Павел Дуров уже 8 месяцев, сидит в свободной демократической Франции с ограничениями на передвижения, без возможности вернуться к семье в Дубай. Обвинение, если кратко выглядит так: Telegram - платформа, которой пользуются криминальные элементы => автор Telegram - пособник этих элементов. По мнению Павла обвинение незаконно, и он до сих пор "пытается понять как же так получилось"... - такого рода рассуждения занимают немалую часть его интервью Такеру Карлсону. Также немалую часть занимают пафосные речи о свободе и приватности, и о том как Telegram привержен этим ценностям, вскользь упоминается, что "отдать ключи", чтобы кто-то читал пользовательские сообщения нет технической возможности. МЫ уже рассуждали о том, как Telegram трепетно относится к свободе и защите своих пользователей, но, видимо, после событий во Франции, поползли ненужные неправильные слухи и Павлу Валерьевичу надо исправлять ситуацию.... - видимо, так и появилось это очередное интервью Такеру.

Раз я уж выделил час+ своего времени на просмотр, то не обошлось без пометок. Делюсь ими в этой заметке. Пытался найти транскрипт, но на сайте TCN за это с меня запросили $6, поэтому позволю себе вольный перевод, но дам ссылки на конкретное место в интервью.


Патриотические бэкдоры. В США есть процесс, позволяющий заставить любого инженера любой технологической компании, реализовать закладку и никому не сказать об этом (Gag order)... если он расскажет об этом своему боссу, то окажется в тюрьме.

Запрет криптографии. В прошлом месяце сенат Франции решил, фактически, запретить криптографию и потребовать от всех провайдеров сервисов мгновенных сообщений бэкдорить свои приложения в интересах французских властей.... к счастью этот проект закона так и не был принят. Но если посмотреть на новый проект от Евросоюза, они предлагают ровно то же - бэкдорить криптографию, но уже на уровне EU.

Правильная свобода. "Почти для всех, кто родился в СССР, как и я, Западная Европа ассоциировалась с местом, где свобода и права человека уважаются, и поэтому эта ситуация была для меня таким шоком...."

Политическая дедовщина. Диалог Павла с лативийским пограничником, который сказал что-то типа: "Когда мы были в составе СССР, нам это не нравилось, но сейчас, будучи частью Евросоюза, мы ощутили себя в аналогичной ситуации".

#мир

Готовить презентации и рассказывать их на конференциях - далеко не основная моя работа, хотя рассказать, конечно же есть о чем, отчасти поэтому я веду этот блог. Но ситуация еще хуже: я не люблю один и тот же контент рассказывать несколько раз - последующие разы уже что-то не то, не позволяет совесть акцентировать претензию на новизну, и как-то немного не удобно перед слушателями, так как они не первые (хотя, вполне возможно, это какие-то мои личные заморочки)

Но всегда есть исключения и всегда что-то делается впервые, - так получилось и с контентом, что я подготовил на конфренцию в Сеуле, который я уже успел рассказать несколько раз и по-английски, и по-русски, только, вот, на испанском, не было возможности 😁, причем, во всех случаях будет запись, обязательно поделюсь.

В презентации я посмотрел на статистику инцидентов MDR с 2020 года (самих данных уже нет, но есть статистики, используемые для аналитических отчетов), заметил какие-то закономерности и попытался их проверить на первом квартале 2025. Вообще, если считать будущее следствием настоящего, то подобные упражнения по анализу трендов очень полезны. Даже то, насколько наши оценки ошибочны, дает косвенное понимание насколько искажены или не полны наши данные, на которых мы строим прогноз. Ну, а если прогнозы сбываются, то, мы на правильном пути и профессиональны.

У меня синдром отличника, имея достаточный опыт публичных выступлений, я все равно готовлю себе речь, независимо от того будет ли возможность ее прочесть (даже если она есть, я крайне редко читаю, так как не умею это делать и считаю это неуважением к аудитории). Однако, эта речь всегда очень полезна последователям, кто желает мои слайды вставить в какие-то свои материалы, ибо есть текст, способный справиться даже с полным отсутствием понимания.

Во вложении я делюсь и слайдами и текстом. Текст писался для себя, там куча ошибок и ввиду того, что английский - не мой родной, и ввиду того, что исправлять их сейчас лень, да и их наличие не влияет на смысл.

Вообще, статистик и аналитики можно построить множество, это, так сказать, первый блин комом, поэтому продолжу искать тенденции и делиться ими. Да и к этим слайдам, думаю, буду еще не раз возвращаться.

#MDR #мир #vCISO

Когда выйдет эта заметка Нежелезный человек уже начнется, но проверка старых стратегий участия в нем происходила как раз на длинных выходных, а наличие времени позволило даже поделиться мыслями на этот счет.

В новом лонгриде рассказываю как по моему мнению можно спланировать заплыв на длинную дистанцию в бассейне.

Я знаю, что среди моих подписчиков есть несравненно более профессиональные ребята, поэтому надеюсь также и на советы из их опыта.

#здоровье

АНБ: 50 лет математического криптоанализа (1937 - 1987)

Небезинтересно поковыряться в деклассифицированных документах. Кроме того, есть еще и версия 2019 года, отличающаяся степенью редактирования от текущей.
Как уже отмечал Алексей Викторович: "...документ представляет немалый интерес для историков криптографии", но у меня при быстром просмотре обоих документов (приложу во вложении) возник еще ряд мыслей, которым решил поделиться:

1. Версии 2019 и 2025 года немного по-разному обфусцированы. Во-первых это может дать возможность проследить какую-то динамику секретности: что вымарывали в 19-м и что вымарывают в 25-м, а, во-вторых, имея два документа, обфусцированных немного по-разному, можно попробовать восстановить скрытые фрагменты, может ИИ нам в этом поможет?

2. Возможность извлечения дополнительной информации из индекса подтверждает старую идею о невозможности надежной обфускации документа, поэтому всегда сохраняется риск восстановления скрытых фрагментов за счет перекрестных ссылок с открытых. В частности, вот дяденька постарался и погруппировал слова из индекса по страницам (тоже приложу документик (txt), не должна пропасть такая работа), в итоге, о полностью скрытых страницах, как, например, 9-11, 13, 15-17, создается некоторое представление, и можно развивать догадки.

3. Криптономикон - замечательная книжка Нила Стивенсона. В ней в художественной форме вскользь проходит тема Энигмы, но не упоминается более продвинутая Машина Лоренца, тоже криптоанализированная в Блетчли-Парк . А вот в этих документах можно встретить упоминание обеих, причем, похоже, машину Лоренца хотели выморать, однако в указателе можно найти ссылки на колесо Кай (Chi wheel), колесо Сай (Psi wheel), а еще - TUNNY, Turing, Alan и Tutte, W. T. - все это на странице 13, полностью скрытой 😁.

Кто увидит что интересное, пишите в комментариях. Я поставил в бэклог более внимательное на изучение.

#crypto

The OpenAI Files

Любопытнейший ресурс предлагающий простенькую аналитику на основе открытых публикаций, но, что еще более важно, - приводится список оригинальных источников, очень удобно собрано в одном месте. Привожу также ссылку на источник, откуда узнал сам (спасибо бывшему коллеге Кириллу, что поделился).

Всегда полезно следить за лидерами, так как процессы, происходящие в них, в конечном счете имеют отражение на всю индустрию, а с учетом новостей на расстановку сил в мире.

Ресурс обещает какую-то динамику, будем следить.

Ну а тем, кто сокрушается о "вепонизации ИТ и ML" приведу замечательную цитату из книжки Уолтера Айзексона "Стив Джобс", книжку упоминал здесь и настоятельно рекомендую к прочтению:

Mountain View had been a godforsaken place until the military showed up.

т.е. вся Кремниевая долина стала технологическим центром только благодаря государственным инвестициям, военным и "вепонизации". Все современное ИТ - побочный продукт военных исследований.

#управление #мир #ml #книги

Гибридный SOC 2025

В прошлом году мы много говорили о том, что все SOC - гибридные (видео , статья , Gartner в тему ) и, видимо, наши аргументы показались Сообществу убедительными, так что уже в этом году гибридные SOC обсуждали на ежегодных посиделках Anti-Malware.

А 26.06 в 11.00 МСК на CISO Club будет вебинар - Гибридный SOC 2025: как AI, автоматизация и люди вместе побеждают киберугрозы , где будет принимать участие мой друг и коллега - Алексей Пешик.

Темы заявлены мне небезразличные, и мы их касались, поэтому интересно послушать мнения уважаемых коллег.

Я зарегистрировался...

#MDR #ml #vCISO

Ежемесячно Open AI выпускает отчет о борьбе с вредоносным использованием ИИ. Вот июньский, pdf .

За вычетом пафосных моментов, типа:

we believe that making sure AI benefits the most people possible means enabling AI through common-sense rules aimed at protecting people from actual harms, and building democratic AI. This includes preventing the use of AI tools by authoritarian regimes to amass power and control their citizens, or to threaten or coerce other states; as well as activities such as covert influence operations (IO), child exploitation, scams, spam, and malicious cyber activity

документ мне показался полезным.

Поделюсь мыслями, возникшими в процессе изучения документа.

1. Документ содержит практические сценарии использования (о сценариях говорили здесь ), т.е. там, где эффективность подтверждается самой практикой

2. Нам, безопасникам, надо понимать ландшафт угроз и как эти угрозы реализуются. Документ содержит фактические сценарии атак, автоматизируемые ИИ - например, генерация фейков и дезинформации, фишинг, разные схемы мошенничества, генерация ВПО, поиск уязвимостей, и пр. , кое где есть ссылки на примеры реальных инцидентов.

3. Документ показывает, что все наши запросы улетевшие в облачную ИИ тщательнейшим образом анализируются, т.е. о какой-либо их конфиденциальности не может быть и речи.

4. Объективность критериев вредоносности очень напоминает книжку и в стиле цитаты выше, поэтому надо иметь в виду риск предвзятости выдачи самой модели, а вот и Иван намекает, что ИИ будет служить инструментом формирования общественного мнения... Но в подавляющем большинстве сценариев "политические взгляды модели" вряд ли будут иметь значимое влияние.

5. Документ о том, какие сценарии использования своей модели Open AI считает неправильными - интересен, но еще более интересным был бы подобный дайджест о правильных сценариях использования, в которых бы описывались конкретные практические реализации. Сейчас есть что-то , более напоминающее маркетинговые листовки. Такая популяризация "правильных сценариев", тоже способствовала бы снижению количества "неправильного использования".

#ml #vCISO

Плейбук на срабатывание антивируса

Положительные стороны унификации процессов ИБ понятны, наверно, так как все это делают (не может же это происходить исключительно по инерции или из-за стадного инстинкта). Но у всего есть и оборотная сторона, которая, судя по задаваемым вопросам, не всегда очевидна. В новой статье я попытался объяснить почему не может быть одного плейбука на все детекты антивируса.

В общем-то, логика очень простая: плейбук - это план реагирования на инцидент, а детект антивируса - это один из артефактов, по которому далеко не всегда можно сразу восстановить всю картину инцидента. Представляете себе доктора, который по одному симптому сразу назначает вам курс лечения? Только ситуация еще даже хуже. Поскольку разные детекты антивируса означают абсолютно разное, а плейбук почему-то один, то в предложенной аналогии, наш горе-доктор на любой симптом назначал бы одно и то же лечение: насморк - Амоксиклав, болит голова - Амоксиклав, диарея - Амоксиклав.... И это не смешно!

#vCISO #MDR

Балалайка

Раз я позволил себе написать про гитары, о которых я могу судить исключительно с позиции любителя, то было бы несправедливо обделить вниманием балалайку, которой я отдал годы в музыкальной школе...

#музыка

В прошлую среду, в Завидово, вот уже в четвертый раз, проходил Kaspersky Кибер кэмп. Форамат традиционный - презентации не публикуются, записи докладов нет, слайды фотографировать можно только при явном разрешении спикера, никакой рекламы. Поскольку мероприятие позиционируется не только как контентное, но и как площадка для профессионального нетворкинга, в программе имеются два замечательных вечера с вкусным ужином, напитками. Ну а для самых стойких я могу еще и попеть песни под гитару до глубокой ночи, а то и до раннего утра. Мне лично очень приятно, что сформировался уже своего рода фэн-клуб этих посиделок с гитарой, что, безусловно, меня лично мотивирует разучивать новые вещи... но об этом как-нибудь в другой раз.

Конференция состоит из четырех секций с докладами, разделенных двумя перерывами на кофе и обедом, в первой секции, утром проводится панельная дискуссия. Техническая составляющая в докаладах нарастает по мере приближения к вечеру, т.е. какие-то общие слова - обычно до обеда, а интересные технические вещи - в третьей и четвертой секциях.

Мы тщательнейшим образом изучаем обратную связь, поэтому, кто был на мероприятии и читает мои заметки, пожалуйста, напишите, что бы мы могли улучшить. Опыт прошлых отзывов показал, что первые две секции несколько выбиваются по качеству докладов, причем первая секция еще держится за счет панельки, то вторая - подобного преимущества не имеет. Модератор второй секции - ваш покорный слуга.

В этом году, мы, во-первых, немного перетасовали доклады по секциям, а, во-вторых, решили попробовать оживить вторую секцию и провести там конкурс дебатов. Причем, панелька в первой секции тоже оживилась, поскольку по инициативе Себера, была организована в виде "Своей игры": участник выбирал тему вопроса и номер, и депфейк селебрити из отечественной ИБ задавал вопрос.

Но вермнемся к дебатам. 4 участника, два полуфинала, один финал. В каждом раунде по два тура по полторы минуты. Темы полуфиналов были известны заранее, а кому какая тема и какая позиция выпадет - выбиралось жеребьевкой. Финальная тема не была известна заранее, позиция выбиралась монеткой, как в футболе. Голосование за аргументацию производилось участниками мероприятия через Телеграм-бота.

Тем для отборочной комиссии я напридумывал много, выбраны были только три, но в следующей заметке приведу их все, может, кому-то этот список поможет сделать свои собственные дебаты, а может, самому задуматься о том, где в этих темах правильный баланс "за" и "против". Темы умышленно выбирались холиварные, на которые не может быть радикального ответа типа "да, можно" или "нет, нельзя", а важен именно баланс, как, собственно, и во всем.

А вообще, закончить хочется цитатой одного из гостей, которую я повторил и со сцены:

То, о чем сегодня говорят на Кибер кэмпе, завтра говорит весь рынок

Будем стараться оправдывать доверие и ожидания!

#vCISO

Варианты тем дебатов по ИБ

1. Безопасность vs. Приватность
- должно ли государтсво встраивать бэкдоры в криптографию (или депонировать ключи)?
да: так как можно бороться с терроризмом, мошенничеством и т.п.
нет: так как теряется тайна личных переписок
- анонимность в интернете - это хорошо или плохо? (тема полуфинала)
да: так как это способтсвует свободе слова
нет: так как за базар надо отвечать

2. Безопасность vs. Требовния правообладателя: можно ли нарушать лицензионное соглашение для целей исследования безопасности (дело Майкла Линна из ISS против Cisco, Дима Скларов из Элкомсофта против Adobe)
да, так как это повышает качество продукта и защищает наши права, права потребителей
нет, так как закон нарушать нельзя, ибо правообладатель не разрешил явно

3. Отрицательная мотивация
- Стоит ли увольнять CISO из-за инцидентов ИБ
да: за прохую работу надо платить
нет: у него появился бесценный опыт
- Вообще, если сотрудник допустил ошибку и расследование показало, что злого умысла не было, его стоит наказывать? (тема полуфинала)
да: так как за все надо платить и это будет ему уроком
нет: так как были объективные причины, и виной всему обстоятельства, а наказине демотиврует и мы получим худший результат

4. Open-source проекты безопаснее проприетарных
да: так как открыт код для аудита
нет: так как код изучают и атакующие, не всегда понятно кто туда что коммитит, история знает случаи закладок (хотя и в проприетарных тоже)

5. Чем строже compliance, тем выше безопасность => государство должно ужесточать требования
да: стандарты дисциплинируют и задают базовый уровень, а ответственность стимулирует исполнять
нет: compliance != безопасность и появляюется новый вид апродуктивной деятельности - обход комплаенса, к тому же может создаваться опасная иллюзия безопасности, как раз из-за комплаенса

6. Этичен ли hack-back?
да: если меня атаковали, я имею права на активную защиту (в том числе 3rd party инфраструктуру, которая использовалась злоумышленниками)
нет: так как это может вести к злоупотреблениям и основаниям для хакерских атак

7. Этично ли нанимать на работу хакеров (с темным прошлым или настоящим)?
да: они супер-профессионалы
нет: они прежде всего криминальные элементы

8. Уничтожит ли сильный искусственный интелект (AGI) Человечество? (тема финала)
да, потому что
нет, будучи инструментом, он всегда останется инструментом


#vCISO

Kaspersky Cyber Insights 2025

В завершающей заметке по теме (слайды) делюсь ссылками на записи выступлений, доступные на Brighttalk.

У меня профессионально исковерканный субъективный взгляд, но все равно, приведу личные рекомендации, что можно посмотреть:
Kaspersky SOC in 2025: Key Observations and Findings
Know Your Adversary with the Threat Landscape
AI-Related Threat Landscape: 2025 and Beyond
Panel Beyond the Perimeter: Practical Strategies to Leverage Threat Intelligence for Proactive Cybersecurity

#MDR #vCISO

Понятно очевидное желание обнаружения атаки на как можно более ранних стадиях. Но принципиальная проблема в том, что для того, чтобы вредоносную активность обнаружить она должна проявиться. Т.е. сначала мы наблюдаем какие-то техники атакующего, а затем, собственно, за эти самые техники мы его детектим. При этом, не умаляется возможность предотвращения атак на ранних стадиях, поскольку мы не стремимся к полному отсутствию вредоносной активности, но к тому, чтобы эта вредоносная активность не успевала нам нанести ущерб прежде чем мы ее обнаружим, локализуем и остановим.

Видимо, все это и имеет в виду уважаемый Gartner, в своем "новом" документе "Emerging Tech: Top Use Cases in Preemptive Cyber Defense" от 13 августа 2024 (вторник, не пятница), но его чтение мне заметно подняло настроение, о чем не могу не написать в пятницу.

#MDR #vCISO #пятница

Gartner

Emerging Tech: Top Use Cases in Preemptive Cyber Defense

После сегодняшней публикации об Упреждающей безопасности ко мне обратился ряд читателей с просьбой прислать им, по дружбе, сам документ. Я подумал, что это нехорошо по отношению к читателям, кто не написал в ЛС, и что правильнее нам всем считаться друзьями.

Документ во вложении. Краткое резюме - ничего нового, описываются уже давно используемые на практике сценарии, но, видимо, пережеванные LLM с целью придания им ощущения революционности.

Зрелым SOC-ам док полезен для "сверки часов", что в том или ином виде описанные ноухау применяются.

#MDR

Prompt injection в академических статьях

Помните старую историю об инъекциях в резюме соискателей?

Вот продолжение!

Исследовательские работы из 14 академических институтов в восьми странах, включая Японию, Южную Корею и Китай, содержат скрытые тексты, заставляющие инструменты искусственного интеллекта давать им хорошие отзывы

Я частенько сам почитываю статьи на arXiv, показавшимися интересными делюсь в этом канале, и даже подписан на ежедневные новинки. Пока я пытаюсь находить время и просматривать публикации самостоятельно (правда, с чудовищным опозданием, но лучше поздно, чем никогда!), но их такое количество, что, в будущем, не исключаю использование какой-нибудь LLM, однако, ситуация с prompt injection, как будто, только ухудшается, поэтому риск принятия решения на основе исковерканной вредоносными промптами оценки LLM растет.

#ml

Что LLM известно о своих пользователях

Саймон Уиллисон в своем блоге рассуждал о новой фиче ChatGPT, заключающейся в сборе некоторого "досье" о пользователе (memory dossier feature) для дальнейшего подмешивания этой информации в контекст новых запросов. Этакий RAG, но на базе истории прошлых общений.

В статье товарищ приводит любопытные примеры и рассуждает о том, что подобное подмешивание нередко может вредить новой выдаче, и было бы полезно либо вообще эту фичу выключать или как-то управлять тем, что из прошлого Модель использует для формирования нового ответа.

Но я подумал и вот о чем. Общение с человеком позволяет нам неплохо узнать его. Да, было бы замечательно увидеться физически, оффлайн, но общение сообщениями тоже дает неплохое представление, как по части конкретных фактов о собеседнике, приведенных в запросе, так и анализ косвенных признаков: сложность построения предложений, стиль повествования, используемая лексика, наличие речевых, пунктуационных или орфографических ошибок. У каждого есть свой стиль, и вопрос определения авторства уже давно имеет решение , с появлением нейросетей задача получила новые подходы к решению , т.е. установить автора текста (и запроса к LLM) не видится большой проблемой. Анализ общения пользователя с Моделью можно сравнить с аналогичным профилированием собеседника - наши вопросы и сфера наших интересов прекрасно характеризуют нас. Кажется, что доступ к подобным "досье" открывает новые возможности по слежению, а, следовательно, контролю нас.

#ml #мир