АНБ: 50 лет математического криптоанализа (1937 - 1987)

Небезинтересно поковыряться в деклассифицированных документах. Кроме того, есть еще и версия 2019 года, отличающаяся степенью редактирования от текущей.
Как уже отмечал Алексей Викторович: "...документ представляет немалый интерес для историков криптографии", но у меня при быстром просмотре обоих документов (приложу во вложении) возник еще ряд мыслей, которым решил поделиться:

1. Версии 2019 и 2025 года немного по-разному обфусцированы. Во-первых это может дать возможность проследить какую-то динамику секретности: что вымарывали в 19-м и что вымарывают в 25-м, а, во-вторых, имея два документа, обфусцированных немного по-разному, можно попробовать восстановить скрытые фрагменты, может ИИ нам в этом поможет?

2. Возможность извлечения дополнительной информации из индекса подтверждает старую идею о невозможности надежной обфускации документа, поэтому всегда сохраняется риск восстановления скрытых фрагментов за счет перекрестных ссылок с открытых. В частности, вот дяденька постарался и погруппировал слова из индекса по страницам (тоже приложу документик (txt), не должна пропасть такая работа), в итоге, о полностью скрытых страницах, как, например, 9-11, 13, 15-17, создается некоторое представление, и можно развивать догадки.

3. Криптономикон - замечательная книжка Нила Стивенсона. В ней в художественной форме вскользь проходит тема Энигмы, но не упоминается более продвинутая Машина Лоренца, тоже криптоанализированная в Блетчли-Парк . А вот в этих документах можно встретить упоминание обеих, причем, похоже, машину Лоренца хотели выморать, однако в указателе можно найти ссылки на колесо Кай (Chi wheel), колесо Сай (Psi wheel), а еще - TUNNY, Turing, Alan и Tutte, W. T. - все это на странице 13, полностью скрытой 😁.

Кто увидит что интересное, пишите в комментариях. Я поставил в бэклог более внимательное на изучение.

#crypto

The OpenAI Files

Любопытнейший ресурс предлагающий простенькую аналитику на основе открытых публикаций, но, что еще более важно, - приводится список оригинальных источников, очень удобно собрано в одном месте. Привожу также ссылку на источник, откуда узнал сам (спасибо бывшему коллеге Кириллу, что поделился).

Всегда полезно следить за лидерами, так как процессы, происходящие в них, в конечном счете имеют отражение на всю индустрию, а с учетом новостей на расстановку сил в мире.

Ресурс обещает какую-то динамику, будем следить.

Ну а тем, кто сокрушается о "вепонизации ИТ и ML" приведу замечательную цитату из книжки Уолтера Айзексона "Стив Джобс", книжку упоминал здесь и настоятельно рекомендую к прочтению:

Mountain View had been a godforsaken place until the military showed up.

т.е. вся Кремниевая долина стала технологическим центром только благодаря государственным инвестициям, военным и "вепонизации". Все современное ИТ - побочный продукт военных исследований.

#управление #мир #ml #книги

Гибридный SOC 2025

В прошлом году мы много говорили о том, что все SOC - гибридные (видео , статья , Gartner в тему ) и, видимо, наши аргументы показались Сообществу убедительными, так что уже в этом году гибридные SOC обсуждали на ежегодных посиделках Anti-Malware.

А 26.06 в 11.00 МСК на CISO Club будет вебинар - Гибридный SOC 2025: как AI, автоматизация и люди вместе побеждают киберугрозы , где будет принимать участие мой друг и коллега - Алексей Пешик.

Темы заявлены мне небезразличные, и мы их касались, поэтому интересно послушать мнения уважаемых коллег.

Я зарегистрировался...

#MDR #ml #vCISO

Ежемесячно Open AI выпускает отчет о борьбе с вредоносным использованием ИИ. Вот июньский, pdf .

За вычетом пафосных моментов, типа:

we believe that making sure AI benefits the most people possible means enabling AI through common-sense rules aimed at protecting people from actual harms, and building democratic AI. This includes preventing the use of AI tools by authoritarian regimes to amass power and control their citizens, or to threaten or coerce other states; as well as activities such as covert influence operations (IO), child exploitation, scams, spam, and malicious cyber activity

документ мне показался полезным.

Поделюсь мыслями, возникшими в процессе изучения документа.

1. Документ содержит практические сценарии использования (о сценариях говорили здесь ), т.е. там, где эффективность подтверждается самой практикой

2. Нам, безопасникам, надо понимать ландшафт угроз и как эти угрозы реализуются. Документ содержит фактические сценарии атак, автоматизируемые ИИ - например, генерация фейков и дезинформации, фишинг, разные схемы мошенничества, генерация ВПО, поиск уязвимостей, и пр. , кое где есть ссылки на примеры реальных инцидентов.

3. Документ показывает, что все наши запросы улетевшие в облачную ИИ тщательнейшим образом анализируются, т.е. о какой-либо их конфиденциальности не может быть и речи.

4. Объективность критериев вредоносности очень напоминает книжку и в стиле цитаты выше, поэтому надо иметь в виду риск предвзятости выдачи самой модели, а вот и Иван намекает, что ИИ будет служить инструментом формирования общественного мнения... Но в подавляющем большинстве сценариев "политические взгляды модели" вряд ли будут иметь значимое влияние.

5. Документ о том, какие сценарии использования своей модели Open AI считает неправильными - интересен, но еще более интересным был бы подобный дайджест о правильных сценариях использования, в которых бы описывались конкретные практические реализации. Сейчас есть что-то , более напоминающее маркетинговые листовки. Такая популяризация "правильных сценариев", тоже способствовала бы снижению количества "неправильного использования".

#ml #vCISO

Плейбук на срабатывание антивируса

Положительные стороны унификации процессов ИБ понятны, наверно, так как все это делают (не может же это происходить исключительно по инерции или из-за стадного инстинкта). Но у всего есть и оборотная сторона, которая, судя по задаваемым вопросам, не всегда очевидна. В новой статье я попытался объяснить почему не может быть одного плейбука на все детекты антивируса.

В общем-то, логика очень простая: плейбук - это план реагирования на инцидент, а детект антивируса - это один из артефактов, по которому далеко не всегда можно сразу восстановить всю картину инцидента. Представляете себе доктора, который по одному симптому сразу назначает вам курс лечения? Только ситуация еще даже хуже. Поскольку разные детекты антивируса означают абсолютно разное, а плейбук почему-то один, то в предложенной аналогии, наш горе-доктор на любой симптом назначал бы одно и то же лечение: насморк - Амоксиклав, болит голова - Амоксиклав, диарея - Амоксиклав.... И это не смешно!

#vCISO #MDR

Балалайка

Раз я позволил себе написать про гитары, о которых я могу судить исключительно с позиции любителя, то было бы несправедливо обделить вниманием балалайку, которой я отдал годы в музыкальной школе...

#музыка

В прошлую среду, в Завидово, вот уже в четвертый раз, проходил Kaspersky Кибер кэмп. Форамат традиционный - презентации не публикуются, записи докладов нет, слайды фотографировать можно только при явном разрешении спикера, никакой рекламы. Поскольку мероприятие позиционируется не только как контентное, но и как площадка для профессионального нетворкинга, в программе имеются два замечательных вечера с вкусным ужином, напитками. Ну а для самых стойких я могу еще и попеть песни под гитару до глубокой ночи, а то и до раннего утра. Мне лично очень приятно, что сформировался уже своего рода фэн-клуб этих посиделок с гитарой, что, безусловно, меня лично мотивирует разучивать новые вещи... но об этом как-нибудь в другой раз.

Конференция состоит из четырех секций с докладами, разделенных двумя перерывами на кофе и обедом, в первой секции, утром проводится панельная дискуссия. Техническая составляющая в докаладах нарастает по мере приближения к вечеру, т.е. какие-то общие слова - обычно до обеда, а интересные технические вещи - в третьей и четвертой секциях.

Мы тщательнейшим образом изучаем обратную связь, поэтому, кто был на мероприятии и читает мои заметки, пожалуйста, напишите, что бы мы могли улучшить. Опыт прошлых отзывов показал, что первые две секции несколько выбиваются по качеству докладов, причем первая секция еще держится за счет панельки, то вторая - подобного преимущества не имеет. Модератор второй секции - ваш покорный слуга.

В этом году, мы, во-первых, немного перетасовали доклады по секциям, а, во-вторых, решили попробовать оживить вторую секцию и провести там конкурс дебатов. Причем, панелька в первой секции тоже оживилась, поскольку по инициативе Себера, была организована в виде "Своей игры": участник выбирал тему вопроса и номер, и депфейк селебрити из отечественной ИБ задавал вопрос.

Но вермнемся к дебатам. 4 участника, два полуфинала, один финал. В каждом раунде по два тура по полторы минуты. Темы полуфиналов были известны заранее, а кому какая тема и какая позиция выпадет - выбиралось жеребьевкой. Финальная тема не была известна заранее, позиция выбиралась монеткой, как в футболе. Голосование за аргументацию производилось участниками мероприятия через Телеграм-бота.

Тем для отборочной комиссии я напридумывал много, выбраны были только три, но в следующей заметке приведу их все, может, кому-то этот список поможет сделать свои собственные дебаты, а может, самому задуматься о том, где в этих темах правильный баланс "за" и "против". Темы умышленно выбирались холиварные, на которые не может быть радикального ответа типа "да, можно" или "нет, нельзя", а важен именно баланс, как, собственно, и во всем.

А вообще, закончить хочется цитатой одного из гостей, которую я повторил и со сцены:

То, о чем сегодня говорят на Кибер кэмпе, завтра говорит весь рынок

Будем стараться оправдывать доверие и ожидания!

#vCISO

Варианты тем дебатов по ИБ

1. Безопасность vs. Приватность
- должно ли государтсво встраивать бэкдоры в криптографию (или депонировать ключи)?
да: так как можно бороться с терроризмом, мошенничеством и т.п.
нет: так как теряется тайна личных переписок
- анонимность в интернете - это хорошо или плохо? (тема полуфинала)
да: так как это способтсвует свободе слова
нет: так как за базар надо отвечать

2. Безопасность vs. Требовния правообладателя: можно ли нарушать лицензионное соглашение для целей исследования безопасности (дело Майкла Линна из ISS против Cisco, Дима Скларов из Элкомсофта против Adobe)
да, так как это повышает качество продукта и защищает наши права, права потребителей
нет, так как закон нарушать нельзя, ибо правообладатель не разрешил явно

3. Отрицательная мотивация
- Стоит ли увольнять CISO из-за инцидентов ИБ
да: за прохую работу надо платить
нет: у него появился бесценный опыт
- Вообще, если сотрудник допустил ошибку и расследование показало, что злого умысла не было, его стоит наказывать? (тема полуфинала)
да: так как за все надо платить и это будет ему уроком
нет: так как были объективные причины, и виной всему обстоятельства, а наказине демотиврует и мы получим худший результат

4. Open-source проекты безопаснее проприетарных
да: так как открыт код для аудита
нет: так как код изучают и атакующие, не всегда понятно кто туда что коммитит, история знает случаи закладок (хотя и в проприетарных тоже)

5. Чем строже compliance, тем выше безопасность => государство должно ужесточать требования
да: стандарты дисциплинируют и задают базовый уровень, а ответственность стимулирует исполнять
нет: compliance != безопасность и появляюется новый вид апродуктивной деятельности - обход комплаенса, к тому же может создаваться опасная иллюзия безопасности, как раз из-за комплаенса

6. Этичен ли hack-back?
да: если меня атаковали, я имею права на активную защиту (в том числе 3rd party инфраструктуру, которая использовалась злоумышленниками)
нет: так как это может вести к злоупотреблениям и основаниям для хакерских атак

7. Этично ли нанимать на работу хакеров (с темным прошлым или настоящим)?
да: они супер-профессионалы
нет: они прежде всего криминальные элементы

8. Уничтожит ли сильный искусственный интелект (AGI) Человечество? (тема финала)
да, потому что
нет, будучи инструментом, он всегда останется инструментом


#vCISO

Kaspersky Cyber Insights 2025

В завершающей заметке по теме (слайды) делюсь ссылками на записи выступлений, доступные на Brighttalk.

У меня профессионально исковерканный субъективный взгляд, но все равно, приведу личные рекомендации, что можно посмотреть:
Kaspersky SOC in 2025: Key Observations and Findings
Know Your Adversary with the Threat Landscape
AI-Related Threat Landscape: 2025 and Beyond
Panel Beyond the Perimeter: Practical Strategies to Leverage Threat Intelligence for Proactive Cybersecurity

#MDR #vCISO

Понятно очевидное желание обнаружения атаки на как можно более ранних стадиях. Но принципиальная проблема в том, что для того, чтобы вредоносную активность обнаружить она должна проявиться. Т.е. сначала мы наблюдаем какие-то техники атакующего, а затем, собственно, за эти самые техники мы его детектим. При этом, не умаляется возможность предотвращения атак на ранних стадиях, поскольку мы не стремимся к полному отсутствию вредоносной активности, но к тому, чтобы эта вредоносная активность не успевала нам нанести ущерб прежде чем мы ее обнаружим, локализуем и остановим.

Видимо, все это и имеет в виду уважаемый Gartner, в своем "новом" документе "Emerging Tech: Top Use Cases in Preemptive Cyber Defense" от 13 августа 2024 (вторник, не пятница), но его чтение мне заметно подняло настроение, о чем не могу не написать в пятницу.

#MDR #vCISO #пятница

Gartner

Emerging Tech: Top Use Cases in Preemptive Cyber Defense

После сегодняшней публикации об Упреждающей безопасности ко мне обратился ряд читателей с просьбой прислать им, по дружбе, сам документ. Я подумал, что это нехорошо по отношению к читателям, кто не написал в ЛС, и что правильнее нам всем считаться друзьями.

Документ во вложении. Краткое резюме - ничего нового, описываются уже давно используемые на практике сценарии, но, видимо, пережеванные LLM с целью придания им ощущения революционности.

Зрелым SOC-ам док полезен для "сверки часов", что в том или ином виде описанные ноухау применяются.

#MDR

Prompt injection в академических статьях

Помните старую историю об инъекциях в резюме соискателей?

Вот продолжение!

Исследовательские работы из 14 академических институтов в восьми странах, включая Японию, Южную Корею и Китай, содержат скрытые тексты, заставляющие инструменты искусственного интеллекта давать им хорошие отзывы

Я частенько сам почитываю статьи на arXiv, показавшимися интересными делюсь в этом канале, и даже подписан на ежедневные новинки. Пока я пытаюсь находить время и просматривать публикации самостоятельно (правда, с чудовищным опозданием, но лучше поздно, чем никогда!), но их такое количество, что, в будущем, не исключаю использование какой-нибудь LLM, однако, ситуация с prompt injection, как будто, только ухудшается, поэтому риск принятия решения на основе исковерканной вредоносными промптами оценки LLM растет.

#ml

Что LLM известно о своих пользователях

Саймон Уиллисон в своем блоге рассуждал о новой фиче ChatGPT, заключающейся в сборе некоторого "досье" о пользователе (memory dossier feature) для дальнейшего подмешивания этой информации в контекст новых запросов. Этакий RAG, но на базе истории прошлых общений.

В статье товарищ приводит любопытные примеры и рассуждает о том, что подобное подмешивание нередко может вредить новой выдаче, и было бы полезно либо вообще эту фичу выключать или как-то управлять тем, что из прошлого Модель использует для формирования нового ответа.

Но я подумал и вот о чем. Общение с человеком позволяет нам неплохо узнать его. Да, было бы замечательно увидеться физически, оффлайн, но общение сообщениями тоже дает неплохое представление, как по части конкретных фактов о собеседнике, приведенных в запросе, так и анализ косвенных признаков: сложность построения предложений, стиль повествования, используемая лексика, наличие речевых, пунктуационных или орфографических ошибок. У каждого есть свой стиль, и вопрос определения авторства уже давно имеет решение , с появлением нейросетей задача получила новые подходы к решению , т.е. установить автора текста (и запроса к LLM) не видится большой проблемой. Анализ общения пользователя с Моделью можно сравнить с аналогичным профилированием собеседника - наши вопросы и сфера наших интересов прекрасно характеризуют нас. Кажется, что доступ к подобным "досье" открывает новые возможности по слежению, а, следовательно, контролю нас.

#ml #мир

Грохот в джунглях

В прошлом году доля инцидентов высокой критичности продолжила снижаться и составила менее 5% (слайд 11), из них доля инцидентов, связанных с обнаружением активной целевой атаки - 43% (слайд 16, там же). Если посмотреть наш аналитический отчет, то в прошлом году мы опубликовали примерно 13 000 инцидентов, т.е. примерно 13000 * 4,7% * 43,01% = 263 инцидента были связаны с активной APT на момент обнаружения, т.е. по реальной APT каждый день.

Мы в SOC не занимаемся атрибуцией и называем группировки в карточках инцидентов только если наблюдаем точное совпадение по индикаторам на основе доступного нам TI, однако, техники, процедуры и инструменты атакующих далее подхватываются внутренними экспертными подразделениями, специализирующимися на TI, а наши ребята получают достойное упоминание и благодарности в отчетах коллег (пример)

Вот и APT41, работающая по Африке (на русском), нами была обнаружена как раз в Африке. Инцидент был действительно интересный, и вам интересного изучения!

#MDR

Конверсия пилотов

В заметке я рассказывал о том, что адаптация детектирующей логики под клиента занимает время, а степень адаптации влияет на конверсию, которую надо контролировать (про метрики можно посмотреть здесь ).

В новой статье рассуждал о важности и проблемах контроля ложных срабатываний и на стороне клиента.

#MDR