Время от времени мы проводим неформальные, но очень насыщенные встречи для тех, чьи интересы так или иначе затрагивают оффенсив (пентестеры, аппсекеры, аналитики). Эти митапы обычно состоят из трех-четырех докладов, после чего большинство участников перетекают в afterparty и живое общение.

О том, как попасть на очередное такое мероприятие, расскажем уже в следующем году. А пока – пример одного из докладов с последнего митапа: наш коллега Георгий Кигурадзе рассказал, как сдампить Lsass, оставаясь под радарами стандартных хантов. Было много запросов пошарить слайды этого доклада, и вот они – в приложенном файле.

TL;DR: Извлечение секретов из lsass – один из логичных шагов на этапе постэксплуатации в Windows-инфраструктурах. Однако большинство готовых решений гарантировано детектируется стандартными средствами. Наше решение: разработать свою реализацию дампа, на основе примитивов доверенного инструмента.

Основная идея в том, чтобы использовать прямое чтение физической памяти через подписанный Microsoft драйвер, который используется расследователями для снятия дампа оперативной памяти. Сканируя память, мы находим ядерную структуру EPROCESS для процесса lsass.exe. После парсинга этой структуры проходимся по всем VAD-ам, принадлежащим процессу, и ищем lsasrv.dll. Именно в этой библиотеке находятся необходимые нам ключи шифрования и контексты пользователей. Прочитав физическую память по нужным адресам, можно расшифровать контексты пользователей и получить их NTLM-хэши.

Всё это мы реализовали как BOF для Mythic C2 (про создание собственного Mythic-агента расскажем чуть позже).

Ну и полезный совет для стороны защиты: подобные атаки можно обнаружить по регистрации подозрительного драйвера для форензики (смотрите IoC на последнем слайде).

Я не люблю делать прогнозы, но, как я писал здесь:

...если считать, что будущее - следствие настоящего, то успех предсказания можно считать метрикой адекватности свой оценки текущей ситуации, ну а если мы адекватно интерпретируем происходящее, значит мы разбираемся в своей работе и отрасли

Канал Sachok опубликовал мой прогноз под номером 2222 (видимо, это знак 😁)

В РФ делать прогнозы дело неблагодарное, однако, если их не делать - это означает не анализировать текущую ситуацию и не заниматься планированием, не говоря уж о стратегии. Будем менеджерами, будем анализировать происходящее и делать прогнозы!

Как всегда, ваше мнение относительно моих прогнозов приветствуется в комментариях.

#РФ #управление #vCISO

Когда безопасность побеждает безопасность -

- подумалось мне, когда после установки последних обновлений у меня отъехал токен => перестала работать двухфакторная аутентификация.

Спасибо, другу и коллеге Вадиму, починить удалось относительно быстро. Можно поставить пакет во вложении, а для гиков можно все собрать самому. Есть заметка с обсуждения, но в моем случае я пользовался просто последовательностью, описанной в INSTALL.md инсталляционного пакета.

Пока чинил вспомнил пару случаев неудачных обновлений. Один, ну конечно, с Crowdstrike, вот можно почитать их объяснения (без комментариев нет слов).

Другой же пример касается тоже принудительной установки обновлений, но на сей раз обновлений операционной системы Windows, дающих конфликт с прикладным ПО от КриптоПРО. При этом, видимо, КриптоПРО побеждает, поскольку после обновления, Windows более не поднимается . А пока лежат операционная система и все приложения, пользователи, которые должны приносить ценность предприятию, а вместо этого нарушают свои обязательства перед клиентами и личные КПЭ, нервно курят.

Решение по недопустимости - очевидное, но, поскольку на практике не всегда работает, приведу его здесь:
- инвентаризация активов: надо знать какие версии какого ПО установлены
- обновления перед принудительной установкой тестировать на всех конфигурациях, выявленных при инвентаризации
- даже протестированные обновления накатывать волнами, начиная с "менее значимых"\более простых в траблшутинге подразделений
- если хочется заинфорсить актуальность версий системного и прикладного ПО, то применять более мягкие сценарии, типа, не пускать в сеть на NAC, если патчлевел не тот, что нужен
- надо вести учет такого рукож**ого конфликтного ПО (в частности, КриптоПРО) и при инвентаризации и тестировании обновлений на это явно обращать внимание (~ любые ошибки должны делать нас лучше).

#пятница #vCISO

На разного рода эфирах и интервью я не раз говорил, что наступательная кибербезопасность - хороший инструмент проверки эффективности нашей операционной ИБ (SOC-а с технологиями, процессами и командой). Но, как любой хороший инструмент (практика показывает, что чем большую эффективность от инструмента мы хотим, тем на более узком объеме его следует рассматривать), пентест (в этой заметке для простоты буду использовать "пентест", но понимать буду более широкий спектр различных активностей по анализу защищенности) для проверки SOC годится лишь отчасти, так как:
- в задачи пентеста, как правило, не входит необходимость действовать скрытно, поэтому они шумны и обнаруживаются. Безусловно, все зависит от задач на пентест, но если поставить цель действовать скрытно, то такие работы растянутся на долгие месяцы и будут экономически нерентабельные (решение есть - иметь внутреннюю команду)
- упомянутая выше ограниченность во времени влияет и на глубину проработки. Я не раз рассказывал случай, когда на одном из моих проектов пентестеры нашли потенциальную RCE в Sendmail на HP-UX, однако, ввиду не особой популярности ОС, доступного эксплоита не было, а нечеловеческие усилия не позволили разработать эксплоит самостоятельно в рамках работ на проекте.
- связанная проблема - ограниченность подготовки. На пентесте будут использоваться какие-то старые собственные заготовки, либо вообще публично доступные инструменты, никакие полностью кастомизированные, разработанные исключительно для этой конкретной атаки тулы использоваться не будут.

В общем, пентест существенно отличается от реальной атаки. Ну а обнаруживать-то хочется реальную атаку! И здесь нам на помощь придет Compromise Assessment (например, этот, или этот, или какой другой), который как раз и направлен на обнаружение пропущенных в прошлом атак. По сути CA выдаст список прошлых инцидентов, относительно которых можно далее заглянуть в историю работы своего SOC и посмотреть что там было видно, почему не видно и наметить какие-то улучшения.

На мой взгляд CA, как и пентест, - хороший инструмент оценки результативности SOC, причем, основанный не на синтетических сценариях, а на реальных инцидентах. Все уже давно осознали необходимость периодического пентеста, и даже регуляторка это требует, а вот с СА пока такого нет (ну, разве что, в регионе META я такое видел), а ситуация ровно такая же: периодически надо получать уверенность, что не было пропущенных инцидентов, за одно и проверить результативность SOC-а.

Маленькая очевидная ремарка: если у нас операционная безопасность обеспечивается решениями одного вендора, то СА надо брать от другого вендора. Подобная кросс-валидация решений одного вендора решениями другого позволит и конкуренцию усилить, и, как следствие, повысит качество предложения на рынке.

Итак, CA - отличный инструмент для заказчика, чтобы проверить результативность его SOC: инструментов (NDR, EDR, MDR, MXDR), процессов и профессионализма команды, а также, чтобы наметить дальнейшие планы развития бизнес-функции операционной безопасности.

#vCISO #MDR #управление

Я почитываю Эвана. Нередки там очевидные и логичные вещи, или меня не касающееся, но часто бывают и интересные моменты. В общем, я исповедую подход, что лишних знаний не бывает, поэтому стараюсь читать многое.

Особенно я люблю смотреть напутствия студентам. Всегда полезно оглянуться назад и сравнить свою жизнь с тем, что рекомендуют уважаемые люди. Настоятельно рекомендую всем посмотреть Стива Джобса, но вот поспело и выступление Эвана в Финансовом Университете, и здесь пара моментов меня задели.

1. Работать в компании, которая часть вознаграждения выплачивает собственными ценными бумагами. Это действительно частая практика, и это выгодно работодателю - относительно бесплатно привязывать к себе ценных сотрудников (именно таким дают подобные опционы). Однако, с позиции работника, в соответствии с очевидным принципом диверсификации инвестиций, напротив, вкладываться в акции\облигации собственного работодателя выглядит сомнительно: я уже получит доход от компании-работодателя в виде зарплаты, поэтому разумнее "лишние" деньги вложить в другие компании, пусть они мне тоже приносят дивиденды\купоны. Здесь же работает очевидная логика по тяжести потери: положив все яйца в одну корзину, пережить сложности работодателя будет значительно больнее. Да, Эван, безусловно прав, что получив "за просто так" ценные бумаги мы автоматически становимся инвесторами, что лучше, чем не быть инвестором (это просто открывает для нас фондовые рынки как дополнительный инструмент сохранения капитала), но получать просто деньги и дальше самостоятельно решать что с ними делать - всяко лучше, чем бумаги непонятного стартапа (вполне возможно, еще и с кучей ограничений).

2. Инвестиции в криптовалюту. Про крипту у Эвана есть отличный базовый материал. Полностью согласен, и история это многократно подтверждала: когда из каждого утюга кричат о какой-то инвестиционной идее в какой-то актив, это значит, что из этого актива пора выходить. Сейчас все говорят про крипту... Криптография - часть моего университетского образования, и я знаю как технически работают криптовалюты, однако всегда к ним относился опасливо, а после серии заморозок активов в 2022 однозначно для себя решил, что инфраструктурных рисков там слишком много и пока они не будут решены нести туда деньги опасно. Приведу мои аргументы (они все спорные, их можно бесконечно оспаривать, у меня нет задачи дискутировать, я просто делюсь мнением):
- криптовалюта нематериальна - она не имеет физического эквивалента, как драгоценные металлы или деньги, это просто запись в каких-то компьютерах (в чьей они юрисдикции? кто и как ими управляет?).
- иногда мне кажется, что криптовалюта - это бэкап-план хозяев доллара, - новый проект мировых алхимиков, продолжающих следовать принципу, озвученному Родшильдом в начале 19 века: "Дайте мне право выпускать и контролировать деньги страны, и мне будет совершенно всё равно, кто издает законы". Невозможно выиграть у шулера в его игру на его условиях.
- для обеспечения ликвидности нужны криптобиржи - в чьей они юрисдикции? Мы точно всегда сможем поменять наши записи в криптокошельках на бумажные деньги, оставаясь территориально в РФ и гражданином РФ? Прициденты ограничений для россиян широко известны.
- я подожду полной легализации криптовалют в РФ и\или полностью локализованных в РФ криптовалют с локальными биржами, на которых не будет риска ограничений, все инфраструктурные риски будут сняты, в общем, я подожду пока государство хоть как-то мне прогарантирует справедливость правил игры

Ну а то, что надо постоянно учиться и развиваться - с этим я полностью согласен с Эваном, я тоже вижу перспективу в машобуче\ИИ, ИБ и ИТ!

Все что я тут написал - мое личное мнение, не претендую на экспертность в вопросах инвестирования (тем боле в крипту!), не является инвестиционной рекомендацией. В инвестициях нет ничего "100%-ного", "абсолютно точного", и об этом Эван тоже говорит, каждый хозяин своим деньгам и должен думать сам. Всегда есть баланс риска и доходности, и чем выше доходность мы хотим, тем больший риск мы вынуждены принимать.

#финансы #саморазвитие

Публичные роудмапы

Выбор решения ИТ или ИБ - это как выбрать бизнес партнера, также непростая задача.

Обычно мы берем самые последние версии в пилот и проводим функциональное сравнение, а на основе результата принимаем решение о том, насколько текущая версия нам подходит. Но как то, насколько подходит мне бизнес партнер покажет только время, так и решение хочется выбирать не только исходя из текущего функционала, но из будущего. Чем выше мой уровень зрелости, тем сложнее выбираемые мной решения, тем большая кастомизация мне требуется, тем больнее для меня будет переход к дургому вендору. Смена хорошего бизнес партнера тоже едва ли безболезненна. Поэтому мне, тем более, важно понимать будущий функционал выбранного мною сегодня решения. При выборе сложного решения я хочу сравнивать не только текущий фичасет, но и будущий, причем в привязке ко времени, ибо вполне возможно, что в отстающем на текущий момент решении, принципиально важные для меня фичи будут реализованы значительно быстрее, и поэтому ценность от использования этого решения для меня на продолжительном временном интервале будет выше, несмотря на то, что в моменте функционально данное решение проигрывает конкурентам (и при простом сравнении версий, я бы его не выбрал). Поэтому сравнивать нужно не только текущий функционал, но и роудмапы, и оценивать свою эффективность и результативность от использования решения на продолжительном временном интервале в будущем.

Кроме того, роудмап - это хоть какие-то обязательства вендора передо мной, что выбранное мною решение не будет в ближайшем будущем заморожено в развитии. Если я выбираю себе бизнес партнера, я хочу понимать его стратегию относительно важной для меня предметной области, что он по-прежнему будет отвечать на мои запросы, а не пропадет неожиданно без объяснения причины на непредсказуемый срок. Очень важны прозрачность и предсказуемость - это хоть как-то позволит мне планировать.

Если мы перенесемся теперь в эпоху импортозамещения, то, не секрет, что отечественные аналоги немножко отстают от лидеров рынка (примерно, как Веста от Camry). В этом случае нам еще более актуально брать в рассмотрение не только текущий реализованный функционал, но и будущий с пониманием сроков его доступности для меня, потребителя.

#управление #vCISO

Применение ИИ в информационной безопасности

Последнее время об этом говорят все, все рассуждают о различных сценариях использования, об эффективности тех или иных моделей и способах ее повышения. Об этом даже можно найти книжки (вот эта меня очень привлекла названием, но не понравилась контентом).

И вот (наконец-то) попалась настоящая хрестоматия использования ИИ в различных направлениях ИБ - Generative AI and Large Language Models for Cyber Security: All Insights You Need (прямая ссылка на PDF).

На 50 страницах статьи авторы:
- дают ссылки на более узкие публикации;
- рассматривают варианты применения ИИ для широкого спектра прикладных направлений: анализ защищенности, обнаружение атак, DFIR, разработка кода, управление уязвимостями и др.;
- анализируют эффективность 35 ведущих моделей, таких как GPT, BERT, LLaMA;
- касаются вопросов уязвимостей LLM, таких как инъекция промптов, враждебные инструкции на естественном языке, небезопасная обработка выходных данных;
- рассматривают проблемы, связанные с развертыванием LLM для целей ИБ, обеспечения ее надежности и возможные последствия от атак на нее;
- касаются новомодных продвинутых методологий типа Reinforcement Learning with Human Feedback (RLHF) и
Retrieval-Augmented Generation (RAG) для улучшения работы.

Если мы с вами озадачены:
- выбором модели для какой-либо задачи в ИБ;
- выбором сценариев применения ИИ в ИБ;
- необходимостью относительно быстро въехать в тему применения ИИ в кибербезопасности, - то эта работа, думаю, первое, с чем следует ознакомиться.

#ml #vCISO

Дорогие друзья, коллеги, подписчики и единомышленники!

Поздравляю вас с наступающим Новым годом!

Уверен, этот год для каждого из нас был полон вызовов, новых открытий и достижений. Но важно и то, что он дал нам возможность стать ближе, общаться, обмениваться знаниями и опытом. Если вы читаете этот текст, значит, у нас есть что-то общее: интерес к управлению, информационным технологиям, спорту, искусству, стремление к постоянному развитию и желание сделать этот мир лучше и безопаснее.

Я верю, что наше общение на этом канале – это не просто поток информации, а Сообщество, возможность вести живой диалог, обогащающий нас всех. Нам есть чему друг у друга поучиться, и я искренне надеюсь, что в следующем году мы продолжим развивать и укреплять наше Сообщество единомышленников.

Мне важно ваше мнение – о моих идеях, взглядах, подходах, решениях. Давайте делиться своими историями успеха, обмениваться опытом и поддерживать друг друга. Вместе мы можем преодолеть любые трудности и вдохновить тех, кто только начинает или думает начать.

Пусть в новом году у нас будет еще больше поводов гордиться собой и друг другом. Чтобы, оглядываясь назад, мы видели не только трудности и потери, но и наши победы, нашу взаимную поддержку и достижения, и мудрость, извелеченную из ошибок и утрат.

В свою очередь, я приложу все усилия, чтобы делиться полезным и актуальным контентом. А ваши успехи и обратная связь станут для меня лучшей мотивацией продолжать с еще большим энтузиазмом.

С Новым годом! Пусть он принесет вам радость, уверенность в завтрашнем дне, крепкое здоровье, вдохновение для новых свершений и счастья всем, кто вам дорог!

Всем эффективных и результативных выходных!

#саморазвитие

Выходные - это время переосмысления, попыток взглянуть по-другому на понятные вещи, чтобы в новом году выйти на новый уровень. Идеи черпать следует конечно же из активностей по саморазвитию. И одной из таких запланированных задач - посмотреть что там новенького на Black Hat (несложно найти самостоятельно, но на всякий случай вот ссылочка). BH - неплохое отражение тенденций в индустрии, поэтому, если хочется идти в ногу, полезно отсматривать о чем там нынче рассказывают.

Первый доклад, который мне понравился - ну конечно же про метрики! Оценка эффективности и результативности - значимая часть моей работы, частично этим я делился здесь, а долкалд товарища Allyn Stott - отличное дополнение к рассказанному мною.

The Fault in Our Metrics: Rethinking How We Measure Detection & Response

Кто много себя посвятил разного рода оценкам, анализам и метрикам прекрасно знает проблему: если мы для принятия решений полагаемся на метрики, но используем неправильные метрики, то мы принимаем неправильные решения. Причем метрики могут быть неправильными по великому множеству причин - от будучи ошибочно выбранными, до дрейфа наших оценок во времени (аналогично, как в машобуче - дрейф данных и дрейф концепции). В докладе Allyn выделяет ключевые ошибки, приводящие к неправильным метрикам ❗️и предлагает альтернативные метрики❗️. Приведу эти ошибки, они заслуживают внимания:

Mistake #1 losing sight of the goal - теряем цель измерения, поэтому, когда придумываем метрику надо понимать в какую категорию она попадает (автор приводит эти категории для самопроверки - SAVER)
Mistake #2 Using quantities that lack controls - пытаемся измерять то, на что не можем влиять - это вообще классика, для этого придумали S.M.A.R.T.
Mistake #3 Thinking proxy metrics are bad - выбор красивых и зрелищных метрик, вместо полезных
Mistake #4 Not adjusting to the altitude - мы не объясняем бизнес-последствия от тех или иных значений показателей - N - это плохо? сильно плохо? или нормально? или, вообще, хорошо?
Mistake #5 Asking "why?" instead of "how?" - надо спрашивать себя что надо делать (how) - при такой постановке вопроса измеряемую проблему решить проще

Измерения не должны быть хаотичны, хаосом невозможно управлять, поэтому автор предлагает Treat Detection and Response Maturity Model (TDRMM), придуманной под впечатлением Threat hunting MM, ❗️и делится ею❗️. Она не гарантировано может быть взята в работу "как есть", но она точно - отличное начало для построения своей TDRMM.

Прикладываю во вложении слайды и TDRMM в виде Excel.

#mdr #vCISO #управление

Рейтинги курсов

Я уже упоминал, что выходные - время что-то поизучать, и на этот раз я решил поглубже погрузиться в вопросы разного рода менеджмента, лидерства и личной эффективности. Постараюсь найти время и написать пару предложений про каждый прослушанный курс, но для целей этой заметки остановлюсь на этих двух, от одного автора и одинаковыми оценками:
1. Leadership: Practical Skills - оценка 4.7 по 5 950 отзывам
2. Efficient Time Management - оценка 4.7 по 7 277 отзывам

Исходя из оценок курсы должны быть одинаково полезны (второй по таймменеджменту имеет больше оценок, потенциально, лучше), однако, первый, про лидерство, мне очень понравился, тогда как второй - нет. Проблема не в том, что курс про управление временем дает мало пользы, а в том, что все рассказанное там мне известно, и лично для себя я не вынес из него ничего нового. Был период когда я перестал успевать все запланированное и пытался как-то проанализировать и улучшить ситуацию, - вот тогда-то я ознакомился и с книжками Глеба Архангельского, и моего бывшего коллеги Максима Дорофеева, а также ряда иностранных авторов, типа книжек Дэвида Аллена и весьма неплохого сборника статей по личной эффективности от Harvard Business Review. Почти все из когда-то изученного я внедрял в личные практики, и многое прижилось, дало ли это ожидаемого эффекта - вопрос отдельной заметки.

Имея за плечами какой-то опыт мы по-другому оцениваем, а значит, на рейтинг курса бессмысленно полагаться без понимания опыта в предметной области оценивающих: для абсолютно нулевых он будет нести много нового, а профессионалам он покажется сборником очевидных очевидностей.

Сейчас уже трудно наверняка установить автора, но будем считать, что это сказал Сократ:

Чем больше я знаю, тем больше я понимаю, что ничего не знаю

Парадокс в том, что чем больше мы погружены в предметную область, тем больше мы понимаем необходимость еще большего погружения. А, может, не наблюдая ожидаемого прогресса, мы пытаемся решить проблему еще более глубоким обучением. Но курсы, ориентированные на широкую аудиторию (чем более профессиональны слушатели, тем малочисленнее они), к сожалению, не позволят углубиться. Решение, видимо, в индивидуальной программе по результатам тестирования.

Ну а пока для себя я сформировал следующие рекомендации по выбору интересных курсов:
- выбирать курсы в предметных областях, которы ранее не считал заслуживающими внимания (скорее всего, такое отношение было обусловлено непониманием - это подходящее состояние для курса, нацеленного на широкую аудиторию)
- выбирать курсы не по оценкам, а по количеству слушателей
- внимательно смотреть программу и описание целевой аудитории и перечня обещаемых навыков

#книги #саморазвитие #управление #пятница

В небольшом иследовании я показал, что в большинстве случаев даже уже пара хантов свидетельствует об атаке, поэтому элементарное правило, что если на эндпоинте почти одновременно сработали два и более разных хантов, то на этой системе происходит подозрительная активность, которая с высокой вероятностью окажется инцидентом.

Во время анализа сработавших хантов меня не покидало ощущение, что подобное исследование можно сделать просто по номенклатуре событий. И вот, в работе A Sysmon Incremental Learning System for Ransomware Analysis and Detection (pdf) ребята провели такое исследование: по номенклатуре событий Sysmon-а обнаруживали ransomware.

На мой взгляд, постановка задачи в работе спорная, так как:
- по событиям EDR распознавать малвару с помощью машинного обучения выглядит перебором: есть масса более дешевых и эффективных способов, с более ранним обнаружением (что в случае с шифровальщиками принципиально)
- современные атаки это не всегда какие-то образцы, поэтому правильнее фокусироваться на обнаружение компьютера, а еще лучше - сети\подсети, где наблюдается совокупность каких-то событий
- читая работу сложилось впечатление, что даже если описанный подход будет работать на практике, обнаружение им шифровальщика будет слишком поздно (пока там соберется критическая масса событий, чтобы ML-классификатор мог положительно распознать), когда ущерб уже будет налицо, а надо бы пораньше

Однако, как я отметил в начале этой заметки, обнаруживание на базе номенклатуры событий выглядит перспективно, но с рядом изменений:
- нужна более широкая номенклатура событий, чем у Sysmon, что в нашем случае выполняется
- по результатам экспериментов, думаю, к статистике срабатывающих событий следует добавить и статистику значимых артефактов (значимых полей событий)
- рассматривать следует события не от образца, а с эндпоинта, а затем обобщить на подсети
- надо учитывать последовательность событий - тут как раз неявно адресуется идея с теми самыми цепочками событий, о которых все много говорят, но мало демонстрируют хорошо работающие практические реализации

Описанные три пункта я планирую исследовать последовательно, так как есть ощущение, что даже первый примитивный анализ разных событий с хоста уже будет результативен для ряда сценариев. Задача здесь будет ставиться как подсветить хосты, которые следует включить в анализ нашего VSL-аналитика в рамка процесса Periodic Retro Hunting (упоминал его здесь)

Кроме того, перспективным видится использование online incremental learning (модель обучается на постоянно поступающих новых данных), как альтернативы постоянному переобучению для снижения влияния дрейфов данных и концепции модели на ее качество.

В заключении отмечу, что здесь, как будто, сразу напрашивается обнаружение по аномалиям - были такие-то события, а стали такие-то - аномалия. Здесь я выборочно смотрел визуализации по телеметрии и получил супер-очевидный ожидаемый результат - фолса на легитимную истралляцию ПО, с которой я не придумал что сделать. Есть в планах вернуться к этому исследованию тоже, но после описанного выше.

#MDR #ml

Искусственный интеллект (AI) и машинное обучение (ML)

В одном из курсов о машобуче, пройденном на выходных, обнаружил объяснение разницы между ML и AI:

любое ML - это AI, но не любой AI - это ML

Привожу соответствующую картинку (курс вот этот).

Но сегодня поговорим про интерпретируемость, для целей ИБ - это принципиальное требование (очевидный пример необходимости - Автоаналитик, которого без интерпретируемости невозможно тюнить).

И вот я для себя выяснил, что интерпретируемые ИИ есть, для них даже имеется специальная аббревиатурка - XAI, и что такие исследования крайне популярны в последнее время, а вот и пример одного из XAI, причем, независимого от модели (есть и model-specific XAI).

Будем следить за этими XAI (explainable AI), XML (explainable machine learning) или IAI (interpretable AI).

#ml

Вопрос инвестиций и их сохранения непростой, так как на фондовый рынок влияет что угодно и предсказать это невозможно, особенно в РФ, особенно сейчас, когда последние 30 лет мы все свои стремления вкладывали в интеграцию в глобализм (наверно, разделение труда в мире, как и в обычной корпорации - это более эффективно, так как производственные возможности у разных стран разные), а последние несколько лет мы столь же стремительно разворачиваемся на 180 градусов. Представьте себе автобус, на полной скорости влетающий в препятствие и упруго отскакивающий в противоположном направлении, что при этом происходит с пассажирами?

Как уже отмечал, я никогда не рассматривал фондовый рынок, как инструмент заработка (зарабатывать нужно работая!), но как инструмент накопления и сохранения. Однако и в этом случае надо иметь какую-то стратегию. Если взять классические книжки по инвестированию, то все они топят за биржевые ПИФ-ы (а то и за ПИФ-ы, не торгуемые свободно на бирже), что можно понять, поскольку это существенно понижает порог входа: через ПИФ можно купить маленькую долю всей индустрии и не разбираться в показателях компании для принятия решения насколько перспективно вложиться в ее бумаги. Но история с фондами FinEx и то, что российский рынок не настолько многогранен, чтобы в нем было невозможно разобраться непрофессионалу, на мой взгляд, делает предложение о ПИФ-ах не очень подходящим для РФ. Инвестировать в зарубежные активы тоже выглядит крайне рискованно, если не сказать "безумием", даже в активы дружественных стран. Поэтому напишу свои мысли.

0. Надо понимать горизонт инвестирования. Это - самое сложное, так как "побеждают быстрые и решительные" и нам всем надо быть Agile.

1. За всю свою жизнь не видел дефляцию рубля на горизонте больше года, поэтому если мы планируем на срок более двух лет, то надо рассчитывать на обесценивание рубля. В этом случае инструменты у нас такие:
- акции российских "голубых фишек": Лукойл (LKOH), НЛМК (NLMK), Татнфеть (TATN), Сбербанк (SBER) и т.п.
- еврооблигации, номинированные в юанях (примеры: Роснефть CYN, Полюс CYN, Русал, и т.п.) или замещенные еврооблигации РФ или тех же "голубых фишек" (примеры: замещенные облигации Газпром Капитал, замещенные государственные еврооблигации РФ)

2. При планировании более чем на год акции не успеют показать достойную доходность (в сравнении с депозитом), хорошие облигации на срок до двух лет могут не найтись, а инфляция, судя по ставке ЦБ, в 2025 будет беспрецедентная (к тому же - это старый, проверенный инструмент, используемый в РФ для повышения доходов от экспорта, а доходы стране нужны...). Если к тому же точный срок, когда понадобятся деньги, не ясен, то здесь видится вариант с БПИФ Ликвидность. Юань (CNYM), как бы я не не любил ПИФ-ы.

3. При планировании на короткий срок, здесь, как правило, точно не ясно когда нужны деньги, поэтому ни короткие облигации, ни депозиты не подходят. Здесь можно воспользоваться БПИФ Ликвидность (LQDT). В свое время я его сравнивал с депозитом, доходность по нему сравнима с лучшими предложениями на рынке, но в отличие от депозита, средства можно снимать в любое время без потери процентов.

Касательно слухов о заморозке вкладов на депозитах, я такой сценарий не считаю правдоподобным (хотя, в истории это уже было, и, как говорится, у нас все возможно), но, в целом, никогда и не использовал депозиты, так как из-за своей жесткой фиксации сроков они не удобны. Если же хочется воспользоваться именно депозитом, то вот неплохой сервис от Мосбиржы - Финуслуги.

На 2025 много кто давал прогнозы, но с моим лично мнением более-менее совпадает небольшое исследование от Елены Разговоровой. В целом, описанный Еленой прогноз, на мой взгляд, подходит не только к 2025, а вообще к любому году, его можно взять за основную стратегию инвестирования в РФ.

Все что я тут написал - мое личное мнение, в инвестициях нет ничего "100%-ного", "абсолютно точного", каждый хозяин своим деньгам и должен думать сам.


#финансы

Простые числа - основа криптографии. Именно потому что их бесконечно много и потому что их распределение, вроде бы, случайно, мы можем полагаться на схему RSA.

В RSA выбираются два простых числа p и q, но, поскольку эти числа очень большие, на практике выбираются случайные числа, прошедшие проверку на простоту. Тестов на простоту великое множество, когда-то давно в одной из курсовых работ я брал алгоритм, списанный вот из этой замечательной книжки - Ноден, Китте, Алгебраическая алгоритмика, за которой специально ездил в издательство "Мир" где-то в район ст. Москва-3 Ярославского направления. Важно запомнить, что на практике в схеме RSA используются "примерно" (прошедшие тесты) простые числа, что, безусловно, снижает криптостойкость.

Однако, изучение простых чисел не останавливается и до сих пор. И вот достаточно свежая публикация о разных способах вычисления (== понимания распределния, т.е. нарушение условия случайности) простых чисел. Да, ряд упомянутых методов помимо простых чисел выдают "примерно" простые (в статье их называют "грубые простые", rough primes), но это не супер-проблема, поскольку, во-первых, их процент не велик, а, во-вторых, на практике используются как раз те самые "примерно" простые, поэтому для целей практического криптоанализа подойдут.

Надо следить за темой. Кстати, Let's enrypt начали выдавать TLS-сертификаты на несколько дней. Понятно, что компрометация ключа, обычно, происходит не ввиду криптоанализа, но, тем не менее, тренд в сторону короткоживущих ключей - эффективное мероприятие.

#книги #crypto