BSidesUkraine Security Week 12.12.2020

доброго субботнего утра дорогие наши зрители и слушатели рады вас приветствовать на финальном стриме security би-сайд украины security вик извините за тавтологию вот сегодня у нас будет что-то типа круглого стола с нашими спикерами которые с нами были также у нас будут некоторые гости вопросы возможны по темам которые у нас поднимались но и также любые общие вопросы с нами сегодня уже присутствует александр добрый привет александр и вот сейчас нам присоединяется другой александр александр а до максить с нами также с нами владислав кучер который не был у нас как не был на спикером но мы его приглашали он отказался не успел он лидер лидер инженера in beta secure чем кажетесь столько всяких главное что он участник команды не secu над им вот поэтому думаю

он много чего нам сможет рассказать с нами павел собаки также и богдан букин которые были нашими спикерами ребята торгуйтесь бред всем здравствуйте еще раз вот мы ждем от вас вопросов наших на чатик пожалуйста нас пока не так много штук а мир не включать а не могу понять знал а слава тебя включайте камеры ух ты какой прекрасный вид вот [музыка] пока наши зрители думают потому что как-то у нас в субботу утром утро когда встал то до утра у нас не так много слушатели сейчас пока или они все ушли на city of потому что напомню что в данный момент как раз буквально сейчас начинается сеть ef по умному городу параллельно вот и возможно все ушли туда но у меня мы начнем

а перед тем как мы начнём я все-таки поблагодарю нашего спонсора компания huawei за поддержку за участие как нашей команды так и в принципе комьюнити вы по информационной безопасности в украине насколько я знаю они сейчас очень активно принимают в этом участие большое вам спасибо вот хорошо свете поднимайся я ночным вопросы которые у нас есть если вопросы закончится раньше чем начнут задавать их в чатик то мы и закончим раньше поэтому как долго мы вас будем утверждать удержать здесь я пока сказать не могу сейчас у нас давай возьмем сережу смитиенко он сейчас обещать мне присоединится которые у нас из организатор и спикер на решил решил опоздать вот у нам о себе жду дом здравствуй сереже сереже тебя не слышим нам уже в эфире

крыша я думаю мы потихоньку начнем наши вопросы один из первых вопросов который поднимался в принципе очень часто под разными в разных докладах очень интересует людей с чего начать вот во первых как понять что тебе интересно какое направление там что сейчас лучше изучать defines a fence forensic я не знаю этот самый фотографию реверс или или еще что то я не знаю что что будет что лучше всего пригодится как вот понять что это твои и в зависимости от ответы там у меня будет следующий вопрос кто хочет отвечать на этот вопрос хорошо рассказывают авторы да как ты начинал как ты выбирал всем привет на самом деле надо просто попробовать экспериментировать не бояться что-то поизучать потратить время и ну очень

сложно сказать на самом деле что кому то кому то сказать вот чтобы сработало для меня и как не сработает для того же человека просто нужно пробовать и не бояться быстро переключаться даже с темы на тему если вы чувствуете что что-то не ваша то без проблем сразу же найдите кого-то еще выполнить своими которых работают в разных сферах например тоже кибербезопасности что-то для себя подчеркнуть из каждого разговора и если вас что то интересует что другие люди занимаются пробуйте узнавать уже более глубоко детальный и собирайте материалы убейтесь пробуйте так просто нужно быть максимально быстро пробовать разные вещи чтобы найти то что вам действительно нравится я пожалуй пашу тоже поддержу здесь потому что тут вам на не боятся то есть главное делай

что-то они находить себе какие-то отговорки вот все это не могу это сильно сложным для меня это неинтересно и так далее тут наверное больше окажешь таки если вы хотите начать вам наверно нужно просто начать походить по собеседованиям и поспрашивать что что хотят от позиции например если мы хотим работать до от примеру мы идем по собеседованиям спрашиваем что они ожидают от позиции то есть будет какие там самые больше там востребованы по рынку да будь то этого будет реверс и вы уже принципе зависимости от спроса уже дальше там пытаетесь как-то находите себя в этих направлений например если вы походили по собеседование 80 процентов сказали что мы ждем от вас какого-то всегда в опции ли это сисек и разделась и там в мобилке

то есть наверное то есть понятно стоит попробовать посмотреть на вы все-таки там пройти какие-то там доклады так тарик из очень ресурса достал очень и очень много но опять же такое люблю любое препятствие то есть нужно воспринимать как опыт даже если вас что то не получилось тоже так вы всегда можете сказать это опыт он вам что-то того он вас чему-то научил и то есть как минимум ни отговаривать себя там это я не буду делать понятно здравый смысл должен присутствовать что там потратить кучу кучу времени на то что не актуальный и не нужно и не интересно как бы не сильно разумно но плане начинания все же я бы советовал просто пойти попробовать вместо того чтобы спрашивать с чего мне начать

просто взять и начальник вместо вопросов заняться действиями с мистером я хотел бы добавить богдану что до комбинация опыта приводит к очень интересным последствием то есть вы пробовали в одной сфере в другой и вот на стыке свет иногда вы можете найти свою нишу которым вам сможете занять то есть не просто да там веб diverse это даже в комбинации веб-разработки и в безопасности приводит тому что вы станете скажем там реале специалистом по 1 сайтов с fogers особо нам крутым уязвимости и это действительно так поэтому я слышу спикерами что пробовать опыт но еще ценить этот опыт потому что он реально может дать достаточно большие бизнесе ты тратишь не никогда не пригодятся можно я еще тот тоже вставлю свои пять копеек я

вот то что говорят ребята это вообще у универсальный подход к вообще любым вопросам что нужно пробовать нужно что то делать и не отговариваться и в этом смысле есть такое вот cross reference между тем что те инструменты которые вы получаете где-нибудь там в жизни решая какие-нибудь там вообще другие проблемы вы можете их применять кибербезопасности наоборот это вещи которые вы изучаете получаете опыт в кибербезопасность если вы так некоторого отдаления на них посмотрите то вы обнаружите что вы те же самые подходы можете применять и для решения задач в аптеках некоторые дни как кибер безопасностью не связаны и это вот одна из причин почему я как организатор пригласил катю как нлп мастера выступить на нашей конференции чтобы показать вот именно вот этот вот

cross reference когда знания и умения и подходы из одной области вполне работают другой хорошо спасибо большое а вот была озвучена мысль о том что как бы очень рекомендуются ну не то чтобы рекомендуется одну как бы попробовать вот потому что здесь много информации вот я в принципе согласна что наверняка мне кажется что легче всего изучать то и понятнее всего изучать то почему больше всего информации вот и сейчас побегу действительно есть очень много информации и лап всяких и курсов и всего на свете жалко нет этот раз жалко нету одре его ложь она сейчас вы мне кажется выдержал бы сейчас разговор на тему того что существует мнение что в ближайшее время все больше и больше популярности будет приобретать безопасность

непосредственно отварная и я у всякий hayot устройств что вы думаете по этому поводу стоит ли обращать туда внимание или это заведомо тупиковая ведь я попытаюсь то есть я считаю что по-любому это направление имеет место быть так как мы движемся в мир диджитале зации то есть мы постепенно отходим каких к тому простых вещей где мы можем вплоть до заказать еду там все это умный дом все напичкана умными девайсами поэтому это как и ожидается будете иметь некий спроса плане безопасности что и теперь мошенники то есть ли мошенники будут выходить на новый уровень будет пытаться взломать эти всякие устройства да там всякие это раньше делали игра дори и машины вскрывали да через программу управляемой ради так самолетом этому все

будет повторяться по тем же самым сценарием то есть мошенники всегда были будут есть и спрос на безопасность будет дальше также развиваться и так как мы говорим что мы движемся к миру детализации что все будет заменяться девайсами то есть человек будет по минимуму работать до все будет делать машин и так далее то есть это также да скорее всего может иметь большой спрос мое видение поэтому я согласен я бы еще добавил что вообще нужно просто отслеживать market где есть с просто месте предложения то есть вы должны это не только касается например аяте hardware просто нужно пытаться смотреть и изучать маркет если вы понимаете что где-то сейчас заранее может произойти какой-то большой спрос на какую то там технологию либо

там это скилл который будет очень сильно востребован то почему вы туда не попробовать запрыгнуть если вам понравится сможете совместить как бы и зарабатывание денег и свое общее удовольствие получать от процесса поэтому я бы добавил что наш я бы добавил включена за смотреть не столько на маркетинг сколько на монетизацию да сейчас у нас мы говорим эту на про марио я про марина марина капуро а я бы сказал что он стоит на рынок монетизации все эти устройства дают все железо будет интересным злоумышленникам тогда когда будет рыбу четко ясно монетизация просто так ломать даже машины до либо просто отломать те же умный телевизор и никто не будет это можно монетизировать если это можно использовать тогда это будет интерес и поэтому kempact должен

делать да им тогда то есть мы должны понимать поэтому вот я была так что то абсолютно верно здесь вопрос будет когда скажем носу это первый пример монетизации это был но мой зад на более я рано и да и тот же было ботнет умирать явный пример четко монетизации взлома идти устройс хотя но теперь вопрос да вот кому будет нужен тут же ума телевизор если он будет отключен от сети и ему не будет пони код доступа но вы берете воду от уязвимость а вы ходите сильно пошло impact но если эти устройства все подключены в сеть да и представляет возможность для взрыва заработка очень важно либо на моей команде крипты либо же на там вот сетях одесситы то да это будет будет

востребована и выказать интерес для атакующих но тут нужно четко понимать что еще раз просто сама сама по себе для сфера а идти без применимости да ну всего лишь еще один как бы еще одна из наших элементов ok . часть марк подписка пасхал ok да но ты при этом должен учитывать что у тебя умные устройства дома это уже не просто площадка для запуска будто у тебя ногу для устройства дома это микрофон и камера которые который ну уж количествах находится в разных комнатах до слез но если продавать ролик исчезает хардкор какой смысл снимать это не продавать ролики через pornhub либо же не заниматься шантажом то какой смысл снятия да еще раз говорю что вопрос в монетизации очень часто как окей будет

видеть там камера на склад но хорошо выглядеть и вид твой пример будет видеть крабер и вклад всегда есть конкурент которым интересно знать что у тебя там на складе продавайте зай самом деле развивать мысль по-разному захватывая и политическую сферу даст сферу там крупного бизнеса там промышленный шпионаж так далее но это также надо учитывать не забывать про эти сферы что они также востребованы мебель мебель киберпространство ну вот вопрос коллегам имеет ли смысл гнаться за маниса не монетизации за маркетом или все-таки работает там где тебе это по душе и и в кайф или нужно совмещать вот вы считаете что это не было озвучено и говорилось что нужно именно гнаться за актуальным маркетов ладно тут ты не бросил глаз ну на мой взгляд мы вообще

сюда поиска баланса до между тем чем хочется заниматься и что не приносит денег и тем что приносит деньги на чем не особо хочется заниматься хорошо как я буду с ней реально ратм если наши слушатели найду ту работу которую будет который будет я на кайфовать до и который будет кристин вдоль раньше их сумму ну дай бог топовом это вопрос должники без заем сказал вообще парадокс нашей жизни да просто небольшая оговорочка вот как раз ки что не всегда гнаться за марки там может принести желаемый результат моего надо гнаться за своими целями какими-то и желать а если мы говорим про развитие себя как личность наверно ты тут очень хороший вопрос ну я помню как алексей не повлечь с рассказал что мы меняем все

таки в свое время променяю все-таки свои деньги на время и хотелось бы все-таки получать какое-то impala оборот наоборот наша я паша паша наоборот своевременно деньги от героина вот поэтому все находишься получать какой-то положительный своей работа ног можно пробовать иди скажем так за маркетом и если вам чувствуете это вам не по душе просто меняете и дальше по ну надо пробовать дать совмещать иначе если не приносит удовольствие это гиблое дело менять и market хлама и 32 создавать просто ведь мы возвращаемся к вопросу о том что нужно пробовать больше чем больше чем больше вы попробуйте тем выше вероятность того что вы таки найдете то что вас интересует на наркотики только наркотиках мы сейчас про знания и умения хорошо спасибо большое

тогда вот в таком тоже продолжим еще немножко про обучение в начале своей карьеры в начале пути насколько важно сертификация и какая она нужна и нужно ну допустим будем даже если взять что-то типа в в котором мы там или даже контеста в котором там уже понятно все с этой сертификации ну насколько вот именно в самом начале важно получить для себя сертификат на сколько это важно для работодателей вот это все создаю работающие люди вот насколько при устройстве как там джуном каким-то на важно чтобы у тебя был сертификат ценится людьми вообще в украине я ехал попробую ответить так на самом деле для большинства людей которые работают в команде то есть сертификаты это отчасти формальность но для клиента когда клиент клиент приходит общаетесь с

ним на него наверное сюжета важно что ты сертифицированы на международном уровне именные сертификаты потому что это не только в киргизии когда приходишь к любому специалисты юристу врачу или ты видишь у него в кабинете кучей сертификатов этого внушает некий уровень доверия то есть то что он признан как бы миром и может зарекомендовать себя посредством сертификатов поэтому это больше наверное относится к сфере маркета да то есть что клиент часто может спросить если вас типа сертификаты которые подтверждают что вы действительно специалисты или вы просто классные ребята которые классно делать тут как бы говорю с точки зрения клиента они влажные если вы хотите работать вы хотите там что деньги зарабатывает на то есть зарекомендовать себя с точки зрения работы в команде то

есть это не столь важно то есть сертификат может быть формальным то есть больше смотрят на уровень знаний на уровень того скилла то есть как вы работаете как вы делаете работу и подкат бегом потом привет остался ли клиент довольна потому что может быть что у человека очень много сертификатом работу он сделал плохо доволен вполне такой сценарий который очень часто встречается и наоборот то есть человеком может не быть сертификатом он сделал работу очень хорошо то есть это как бы я смотрю на это как палка двух концов в плане представительности они нужны то есть если вам нужно встречают по одежке тут вот оно место нас и менее хорошей сертификатов международным а провожают по уму естественными тоже смотрят по

скиллам по качеству работы и как клиент довольны или нет как то такое прибавил было да ну давай спасибо я бы добавил это как знаете вот если вот твой парень и вы хотите вот познакомиться какой-то подругой вот если вы хорошо день вы там будете то на хорошей машине вот эти все вот эти титулы всякие статуэтки воды они вам дают как бы больше уверенности они дают в как бы они производят хорошее первое впечатление на самом деле там в итоге все равно оказывается все что у тебя внутри все что у тебя в голове она будет более важным чем то что у тебя есть просто в кармане сертификации и так далее поэтому это такой ну достаточно вы должны для

себя определить если вы чувствуете свою силу внутреннюю свои в своих знаниях тогда вам ничего не надо вам самое главное выпить просто разговор с человеком который вас будет собеседовать с ней и чар эрик router-а с человеком которым вы будете непосредственно работа который будет принимать решения правители не a certification это в основном уже не знаю первое это пройти и как бы фильтр и чара и рекрутёров второе это чтобы компания могла брать проекты у других компаний которые на это все смотрят говорит у нас есть то можете пляж них либо там цех либо еще это как хорошее дополнение на самое главное прошу вас в башке ну коллеги я думаю тут немножко вопрос был в другом лиц спасибо во сколько насколько важно начинающему

человеку дайлемит к специалисту иметь какую сертификацию и здесь на мой взгляд ситуация заключается в двух моментах 1 ну давайте так если у зимы видно что ты у него опыта работы нет там знания базы тебя какой-то circa ты уже сертификация то ну давайте опять же мы берем что признано да то есть которая учитывается это будет может быть немножко странно то есть я там вот работы но у меня уже все вместе до всей кучей сертификации с другой стороны дествительно опять же если сертификация не [музыка] expired bass да когда необходимо подтверждение там 5-летнего опыта работы либо еще как-то то но для начинающего специально века опять же сертификация уровня он тоже организации или arm либо системные cisco вский либо кита базовые то есть это

показатель того что ты то есть те которые не являются там ульта крутыми да но тем не менее что то значит это показатель того что ты реально занимался самообучением занимался развитием и лена демонстрация но еще раз говорю что нужно ни при мне прощать вот эту сертификацию в само понятие дефекации как hunting да то есть давайте больше больше бумажек куча наклеек учетом этих аббревиатур их в резюме on a bus лица немножко странно и многие робот классе ты на это уже начинает обращать внимание но правильный подход то есть демонстрация того что ты если ты занимался раз саморазвитием обучение подготовкой может быть достаточно эффективно при найме на работу но тут тогда можно вернуться уже к тому вопросу что мы уже обсудили что

наличие или отсутствие сертификации не должно быть ограничением для человека который решил чем-нибудь заниматься естественный режим чем-то заниматься ты занимаешься если там походу дела у тебя возник появилась какой-то сертификат это замечательно если не пару не появился и ты себя себе говорит что я вот и ничего не буду делать потому что мне нет сертификатов и тогда и ничего никогда не добьешь ну мы сейчас не заню правда не я себя слава богу но спасибо я спасибо вам всем за ответ к нам присоединился андрей волошин и я думаю он тоже сможет принять участие в нашем текущем обсуждение всего на свете хорошо спасибо большое сейчас у меня будет не буду как бы у меня вопрос такой наверное касающиеся доклада катерины относительно общение и

вот как я говорила тогда и как я все еще продолжаю считает несмотря на то что прошло уже четыре дня за для доклада в принципе сейчас по крайней мере мне так кажется что дешевле и легче взлом того же twitter некоторое время назад когда убили сотни верифицирован их аккаунтов это доказывает что сейчас значительно легче взломают человека чем системы вот на сколько важно особенно в контексте нашего разговора начинающему безопасники понимание психологии человека общение с человеком насколько атакующему нужно понимать как думает программиста программисту подумать как атакующий насколько важны тренинги персонала с с обучением безопасности кто хочет ответить на этот вопрос капитал должна отвечать если ей вопрос это это больших катя нам и докладу нами в целом к ней вопрос я может быть немножко

перефразирую вопрос тогда вот насколько тогда кати тогда это действительно будет вопрос как ты думаешь насколько для продуктивного общения и для вы для ведения человека за собой для того чтобы получить от него все данные которые тебе надо насколько нужно понимать его психологию ну и психологии в целом и вообще следует ли человеку который взламывает или защищает системы понимать психологии людей которые будут за ним работать работать с этой системой а я считаю что нужно понимать человека коммуникация может на самом деле кого многому привести да там какие-то ключи доступа получить или еще какие-то важную информацию очень важно то что я говорила это встать на место другого человека и тогда я думаю что многие может магазина прочувствовали то в банках или еще где

то когда вы приходите да и кванта как-то очень лояльно относится очень хорошо иногда такое даже ощущение создается что как то хочется больше рассказать тому как то больше выкладываться и я думаю что вот это вот психология человека именно вот такой на вы как основать на место другого смотреть глазами на эту ситуацию очень полезно может быть потому что вы тогда поймете что за этим больше стоит удовлетворить его потребность и когда человек более лояльно вам относиться какая у него цель на этом с этим стоит а что ему сейчас хочется да и как то такое тоже словами так вывести на то что я могу тебе это дать вот таким вот образом и еще что то и словами очень много можно добиться человека

вот таким рапортом что я говорила это тоже очень важно да мы присоединяемся и по теме и слова человека также использую как будто мы с ним на одной волне я могу добавить немножко с вашего позволения ну когда делал допустим определенное действие послушным джулиен куда входит астана проникновение то желательно действительно понимать не только психологию человека но и вот драйвер факторы что его драйвер то есть вот обратить внимание возьмем произвольный банк до чего боится человек в банке работник банка чем боится либо же да там что его уволят то есть участок опасается своего руководства поэтому скажем использования ссылок на руководство является эффективным другой момент допустим там человек очень часто действует очень полезно понимать его шаблонные действия примерно то есть что

делать каждый день но допустим возьмем юриста и у каждый день присылают пушту файлы сложение и он их открывает его работа клеем этому там заяву что такое поэтому я слушала вложить в письмо сократить его правильным текста натравить юристу с больше вероятность откроет от его работа спасибо сказать что нужно не только просто психология человека понимать если мы атакуем конкретного до конкретную личность а если мы берем самоорганизацию то нужно понимать скажем контекст очень часто то что сработает против банка ну против допустим там не знаю кто нибудь холдинга не всегда может сработать поэтому я буду так контекст каждого каждой личности и и 10 я бы хотел бы ответить на ту часть вопросах которые было относительно нужно ли начинающему пытаться разобраться где то

там в психологии в чем в таком-то в принципе я так думаю что все начинающие специалисты с большим недоумением смотрят на смотрели этот доклад и слушать сейчас эти у вас можно ответы потом настанет говорят слов давайте нам технический жестяк покажите нам как что-нибудь взломать научите нас еще чему-нибудь чего-нибудь и в принципе там с опытом когда человек уже прошел вот это вот часть когда научился делать то что нужно было делать с машинами вот тогда у него появляется запрос и понимание того что взаимодействие с людьми будет намного более важным и эффективным аспектом его жизни и к работе он хотел сказать считаю как проверка микрофона вый всем привет пусть нормально слышно но мне кажется немножко тихого то если ты можешь как танец

иванушка могу потому что я перекличку даже нашел специально под это дело вот так доберется так лучше люди не новость она лучше я постараюсь ну в общем я да вот вопрос очень интересно на самом деле он двух аспектов почему-то сразу шлифовать инжиниринг но там же часть была о том насколько даже технарь у важно понимать как разрабатывается продукты явно не перестают тихонько так всем говорить не то что бы я там кричал могут мне совсем непонятно как пан тестом можно заниматься без навыка программирования то есть в моем понимании это как я к этому всему пришел это ты сначала программист или ты умеешь писать код скажем так и как следствие этого дальше исследования своего ухода чужого кода нахождение в нем каких-то изъянов там

или это тема in games когда ты думаешь что разработчик как он мог реализовать эту фичу и что он помог напортачить в каких местах либо анализируя его какие-то публичные репозитории либо его доклады какие-то оговорки там либо там не точные ответы которые он давал либо еще что то это дает вот понимание того как писал так вот той какой технический уровень этого человека какие ошибки он мог допускать инжиниринг ну кроме как того что он очень красиво выглядит в книгах и является первым этапом всяких операций двоих взять и и government of против против других взять и government of но с точки зрения человека который сидит в конторе и занимается пэн тестом либо поиском у известием на бак баунти допустим либо на

зарплате в другой конторе точно также разрабатывает внутренней это узлы процесса и pipeline и он этим не будет заниматься исключение это наверное редким которые тренируют сотрудников до или проверяют сотрудников там на в том числе и на уязвимость вот чисто человеческого характера как они fish новые письма открывают и прочее и здесь нужно разделить что для ежедневной работы пан текстуры естественно нет необходимости станции же не ринге потому что он работает возможно вообще white боксом даже не black box им либо край боксом приложением а чуть ли не с исходным кодом работает анализируя его статический и динамический анализ и в то же время основные угрозы естественно будут начинаться через фишинге какие-то вот канал и влияния на людей как было сказано и поэтому здесь наверное так что

тренинги до должны быть для этого есть и автоматизированное приложения платформы которые рассылают синджи фишинговые письма тренируя твоих сотрудников для этого есть и семинары тематические не знаю ли там регулярные митинги обязательное для посещения руководителей и прочих кто наиболее там возможно подвержен такого рода атакам для того чтобы тренировать просто гигиену в сети работать там имейлами с электронными устройствами интернетом в целом для сотрудников этому оно одно другое не исключает но вопрос кто чем будет заниматься все-таки 100 инжиниринга мира сбрасыванием и usb flash кроме как но назовем это зловредный в действие как бы мы не приносит это все-таки нет ни основной интерес обычных ребят как видео кажется важно понимать что бизнес на самом деле не сильно интересно хотим интересно за

побольше вот эти поменьше потратить они начинают думать а я как бы схватывают за одно место и кто отдает команды даже тем же самым программистом разработчикам это люди как бы те кто красе делают деньги и очень часто если нету какого-то security концерта который запрещает например там вместо encrypt о каких-то там токи на фоне лайтом b4 хотя бы все 4 это просто другая форма кодировку как пример и нету кто за этим всем следить за зачастую могут быть тоже очень много проблем связана с тем что нужно понимать что в сосновом бизнесменам они хотят просто заработать у нее на начальных этапах не сильно думает за безопасным как целом и очень часто когда разрабатывает какой-то продукт люди пишут могут расписать не одни и те же люди могут

писать разные компоненты пишут разные люди люди могут меняться люди могут быть например 1 там часть блока написал один человек вторую часть и зачастую они сами даже не разбираются в чем что они там написали они там у меня есть пару друзей программистов они там иногда там присутствовал на митинге кто это написал и потом давай мне is mine ищите мне этого чувака были взять разбирают они зачастую вот этот человеческий фактор когда очень большое количество работы и [музыка] как минимум 5 меньше сделать работой и зачастую там даже вот этими мэтти потом загружаешь загружаем там компе у какого это было какой-то кусок кода не отработал просто его уберем ну то есть такое тоже и на весь встречается на поэтому это понимание психологии

разработчиков и как и так им подходом это все происходит это тоже очень важно у меня из любимого кто это написал кто это написал а я это написал ладно извините это не то что я хотел добавить принципе согласен со всеми ребятами возможно где-то частично с андреем не совсем согласен потому что секрет review & panties 30 песен это немножечко разные вещи да но понятно что навыки программирования нужны но нужны более сколько все равно контексте именно к другим когда человек занимается по траве чтобы он мог качественный сделать этот анализ воды таком выявить ошибки polaris о ческий подход а если мы говорим о вопросах психологии дадут возвращаясь к вопросы который был первую очередь за ducati то есть я считаю это очень важно на начальных

этапах понимать потому что вообще основная проблема не только в победе а вообще человечество что люди не могут понимать друг друга то есть докладчик он как у него идет мысль а потом слово то есть информация идет от кумы стык слову а слушателя воспринимать ее от слова к мысли и обрабатывает через свою призму мировоззрение то есть примеров в ситуации там тестером и программистам да то есть программисты никогда не могут предположить что кто-то или все может использовать допустим ту или иную фича в каком-то плохом контексте да например что программист привык к думаю что есть только типа юзер есть браузер и он такой способ будет например общаться с приложением то что если он напишет там на фронте защита какой то она пока не

проверки не напишет то ну никто же не будет кроме браузера чтобы использовать то есть они этого не предполагает они не закладывание их мировоззрения то есть не работают так как и у злоумышленника кого-то контеста прогестерон должен шерить думать немного шишина более глобально то есть он должен думать как ту или иную ситуацию вообще можно обойти использовать нестандартные подходы то есть как бы и программисты очень часто и инвесторы другой не понимаю потому что тут думает что вот будет только так и не иначе потому что он не знает о существовании тех или иных то инструментов тех или иных там техник и что это может быть там по другому использована и вот как правило то есть психологические подходы как правильно

носить человека чтобы он тебя понял что это нормально что он этого не знал ли чувства и наоборот то есть panther может там не знать какие-то аспекты программера не может быть него нет а там десятилетнего опыта программирования такое бывает даже таки нужно понимать как вести коммуникацию как объяснять на какие то непонятные вещи и вместе их решать вот так вот я вижу что психология на достаточно важно коллеги вопрос был нужно ли начинающему специалисту психология вопрос был до но мне нравится как вы его развернули но тогда я бы я считаю что начинающему специалисту психология не нужно от слова совсем ну то есть как бы но я считаю что в принципе войти есть большой пробел скажем так в знаниях особенно начинающих

специалистов если начинающий специалист еще начнет распыляться на психологию на то что он думает о как мне это правильно сказать это классный это классно если тебе это интересно и х2 и ты этим так мы в свободное время занимаешься но бы лучше пойди и получи тоже программирование тот же кадре вьюновые тузы новые техники личный вопрос у меня встречный вопрос тогда будет к вам двоим а ты потом ответишь на минуту добавишь от себя хорошо книга на которую ссылались не так давно буквально в четверг практически на библию пан тестера вы бы критично security хак бук или как она там правильно называется вах короче там буквально в первые же главе написано что когда ты проверяешь безопасность какого-то приложения ты должен понимать о чем думает программист

вот я не читаю одобряю ну я здесь меньше соглашусь если ты не понимаешь как работать технология думать о том как работает программист ну чуть чуть не целесообразно мне кажется то есть мы пример но прежде всего все-таки обычно тот же contest направлен на выявление технических они психологических недочет и вот прежде понимание психологии потом уже понимание прежде понимание технологии а потом уже по предусмотрите вас буквально вам наглядная демонстрация у нас буквально пять минут назад или 7 павел сказал что бизнесмены они вообще не думают о безопасности они думают о том как бы заработать да вот он демонстрация того что нужно иметь скилл поставить себя на место другого человека и с его точки зрения по понять что он воспринимает из чего он не воспринимает

как как каков фильтр через такую призваны на этот мир смотрит и тогда возможно сама сама вот это вот такой вот сам посыл что а вот бизнесмены не думает об информационной безопасности волнуют только деньги он при в принципе не не возникнет и это вот то место на котором вот многие начинающие люди которые вообще молодые приходят куда-то там в профессию только начинают что-то делать это вот то-то . на которой они все буквально сыпятся прокалывается все мне не соглашусь я я добавлю просто из личного опыта то что делают тузы и на уровне тупо технически вас кило типа умение запустить не знаю стоит ими найти где они лежат или nessus запустить это то что делает каждый то есть это не более чем чтение мануалов

и дальше по инструкции прохождения всех этих вещей то есть автоматизируется на 1 каждый может с этим справится минимальный порог вхождения ничего дополнительно не надо тут же все написано как только ты сталкиваешься с тем что эти тузы что-то не находят либо не могут тебе раскрутить ты начинаешь думать что же там не так что же ушло в сторону какого-то стандартного кейса не зная той же коллекции пусть это будет в пусть это будет хардвар пусть это будет боккен все что угодно и вот здесь как бы как раз и и и нужны технические скиллы когда ты понимаешь что мы как это могло быть реализовано так что вроде уязвимость есть но ее эксплуатировать классическим способом нельзя и вот это как раз и отличает ребят

которые просто но когда-то это называлось скрипт кедис я не знаю просто как сейчас как кто считается скрипке диск то считается тем кто ну вот там профессионалы и делает то есть ну покрайней мере то что я встречал видел это толковые ребята которые просто пользуются готовыми тузами даже не это написанием каких-то своих плагинов для бур по или еще чего-то если мы уже говорим о небе и вот идея которое в книге прозвучало которое лизка ты озвучила кстати меня сейчас должно быть лучше слышно я узнал я узнал что зум оказывается сам выбирает какой микрофон и он хочет работать они системные берет но не суть так вот в книге как раз была именно об этом что тебе могут показать классические ошибки программиста но как

только перед тобой чувак который читал эту же книгу ты уже не и ожидали что ты получишь именно вот вот то что там лежит как пример или то что там находится сканерами ты уже получишь это прикрытая там бумажкой ширмочкой тряпочкой и вот чтобы через эту бумажку сумочку тряпочку пробраться тебе уже необходимо думать как этот программист как он писал код до чтения этой же книга которую ты прочитал и что он будет делать после этого зачастую в таких книгах там за несколько обновлений идет типа вот сначала у нас есть там не знаю xss к а потом чувак написал свое риггс по которой их фильтрует а потом он узнал что есть еще он гулял у которого это там встроенная есть а потом он еще узнал

react то есть как бы там идут итерации и вот сделать следующую итерацию ту которая в книге не написано по факту стать тем кто может написать эту книгу вот это как раз и отвечает мышление что один делает в инструкции другой мысли ты способен сам и этой техники воспроизводить имплементировать скрипта вате так далее но андрей да я согласен но это все в контексте когда у тебя уже есть опыт и знание вопрос все-таки звучал изначально не junior начинающему доджу не уважали психологии и вот так да и дата начала говорили это не психология это все-таки две разные вещи одно дело технический скилл другое дело психология психология это вот понимание поведения людей здесь мы говорим о мышлении программист это тоже

техническая вещь тебе не нужно для этого понимать его портрет да что он там аналитическое мышление психология разные вещи и и вопрос был собственно говоря про психологию я тут мы тебя плохо слышно можно сделать он вроде отлично слышно да ну хорошо если отлично окей я проложил да тут вопрос том что мы называем психологией то есть если потому что джину нужно сейчас взять купить кнопку чу книг по психологии начать изучать как это делают психологи и психиатры и все остальные я думаю тут нет на стенах 1 попытаться думать то есть попытаться хотя бы предположить а что же тут могут подумать другой человек вот это наверное все таки нужно как бы я сижу здесь с андреем больше просто опять же да глубину сам осмос не

идет о том что джон должен бросить все свои силы на то чтобы изучать как думают другие люди там подождать до добил бы эту идею вот тем что сказал бы что смотрите прочим говорит андрей волошин это уже тот как бы порог который джуна отличает от нер'зула вот до тех пор пока человек будет ориентироваться вот как человеку понять джун он или нет зуй вот до тех пор пока он занимается тем что он там изучают инструменты и какие-то там программы чужие может даже сам кита плагины пишет но до тех пор пока он не начал doom задумываться над мышлением как таковым он будет оставаться джунов как только вот он уже дошел в своем развитии до того что он начинает думать

о мышлении свое мое мышление других людей вот это вот уже у признак мастерства свежий с ребятами до что hard скилл и конечно же какая-то должны быть обязательно технические знания а вот как соски у меня коммуницировать да вот понимать другого человека общаться вот и ну вот и в работе дальше свою коммуникацию использовать это обязательно вот такой навык который необходим он по жизни необходим неприличной жизни и и в рабочей сфере возможно да как только нанимаю человека этого как бы еще он может не обладать полностью один аваков но со временем до чтобы там дорасти до мигалок зенера и как тимлида да тоже очень важно иметь именно навык коммуникации в принципе распространен и необходим и как вот сказали ребята тоже

не обязательно вникать то полностью в него там как-то очень глубоко во эта информация владеете но вот на каком то такой вот на базе навыка это вот почему нет это очень огромный бонус и я думаю что каждому руководителю бы хотелось бы иметь такого человека своем подчинении которое коммуникация хорошо развита коммуникации что у который может толку в этом объяснить мысль который может донести дали понять другого человека и даже ну когда к нему обращаться разобраться манипулирует или действительно разговаривать на этого хотят там случае вопросах единственно с помощью речи и донести свою речь и услышать да там а манипулятивные признаки в речи другой ряд согласен как и с андреем таки с владом потому что life отметил что мы отождествили то есть понятие психологии

с аналитическим складом ума но андрей на самом деле раскрыл мои мысли по поводу того что мы просто продолжим например в те же самые инструменты той стандартные подходы то есть они как правило то есть но исходя из своего опыта возможно это процент скажу неправильно там где-то это 30 40 процентов там нахождению вежливости потому что они не видели лайки например если там например data flow он берется где-то там в путах в одном месте потом либо через некоторое время это тропа либо через некоторые места проходит ибо защищены только по первой строчке нахождение точки выхода а промежуточных степан не защищена такие моменты сканерами не видят ее стандартные подходы то есть когда мы запускаем поэтому тут же все же даже такие

аналитический склад ума он уважим он необходим с точки зрения психологии да то же самое по treeview потом берем во внимание то есть мы можем изучать кто не знаю об этом 200000 строчек кода это очень-очень мог мы можем просто выстроить коммуникацию с программистом с техническим персоналом то есть и спросить ребят что вас тут происходило в эту объясните мне вот здесь вот эти данные идут на поляне там элементом функциям вот объяснить ряда жену на порядок ракитном время работы так что мы пообщались мы и сели там самостоятельно в холод и пытаемся его понять полностью изучить там почерк программистов он хотел объяснить мы вот банальные такие вот психологически спросить у человека напрямую или чем поговорить о нам человека то есть пусть нам объяснить

потому что у нас на этот раз проще ну например банально эффективных стандартные подходы это уже как бы я считаю психологические подходы но опять же я согласен и так и с владом так и с андреем то есть что это больше как бы технически да спит аналитический склад ума и это психологические моменты нужны хотя если мы говорим о дэне то есть у него всегда будет какой-то наставником всегда у него спросите вы научит понятно ведет курс дела это тоже имеет место быть и не забывать ещё добавлю смотреть смотрели что до занят психология полезно будет начинающему в тебе за опасности для сов скилов личных и когда не обязательно когда человек входит в позицию там же анонимно под дастера или там коды review обзор делает

а когда с дефенс стороны когда происходит анализ политики безопасности компании и вот тогда когда мы строим модель угроз компании где вероятно могут быть информации то в этом случае психология поведения там или вкусы людей она более чем важно потому что мы можем построить да мы входим в компании это знание психологии нам очень поможет в в будущем избежать там взломов или утечек угроз и разные ситуации атому в этом случае я скажу что ну здесь мосха знание психологии когда политика и безопасность строится в компании или когда мы анализируем то здесь психология будет очень важно хорошо спасибо большое момент ему не сильно нужно знать его нужно назвать просто кости от технической какой то что изгнание для того чтобы работать и в

процессе ну вот эти вот тонкие моменты будет изучать джун не будет приходить не будет пошел работаю сразу же строить стратегию по defence утан какой-то компании ему не доверяет это делает поэтому для шина будет работать просто выучить какой-то кастет и где-то попрактиковаться чуть-чуть basic знания и дальше он в процессе работы уже будет это всё познавать изучать так то это такие джаз of skills было бы здорово устроиться на работу то я не думаешь это дважды ха хорошо спасибо то есть это можно в данном контексте рассматривать как вариант развития процессе развития это все этому всего под операция но вот размышление андрея натолкнули меня на такой вопрос возможно он немножко [музыка] олеварн мне кажется но все же свете того

что вот я сейчас много всяких утилит которые там запустила она сама все ищет там можно по скриптам вот эти вот отчеты собирать если вероятность того что искусственный интеллект заменит финн тестеров конкретно на этом какую-то часть и b в целом я могу наверно сказать в целом он не заменит под тестеров но возможно чуть сменит их направление деятельности возможен подъезд и будет заниматься не чисто поиску уязвимости сколько больше валидации уязвимости вот набора сканер out with которые есть слово как показывает моя практика какой бы крутой не был сканер какой бы крутой дальше не было который обработает пытается с помощью и я и найти где фоллз позитив и остальное валидация все равно остается на команде плюс 3h у выбор уровня критичности

конкретно применительно к окружении конкретного проекта примеру просто пример счетчик нашел что такая-то библиотека у вас содержит уязвимы должна будет но вина а где характер вас приложение использует функционал или что у вас есть то окружение в котором можно эксплуатировать одно нужно люди который разбираюсь разбираются умеет показать сделать в концепт рабочий показать примеру бизнесу конкретный импорт для его приложения данный момент или да я бы добавил да я бы добавил то понял что помогает автоматизировать при задачи то есть сама идея автоматизировать то сканирование тент с она уже существует и опять эти те же сканируйте литвинчук олег 20с сдавались можно ли сделать более эффективными да можно добавляя лена условия предоставляя поступили там принимать решение какой какой например черно сканировать узлы сети что касается

как бы полностью автоматизировать то чтобы мир тент с проходил без участия человека это простым докладе рассказывал про исследование в 2019 году студенты из университета квинс австралия где он использовал предпосылки а не для того чтобы научить агент делать ндс по сути автоматизировать процессы кибератаки взлом сети и кражу там социальной информации и как бы делать это способом единственный момент что пока что такие такие японцы они являются научными исследованиями и [музыка] чтобы это как бы привести водник труд элитарную до плоскость чтобы это стало как бы ежедневная практика да я до этого еще далеко а потому как при например при органе этого эксперимента необходимо описать среду что опять это требует информацию о проведении действий сбор информации только после этого можно построить

модель среды использовать марковский процесс принятия решений и дать более сложный станет легендой просто бы поискал оптимальную стратегию для атаки добавлен смотрите получается да на начальном этапе когда сейчас больше на научном уровне во-первых сейчас колесо данных который спорта для модели их еще наверно мало достаточно и когда даже если такой продукт где это будет предлагаться как услуга то он будет настолько назначали к так дорого стоит поэтому еще очень долго будет дешевле использовать под тестер а потому работа пытайся речь очень долго будет актуальна на этом уровне дешевле будет использовать реального живого опыта сера чем пользоваться услугами такое ой ну я конечно объективно сравнить у меня не выйдет потому что мы вот на недавно стендов и попробовали очень торговое

решение с искусственным интеллектом то есть дома принципе много чего нашел но не больше чем команда то есть в целом независимо когда проходили ломали там периметр заходили в доме найдете все это робот и так далее то есть это коробка да она очень дорого стоит то есть по моим меркам цену не буду и вендор называть но наши листики попробует но она смогла поминаем а там некоторые места по заходить но она по пропускала очень и очень много мест который достаточно при критичные и результат от того которое добилось команда все равно она не достигла потому что как минимум не было то есть аналитического кого-то это специалист не поткин varmint то есть искусственный интеллект это как бы хорошо и возможно

то есть тот solution не самый идеальный но на примере тут этого одного кейса которым я видел я к нему сказать что это будет лучше чем там три или четыре человека в команде то есть на тот момент когда мы это вот проходили то есть как то так если сравнивать возможно возможно сейчас еще очень как будут другие наработки искусственный интеллект все равно то есть она время она не статическая и динамическая все постоянно меняется постоянно бешено динамика я не уверен что супер крутой искусственный интеллект сможет захватывать те темпы той динамики силу там развития информационных технологий чтобы очень-очень быстро все прям изучить все проанализировать и заменить там целой команды пан тестер до нас может автоматизировать какими любые сканеры то есть это как бы новая эра сканером

уязвимости возможно где то что то будет меньше времени тратится мастер мы опять же такие по качеству я бы не сказал что у нас может заменить я была как я бы предложил такую оценку смотритель ства человеческий мозг это в среднем 18 миллиардов нейронов да там 90 процентов этих нейронов занят управлением телом и 10 где-то 10 доступны там для нашей мыслительной деятельности но в принципе пока у нас не будет коробки которая там внутри себя будет содержать мира сеть на миллиард элементов которые будут учитывать то в принципе человек будет пока что в такую в общей задачи выигрывать да если у нас появится коробки которых будут десятки миллиардов нейронов отчитываться тут когда мы просто по вычислительным возможностям наших мозгов просто

проиграете штуки тогда она дана тогда сто процентов на 40 борт тут мне кажется немного смешался понятие искусственного интеллекта общего назначения просто то что сейчас называется искусственный интеллект и о искусственном интеллекте общего назначения вообще сейчас и приблизительно речи не идет никто и приблизительно не понимает как его можно спроектировать и на чем он будет работать а вот то что сейчас называется как искусственный интеллект это по факту быстрый перебор вариантов или но если уже математически брать коэффициентов в формуле которая по сути указывает как определенные элементы исходных данных насколько сильно они влияют на результат это может быть и картинка и вопрос не знаю контрастности пикселя в конкретной точке этой картинке и поэтому определять там эта собака или код и так

далее и вот с этой точки зрения как раз искусственный интеллект с примитивными простыми задачами вот на которой его можно заточить справляются лучше возникает вопрос где у нас лежит проблема поиска причинно-следственных связей для ну вот в помощи нахождения уязвимости одна из классических элементов которые сейчас используются многими компаниями уже на регулярной основе и the fading ну как они как пример это тех продуктов которые нам известны которые позиция на регулярной основе просто фермы запущенные это engine x это ядро android и по моему chromium точно также у гугла полностью постоянно находятся в процессе файтинга и вот там как раз этот искусственный интеллект обучаясь на найденных уязвимостях позволяет предсказывать с большей вероятностью в каких участках кода facing даст результат даст выхлоп и

это как раз позволяет технику которая изначально кажется просто невозможной по своему объему операций по просто по это сказать по трудоемкости и сам по себе fighting по сути перебрать в разные варианты не знаю там битов байтов изменений их внутри входящих данных внутри там аргументов функции становится вполне решаемой и плюс еще с использованием дополнительных данных об этом коде например абстрактное синтаксическое дерево которое точно также скармливается легко в эти парсеры и используется позволяет находить глубоко спрятанные уязвимости на которые обычным ребятам пришлось бы но неимоверно количество времени трудиться для того чтобы их до ковырять найти и в том числе и анализируя вручную аисты анализируя и подкручивая фазе нг и уже не говоря о том сколько это будет стоить прогонять слепой facing по по всему там

не знаю cod bo из ядра linux pussy подписанный под android и вот в этих элементах в этих вот точечных таких областях искусственный интеллект ту же выигрывает и дает как инструмент при сёрферам для того чтобы более эффективно работать может ли он со временем заменить наверное в ближайшее время так чтобы полностью то нет как минимум то что называется удачно тренированная модель это выхлоп порядка там в 80 90 процентов имею ввиду вот я и модель которая дает там приди либо фолз позитив и негатив на уровне вот 10 процентов от общего числа своих врагов да там тестовых экспериментальных и конечно что что-то она не найдет что то что она нашла может восприниматься как недостоверная информация или там просто воспользуйтесь

но то что она снимает уже сейчас львиную долю нагрузки ребят технарей это это уже мега-мега охрененная штука этот кто их осилил виде там уже готовых тузов как правильно вот ребята сказали боя или это кто был я не заметил просто без видео что они уже продаются эти тузы это означает спрос есть это означает есть какое-то предложение это означает что они будут дорабатываться потому что уже есть рынок и и мы это видим и то что было сказано что эти тузы по находили много из того же чтобы находили ребята говорит о том что они вполне уже состоятельны родились они естественно из тех тех же сканеров которые были еще там не знаю лет двадцать назад заражен али с точно такими же ребятами

инженерами которые просто автоматизировали свою рутину поэтому со временем как мне кажется все больше и больше вот этой ежедневной рутины поиску уязвимости будет делегировать автоматизированным пузом в некоторых областях как уже сейчас мы видим это применяется и достаточно успешно и те методики которые вручную вообще к в принципе неосуществимо реализовать становится более ценными и вообще они вообще возможны лишь потому что там есть какой то пусть это будет искусственный интеллект это перемножение матриц которая позволяет давать нормальный выход за вменяемые деньги и время это называется машинное обучение это называется мышиное облучение спасибо большое есть кому то что то добавить еще к на эту тему или мы можем двигаться дальше смотрите в конце нашего вот этого разговора я попрошу вас дать после по

одному какому-то самому важному совету нашим слушателям поэтому вы пока пока мы будем дальше здесь продолжать общаться подумайте для того чтобы в конце для вас это не стала неожиданности хорошо поскольку мы начали про машинное обучение и замену замену информационной безопасности мне кажется что логично будет спросить про квантовый суперкомпьютер которые построили в китае я если честно подробности не знаю это вопрос который был нам записан мне как я сказала китай построил квантовый компьютер как вы думаете что это значит для кипы крипке криптографии

выручки на фоне сережа сметанка может пишет и расскажешь по этому поводу что ты думаешь лыжи смитиенко ты меня слышишь он там делается вообще и don davis двигается ты что не надо ты меня слышишь или нет слыша слыша слышит или знаешь просто не хочется быть голословным с точки зрения того что ой беда беда всех сломают то есть честно не такой резкий криптографии чтобы сказать что там как пробудет все взломать как бы с узлом она с помощью квантово компьютера знаю что то есть контракт аграфия уже а вот только хотел добавить то что лёша сказал это во-первых давно было известно что рано или поздно это наступит криптографы уже дали схемы в том числе и обмена ключами и насколько

я помню давно в это не зачитывался там проблема только современными схемами асимметричного точнее не схемами алгоритмами ассиметричного шифрования и вот их как раз и переработать симметричное она по-моему не как также особый и не ускоряется квантовыми компьютерами имею ввиду восстановление ключа восстановление крича там вроде больше возрасте еще ну да я имею ввиду что восстановление куча то есть разложение башло большого числа на его простые множители это как раз то что решается очень быстро на квантовых компакте очень долго на классических и это как раз то на чем построен на часть асимметричной крипты ключ кей частности и поэтому вот это как раз то что переделывали перед перерабатывали создавали новые алгоритмы под них но насколько я помню это все уже

решено и просто все ждут когда просто этот рубильник переключить хорошо тогда не будем становиться на зыбкую почву крипто мафия продолжим наши вопросы как вы считаете что лучше держать безопасников штате или аутсорс применимо ли это и для retty моей для blue чего одно не исключает второе нужно ли царит и то и другое то есть своих безопасников нужно иногда аудирование но я бы сказал ильназ я бы сказал что вопрос оценки стоимости риска и толкаться кому-то будет эффективнее бежать и выгодно держать штате кому-то на узор страх за счет того этому скажу стоимость риска я бы даже добавила что возможно тут как раз в проект проекте в компании должна быть небольшая к примеру внутренней команда но безопаснее который постоянно anguish

то тестирует приложение делает инциденты разбирает но при этом раз камера вот нанимать внешнюю компании чтобы посмотреть на себя с результаты снаружи по другим углом то что могли упустить уже пробраться больше ресурса потратить то есть я считаю что компромиссная своих не нужно такого сорта source не нужно наберем своих в пачку нужно обязательно иметь их и тех и других причем именно обязательно потому что когда свои знают что придут другие и будут проверять то что проверяли уже свои то они будут более качественно работать и вы больше вкладываться в то что они делают я просто по опыту наших поездок могу сказать что крупные компании которые позволяют себе и то и другое они берут лучшее из двух миров с одной стороны это не можешь создать

внутри своей компании отдел звездный в котором будут топовые специалисты в какой-то узкой области будь то вы будь то железо будто все что угодно чем ты занимаешься и их просто не сможешь нагрузить ежедневными задачи это у тебя идет поток всякие кадры view всякие настройки д в аптеке вот все что связано с инфраструктурой и это ребята которые просто хорошие классные профессионалы но не звезды там мирового уровня как только тебе необходимо там не знаю подготовить новый крупный релиз не знаю для многих не новость что мы этом в основном по автомобильной тематике и вот когда крупный автомат автопроизводитель выкатывает новую линейку автомобилей они это делают раз там в 45 лет ну каждую линейку которая у них есть они обновляют там достаточно редко с точки

зрения электроники и оснастки мы не говорим о кузове там или обшивки салона и когда это происходит они естественно хотят убедиться что электроника которая не напичкали она там не подвержена то есть там закрыты те дыры которые были там в прошлом поколении или которые они потенциально могли добавить туда для этого не прогоняют это все и через свой отдел безопасности и через свой red team а потом организовывают мероприятие либо поиск сторонних консультантов вендоров которые приезжают к ним и дополнительной ищут уязвимости уже после своей внутренней команды это получается с одной стороны и дешевле с другой стороны они могут позволить завалить как это оплатить большой ценник там топовых специалистов и при этом не занимаются тем что кормят их регулярно зарплатой

вызывают их именно так так когда они нужны и таким образом это получается классный симбиоз ты приезжаешь ты там не ищешь условные xss кидает с кейлин лекции в полях ввода логина пароля от и лупишь именно уже глубоко заныканный и дыры где вот все эти подходы которых я говорил там и вплоть до того что ты созваниваешься с инженерами тебе дают номер телефона и ты звони инженеру который сейчас там в пяти или шести часовых поясах от тебя будешь его посреди ночи и общаешься с ним как он писал определенные кусок кода если там та дыра которой тебе нужно или нет и и вот эти как бы все вещи они они дополняют друг друга если компания может себе позволить то конечно этим нужно

пользоваться если нужно выбор аутсорс либо свои тут мы наверное зависит от еще вариантами контракта если это на регулярной основе и ваша деятельность никак не завязано на найти технологии ну не знаю вы занимаетесь там аудитом компании дают в этом эрнст энд янг но вопрос как бы вам нужно или не нужно там свой отдел возможно вы можете подтянуть несколько компаний которые вам на регулярной основе будут проводить все эти вещи вы там держите свои серваке или ит аутсорсинг и все если аутсорс этим ну так наверное безопасность надо тоже попробовать свой украсить если у вас и свои ребята есть окей регулярно там их отправлять на курсы повышения квалификации приглашать других специалистов которые там просто пообщаются либо вместе поищут почему нет

я не вижу что это или или это она должна дополнять друг друга а если нет то тогда это вопрос уже бюджета и насколько это вообще является гармоничной частью вашей компании спасибо большое за ответ к нам присоединился андрей логинов организатор к нам пришел такой забавный вопрос как понять что с кибер безопасностью в компании все хорошо я знаю просто такое устоявшееся может быть немножко попсовое утверждение что есть компании которые уже в зла которые знают что их слова взломали и которые думают что еще нет и вот как бы кибербезопасности но в контексте этого вопроса как я его понимаю это какая-то церкви до можно вот сказать что все у нас теперь все в безопасности и под занимаемся только поддержкой или это

постоянно какой-то процесс который праху должен проходить постоянно что-то там постоянно должно меняться обновляться что-то делаться и вот ну как бы я понимаю что все упирается вопрос рисков оценки рисков и и денег которые бизнес готов на это потратить ну вот как понять все-таки что это какая-то сейчас мы можем вдохнуть чуть легче я бы сказал что это вопрос наличие построенных процессов безопасности связанных с ней компании и уровнем а чуете этих процессов то есть тут я склоняюсь к тому что нельзя даже это не цель мы достигли чего-то там купили вов не знаю провели кадры view и все у нас все хорошо дальше мы ничего не делаем это постоянная работа постоянное улучшение постоянный поиск новых решений и главное чтобы эти процессы были настроены не

были описаны и они были мы ещё не были стабильны и так что мы раз вот что сделали дальше весь год ничего не делаем и авось нас не сломают я бы наверно как бы тут стоит понимать что компания каждая представляют под словом и хорошо кибербезопасность для когда какой-то компании это может быть хорошо вы странные процессы там обученный персонал периметр физических атак там защищенный там rfid карт и так далее для кого-то это может быть что проще то есть но в любом случае мы же сегодня упоминали что можно взломать человека человека взломать любой какой-то там человек с высоким уровнем доступа имеет семью да у него похитила я абстрактная похитили там ребенка ли еще что надавили сказали дать доступом дался компании

взломали то есть будет ли это считаться что компания была хорошо защищена такой ситуации поэтому тут конкретным ответы лично у меня нету у меня есть простой ты смотришь какие патчи выкатываются на все операционные системы плюс там пару раз в год этот как фантом смотришь где все операционки все браузеры взламываются и обходятся и по моему уже и все гипервизор и и понимать что реально ни одной фундаментальной технологии которая была бы безопасно имею виду с точки зрения инфраструктуры тупо нет ты смотришь на процессоры как бы у них тоже есть проблемы ты смотришь на сетевое оборудование там вплоть до закладок как там и дежурная шутка что в cisco каждый четный год сердце я каждый нечетный бэкдор всплывает и как и при этом

говорит что безопасной или нет естественного куча разных векторов регулярно откуда прилетает что-то начиная от регулярных патчей операционок те это все фиксится там мобильных телефонов сиродииле там первода и браузеров которая тоже регулярно сейчас есть и китай который один только китай который регулярно все сканирует и постоянно добиться но все и печники как понять что с кибербезопасности в компании еще хорошо читаете мои книги my как да нет ну что означает что все все хорошо и та же ошибка выжившего или или не знаю какой там из этих бойцов должен быть не знаешь или у тебя backup рабочий пока ты не попытаешься его восстановить ты не знаешь или у тебя безопасность хорошая пока кто-то не попытается его пробить когда его попытаются пробить

когда ты заинтересуешь когда не говорит в личности в публичной плоскости о том что вы самые защищенные компания или то что там его самой защищенной пароли или так что ваше приложение самое защищенное ни один хакер не может это взломать вообще-то риска ты немного забываешься это на самом деле самый простой и бесплатный способ получить независимой внешней pantene тоже даже если вы к нему готовы классные рисками чтобы доказать что нет ну вот по техническим вопросам понятно то есть у нас есть нам нужно пойти и как-то это замерить а вот по людям например да то есть вот у нас есть какие-то какой-то условный штат как мы можем понять что у нас люди nokia бучин этом как-то понятно а какие-то другие когнитивные параметры

которые дают нам возможность быть уверенными что самая слабая цепочка имеет определенный уровень подготовки ведь ведь у нас то получается где проблема основная в людях это вопрос воздух кто хочет может подхватить здесь все вопросы все что с людьми делать как как это все должно происходить по моему по опыту компании даже у нас делаются обыграл чеки регулярные pierre view что тоже дает понимание да хороший человек плохое там на что может пойти не пойти в каких-то ситуациях и как он обижается в конце концов на компании глобально своя служба безопасности которая следит там за поведение совсем уж тренинги тренинги да ну я имею ввиду что если человек там попал какую-то ситуацию и либо соблазнился там на что-то то вы ничего с

этим поделать не возможно это кейсы которые были по моему просто у всех если вы и info и как там microsoft и как этот парень который на ваучерах подарочных сертификатах там тестировщик нашел уязвимость и штамповал их выводил через bitcoin то есть у всех и и внутри и снаружи и люди бывают хорошие люди бывают плохие кто-то делает мы шли на кто-то не умышленно баку с этим не поделаешь записывать в лосс спасибо я ноги и хиты было полный ответ на вопрос ну я не знаю правда как здесь полно можно ответить и у нас пришло время нашего практически последнего вопроса какие самые большие угрозы кипри безопасности вы считаете были в 2020 что что это ожидать 2021 отвечает отвечает подключать морда мордой

отвечала можно я бы отметил самая нашими все бы розы это таки шифровальщиков в частности атака с помощью острого чикаго и стекло pernod garden а когда garmin connect упал четыре дня по моему он был в оффлайне толщина 3 июля и на сколько я понимаю все таки garmin заплатил выкуп размер выкупа попросили от ста тысяч до 10 миллионов долларов вот не знаю какая конкретно сумма была оплачена но по факту угар бен был decrypter с помощью которого они провались и данные восстановились все свои сервера и 27 июля они публиковали что он уже восстановили свои сервисы ещё одна атака была на canon вот по моему собачек мейс вот было еще ряд атак на классическую структуру это был олбани р порт аэропорту сша

когда был атакован а если провайдер вот и плюс еще был было еще пока надо на я скажу но мы шли некие наш провались палимся себе пациента и женщина скоро ее подругой нотариуса 30 километрах от этого и в итоге она умерла по дороге но полицейские написали злоумышленникам и они рассказали историю госпиталь был и они они предоставили допить этот же день плюс я бы отметил много было социального килинга связанного с системой коляда были фишинговые письма с бесплатными тестами было на жителей северный рейн-вестфалия германии где правительство помощь своим гражданам или этого создала веб-сайт куда нужно было зайти и отправить заявку а злоумышленники сделали собрали анкеты которых пользователя можно было оказать банковский счет они заменили в этих анкетах банковский

счет [музыка] жертвы на свой и отправили эти анкеты уже официально и таким образом было получено более 4 тысяч поддельных заявок на компенсацию по теме к вида и по карантину и общий ущерб составил более 100 минут но вот а может и сама интересная таки года а что же 2021 с нетерпением ждем скромными не в двадцать первом ландшафт угроз особо не поменяется ничего не поменялось все как было так и осталось поэтому я думаю что стоит ожидать все тех же громких а так локеров все того же фишинга и собственно говоря ну что имеет домой рады все таки что то поменялось и поменяется потому что буквально далеко ходить не нужно на днях помогали одну из топовых компаний теперь безопасности фарой вот эту

технику пока которую использовали 1 никому неизвестно на новое и и уже классифицировали как стать спонсор то так и она скорее всего это будет повторяться более широких масштабах но тут дело в том что я с ким кейсом очень подробно знакомыми и там не все так плохо поломали то есть далеко ли редким по выбора да не все так однозначно то есть там ли кнеллер этим тулы я так понимаю что там не было там на это было стоит спонсор но я бы не сказал что это было что-то вот там прямо вверх заоблачного гениальная то есть имеется ввиду что техника которую использовали никогда в дикой природе еще до этого не использовалась то есть у нас декабрь то есть по факту более частое

использование новых техник уйдет следующий год это один звоночек ну вот мое мнение ну просто я не помню что пресс-релиза было именно описание использованной техники или ты его видел уже к низу между показывали эти кантер между не опубликовали контрмеры это яра правило на их редким тулы которые были липнут и то есть но это была не новая техника то есть это просто вот ну ему фаера я был внутренний инструментарий которые они использовали для проведения тех же пэн тестов с assessment а если правильно понимаю вот и этот инструментарий лик нули и чтобы оперативно выпустите оки для этого инструментария как бы выложили вот эти вот и яры правило это есть контур ниже то есть это вот по факту так мы можем

видеть новые столы но не новояза да не новая просто новые тарелки и все я еще добавлю просто несколько было интересных моментов во первых по железу продолжают пел фишки хакать там на плакате европейском вот буквально недавно засветились еще пару докладов по уязвимости м там сименса вских короче это промышленные контроллеры для управления вот всякими подстанций имеет центрифуга my и всего такого то еще составьте это дальше развивается дела там лучше особо не становятся пока или что-то но в дикой природе выскочила или нет пока непонятно но вот исследование есть потом забыли еще такую интересную вещь один из столпов безопасности или скажем так примеров безопасных продуктов apple относительно недавно месяца два назад вы платили там приличную сумму денег за около сотни разных уязвимостей которые

по находили там четыре человека суммарной команда которая над этим работала и среди них там и доступа к окладу и доступы к мейлан и всякие xss ки в имейлах и прочих если посмотреть на сумму выплат и на количество уязвимостей и right up и как к ним даст достучаться то становится понятно что слегка любое слегка заинтересованное государство со вполне вменяемые деньги и вполне обычными руками хороших специалистов может достучаться до святая святых клауд старриджа этого же акула ну или могли достучаться но вот это для меня был такой интересный кейс с точки зрения экономики то уязвимости нигде они не всплывали потом ребята какие то добрые хорошие за на мой взгляд неоправданно малые деньги за такие уязвимости выкатили это все это

все естественно закачивалось они написали right up и она как-то не получила у нас большого отголоски но бог баунти дай бог баунти ну по находили дыры глобально это означает следующее что если у тебя есть на 3-4 месяца и 4 человека которые ковыряются в сервисах и план то ты можешь принципе достучаться там к любому аккаунт это вот по состоянию там на лето 2020 года возможно их right up и и их исследования привлекут других специалистов в двадцать первом году возможно эти специалисты уже работают и им по обрубали концы там на серваках apple а при этом и знает но это на мой взгляд даже интереснее чем чем оперы и шифровальщики кто еще хочет что не пачкать

что никто я могу все мы по моему не обратили внимание на то что мир вокруг нас очень сильно изменился за этот год и что то как люди работают то как люди теперь коммуницирует друг другом это все перешло в режим удаленного доступа и будет судя по всему эта тенденция дальше сохраняться и что скорее всего мы будем видеть час в этой области цены новые landscape каких-то там исследований и новых найденных уязвимостей и большие каких там изломов и не нашумевших историей смотрел в эту сторону в плане следующего напомню что этот ход хорошо на показал компания которые надеялись на свой какой-то внешний периметр на защиту периметра когда все сидят в офисах а нему защищать значит выхода трафика ставить там с вами а крутые

дорогие коробочки и быть защищенными в одночасье в начале этого года потеряли этот периметр поскольку иначе вокруг появилось множество туннеле внутри сети вот и скорее всего сейчас будет не знаю рассвет не рассвет заражался и подобных моделей там была ты хотел что-то сказать мне кажется да а я хотел минуточку пиара уже согласованную вот а чтобы не пропустить все самые громкие атаки в двадцать первом году слушайте наши любимые не сих пор на новости хорошо как я говорила попрошу от вас по одному коротеньком по желанию или рекомендацию нашим зрителям и слушателям которые смотрят нас сейчас еще будет на смотреть и мы будем закругляться поэтому сережа смитиенко что ты желаешь нашим зрителям но очень простой лозунг который мне очень сильно нравится окей секса

labs александр адамов а учиться учиться и еще раз учиться андрей волошин

масса ложит из вид патчем ком на карантине далеко до ерши заменить все свои хотелки намерением вместо того чтобы захотеть делаете просто катерина а я бы хотела бы желать учитывать коммуникацию своей жизни карьере в неформальном общении конечно же совершенствоваться ногам ваня как малюк меня скорее не пожелания рекомендация всегда пытаетесь докопаться до сути того что вы делаете пример нашли вузе масть не становитесь просто ее эксплуатации разбить есть до корня как она возникла чтоб не привело до самого самого низкого уровня александр я хочу пожелать читать больше литературы и документации и создавать фэйки не вестись на них seba владислав делайте а не говорите и делитесь результатами того что уже сделали андрей логинов андрей микрофон микрофон

мойтесь тем чем хотите заниматься но не занимайтесь тем чем не хотите за а я вам пожелаю оставаться вместе с нами быть в безопасности быть здоровыми и разрешайте себе иногда отдыхать а как бы это так цензурно сказать не докапывайтесь до себя вот и тогда все у вас будет хорошо на этом всем большое огромное просто спасибо очень мне кажется было прямо приятно поговорить и так и достаточно интересно надеюсь вам тоже понравилось надеюсь нашим зрителям это понравилось это был последний эфир писается юкрейн security века 2020 году мы надеюсь как-то об это жили не тужили обобщили все что мы говорили всю предыдущую неделю у нас продолжается параллельно сети вы можете ссылочку в фейсбуке я опубликовала можете посмотреть что там

происходит вот мы благодарим нашего спонсора компании huawei которая помогла нам это все организовать и вставать с нами на протяжении всей этой нашей недели я не знаю возможно мы увидимся с вами в следующем году всем спасибо за внимание ждем ваших отзывов вашего мнения как вам такой формат чего бы вы хотели еще от нас увидеть услышать может быть каких то спикеров может быть вы сами хотите выступить может какие-то темы поднять а в любом случае моей как оргкомитет всегда открыты из к вам к диалогу будьте безопасности и всего вам самого лучшего до свидания пока спасибо