Я очень долго не мог понять, почему концепция багбаунти мне кажется хуетой. Интерес бизнеса понятен: сотни и тысячи исследователей тратят свое время на постоянный (как в continuous) поиск уязвимостей, и платить в итоге нужно несоизмеримо меньше, чем если бы тоже самое делали сотрудники в in-house. Пока они это делают, SOC может собирать артифакты, анализировать логи, тренировать инцидент респонс. С перспективы исследователя мотивация денежная и репутационная, входя в топ бб ты становишься рок-звездой. Однако все это подаётся под соусом "мы делаем мир безопаснее". Нет, мы выебываемся. Компании выебываются тем, что у них трясутся над безопасностью, а исследователи гибкостью мышления и новаторским подходом. Баги, сдающиеся не в приватных программах, не несут другой цели. Они слишком сложные для создания реальной угрозы. Джеймс Кеттл использовал багбаунти для поиска in-the-wild кейсов для своих ресерчей, о чем неоднократно писал. Rhynorater накрутил чейн из CSS-инъекции, postMessage и client-side race condition чтобы получить номер кредитной карты пользователя PayPal. Это эффектно, это завораживает, размер выплаты вызывает зависть. Какой самый эффективный способ кражи данных карты? Черные колл-центры. Эффективно, дёшево, жертва даже может сама обналичить деньги. С учётом наличия в чейне race condition, который мягко говоря не всегда отрабатывает, старый добрый аферист из СИЗО масштабируется гораздо лучше. К чему я это все. Сегодня ознакомился с моделью угроз DREAD. Возможно, я встречался с ней раньше, но так глубоко не понял. Отличие от той же STRIDE заключается в том, что она представляет собой перспективу защиты и позволяет оценивать угрозы по степени влияния на бизнес. Если опустить D и A из аббревиатуры, остаётся три пункта: reproducibility, exploitability и discoverability. Вот здесь и проходит водораздел: как правило эти пункты для уязвимостей с багбаунти игнорируются, а импакт формируется из damage и affected users. Иными словами, в багбаунти часто залетают академические уязвимости, которые не будут эксплуатироваться реальными группировками. Можно ли считать бб дешёвым ред тимом? Можно. Можно ли считать его маркетинговой акцией? Тоже да. Считать, что переусложненный чейн из эзотерических уязвимостей реально влияет на безопасность - нет.
👍1💯1
Дочитал "Краткую историю русских хакеров" Туровского.
Что действительно взбудоражило, так это связь современной России с делом Карла Коха. Если вы никогда не слышали о нем, это случилось в конце восьмидесятых. Карл под псевдонимом Капитан Хабард (из трилогии Уилсона) из лучших соображений ввязался в военный шпионаж между странами НАТО и Советским Союзом. Он регулярно передавал данные о противоракетной космической обороне агенту КГБ в советском посольстве ГДР. В какой-то момент его тело нашли сожженным в идеальном кругу за 70км от дома. Несмотря на абсурдность этой версии, считается, что он совершил суицид.
Туровский подметил, что в те же годы в ГДР работал сотрудник КГБ Владимир Путин. Вероятно, он не сжигал Карла Коха лично. Но фиксация на кибербезопасности как в обороне, так и в сайд проекты типа FancyBear, говорит о том, что какой-то след этот кейс оставил. Видеть причиной этого полумифический случай практически пятидесятилетней давности меня, конечно, поражает.
Что действительно взбудоражило, так это связь современной России с делом Карла Коха. Если вы никогда не слышали о нем, это случилось в конце восьмидесятых. Карл под псевдонимом Капитан Хабард (из трилогии Уилсона) из лучших соображений ввязался в военный шпионаж между странами НАТО и Советским Союзом. Он регулярно передавал данные о противоракетной космической обороне агенту КГБ в советском посольстве ГДР. В какой-то момент его тело нашли сожженным в идеальном кругу за 70км от дома. Несмотря на абсурдность этой версии, считается, что он совершил суицид.
Туровский подметил, что в те же годы в ГДР работал сотрудник КГБ Владимир Путин. Вероятно, он не сжигал Карла Коха лично. Но фиксация на кибербезопасности как в обороне, так и в сайд проекты типа FancyBear, говорит о том, что какой-то след этот кейс оставил. Видеть причиной этого полумифический случай практически пятидесятилетней давности меня, конечно, поражает.
Сходил на выставку "Сады" в Новой Голландии. Большинство инсталляций довольно посредственные, зацепила только Perach. Это имя на иврите, означающее "цветение", и на русский более точно транслитирируещееся как "Пэрах", но в Цифергаузе решили не париться и назвали инсталляцию "Пирач". Суть инсталляции заключается в том, что к монстере подключили различные датчики и создали интерфейс для общения между растением и посетителями - можно увидеть, как растение ощущает ваше присутствие, ваш голос, движение вокруг. Я сам думал о подобной конструкции на ардуино, и очень обрадовался, узнав, что кто-то смог воплотить это в жизнь. Тема коммуникации с живыми организмами, обычно не имеющими для этого возможности, при помощи цифровых расширений меня в целом очень захватывает. До этого я постил аналогичный проект, позволяющий извлекать музыку из жизнедеятельности грибов. Подобные проекты сохраняют во мне оптимизм по отношению к технологиям и позволяют смотреть в будущее, которое не только ограничивает, но и расширяет возможности человека во взаимоотношениях с миром вокруг.
🔥2❤🔥1
Мой батя ебашит вообще адовые конфиги. Ну такой вот примерно рецепт усредненный, потому что вариаций масса.
Берётся сервер. Он не настраивается через панель управления, панель управления — это не про моего батю. Он берет этот VPS (голый, только с SSH), сносит ядро нахуй и собирает свой Linux Kernel 6.9.
В этот сервер он добавляет огромное количество обфускации: Shadowsocks с плагином v2ray-plugin лежит поверх KCP туннеля, но ключевая фишка — это WireGuard, поднятый НЕ через стандартный демон, а BoringTun в userspace, обернутый в Go-библиотеку для имитации SIP-телефонии.
Сверху он поливает это WebSocket'ом, обернутым в gRPC-стримы, которые шлют пакеты не в сторону конечного IP, а в Yggdrasil Network через публичные пиры mesh-сети. Все это жарится до состояния, пока у DPI не начинается bufferbloat и он просто дропает анализ.
Потом батя заходит с клиента (обычный Windows, на который он поставил NekoBox), щедро поливает туннель FakeDNS и начинает серфить. Ест трафик, шкрябая по клавиатуре. Смотрит 4K YouTube и приговаривает полушепотом "ух бля... jitter 1.2 ms".
При этом у него на лбу аж пот выступает от осознания того, насколько энтропия пакетов соответствует трафику звонка в Discord.
Мне любезно иногда предлагает QR-код, но я отказываюсь. Потому что я знаю: стоит мне подключиться к его серверу, надо ли говорить, какой дичайший пердеж потом случается у Роскомнадзора? Вонища от логов блокировок такая, что обои в их ЦОДе от стен отклеиваются, а админы в панике перезагружают СПД "Ревизор".
Берётся сервер. Он не настраивается через панель управления, панель управления — это не про моего батю. Он берет этот VPS (голый, только с SSH), сносит ядро нахуй и собирает свой Linux Kernel 6.9.
В этот сервер он добавляет огромное количество обфускации: Shadowsocks с плагином v2ray-plugin лежит поверх KCP туннеля, но ключевая фишка — это WireGuard, поднятый НЕ через стандартный демон, а BoringTun в userspace, обернутый в Go-библиотеку для имитации SIP-телефонии.
Сверху он поливает это WebSocket'ом, обернутым в gRPC-стримы, которые шлют пакеты не в сторону конечного IP, а в Yggdrasil Network через публичные пиры mesh-сети. Все это жарится до состояния, пока у DPI не начинается bufferbloat и он просто дропает анализ.
Потом батя заходит с клиента (обычный Windows, на который он поставил NekoBox), щедро поливает туннель FakeDNS и начинает серфить. Ест трафик, шкрябая по клавиатуре. Смотрит 4K YouTube и приговаривает полушепотом "ух бля... jitter 1.2 ms".
При этом у него на лбу аж пот выступает от осознания того, насколько энтропия пакетов соответствует трафику звонка в Discord.
Мне любезно иногда предлагает QR-код, но я отказываюсь. Потому что я знаю: стоит мне подключиться к его серверу, надо ли говорить, какой дичайший пердеж потом случается у Роскомнадзора? Вонища от логов блокировок такая, что обои в их ЦОДе от стен отклеиваются, а админы в панике перезагружают СПД "Ревизор".
🤣1