Цього тижня в Києві відбулася гучна подія із складною назвою Kyїv International Cyber Resilience Forum 2024, яку я не заплановано відвідав. Коротке саммарі, що запам'яталося саме мені (далі йде суб'єктивне оцінювальне судження).
Я вважаю, що слід окремо оцінювати організацію та зміст, так і зроблю.
👉 Організація: на мою думку - топ. Дорого-багато. Дуже солідна локація, прекрасні два великі зали, офігезні відеостіни на сцені за спинами спікерів, нормально організовані стойки реєстрації, перевірка документів та рамка металодетектору на охороні (навіть дві). Охорона не втомлювалася перевіряти кожного, хто навіть палити ходив на вулицю. Скоріш за все це вимога безпеки через доволі велику кількість високопосадовців та іноземців, але все ж таки. Хоча на Дію охоронці просто дивилися, а не сканували. Щось Дії потрібно із цим робити, бо майже ніхто ніде цього не робить і це ламає логіку верифікації, хоча це вже зовсім інша історія.
Також слід відмітити непоганий кейтерінг, наявність фото-відео операторів та нормально організовані місця для нетворкінгу. Не знаючи якихось деталей та приймаючи участь виключно як гість - п'ять зірочок із п'яти від мене організаторам.
👉 Контент: величезна кількість гостей була із держсектору, більша частина з яких має відношення до кібербезпеки таке ж, як я до бухгалтерії: наче воно у нас десь є, але я хз шо вони там роблять. Та не всі, були і поважні професіонали, до компетенції яких питань нема. Не можу надати якусь справедливу оцінку загальному рівню доповідей, бо за два дні відвідав лише одну панель и 10 хвилин одної доповіді.
1️⃣ На доповіді керівник дуже важливого (без жартів) об'єкту критичної інфраструктури розповідав, як на фоні новин у грудні 21 та січні 22 вони задумалися "а може зробимо якийсь план реагування на інциденти?". Після цих слів я пішов пити каву в коридор, де і зустрів друзів-практиків.
2️⃣ На панелі були представники МО, СофтСерв, ГО "Аеророзвідка", SET University та ще пару людей. Представник ГО "Аеророзвідка" значно відрізнявся компетенцією, бо видно, що зтикається з практикою впровадження. Представниця МО також мене трохи здивувала, бо я не очікував такого занурення в предметну область від замміністра, хоча і зрозуміло, що вона не завжди була такою. Схоже їй доводиться по справжньому і постійно працювати з питаннями впровадження безпеки, отримувати практичний досвід. Тарас Кіцмей (SoftServe) сказав, що "на його думку в Україні все дуже непогано із кібербезпекою критичної інфраструктури і вона на високому рівні, бо ми ще живі і все працює". Запам'ятаю собі цю модель оцінки ризиків.
3️⃣ Також не можу не відмітити зауваження колеги Вови Стирана: на іншій доповіді керівник якоїсь важливої установи сказав "нє, ну а шо ви хочете від нас, якщо неможливо правильно порахувати інвестиції в кібербезпеку". Може розкажемо йому?
Особисто для мене найцінніше в таких подіях - це нетворкінг, якого було вдосталь. Радий був бачити багато колег, яких поважаю як професіоналів, і, нажаль, бачусь із ними не часто, а Хімера підігнав стікер з ламбою, день пройшов не напрасно. Радує також той факт, що у цьому колі практиків думки сходилися по більшості обговорюваних питань.
Я дякую організаторам за цю подію, вона зробила важливу справу. Я дякую спікерам за можливість зробити "контрольне вимірювання" і впевнитися, що ти все ще розумієш глобальну ситуацію адекватно. Нажаль. І дякую моїм колегам із ком'юніті за те, що ви є, завжди радий вас бачити.
Я вважаю, що слід окремо оцінювати організацію та зміст, так і зроблю.
👉 Організація: на мою думку - топ. Дорого-багато. Дуже солідна локація, прекрасні два великі зали, офігезні відеостіни на сцені за спинами спікерів, нормально організовані стойки реєстрації, перевірка документів та рамка металодетектору на охороні (навіть дві). Охорона не втомлювалася перевіряти кожного, хто навіть палити ходив на вулицю. Скоріш за все це вимога безпеки через доволі велику кількість високопосадовців та іноземців, але все ж таки. Хоча на Дію охоронці просто дивилися, а не сканували. Щось Дії потрібно із цим робити, бо майже ніхто ніде цього не робить і це ламає логіку верифікації, хоча це вже зовсім інша історія.
Також слід відмітити непоганий кейтерінг, наявність фото-відео операторів та нормально організовані місця для нетворкінгу. Не знаючи якихось деталей та приймаючи участь виключно як гість - п'ять зірочок із п'яти від мене організаторам.
👉 Контент: величезна кількість гостей була із держсектору, більша частина з яких має відношення до кібербезпеки таке ж, як я до бухгалтерії: наче воно у нас десь є, але я хз шо вони там роблять. Та не всі, були і поважні професіонали, до компетенції яких питань нема. Не можу надати якусь справедливу оцінку загальному рівню доповідей, бо за два дні відвідав лише одну панель и 10 хвилин одної доповіді.
1️⃣ На доповіді керівник дуже важливого (без жартів) об'єкту критичної інфраструктури розповідав, як на фоні новин у грудні 21 та січні 22 вони задумалися "а може зробимо якийсь план реагування на інциденти?". Після цих слів я пішов пити каву в коридор, де і зустрів друзів-практиків.
2️⃣ На панелі були представники МО, СофтСерв, ГО "Аеророзвідка", SET University та ще пару людей. Представник ГО "Аеророзвідка" значно відрізнявся компетенцією, бо видно, що зтикається з практикою впровадження. Представниця МО також мене трохи здивувала, бо я не очікував такого занурення в предметну область від замміністра, хоча і зрозуміло, що вона не завжди була такою. Схоже їй доводиться по справжньому і постійно працювати з питаннями впровадження безпеки, отримувати практичний досвід. Тарас Кіцмей (SoftServe) сказав, що "на його думку в Україні все дуже непогано із кібербезпекою критичної інфраструктури і вона на високому рівні, бо ми ще живі і все працює". Запам'ятаю собі цю модель оцінки ризиків.
3️⃣ Також не можу не відмітити зауваження колеги Вови Стирана: на іншій доповіді керівник якоїсь важливої установи сказав "нє, ну а шо ви хочете від нас, якщо неможливо правильно порахувати інвестиції в кібербезпеку". Може розкажемо йому?
Особисто для мене найцінніше в таких подіях - це нетворкінг, якого було вдосталь. Радий був бачити багато колег, яких поважаю як професіоналів, і, нажаль, бачусь із ними не часто, а Хімера підігнав стікер з ламбою, день пройшов не напрасно. Радує також той факт, що у цьому колі практиків думки сходилися по більшості обговорюваних питань.
Я дякую організаторам за цю подію, вона зробила важливу справу. Я дякую спікерам за можливість зробити "контрольне вимірювання" і впевнитися, що ти все ще розумієш глобальну ситуацію адекватно. Нажаль. І дякую моїм колегам із ком'юніті за те, що ви є, завжди радий вас бачити.
👍16👏2🌚2
Чат, який працює на протоколі ARP (так так, канальний рівень OSI). Тепер ти бачив більше. https://github.com/kognise/arpchat
👏5👍2
Якщо ви параноїте стосовно securiy suppply chain ризиків так само, як і я, але у вас немає можливості або бажання займатися вибудовою автоматизованих контролів для їх пом'якшення, то цей інструмент для вас.
OSS Insight допоможе вам подивитися багато різної статистики про депенденсю: частоту комітів, звідкіля приходятm контриб'ютори та звідки ті, хто ставить зірочки, статистика виправлень, імена контриб'юторів, тощо. Сервіс підкупає своєю юайкою та гістограмами. Є навість можливість порівнювати різні депенденсі за цими показниками на одному графі. Вся інфа береться з репозиторію, де живе депенденся, наприклад з Github. Хоча в ньому і немає багато з того, що я хотів би бачити, але для первинного аналізу та калібровки метрик в проєкті покатить (тільки данні про CVE ще візьміть десь).
OSS Insight допоможе вам подивитися багато різної статистики про депенденсю: частоту комітів, звідкіля приходятm контриб'ютори та звідки ті, хто ставить зірочки, статистика виправлень, імена контриб'юторів, тощо. Сервіс підкупає своєю юайкою та гістограмами. Є навість можливість порівнювати різні депенденсі за цими показниками на одному графі. Вся інфа береться з репозиторію, де живе депенденся, наприклад з Github. Хоча в ньому і немає багато з того, що я хотів би бачити, але для первинного аналізу та калібровки метрик в проєкті покатить (тільки данні про CVE ще візьміть десь).
ossinsight.io
OSS Insight
The comprehensive Open Source Software insight tool by analyzing massive events from GitHub, powered by TiDB, the best insight building database of data agility.
👍6🔥2
Нещодавно в розмові в колі колег почув думку, що менеджер проекту, який розробляє систему, не має бути відповідальним за безпеку продукту, над яким працює його команда.
Трохи пізніше сьогодні надам свої коментарі з цього приводу, але цікаво почути вашу думку. Чи має менеджер, відповідальний за проєкт/продукт, відповідати за його безпеку?
Трохи пізніше сьогодні надам свої коментарі з цього приводу, але цікаво почути вашу думку. Чи має менеджер, відповідальний за проєкт/продукт, відповідати за його безпеку?
🤣5👍1
Відповідь на питання вище може мати дві форми: формальна та неформальна.
Формально, згідно із ЗУ "Про захист інформації в інформаційно-комунікаційних системах" :
👉 1. Порядок доступу до інформації, перелік користувачів та їх повноваження стосовно цієї інформації визначаються володільцем інформації.
👉 2. Власник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із володільцем інформації, якщо інше не передбачено законом.
👉 3. Власник системи на вимогу володільця інформації надає відомості щодо захисту інформації в системі.
Чим власник системи відрізняється від володільця інформації написано у тому ж Законі.
У випадку розробки системи з'являються ще Замовник та Виконавец, приблизно зі схожими відносинами: замовник може поставити вимоги, а виконавець має їх виконати. Серед вимог від мало компетентного в софті та безпеці замовника буде скоріш за все зазначено "і шоб безпечно було".
Неформально:
Керівник проєкту в нормі має бути відповідальний за успіх проєкту. Якщо проєкт буде просраний з будь-якої причини - це буде проблема керівника проєкта. Він не має бути компетентний в безпеці, як і в девелопменті чи QA, але він, як керівник, має знайти, залучити та проконтролювати роботу компетентної в цьому домені людини. Для цього керівник проєкту має використовувати ризик менеджмент, а недостатній рівень безпеки буде для нього червоним світлом.
За виховання дитини відповідальні батьки, а не школа. За належний стан авто відповідальний власник, а не СТО. Якщо керівник, батьки чи власник авто не хочуть нести за це відповідальність - вони можуть передати цю відповідальність виділеним командам професіоналів, виділеним вихователям та автосервісам, які здатні на такий рівень послуг. Але це не дешево і відповідальність за вибір такого провайдеру все одно буде лажати на керівникові. Або ж вони можуть включати когось до себе в команду для того, щоб делегувати активності. Або ж купувати консультації, якщо треба економити. І відповідальність за успіх проєкту буде все одно лежати на керівникові проєкту.
На то він (ви) і керівник.
Формально, згідно із ЗУ "Про захист інформації в інформаційно-комунікаційних системах" :
👉 1. Порядок доступу до інформації, перелік користувачів та їх повноваження стосовно цієї інформації визначаються володільцем інформації.
👉 2. Власник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із володільцем інформації, якщо інше не передбачено законом.
👉 3. Власник системи на вимогу володільця інформації надає відомості щодо захисту інформації в системі.
Чим власник системи відрізняється від володільця інформації написано у тому ж Законі.
У випадку розробки системи з'являються ще Замовник та Виконавец, приблизно зі схожими відносинами: замовник може поставити вимоги, а виконавець має їх виконати. Серед вимог від мало компетентного в софті та безпеці замовника буде скоріш за все зазначено "і шоб безпечно було".
Неформально:
Керівник проєкту в нормі має бути відповідальний за успіх проєкту. Якщо проєкт буде просраний з будь-якої причини - це буде проблема керівника проєкта. Він не має бути компетентний в безпеці, як і в девелопменті чи QA, але він, як керівник, має знайти, залучити та проконтролювати роботу компетентної в цьому домені людини. Для цього керівник проєкту має використовувати ризик менеджмент, а недостатній рівень безпеки буде для нього червоним світлом.
За виховання дитини відповідальні батьки, а не школа. За належний стан авто відповідальний власник, а не СТО. Якщо керівник, батьки чи власник авто не хочуть нести за це відповідальність - вони можуть передати цю відповідальність виділеним командам професіоналів, виділеним вихователям та автосервісам, які здатні на такий рівень послуг. Але це не дешево і відповідальність за вибір такого провайдеру все одно буде лажати на керівникові. Або ж вони можуть включати когось до себе в команду для того, щоб делегувати активності. Або ж купувати консультації, якщо треба економити. І відповідальність за успіх проєкту буде все одно лежати на керівникові проєкту.
На то він (ви) і керівник.
👍6
Ви просто вкиньтеся: людина, зайшовши на великого клієнта як солюшн архітект, купує більше десятка колод, щоб розвинути відповідну культуру у розробників (а їх декілька команд), які будуть втілювати в код його рішення. І він навіть не за безпеку відповідає, а саме солюшн архітект. Вперше бачу таку відповідальність серед солюшн архітекторів. А от до речі серед архітекторів безпеки ще ніколи не бачив, нажаль. Максе, моя повага.
👏3❤1👍1🤔1
Forwarded from Security Digest UA
В Інтернеті знайшли базу 2FA кодів переданих через СМС для таких сервісів як Google, WhatsApp, Facebook, та ін.
☝️ СМС це не надійний метод багатофакторної аутентифікації. Починаючи від можливості перехоплення, заволодіння мобільним номером спецслужбами, і закінчуючи от такими історіями як вище. Краще все ж спеціальні додатки використовувати, наприклад той же Google/Microsoft Authenticator.
@secdigestua
☝️ СМС це не надійний метод багатофакторної аутентифікації. Починаючи від можливості перехоплення, заволодіння мобільним номером спецслужбами, і закінчуючи от такими історіями як вище. Краще все ж спеціальні додатки використовувати, наприклад той же Google/Microsoft Authenticator.
@secdigestua
👍6😨1
Дивився зараз випуск відомого YouTube каналу, там український виробник радарів розповідав про виробництво і бізнес. Під час розповіді про потенційних покупців моя профдеформована свідомість звернула увагу на наявність знайомого паттерну. Там сказали, що військові мають надавати відсіч збройній агресії, але обладнувати населені пункти технікою для захисту, наприклад радарами, і, бажано, забезпечити процеси їх експлуатації, мають територіальні громади та ОВА. Як зробити це якісно? Консультуватися із військовими. Власне ОВА з тергромадами зараз і будують фортифікації.
Все це - ще одна відповідь на пост вище про розподілення відповідальності та обовʼязків в забезпеченні безпеки будь-якої системи, будь-то технологія чи населений пункт, не важливо.
Хочеш безпеки - прикладай власних зусиль, а не сподівайся, що хтось для тебе це зробить, бо шарить в темі.
Так, можна зробити все «під ключ» і передати ризики, але це вже про зовсім інший кост.
Все це - ще одна відповідь на пост вище про розподілення відповідальності та обовʼязків в забезпеченні безпеки будь-якої системи, будь-то технологія чи населений пункт, не важливо.
Хочеш безпеки - прикладай власних зусиль, а не сподівайся, що хтось для тебе це зробить, бо шарить в темі.
Так, можна зробити все «під ключ» і передати ризики, але це вже про зовсім інший кост.
👀4🤔1
ДіЯ таки відкрила свій код в опенсорс (лінка на Github в кінці сторінки): https://opensource.diia.gov.ua/
🤯8🤩2
Поговорили із законним власником карток для моделювання загроз і вирішили, що треба їх роздати всім бажаючим. А сам власник дуже бажає закрити збір на дрони камікадзе. То ж в наступному пості можна буде отримати колоду. Не перемикайтесь.
🔥8
[ЗАКРИТО] Маємо: 8 колод на фото в наявності Києві. Всі новенькі і незаймані. Ціна на офіційному сайті на зараз: 907.40 грн (без врахування доставки). Кожна з них може стати вашою за донат 1000 грн на дрони-камікадзе в ось цю баночку: https://send.monobank.ua/jar/9hJpn5iT4C не забувайте робити це не анонімно, щоб ми могли із вами звʼязатися для передачі карт. Бонусом до покупки будемо чекати відео використання пташок (за можливості звісно, залежатиме від військових). Якщо ви кидаєте з моно, то поставте в переказ коментар «на карти». Якщо з іншого банку - то скрін з платіжкою в особисті хлопцю з першого коментаря до цього допису. Памʼятаємо, їх всього вісім.
🔥10
Нарешті достойне застосування GPT: проєкт DarkGPT. Якщо коротко, то хтось напхав в модель GPT-4 багато витоків БД и теперь по ним можна шукати за допомогою чату і ставити питання. Якщо честно, мені це здається так собі підходом через втрату точності результату, по-перше. А по-друге, не певен що це зручніше ніж просто ввести пошуковий запит у поле в тому ж Aleph. Хоча в цілому думка валідна: е багато даних, а ця модель вміє обробляти багато даних. А от ефективність такого підходу у промисловій експлуатації для мене під великим питанням. Принаймні поки що.
Воно безкоштовне, потрібна лише підписка на ChatGPT Plus щоб отримати токєн. Можна пробувати вдома.
Воно безкоштовне, потрібна лише підписка на ChatGPT Plus щоб отримати токєн. Можна пробувати вдома.
GBHackers Security | #1 Globally Trusted Cyber Security News Platform
DarkGPT - A ChatGPT-4 Powered OSINT Tool To Detect Leaked Databases
DarkGPT is your next-level OSINT helper. DarkGPT uses GPT-4-200K to precisely query leaked datasets in this digital age.
👍4
Forwarded from Ukrainian Hacker Group
Компания рег.ру занимает одну треть рынка хостинга в россии. Как они сами хвастаются почти четыре миллиона "любимых клиентов". Часть из них мы взяли на покататься. Сэмпл - пятьсот баз https://gofile.io/d/Q3MxxM И мы конечно не прощаемся, а рег.ру пока может спокойно, за час-два сменить все пароли, рассказать пользователям что их данные в Украине и уведомить регулятора и контрразведку.
🫡6👍3
Невеличкий write-up розпродажу карт
👉 Віддано 11, хоча планувалося 8. Декому довелося відмовитись від своїх колод на користь донатерів.
👉 не зважаючи на вартість в 1к за колоду, зібрано трохи більше 18к.
👉 Всі колоди окрім двох вже в руках донатерів. Одна поїде за кордон, а на ще одну донатер не залишив адерси і не реагує в комментарях. Дмитро К., напиши в ЛС, розшукуємо тебе)
👉 Бійці вже придбали та юзають ретранслятор для FPV.
Наче непогана акція вийшла, мені подобається :)
👉 Віддано 11, хоча планувалося 8. Декому довелося відмовитись від своїх колод на користь донатерів.
👉 не зважаючи на вартість в 1к за колоду, зібрано трохи більше 18к.
👉 Всі колоди окрім двох вже в руках донатерів. Одна поїде за кордон, а на ще одну донатер не залишив адерси і не реагує в комментарях. Дмитро К., напиши в ЛС, розшукуємо тебе)
👉 Бійці вже придбали та юзають ретранслятор для FPV.
Наче непогана акція вийшла, мені подобається :)
👍13❤1