчасти поэтому турниры и багбаунти платформы так популярны. Все видят подиум, но могут даже не представлять себе то, что на пути к этому подиуму стоит. Стоит ли игра свеч, является ли успех в соревновательных активностях показательным или обманчивым, как часто именно пентестеры проявляют себя в подобного рода мероприятиях и как часто это делают не они - вопросы нашей сегодняшней встречи.

В гостях: Омар Ганиев (@beched)

Episode page: https://podcast.ru/e/Yelq50Lk86
Podcast page: https://podcast.ru/1626820774

P.S. Всем приятного прослушивания!
Ждём ещё больше крепких хакеров, готовых ломать и качаться.
Если хотите смотреть изнутри на системы крупных (и не очень) компаний с миллионами пользователей и хакать их, идите к нам!
Forwarded from Bounty On Coffee (Ramazan)
Веб-пентестер (Junior+/Middle- — Middle+)

Continuous Technologies (бренд DeteAct) — растущая компания, предоставляющая сервисы и разрабатывающая продукты в сфере кибербезопасности.
Мы — одни из лидеров на рынке услуг по оценке защищённости в России.
Мы помогаем клиентам обнаруживать уязвимости и действовать для их устранения, опередив злоумышленников.

Задача: участие в проектах по тестированию на проникновение и анализу защищённости приложений.
Вилка: 120-170 т.р. на руки

Обязанности:
— Анализ защищённости веб-приложений, фронтендов, API, исходного кода,
— Работа в команде как с российскими, так и зарубежными заказчиками (корпорации, стартапы, банки, компании любого размера и из различных индустрий),
— При желании: совместные исследования, разработка продуктов и сервисов, участие в соревнованиях и конференциях.

Примерные требования:
— Опыт проведения пентестов, понимание методологии, умение находить, эксплуатировать и объяснять основные веб-уязвимости,
— Уверенное владение всем необходимым инструментарием (Burp Suite, расширения, различные сканеры и нюансы их конфигурации) и технологическим стеком (программирование),
— Умение формулировать стандартные рекомендации по исправлению багов,
— Умение корректно оценивать уровень риска уязвимостей, придумывать атаки на бизнес-логику.

Условия:
— Работа удалённо или в московском офисе в БЦ "Савёловский Сити",
— Молодой коллектив и быстрорастущая компания,
— Время на исследования и публикации,
— Участие в конференциях и обучение.

HH: https://hh.ru/vacancy/68107810
В ЛС (neprivet.ru): @r0hack или @beched
Hack the World

Победным в любом соревновании является только первое место. Так всегда нужно рассуждать, когда вы в нём участвуете.
Когда же оно закончилось, можно немного расслабиться и посчитать успехом и попадание в тройку или пятёрку.

Вообще, именно победными часто ощущаются не самые высокие результаты: ведь занять 2-е означает проиграть 1-му, и это обидно.
Если же занять 3-е — выходит, что это уже "бронза", вырванная зубами!
Аналогично, 4-е — это провал, ведь не удалось взойти на пьедестал, а 5-е — это приятный круглый результат.

Именно так я мотивировал коллег, рассказывая, что наше на тот момент 5-е место в The Standoff 2022 в мае (* и победа в категории Bug Hunting) — это круто, но в последние минуты нам засчитали ещё очков, и мы вернулись на 4-е, про которое я только что объяснил, что это обидный провал, в отличие от нашего достойного круглого места :D

Зато пару недель назад ребята отыгрались и улучшили результат, заняв как раз 5-е из 657 на хакерском чемпионате среди компаний — HTB Business CTF.

Если вы в компании занимаетесь практической безопасностью и не участвуете пару раз в год в таких мероприятиях — попробуйте, это отличные интенсивные командные учения.
В последние годы набирают обороты даже внутренние CTF, которые компании проводят для обучения сотрудников безопасной разработке.
Ураган наличных

США совершили атаку на свободу слова и на право приватности, а также продемонстрировали экстратерриториальность своих законов и некомпетентность своих чиновников.
OFAC наложили санкции на протокол Tornado Cash, а в Амстердаме был арестован один из его разработчиков.
А госсекретарь США Энтони Блинкен заявил в Твиттере, что санкции наложены на "хакерскую группировку, спонсируемую Северной Кореей" (WTF??).

В действительности Tornado Cash (далее — TC) — это никакая не группировка, а децентрализованный протокол, разработанный ребятами из русского сообщества безопасников и web3-разработчиков.
Он работает как "миксер" и позволяет скрыть происхождение средств в блокчейне.
Ключевое отличие от обычных централизованных миксеров в том, что приватность обеспечивается криптографически, никто не может её нарушить, и работа протокола обеспечивается не конкретными людьми, а распределённым блокчейном.

Люди, создавшие протокол, не знают, кто его использует, не могут это узнать или предотвратить: они вообще не влияют на работу его алгоритма после публикации, а значит, не могут нести за это ответственность.

В санкционный список OFAC добавлены Ethereum-адреса, связанные с TC.
А подозрения в адрес арестованного разработчика заключаются в том, что он способствовал незаконному отмыванию средств.

Почему ситуация абсурдна?

1) Далеко не весь оборот TC — грязь.
В Tornado Cash действительно залили огромные суммы украденных средств, но это всё равно всего лишь 10.5% всего оборота обменника, причём подозреваю, что существенную часть этой суммы составляют 3-4 конкретных случая, когда были очень крупные взломы на сотни миллионов.

2) Создатель балаклавы не несёт ответственность за то, что кто-то в ней ограбил банк.
Обвинить авторов open-source протокола в том, что кто-то воспользовался им для отмыва украденных средств, это почти как обвинить Райвеста, Шамира и Адлемана в том, что они создали алгоритм шифрования RSA, который может использоваться для сокрытия преступлений.

3) Механика санкций абсолютно непрозрачна.
Теперь запрещено "взаимодействовать" с адресами миксера в сети Ethereum, но старики из OFAC не учли, что в блокчейне можно получить средства без какого-либо умысла и даже не зная об этом. А те, кто действительно отмывает средства, может их перевести на другой кошелёк, который уже формально не взаимодействовал с миксером.
Так что вполне ожидаемо произошло следующее: некий тролль раскидал через TC по 0.1 ETH (~$200) на адреса известных людей, включая ведущего Джимми Фэллона и основателя Coinbase Брайана Армстронга.
Теперь, если буквально интерпретировать закон, им может грозить до 30 лет тюрьмы.


Почему TC — нужная технология?

1) Приватность — базовое право человека.
Сегодня вам запрещают пользоваться TC, а завтра заставляют устанавливать дома телекран.
Вы имеете право на приватность и свободу слова. В данном случае код является словом, и его свободу тоже нарушили арестом автора.

2) В финансовых системах необходимы механизмы приватности для бизнеса.
Транзакции в банке видит только банк и налоговая, но не каждый встречный. В блокчейне тоже нужен такой механизм.
Например, вы оказываете услуги и получаете за это деньги от клиентов в крипте, но не хотите, чтоб конкуренты знали стоимость услуг. Если вы не анонимизируете свои кошельки, вся информация открыта.
При этом в TC существует криптографический механизм комплаенса, который позволяет раскрыть происхождение средств при необходимости (как в случае с банком и налоговой).

3) Для личных и общественно-политических целей нужны анонимные платежи.
Виталик Бутерин воспользовался TC для отправки средств на нужды Украины. Многие люди боятся в открытую тратить на благотворительность или даже просто совершать платежи с основным кошельков (где много денег), и для них такой сервис полезен.


Пока не доказано обратное (факты реального намеренного содействия криминалу), эта нападка на TC является атакой репрессивной и формалистской чиновничей машины на новый технологический мир децентрализации и анонимности, которого они боятся.
При этом опять видно, как демократический мир в страхе перед OFAC побежал выполнять санкции с особым рвением, блокируя всех, кто даже в прошлом пользовался TC, хотя санкции не обладают обратной силой.
Этот же мир ранее радостно участвовал в отмывании ворованных средств через те же централизованные биржи, которые теперь будут блокировать пользователей за использование TC.

Не будем уповать на разумность высших публичных американских чинов, которые бездумно шитпостят про связи TC с Северной Кореей, но понадеемся на то, что кто-то из более компетентных лиц, принимающих решения, сбавит накал ситуации.
Ну и, конечно, пожелаем терпения и удачи непосредственным пострадавшим, нашим товарищам по коммьюнити.
Off Zone

В этот четверг найдёте стенд нашей команды на конференции OffZone 2022, на которой мы являемся партнёрами.
Приходите к нам на огонёк узнать про анализ защищённости и Red Teaming, про DevSecOps и Pentest as a Service и пользу этих сервисов для бизнеса.

Если вы сами хакер_ка, приходите порешать конкурсные задачки или оценить свои скиллы на наших стендах для кандидатов.
We're hiring!

На стенде хакерам 6 раз за 2 дня будет дан шанс обойти соперников и забрать приз.
Каждые 2 часа в первый и во второй день будет открываться новая задача, за первое решение которой будет приз.
Устали аутировать по 2 дня, непрерывно решая таски? Хотите не только хакать, но и общаться и ходить на доклады?
Приходите на наш CTF и станьте победителем, решив всего одну задачу!
Примерные категории — Web, Infra, Mobile, Smart Contracts
Туда-сюда

Всю ночь добирался самолётом и потом ехал по пробкам (в Москве опять внезапно выпал снег, кто мог ожидать?), чтобы 20 минут поговорить про пентест!
А на другом митапе всем буду говорить, что прилетел, конечно, только ради него.

А у вас как конец года?

P.S. О, ровно 3 месяца не писал в канал, писатель из меня всё-таки не очень. Все накопленные мысли выговариваю во флуд-чатики вместо каналов, где нужно более организованно писать текст. Пора переносить сюда избранное!
Эскобаровы парадоксы

В последние дни бизнес-общественность бурлит по поводу скандала со стартапом Immigram.
Вкратце: UK-based стартап выиграл европейское питч-соревнование в Хельсинки, за что полагается шанс получить инвестиции в размере 1 миллион евро.
Стартап предоставляет сервис по помощи в оформлении визы Global Talent в Великобритании.

2-е место в соревновании заняла украинская команда, и в соцсетях началась скоординированная атака с требованиями отнять у Immigram победу, потому что, мол, стартап русский.
Организаторы повиновались, посыпав голову пеплом.
В ответ от сообщества к организаторам пошли обвинения в дискриминации, двойных стандартах, отсутствии бизнес-этики и даже расизме.

У обеих сторон есть аргументы:
1) Как утверждает сторона обвинения, стартап активно нанимает через российские сервисы (hh) и наживается на военных действиях, перевозя русских айтишников в UK, хотя и пишет, что никого у них в РФ нет, и вообще, их целевой рынок — это Индия, Латам и т. д. Врут про рынок? Не знаю, но looks fishy, совершенно не удивлюсь.

При этом мне не совсем понятно, почему это вообще стартап, это же полуавтоматизированный консалтинг с весьма ограниченным рынком, и его рост подозрительно совпал с конфликтом и кратным увеличением русских эмигрантов. В таком контексте, конечно, стрёмно ехать на европейский конкурс за инвестициями.

2) С другой стороны, вывозя айтишников из РФ, они бьют по долгосрочной устойчивости инновационной экономики страны, тем самым ослабляя тот самый режим, в сотрудничестве с которым их обвиняют. При этом фаундерка стартапа уже 6 лет в UK и открыто поддерживает Украину.
Да и банить в конкурсе за цвет паспорта (а выглядит именно так) — совершенно неприемлемо.


Нет времени сильно вникать в детали спора организаторов со стартапом, с моей колокольни похоже на ситуацию жабы с гадюкой, но, конечно, это тревожный звоночек и плохой прецедент.

Даже если ребята схитрили и как-то обманули организаторов, это явно не на поверхности и требует доказательств, зато очевидно, что русским теперь нельзя давать победы в стартап-соревнованиях, даже если они уехали из страны и говорят всё как надо, вешают сине-жёлтые флаги на аватарки и вообще душечки.
Но платить России миллиарды евро за газ можно и не стыдно, ведь это — другое.
Singularity

Добрый день, меня зовут Омар Ганиев и я хочу поговорить с вами о том, как технология ChatGPT может изменить наш мир.

Что такое ChatGPT? Это мощный языковой модельный инструмент, который может генерировать человеческий текст и отвечать на вопросы и запросы. Эта технология основана на глубоком обучении и позволяет модели предсказывать следующее слово в последовательности на основе слов, которые предшествовали ему.

Но почему это так важно? Потому что ChatGPT открывает дверь к множеству новых возможностей и задач, которые раньше казались невозможными для машинного обучения. Например, ChatGPT может использоваться для анализа эмоций и определения тональности текста, а также для создания синтетических голосов и фотографий.

Но самое интересное в технологии ChatGPT - это ее применение в таких областях, как кибербезопасность и пенетрационные тесты. Вы можете использовать ChatGPT для создания манипуляций, фишинга и других техник взлома, а также для анализа и обнаружения нарушений в сети.

Я очень взволнован этой новой технологией и удивлен тем, насколько быстро идет ее развитие. Сегодня мы видим появление новых генеративно-состязательных сетей (GAN), которые могут создавать гиперреалистичные изображения на основе текстового предложения. Это показывает, насколько быстро развивается технология искусственного интеллекта и как скоро она сможет эффективно решать большинство задач, которые раньше были доступны только для человека.

Благодаря своей мощности и гибкости, ChatGPT может изменить наш мир и помочь нам решать самые сложные задачи. Я уже упоминал о его применении в кибербезопасности и пенетрационных тестах, но это далеко не все. ChatGPT может использоваться для анализа данных, генерации контента и даже для автоматизации бизнес-процессов.

В заключение хочу сказать, что ChatGPT - это один из самых мощных инструментов для обработки естественного языка, который может помочь нам решать самые сложные задачи. Я надеюсь, что вы также будете взволнованы этой новой технологией и будете следить за ее развитием. Вместе мы сможем изменить мир и сделать его лучше с помощью искусственного интеллекта.
ChatGPT

Заметили странное? Да, канал захвачен ИИ, предыдущий пост написан не мной!

Последние сутки я, как и многие другие, пребываю в лёгком недоумении от технологического прогресса.
Нет особых сомнений, что людям удастся создать искусственный интеллект, чьи возможности превышают их собственные во всех отношениях, но скорость, с которой мы к нему идём, оказалась несколько выше, чем многие ожидали.

В последнее время видно колоссальное развитие в сфере машинного обучения и нейросетей.
Нейросети MidJourney, Stable Diffusion и прочие научились генерировать изображения с поразительной детализацией и художественной оригинальностью. Для этого достаточно передать программе пару текстовых фраз, описывающих нужный рисунок.

А теперь компанией OpenAI опубликован доступ к диалоговой нейросети ChatGPT, которая умеет отвечать на любые вопросы и вообще вести человеческий диалог.
Это не простая экспертная система родом из 90х и даже не каталог ответов Stackoverflow, а практически настоящий ИИ. Кажется, мы ещё даже не до конца осознали возможности новой технологии, а ведь это лишь первый шаг!

Например, можно попросить ChatGPT написать стихотворение на определённую тему в стиле Шекспира, да ещё и так, чтобы в нём были слова из определённого перечня, а ещё была какая-то драма, или, напротив, оно было весёлым.
Можно задать технический вопрос или даже попросить найти уязвимость в коде! Также нейросеть справляется с написанием кода на разных языках по небольшому описанию задачи.
Можно не только попросить написать код, но и попросить объяснить любой код или даже декомпилировать ассемблерный листинг.
Конечно, до замены профессии разработчиков или хакеров ещё далеко, но творческие и другие гуманитарные профессии уже можно во многом автоматизировать.

Можно попросить придумать идеи для подарков, праздника, имени ребёнка, дизайна интерьера или даже попросить найти выход из сложной ситуации.
Ассистент (именно так саму себя называет нейросеть) может и написать целую сказку нужной темы.

При этом это действительно диалоговая нейросеть: она сохраняет связность общения, понимает, с кем говорит, о чём шла речь несколько сообщений назад, может размышлять, фантазировать и спорить, при этом обладает колоссальной эрудицией.

В Твиттере можно найти сотни примеров ответов ChatGPT, в которые ещё вчера было бы сложно поверить.
Пример с моим постом выше на самом деле слабый, поскольку я довольно пространно описал требования к посту.
Потом у меня получились более крутые варианты, но сайт подвисал (всем же интересно!), поэтому более текст просто обрывался.

Вот какой был запрос (кстати, с несколькими языковыми ошибками) к ChatGPT для создания предыдущего поста:

Come up with a creative blogpost in Russian language under the name "Омар Ганиев" about how ChatGPT could change the world. Give a couple examples about what complex and unexpected tasks you can solve. Write every sentence in the popular science style and make it a very convincing story. Make it technical and let some of the examples be related to cybersecurity and penetration testing. Tell about the author's feeling about this new technology and how fascinating it is. Tell about the unexpected pace of the progress and how soon the AI will be able to solve most of the human tasks more efficiently. Also bring up the examples of recently emerged GAN's that are able to generate hyper-realistic images using the text prompt

Попробуйте сами тут (для регистрации нужен номер телефона не из страны, развязавшей войну с соседом вместо развития технологий будущего).
Fake Token eXchange

Ещё одна хайповая тема последних недель — крах биржи FTX.
Я ни разу не являюсь крипто-евангелистом (лишь крипто-реалистом), но смешно, как крипто-критики бросились злорадствовать, что "крипта — скам".

FTX — это централизованная биржа, технически она мало чем отличается от какой-нибудь CME или ММВБ.
Отношение к "крипте" как к технологии она имеет лишь спекулятивное, по сути это классическая финтех-платформа с возможностью принятия платежей и отправки выплат в криптовалютах.

И скандал с мошенничеством выдался прямо показательно классический: владелец биржи Sam Bankman-Fried (SBF) вольно распоряжался средствами клиентов, спекулируя ими через другую свою компанию (фонд), попутно скупая виллы на Багамах и коррупционируя славную неподкупную демократическую партию США.

В итоге государство отворачивало глаза от деталей оффшорного финансового учёта биржи и конфликта интересов с другими бизнесами, а свободные медиа с настоящей журналистикой наперебой вешали SBF на обложки (включая Forbes) и рассказывали, какой же он гений.
Кстати, гений родился в семье белых юристов, и его мать является сооснователем синего суперпака Mind the Gap. До скандала она напрямую занималась спонсированием политиков, а сам SBF по объёму пожертвований президентской кампании Байдена уступает лишь Майклу Блумбергу.

Так вот, по сути это примерно такая же история, как когда карманный банк где-нибудь в РФ коррумпирует правоохранителей и чиновников, занимаясь воровством и обналом, а потом в нём внезапно обнаруживается дыра в пару миллиардов, и вроде бы приличные люди, руководившие банком, куда-то смываются.

К технологии блокчейна это всё не имеет отношения и скорее даже далеко от него, поскольку в DeFi, несмотря на огромное количество мошеннических проектов, финансы гораздо прозрачнее, и именно таким образом обворовывать клиентов сложнее.

Как минимум трое из моего круга общения потеряли миллионы долларов в виде депозитов в разорившейся FTX. Эти ребята не пропадут и заработают ещё много, но для тысяч людей потери могли стать более ощутимыми, суммарно украдены миллиарды!

Не храните сбережения на балансах CEX и даже DeFi-протоколов. Считайте, что любая биржа и любой протокол в любой момент могут оказаться взломаны или разорены и исходите из такого сценария.
Ну а этот скандал, я надеюсь, приведёт к оздоровлению индустрии и к смерти локальных культов личности, подкармливаемых журналистами.
Стажировка

Возобновляем стажировки в DeteAct!
В 2021 г. мы успешно провели публичную стажировку и хорошо выросли, а 2022 г. прошёл под знаменем эффективности и улучшения процессов.

Теперь мы снова готовы кратно растить команду и будем счастливы повстречать энтузиастов, которые хотят заниматься интересными проектами и исследованиями.
В анкете некоторые вопросы могут быть достаточно сложными, но мы ждём людей с разным бекграундом, так что не бойтесь подавать заявку.

Присоединяйтесь к нам заниматься серьёзными и сложными проектами и делать аудиты ради безопасности, а не ради бумажки!
Тепловая смерть Вселенной

На мой взгляд, самая разумная высшая цель жизни, которую можно постулировать человеку, — это научно-технический прогресс.
Речь не про то, ради какой исключительной причины нужно жить, но про то, что нужно делать высшим приоритетом.

— Персонально-гедонистические цели по типу "быть счастливым", "получать удовольствие от жизни" абсолютно дегенеративны и приближают человека к бонобо, валяющемуся на берегу Конго, или, что гораздо хуже, к истекающему слюной героинщику, валяющемуся в притоне с баяном, пущенным по кругу.
Человек, самым главным приоритетом которого в жизни является удовольствие, в сущности мало чем отличается от такого героинщика, поскольку воздействие опиатов на рецепторы нервной системы является максимальным удовольствием в чистом виде, и получается, что это и является вершиной достижений для такого человека.

— Религиозно-мистические цели направлены на дальнейшее существование за пределами нашего бытия, а не на практический результат в нашей жизни, поэтому рассматривать их в общем ряду нецелесообразно.

— Социальные же цели направлены на восстановление справедливости в основном за счёт преференций для слабых и на проблемы взаимоотношений. Это примерно как "за всё хорошее, против всего плохого", конкретные задачи бывают размыты, конкретные инструменты тоже. Не годится это в качестве высшей цели. У тех же бонобо общество вполне вероятно справедливее человеческого, но вряд ли вам понравится идея стать бонобо.

В действительности, по-моему, самой главной причиной, позволяющим миллиардам людей быть счастливыми и получать удовольствие от жизни, верить во что угодно и жить в относительной безопасности и справедливости, является именно научно-технический прогресс.
Ведь именно он удлиняет продолжительность жизни и даёт людям инструменты для реализации остальных целей.

Для отдельного человека мысль о том, что высшей целью является научный прогресс и сингулярность, может быть довольно депрессивной, потому что почти никто из нас нисколько в реализации этой цели не продвинулся.
Если вы к 25 годам не совершили ни одного научного прорыва, вы уже вряд ли когда-либо совершите хотя бы один. Аналогично, если к 25 вы не стали специалистом в какой-то области, то будет уже сложно (хоть и возможно) построить карьеру, сделать бизнес, стать успешным и т. д.

Единственный способ внести вклад в высшую цель человечества в таком случае — это создавать потомство, которое имеет шанс сделать что-то полезное в будущем.
Вот так витиевато можно обосновать абсолютно избитую и консервативную мысль наших мам и бабушек о том, что нужно рожать. Мысль, которую при текущем строении социума многие люди отбрасывают как какую-то отсталую, при этом продолжают заниматься всякой мышиной вознёй вроде информационной безопасности, трейдинга или балета.
Важность этой возни для научно-технического прогресса ничтожна в сравнении с тем, чего могут достигнуть сотни людей, жизнь которым вы можете дать.

P.S. Если и это вас вгоняет в депрессию, можно принять другую эгоистичную, но тоже философски обоснованную позицию нигилизма: всех нас в любом случае ждёт тепловая смерть Вселенной, и поэтому никакие постулируемые цели в сущности между собой не различаются и приведут к одному результату.
А значит, не стоит огорчаться, если вам не удалось приблизить нас к сингулярности ни своим личным вкладом, ни потомством. Огорчаться вообще не очень-то продуктивно: просто получайте удовольствие от жизни! :D
Beched's thoughts
Ночное бдение с числами. Посчитал рынок пентестов России несколькими способами, часть которых раскрывать не могу, а часть легко проверяема. Способ 1 Гуглим "global information security market size" и получаем оценку $116.5 млрд. Далее гуглим "global penetration…
Рынок пентеста

В 2022 г. рынок ИБ РФ оценивают примерно в 200 млрд руб. Если из этого посчитать рынок пентестов по той же формуле, получится 1.5-1.6 млрд руб.

На самом же деле по моим очень примерным прикидкам его размер находится в диапазоне 3-4 млрд. руб.
Это если считать именно внутрироссийский рынок, т.е. совокупность затрат российских компаний на услуги по оценке защищённости.

Если же считать достижимый для российских команд глобальный рынок, то юридически он, конечно, резко сократился, потому что платежи больше не ходят, но фактически мог даже увеличиться: многие IT-компании, у которых бизнес за рубежом, а разработка была в РФ, теперь всех вывезли и стали заказывать пентест уже за рубежом, но при этом могут приходить к тем же экс-российским командам, если они тоже глобализировались.

Лидер роста, ожидаемо, — ПТ. По крайней мере, сомневаюсь, что у кого-то ещё из лидеров рынка продажи пентестов выросли в 3-4 раза.
Правда, данные по отчётности и по презентациями немного противоречивые: у ПТ продажи пентестов то ли 500 млн. руб., то ли 700 млн. руб. При этом до этого в 2021 г. было всего лишь 200 млн. руб.
Разница может объясняться учётом: что-то из этого управленческий учёт, что-то бухгалтерский и т. д.

Вообще, по-моему, под оценкой всего рынка тоже многие понимают разное: одно дело — совокупная выручка ИБ-компаний, и совсем другое дело — совокупные затраты всех компаний на ИБ.

В 2022 г. сильно вырос первый показатель, но второй вырос значительно меньше. Это абсолютно логично: поляну зачистили от зарубежных вендоров, и пошла консолидация рынка. Он вроде бы и не так уж растёт, но при этом выручка всех локальных вендоров растёт очень сильно.

Для сервисных компаний этот рост менее заметен, потому что импортозамещать им нечего, а те же пентесты для некоторых классов заказчиков были не в приоритете из-за очень высокой загрузки служб ИБ в связи с инцидентами.

Какие выводы?
1) Рынок всё ещё крошечный (в пределах $50M), так что если хотите стать богатыми, занимайтесь чем-то другим;
2) При этом его рост во многом связан с регуляцией (тот же 250-й указ), а значит, его бенефициарами становятся компании из узкого круга, чем и объясняется непропорциональный рост их продаж;
3) Тем не менее, для тех, кто остался в РФ, это всё может быть обнадёживающе: теперь потолок повыше, и размера рынка хватит на 1-2 среднего размера компаний. Раньше было грустно смотреть на выручку топов, не превышавшую и 300 млн. руб. и понимать, что это и есть потолок.
Запуск завтра

На прошлой неделе вышел подкаст запуск завтра с моим участием.

Тайминг:
01:53 Начало, виды пентестов, Red Team, анализ защищённости
11:12 Методология пентеста, разведка, поверхность атаки
18:16 Социальная инженерия, Bug Bounty
21:00 Как обычно удаётся пробить, примеры
24:30 Сколько стоят пентесты, вероятность взлома, и сколько нужно тратить на ИБ
30:10 Тренды, крипта, разница хищений в TradFi и в блокчейне
35:28 Индустрия web3 security и её отличия от web2
41:28 Схемы обмана крипто-пользователей и инструменты анализа
45:19 Применение AI для атак и атаки на AI-системы
50:35 Личная безопасность и защита iOS, беспарольная аутентификация
57:15 Финал, пентест пентестеров
Ниже репост по просьбе оргов одного из региональных студенческих CTF-соревнований:

☀️KubanCTF продлевает лето!

Мы открываем регистрацию на KubanCTF, который пройдет в рамках международной конференции по информационной безопасности KubanCSC в Красной Поляне! Общий призовой фонд составит 1.3 миллиона рублей. Отборочный этап пройдет онлайн по правилам jeopardy. В финале вам предстоит показать свои навыки в defense.

В финал смогут отобраться 7 команд, показавших лучший результат в отборочном онлайн турнире, три команды пройдут с offline битвы в формате jeopardy. В offline будут участвовать студенческие команды с 1 - 5 курс по приглашению ВУЗа. Для отобравшихся команд дополнительно будет оплачено проживание и питание на территории курорта. Приезжайте, будет жарко!

Отборочный этап пройдет 23 сентября. Финал 12 октября в Сочи!

Форма регистрации: https://forms.yandex.ru/u/64edae862530c204359ed4d8
Вопросы можно задать: в тг - @kubctf
Ссылка на чат – https://t.me/KubanCSC
Че как дела

Мнения и мысли по разным темам, а особенно — по горячим, я обычно успеваю высказать (зачастую в крайне грубо-сатирической форме) друзьям-знакомым, после чего запал писать об этом куда-то ещё пропадает.

Вот и не пишу ни фига никакие мысли, даже посраться не о чем в канале. Ну посраться-то ладно, это негатив, но я и позитивных вещах не пишу, а потом забывается, какие были важные мысли и идеи, которыми было бы интересно поделиться.

Чтоб попытаться ещё раз переломить эту тягу не перекладывать мысли в структурированный текст, напишу пару слов про то, о чём в эти недели интенсивно думаю.
Это, наверное, скучновато, потому что не про политику и даже не про AI, а про безопасность в сфере web3, где в 2024-м году всё ещё происходит треш и угар с миллиардными взлётами, падениями, инновациями и мошенничеством.

Кстати, я же даже ни разу и не писал сюда о компании Decurity, которую мы с Арсением Реутовым стартанули 2 года назад.
Компания разрабатывает продукты и решения в области кибербезопасности для децентрализованных систем.
Речь про DeFi, смарт-контракты, бриджи, блокчейны, L2 и прочие временами хайповые слова.

Мы сразу выделили для себя 2 основных принципа:
1) Продавать безопасность, а не маркетинг: на этом рынке колоссальное количество скам-проектов, которые приходят за аудитами безопасности ради штампа и маркетинга, а не ради безопасности. Нам нужно их избегать.
2) Делать ставку не на транзакционные услуги, а на капитализацию компетенций в виде продуктов и сложных сервисов: с первых дней мы начали писать код и экспериментировать, заложив таким образом стартап внутри прибыльного бизнеса.

Эта новая компания, не связанная с другим моим бизнесом (DeteAct, про новости о нём тож надо отдельно написать), да и смысла их связывать маловато, поскольку рынок совершенно иной, и при приходе в него репутация обнуляется, надо заново доказывать компетентность, нарабатывать имя, формировать нетворк. Никакие ваши сертификаты OSCP или российские лицензии ФСТЭК не котируются 😁

При этом рынок сразу глобальный, ведь на то это и децентрализованные системы, что суть их в работе во всём мире, а не в конкретной юрисдикции.
Помимо маркетинга с нуля, многим приходится и заново изучать технологии, поскольку средний пентестер, который занимается анализом веб-приложений или инфраструктуры, не умеет делать аудиты смарт-контрактов или блокчейнов.

За это время мы наработали репутацию и портфолио из солидных проектов, а кроме того, прошли несколько итераций продуктовых исследований в поисках Product-Market-Fit.
Основная технология, которую мы разработали, — это DeFiMon.

DeFiMon умеет детектировать взломы смарт-контрактов в блокчейне по различным признакам, что позволяет среагировать на взлом сразу после или ещё до того, как он произойдёт. Фактически это web3-аналог IDS/IPS и SOC, и в этот класс продуктов синхронно влетело 10-20 стартапов, в том числе с венчурным финансированием.

Если вам будет интересно, я расскажу, какие есть успехи у вайтхетов вообще и у таких систем мониторинга в частности в этом тёмном лесу блокчейна, полном хищных блекхатов, наивных дегенов, зловещих северокорейцев, серьёзных инвест-фондов и школьников-хакеров.