Forwarded from Райтапы по CTF{2025}
Подборка райтапов на #bootcamp #standoff365
🗂️Задание
- [web-1-1] Удаленное выполнение кода (RCE) на узле library.edu.stf
- [web-1-2] Локальное повышение привилегий (LPE) на узле library.edu.stf
➡️ Райтап
[https://t.me/writeup_ctf/225]
🗂️Задание
- [web-3-1] Подделка запроса со стороны сервера (SSRF) на узле utils.edu.stf
➡️ Райтап
[https://t.me/writeup_ctf/265]
- [web-3-2] Удаленное выполнение кода (RCE) на узле utils.edu.stf
➡️ Райтап
[https://t.me/writeup_ctf/264]
🗂️Задание
- [web-4] Удаленное выполнение кода (RCE) на узле shop.edu.stf
➡️ Райтап
[https://t.me/writeup_ctf/282]
🗂️Задание
- [web-5] Внедрение SQL-кода (SQLi) на узле tokenizer.edu.stf
➡️ Райтап
[https://t.me/writeup_ctf/233]
🗂️Задание
- [web-6] Удаленное выполнение кода (RCE) на узле smashmusic.edu.stf
➡️ Райтап
[https://t.me/writeup_ctf/450]
БОНУС: райтапы на категорию #infra
[https://t.me/writeup_ctf/282]
💬 Канал & Чат | 📺 RUTUBE | 📺 YouTube
🗂️Задание
- [web-1-1] Удаленное выполнение кода (RCE) на узле library.edu.stf
- [web-1-2] Локальное повышение привилегий (LPE) на узле library.edu.stf
[https://t.me/writeup_ctf/225]
🗂️Задание
- [web-3-1] Подделка запроса со стороны сервера (SSRF) на узле utils.edu.stf
[https://t.me/writeup_ctf/265]
- [web-3-2] Удаленное выполнение кода (RCE) на узле utils.edu.stf
[https://t.me/writeup_ctf/264]
🗂️Задание
- [web-4] Удаленное выполнение кода (RCE) на узле shop.edu.stf
[https://t.me/writeup_ctf/282]
🗂️Задание
- [web-5] Внедрение SQL-кода (SQLi) на узле tokenizer.edu.stf
[https://t.me/writeup_ctf/233]
🗂️Задание
- [web-6] Удаленное выполнение кода (RCE) на узле smashmusic.edu.stf
[https://t.me/writeup_ctf/450]
БОНУС: райтапы на категорию #infra
[https://t.me/writeup_ctf/282]
Please open Telegram to view this post
VIEW IN TELEGRAM
Standoff365
[web-1-1] Удаленное выполнение кода (RCE) на узле library.edu.stf
Standoff 365 Киберполигон — онлайн-киберучения, где этичные хакеры помогают на практике оценить защищенность инфраструктуры, найти в ней слабые места и подготовиться к отражению кибератак.
🗿1
БАГ-БАУНТИ ДАЙДЖЕСТ: САМЫЕ ИНТЕРЕСНЫЕ НАХОДКИ
🕵️♂️ Всем привет. Решил поделиться интересными находками из мира баг-баунти, которые попались мне на глаза в последнее время.
ВОСПРОИЗВЕДЕНИЕ БАГА НА $10,000
💰 Исследователь phoenixcatalan воспроизвел баг, за который ранее заплатили $10,000. Он не просто прочитал отчет, а полностью повторил всю цепочку действий: https://infosecwriteups.com/i-reproduced-a-10-000-bug-8466603e45e
Это хороший пример того, как изучение чужих находок может привести к собственным открытиям.
УЯЗВИМОСТЬ В FIREFOX: УДАЛЕНИЕ АККАУНТА БЕЗ 2FA
🔥 Monika sharma обнаружила уязвимость в Firefox, позволяющую удалить аккаунт без двухфакторной аутентификации. Баг принес ей $1,000: https://infosecwriteups.com/1-000-bug-firefox-account-deletion-without-2fa-or-authorization-67d6c5bfd028
Интересно, что такая серьезная проблема скрывалась в системе, которой пользуются миллионы людей.
ОТ НОВИЧКА ДО ПРОФИ
⚡️ Заслуживает внимания история CosmicByte — специалиста без технического образования, который стал успешным охотником за багами: https://medium.com/@cosmicbyt3/story-of-a-cyber-newbie-81dd7c92ff26
Это подтверждает, что в кибербезопасности главное — упорство и любопытство, а не формальные дипломы.
НЕСТАНДАРТНОЕ ПРИМЕНЕНИЕ VIRUSTOTAL
🔮 Vikas Anand продемонстрировал нестандартное применение VirusTotal — он использовал сервис не для проверки файлов на вирусы, а для поиска уязвимостей: https://kingcoolvikas.medium.com/how-i-earned-a-bounty-using-virustotal-recon-93024ee964ed
Такой подход напоминает, что иногда стоит взглянуть на привычные инструменты под другим углом.
КРИТИЧЕСКАЯ УЯЗВИМОСТЬ В ПРАВИТЕЛЬСТВЕННОМ ПРИЛОЖЕНИИ
🏛 El Professor Qais нашел критическую уязвимость в правительственном веб-приложении Малайзии и ответственно сообщил о проблеме: https://medium.com/@wanqais007/how-i-found-a-critical-vulnerability-on-a-gov-my-web-app-and-reported-it-responsibly-548f27296a01
Это пример этичного хакинга, который делает интернет безопаснее для всех.
$7,500 ЗА УТЕЧКУ EMAIL-АДРЕСОВ НА HACKERONE
🎭 Та же Monika sharma обнаружила способ раскрыть email-адреса любого пользователя HackerOne через приглашения в приватные программы. Находка принесла ей $7,500: https://infosecwriteups.com/7-500-bug-exposing-any-hackerone-users-email-via-private-program-invite-de6fd6b3b6c8
Ирония в том, что платформа для поиска уязвимостей сама оказалась уязвимой.
NETLAS DORKING: НОВЫЙ УРОВЕНЬ OSINT
🌐 AbhirupKonwar опубликовал материал о Netlas Dorking — мощном инструменте для OSINT-разведки: https://systemweakness.com/netlas-dorking-part-1-c847fac73c
Это своего рода Google Dorking на новом уровне, позволяющий находить открытые порты и уязвимые сервисы.
ОПАСНЫЙ ДИЗАЙН-ФЛОУ В OTP
🃏 Aman Banga выявил проблему в дизайне системы одноразовых паролей, которая позволяла создавать фейковые аккаунты: https://medium.com/@amanba13.ab/design-flaw-on-otp-endpoint-leads-to-create-fake-accounts-a-subtle-yet-dangerous-flaw-in-user-c511dfab89e0
Это напоминает, что уязвимости могут скрываться не только в коде, но и в логике работы приложения.
ФОРМА ДЛЯ ЖАЛОБ КАК ИНСТРУМЕНТ СПАМА
📯 Iski превратил обычную форму для жалоб в инструмент для массовой рассылки email: https://infosecwriteups.com/abuse-ception-how-i-turned-the-abuse-report-feature-into-a-mass-email-spammer-38b38a4c3c36
Хороший пример того, как функция с благими намерениями может быть использована не по назначению.
РУКОВОДСТВО ПО ВЗЛОМУ JWT
🗝 Aditya Bhatt продолжает серию руководств по взлому JSON Web Tokens: https://infosecwriteups.com/cracking-jwts-a-bug-bounty-hunting-guide-part-5-2791be30bd17
JWT используются повсеместно, и их неправильная реализация — частый источник уязвимостей.
ОБХОД ОГРАНИЧЕНИЙ ЧЕРЕЗ МОДИФИЦИРОВАННЫЕ HTTP-ЗАПРОСЫ
🪓 Gaurrav Luthra показал, как простая модификация HTTP-запроса позволила обойти ограничения безопасности и заработать $1,000: https://gaurrav.medium.com/1-000-bounty-for-bypassing-restrictions-via-modified-http-request-8a195a72ded7
Иногда самые простые техники оказываются самыми эффективными.
🕵️♂️ Всем привет. Решил поделиться интересными находками из мира баг-баунти, которые попались мне на глаза в последнее время.
ВОСПРОИЗВЕДЕНИЕ БАГА НА $10,000
💰 Исследователь phoenixcatalan воспроизвел баг, за который ранее заплатили $10,000. Он не просто прочитал отчет, а полностью повторил всю цепочку действий: https://infosecwriteups.com/i-reproduced-a-10-000-bug-8466603e45e
Это хороший пример того, как изучение чужих находок может привести к собственным открытиям.
УЯЗВИМОСТЬ В FIREFOX: УДАЛЕНИЕ АККАУНТА БЕЗ 2FA
🔥 Monika sharma обнаружила уязвимость в Firefox, позволяющую удалить аккаунт без двухфакторной аутентификации. Баг принес ей $1,000: https://infosecwriteups.com/1-000-bug-firefox-account-deletion-without-2fa-or-authorization-67d6c5bfd028
Интересно, что такая серьезная проблема скрывалась в системе, которой пользуются миллионы людей.
ОТ НОВИЧКА ДО ПРОФИ
⚡️ Заслуживает внимания история CosmicByte — специалиста без технического образования, который стал успешным охотником за багами: https://medium.com/@cosmicbyt3/story-of-a-cyber-newbie-81dd7c92ff26
Это подтверждает, что в кибербезопасности главное — упорство и любопытство, а не формальные дипломы.
НЕСТАНДАРТНОЕ ПРИМЕНЕНИЕ VIRUSTOTAL
🔮 Vikas Anand продемонстрировал нестандартное применение VirusTotal — он использовал сервис не для проверки файлов на вирусы, а для поиска уязвимостей: https://kingcoolvikas.medium.com/how-i-earned-a-bounty-using-virustotal-recon-93024ee964ed
Такой подход напоминает, что иногда стоит взглянуть на привычные инструменты под другим углом.
КРИТИЧЕСКАЯ УЯЗВИМОСТЬ В ПРАВИТЕЛЬСТВЕННОМ ПРИЛОЖЕНИИ
🏛 El Professor Qais нашел критическую уязвимость в правительственном веб-приложении Малайзии и ответственно сообщил о проблеме: https://medium.com/@wanqais007/how-i-found-a-critical-vulnerability-on-a-gov-my-web-app-and-reported-it-responsibly-548f27296a01
Это пример этичного хакинга, который делает интернет безопаснее для всех.
$7,500 ЗА УТЕЧКУ EMAIL-АДРЕСОВ НА HACKERONE
🎭 Та же Monika sharma обнаружила способ раскрыть email-адреса любого пользователя HackerOne через приглашения в приватные программы. Находка принесла ей $7,500: https://infosecwriteups.com/7-500-bug-exposing-any-hackerone-users-email-via-private-program-invite-de6fd6b3b6c8
Ирония в том, что платформа для поиска уязвимостей сама оказалась уязвимой.
NETLAS DORKING: НОВЫЙ УРОВЕНЬ OSINT
🌐 AbhirupKonwar опубликовал материал о Netlas Dorking — мощном инструменте для OSINT-разведки: https://systemweakness.com/netlas-dorking-part-1-c847fac73c
Это своего рода Google Dorking на новом уровне, позволяющий находить открытые порты и уязвимые сервисы.
ОПАСНЫЙ ДИЗАЙН-ФЛОУ В OTP
🃏 Aman Banga выявил проблему в дизайне системы одноразовых паролей, которая позволяла создавать фейковые аккаунты: https://medium.com/@amanba13.ab/design-flaw-on-otp-endpoint-leads-to-create-fake-accounts-a-subtle-yet-dangerous-flaw-in-user-c511dfab89e0
Это напоминает, что уязвимости могут скрываться не только в коде, но и в логике работы приложения.
ФОРМА ДЛЯ ЖАЛОБ КАК ИНСТРУМЕНТ СПАМА
📯 Iski превратил обычную форму для жалоб в инструмент для массовой рассылки email: https://infosecwriteups.com/abuse-ception-how-i-turned-the-abuse-report-feature-into-a-mass-email-spammer-38b38a4c3c36
Хороший пример того, как функция с благими намерениями может быть использована не по назначению.
РУКОВОДСТВО ПО ВЗЛОМУ JWT
🗝 Aditya Bhatt продолжает серию руководств по взлому JSON Web Tokens: https://infosecwriteups.com/cracking-jwts-a-bug-bounty-hunting-guide-part-5-2791be30bd17
JWT используются повсеместно, и их неправильная реализация — частый источник уязвимостей.
ОБХОД ОГРАНИЧЕНИЙ ЧЕРЕЗ МОДИФИЦИРОВАННЫЕ HTTP-ЗАПРОСЫ
🪓 Gaurrav Luthra показал, как простая модификация HTTP-запроса позволила обойти ограничения безопасности и заработать $1,000: https://gaurrav.medium.com/1-000-bounty-for-bypassing-restrictions-via-modified-http-request-8a195a72ded7
Иногда самые простые техники оказываются самыми эффективными.
ТОП-10 AI-ИНСТРУМЕНТОВ ДЛЯ БАГ-ХАНТЕРОВ
🎲 Andrei Ivan составил список из 10 AI-инструментов для охотников за багами в 2025 году: https://medium.com/@sync-with-ivan/top-10-ai-powered-tools-every-bug-bounty-hunter-should-try-in-2025-3af6cfc6212e
Искусственный интеллект меняет правила игры в кибербезопасности, и стоит быть в курсе новых возможностей.
НЕ НУЖНО БЫТЬ ГЕНИЕМ, ЧТОБЫ СТАТЬ ХАКЕРОМ
🦊 Sumanth Yerranagula развенчивает миф о том, что хакерами становятся только гении: https://medium.com/@RootPwned/you-dont-need-to-be-a-genius-to-be-a-hacker-just-be-curious-72adbae6296
Главное качество — любопытство и желание разобраться в том, как работают системы.
RXSS В НЕИСПОЛЬЗУЕМОЙ ФУНКЦИИ
🧟♂️ Sevada797 нашел Reflected XSS в функции, которая даже не вызывалась в коде: https://medium.com/@zatikyan.sevada/rxss-in-uncalled-function-6eb14bc5bd6
https://github.com/Sevada797/get-bruter/
Это напоминает о важности проверки всего кода, даже если он кажется неиспользуемым.
УЯЗВИМОСТЬ В БИЗНЕС-ЛОГИКЕ
🚫 JEETPAL обнаружил уязвимость в бизнес-логике, позволяющую блокировать создание аккаунтов для любых пользователей: https://infosecwriteups.com/business-logic-allows-any-user-to-be-blocked-from-creating-an-account-6a7ab7013ccc
Ошибки в логике приложения часто приводят к серьезным последствиям.
СПРАВОЧНИК ПО УЯЗВИМОСТЯМ БИЗНЕС-ЛОГИКИ
📜 Gr3yG05T создал справочник по поиску уязвимостей в бизнес-логике приложений: https://gr3yg05t.medium.com/business-logic-flaws-a-bug-hunters-handbook-293f6a89a7f4
Это ценный ресурс для тех, кто хочет выйти за рамки стандартных проверок безопасности.
ГЛАВНЫЕ ВЫВОДЫ ДЛЯ ОХОТНИКОВ ЗА БАГАМИ:
1. 🔄 Воспроизведение известных багов может привести к новым открытиям
2. 🪚 Стандартные инструменты можно использовать нестандартным образом
3. 🧩 Уязвимости часто скрываются в бизнес-логике, а не только в коде
4. 👾 "Мертвый" код может оказаться источником проблем
5. 🦝 Для успеха в баг-баунти важнее любопытство, чем формальное образование
🦅 Охота за багами — это не просто поиск уязвимостей, это особый образ мышления, позволяющий видеть то, что другие пропускают.
🎲 Andrei Ivan составил список из 10 AI-инструментов для охотников за багами в 2025 году: https://medium.com/@sync-with-ivan/top-10-ai-powered-tools-every-bug-bounty-hunter-should-try-in-2025-3af6cfc6212e
Искусственный интеллект меняет правила игры в кибербезопасности, и стоит быть в курсе новых возможностей.
НЕ НУЖНО БЫТЬ ГЕНИЕМ, ЧТОБЫ СТАТЬ ХАКЕРОМ
🦊 Sumanth Yerranagula развенчивает миф о том, что хакерами становятся только гении: https://medium.com/@RootPwned/you-dont-need-to-be-a-genius-to-be-a-hacker-just-be-curious-72adbae6296
Главное качество — любопытство и желание разобраться в том, как работают системы.
RXSS В НЕИСПОЛЬЗУЕМОЙ ФУНКЦИИ
🧟♂️ Sevada797 нашел Reflected XSS в функции, которая даже не вызывалась в коде: https://medium.com/@zatikyan.sevada/rxss-in-uncalled-function-6eb14bc5bd6
https://github.com/Sevada797/get-bruter/
Это напоминает о важности проверки всего кода, даже если он кажется неиспользуемым.
УЯЗВИМОСТЬ В БИЗНЕС-ЛОГИКЕ
🚫 JEETPAL обнаружил уязвимость в бизнес-логике, позволяющую блокировать создание аккаунтов для любых пользователей: https://infosecwriteups.com/business-logic-allows-any-user-to-be-blocked-from-creating-an-account-6a7ab7013ccc
Ошибки в логике приложения часто приводят к серьезным последствиям.
СПРАВОЧНИК ПО УЯЗВИМОСТЯМ БИЗНЕС-ЛОГИКИ
📜 Gr3yG05T создал справочник по поиску уязвимостей в бизнес-логике приложений: https://gr3yg05t.medium.com/business-logic-flaws-a-bug-hunters-handbook-293f6a89a7f4
Это ценный ресурс для тех, кто хочет выйти за рамки стандартных проверок безопасности.
ГЛАВНЫЕ ВЫВОДЫ ДЛЯ ОХОТНИКОВ ЗА БАГАМИ:
1. 🔄 Воспроизведение известных багов может привести к новым открытиям
2. 🪚 Стандартные инструменты можно использовать нестандартным образом
3. 🧩 Уязвимости часто скрываются в бизнес-логике, а не только в коде
4. 👾 "Мертвый" код может оказаться источником проблем
5. 🦝 Для успеха в баг-баунти важнее любопытство, чем формальное образование
🦅 Охота за багами — это не просто поиск уязвимостей, это особый образ мышления, позволяющий видеть то, что другие пропускают.
Medium
Story of a Cyber Newbie
There are days I wake up feeling like a cyber ninja in training, browser open, Burp Suite ready, fingers dancing across keyboard like I am…
👏1
чтобы читать статьи на medium без "paywall" используйте https://freedium.cfd/
👏1🙊1
Не все ссылки открываются тк конечный айдишник medium зависит от пользователя - поэтому переходите к автору конкретному статьи и смотрите😄
Forwarded from CyberSecurityTechnologies (-CST-)
Playbook_LLM_Sec.pdf
4.9 MB
#Tech_book
#MLSecOps
"The Developer's Playbook for Large Language Model Security: Building Secure AI Applications", 2024.
#MLSecOps
"The Developer's Playbook for Large Language Model Security: Building Secure AI Applications", 2024.
Я просто не понимаю....это Блиновская? Успешный успех продается, вы будете зарабатывать много денег, но заплатите денег.... что....
Пж обьясните в комментах для кого это, вот миллиард источников открыто, есть нейронки, есть ctf позволяющие попробовать себя и найти единомышленников, есть реально авторитетные курсы и MINDMAP курсов, карьерный трек от позитивов...без негатива к создателям, но что за кринж
https://t.me/c/2417106595/153
https://securitymentor.ru
Пж обьясните в комментах для кого это, вот миллиард источников открыто, есть нейронки, есть ctf позволяющие попробовать себя и найти единомышленников, есть реально авторитетные курсы и MINDMAP курсов, карьерный трек от позитивов...без негатива к создателям, но что за кринж
https://t.me/c/2417106595/153
https://securitymentor.ru
🤷♂1
Возможно я ошибаюсь - пишите комменты, но немного хоть аргументированные.
Я помню начинал с юдемай, потом международные курсы и университеты (3 диплома по иб), есть даже СЛИТЫЕ ПЛАТНЫЕ курсы если реально хочется учится бесплатно....
Я помню начинал с юдемай, потом международные курсы и университеты (3 диплома по иб), есть даже СЛИТЫЕ ПЛАТНЫЕ курсы если реально хочется учится бесплатно....
🙏1
БЕЗ негатива к автору, скорее всего есть спрос для людей которые не хотят ничего делать. Но они никем и не станут скорее всего
🦄3❤1💯1
Пацаны никому не говорите это секрет🫶😱
https://cybersecurity-roadmap.ru/
https://cybersecurity-roadmap.ru/
cybersecurity-roadmap.ru
Схема карьерных треков в кибербезопасности
Дорожная карта развития в области информационной безопасности
👌1
Forwarded from НеКасперский
Знакомьтесь
Исследователи обнаружили zero-click уязвимость в iMessage, которая позволяла атаковать iPhone без участия пользователя через банальное обновление никнейма.
Дыра получила название NICKNAME и затрагивала процесс обновления профиля в мессенджере. Злоумышленник мог отправить серию никнейм-апдейтов, вызывая состояние гонки и краш процесса imagent. В результате появлялась возможность выполнить произвольный код на устройстве жертвы.
iVerify утверждает, что под удар попали высокопоставленные лица из США и Евросоюза — политики, журналисты, топ-менеджеры IT-компаний. Краши составляли менее 0,001% от всех зафиксированных сбоев, но почему-то «случайно» происходили именно на смартфонах этих людей.
Apple закрыла брешь в iOS 18.3.1, но категорически отрицает факт целевых атак. Купертиновцы называют находку «обычным багом».
НеКасперский
Исследователи обнаружили zero-click уязвимость в iMessage, которая позволяла атаковать iPhone без участия пользователя через банальное обновление никнейма.
Дыра получила название NICKNAME и затрагивала процесс обновления профиля в мессенджере. Злоумышленник мог отправить серию никнейм-апдейтов, вызывая состояние гонки и краш процесса imagent. В результате появлялась возможность выполнить произвольный код на устройстве жертвы.
iVerify утверждает, что под удар попали высокопоставленные лица из США и Евросоюза — политики, журналисты, топ-менеджеры IT-компаний. Краши составляли менее 0,001% от всех зафиксированных сбоев, но почему-то «случайно» происходили именно на смартфонах этих людей.
Apple закрыла брешь в iOS 18.3.1, но категорически отрицает факт целевых атак. Купертиновцы называют находку «обычным багом».
НеКасперский
🔥1
Forwarded from Russian OSINT
This media is not supported in your browser
VIEW IN TELEGRAM
Интересное исследование ML-спецов из Apple, которое не оставило равнодушным ИИ-сообщество критиков, включая академические круги. Рекомендую самостоятельно изучить и дать оценку
Зачастую "ум" нейросетей измеряют на стандартных бенчмарках AIME или MATH, но проблема заключается в их так называемом "загрязнении". Иначе говоря, по утверждению ученых, есть высокая вероятность того, что задачи и ответы этих тестов попадают в датасет обучения ИИ-моделей. Это примерно как студент приходит на экзамен с готовыми шпорами на свой билет без надзирателя.
Ученые решили подойти к исследованию нестандартно. Они взяли данные не из интернета, а "стерильные" алгоритмические головоломки для объективности. Главные из них — "Башня Ханоя", "Прыжки шашек", "Мир блоков"и "Переправа через реку".
Ханойская башня (пример) — перестановочная головоломка в виде трёх стержней, на один из которых в виде пирамиды нанизаны восемь колец разного диаметра. Задача состоит в том, чтобы переместить пирамиду из колец на другой стержень за наименьшее число ходов. За один раз разрешается переносить только одно кольцо, причём нельзя класть большее кольцо на меньшее.
Например, популярные
О чём это говорит? 🤔Ученые делают вывод, что ИИ-модели не понимают рекурсивный принцип. Они лишь воспроизводят короткие последовательности, которые, вероятно, "видели" при обучении. По сути, идёт бурная имитация деятельности, а не процесс "размышления".
💡Интересный момент: DeepSeek-R1 в "Башня Ханоя"сдаётся без боя на ♟длинной дистанции. Когда количество колец достигает 15, то модель, вместо того чтобы "думать" ещё усерднее, резко сокращает объем рассуждений до 2000-4000 токенов, выдавая быстрый + неверный ответ. Алгоритмы столкнувшись с задачей выше определённого порога сложности перестают справляться и весь процесс "рассуждения" ломается.
Модель Claude 3.7 Sonnet имеет "thinking" режим. Выяснилось, что обычный режим работает быстрее и даже надёжнее на короткой дистанции, а вот "мыслящая" версия склонна к "overthinking" на длинной дистанции. В конце она путается в собственных рассуждениях. На задачах средней сложности "мыслящий" режим действительно неплох. На короткой лучше использовать обычную версию.
Работа ученых из Apple является "холодным душем" для всех, кто уже поверил в появление мыслящего ИИ. Ученые намекают на то, что мы находимся в эпоху "иллюзий", где невероятно сложные технологии имитации принимаются за подлинный интеллект.
💡Вывод: GPT-4o, Claude 3.5 Sonnet, Gemini 1.5 Pro, Llama 3, DeepSeek-V2, Mistral Large, и Grok — все они "имитаторы" или, говоря более научно, универсальные аппроксиматоры. Современные LLM это не более чем системы предсказания следующего слова (или токена). Вся их "магия" основана на статистических закономерностях, извлеченных из гигантских объемов текста.
🤖 ИИ не может рассуждать как человек, а главное🧠 творить и созидать. Нет духа. Нет божественной искры.
Please open Telegram to view this post
VIEW IN TELEGRAM
🕊2💯1
Russian OSINT
Будущее пентеста be like:
Особенно смешно что новшество(новая позиция) в похеке это Mlsecops, пентест аи, по сути работающего как акинатор
A Comprehensive Guide to AI Security for CISOs: Challenges, Strategies, and Measuring Success
https://bigid.com/blog/a-ciso-guide-to-ai-security/
https://bigid.com/blog/a-ciso-guide-to-ai-security/
BigID
A CISO’s Guide to AI Security
A Comprehensive Guide to AI Security for CISOs: Challenges, Strategies, and Measuring Success As Chief Information Security Officers (CISOs), the responsibility to safeguard an enterprise’s sensitive data grows …
Forwarded from Пост Лукацкого
Словил инсайт 💡 после нескольких последних выступлений про кибербез с точки зрения бизнеса. Какие бы фреймворки и методологии вы не использовали, остается один момент, который сложно описать и формализовать. Речь о первом контакте с топ-менеджером(ами) 🧐
Вы можете все прекрасно рассчитать🧮 , правильно оценить ущерб, составить список событий с катастрофическими последствиями (хотя это не вы должны его составлять, а топы как раз), рассчитать ROI от внедряемых средств защиты и даже предложить несколько альтернатив. Но все это будет бесполезно 🤷♀️ , если у вас нет кредита доверия от CEO.
И вот как его заработать - это и есть основная задача ИБ🤔 И это несложно, на самом деле, но не быстро.
По моим оценкам должно пройти не меньше2️⃣ (в идеале) лет, прежде чем вам начнуть доверять. И все это время вы должны стучаться в закрытую дверь 🚪 Ее обязательно откроют, но не все дожидаются, уходя через 2-3 года на новое место работы 🚶
Многие выбирают путь наименьшего сопротивления🛡 - заниматься compliance, решать технические вопросы, приобретать средства ИБ, устранять уязвимости, прокачивать технические скиллы у сотрудников на киберполигонах… Потому что это все дает быстрый и видимый результат… для ИБшника, не для бизнеса. Так и живем… 😔
#бизнес #ciso
Вы можете все прекрасно рассчитать
И вот как его заработать - это и есть основная задача ИБ
По моим оценкам должно пройти не меньше
Многие выбирают путь наименьшего сопротивления
#бизнес #ciso
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM