Основы исследования безопасности программного обеспечения

Нашел текст лабораторной работы по дизассемблированию, который я написал в далеком 2011 году 😱

PS. PDF-файл доступен по ссылке

#дизассемблирование

❤️ Написали один из самых долгожданных постов этого лета, судя по вашим вопросам

Да, мы объявляем о новом наборе на стажировку PT Start, по результатам которой вы сможете получить офер и стать сотрудником Positive Technologies.

👩‍🎓 Кого ждем на стажировку

Студентов и выпускников вузов по специальностям «информационная безопасность» и «информационные технологии». Если вы участвовали в соревнованиях CTF, хакатонах и профильных олимпиадах, это будет преимуществом.

🤔 Как туда попасть

Тут все просто: успейте подать заявку и пройти онлайн-тестирование на сайте PT Start до 18 августа.

🧑‍🏫 Что будет дальше

Мы разберем все заявки и отправим приглашения всем подходящим кандидатам (в прошлый раз его получили 1300 человек из 3000 заявившихся).

Всех счастливчиков ждет базовое, а потом и углубленное обучение по основным направлениям: кибербезопасность, разработка, обеспечение качества (Quality Assurance), системный анализ. А после вы сможете сами выбрать, в какой из команд стажироваться.

В конце — финальный босс возможный офер и, что самое важное, бесценные знания и опыт, которые точно пригодятся вам для будущей карьеры.

🏃 Еще думаете? А остальные уже подают заявки!

@Positive_Technologies

Биткоин. Блокчейн. Криптовалюты

Книга "Биткоин. Блокчейн. Криптовалюты" возникла из цикла лекций, прочитанных для учеников 10 класса 😳 одним из авторов в школе, возглавляемой вторым автором.

В книге на доступном для школьников уровне рассмотрены криптовалюты с точки зрения экономики, математики, особенностей технической реализации.

🔥 Подробно описаны идеи, совокупность которых легла в основу создания биткоина: асимметричное шифрование, шифрование на эллиптических кривых, электронная подпись, хэширование и т. д.

С одной стороны, авторы не устают восхищаться красотой идей, лежащих в основе решения "нерешаемой" задачи анонимной передачи ценностей без наличия единого центра, а с другой — предостерегают от бездумного и легковесного отношения к криптовалютам как светлому будущему развития мировой экономики.

Книга будет полезна всем желающим понять, что такое криптовалюты и как они устроены 👨‍🏫

Скачать можно по ссылке 👍

#учебник #блокчейн

Рабочее определение кибербезопасности 👨‍🏫

На этом точно закроем тему с определением кибербеза 🫡

🗒 Информационный объект — это двуединство материального носителя информации и самой информации.

🗒 Киберсистема — разновидность системы, состоящей из киберустройств, соединяющих их коммуникаций, программного обеспечения и создаваемых, обрабатываемых, передаваемых и хранимых в (на) них информационных объектов.

🗒 Кибербезопасность — ситуация, при которой киберсистемам не может быть причинен существенный, с точки зрения их владельца вред в виде деструкции (разрушения, выведения из строя элементов системы и системы в целом), дисфункции (нарушения функционала) и дискомфорта (ухудшения условий эксплуатации).

Вероятность реализации угрозы (а это есть атака) существует всегда! Поэтому кибербезопасность нужна там, где есть киберсистемы, нарушение функционала которых не желательна их владельцу.

PS. за помощь в составлении определения спасибо Атаманову Г.А. 🙏 #атаманов

#терминология

Творческий подход к преподаванию языка ассемблера

В академических кругах принято (исторически) считать, что преподавание языка ассемблера требует отдельного (мучительного) курса, поэтому образовательная программа растягивается на годы 👀

Даже бытует мнение, чем дольше студент учится в вузе, тем он умнее становится 🤡

👨‍🎓 Скучнее ассемблера у нас был курс по основам управленческой деятельности, который читался для ФТК по субботам в 9 утра 🥲

Как (бесшовно) интегрировать ассемблер в курс по программированию?

Пример интеграции в виде ассемблерных вставок приведен в лабораторной работе по дизассемблированию (см. рисунки).

Дополнительно через дизассемблирование и сравнение с оригинальным исходным текстом на Си студенты исследовали язык. Эту идею я подсмотрел в книге Криса Касперски "Фундаментальные основы хакерства. Искусство дизассемблирования" 👨‍💻

Преимущество такого подхода состояло в наглядности и единой среде разработки (MS VS).

Добавлю, что у студентов не было отдельного курса по ассемблеру, поэтому выкручивался, как мог 🤷

PS. Конечно, сейчас этот курс я бы проводил исключительно на отечественных ОС 🇷🇺

#ассемблер

Новая "старая" роль преподавателя 👨‍🏫

Яков Сомов, руководитель центра массовых онлайн курсов лицея 239, хорошо написал про роль преподавателя в современном мире:

Последнее десятилетие считалось, что учитель должен не передавать знание, а быть навигатором в море информации. Однако теперь и это не так: нейросеть ориентируется быстрее, работает с разными форматами и всегда готова к вопросам, которые ещё никто не задавал. Уже сейчас ChatGPT не просто предлагает ответ, а обосновывает его, цитируя видеолекции на YouTube, предоставляя прямые ссылки с указанием времени начала нужной темы с точностью до секунды.

Несомненно, роль учителя изменится.

Думаю, что основой обучения снова станет классический разговор — глубокое взаимодействие учителя и ученика. Только так можно учитывать те особенности ученика, которые нейросеть ещё не научилась замечать. Может быть, и экзамены станут устными, а все проекты и рефераты нужно будет лично и подробно защищать.

А основной целью учителя станет передача мировоззрения, воспитание и помощь в поисках способов отличить истинное от ложного.

Как нам перейти на эту модель? Какие системы и нормы нужно перестраивать? Полагаю, именно это необходимо обсуждать на педагогических и учёных советах.

#преподаватели

Компас в мире ИБ-профессий 🥳

Доступна новая интерактивная редакция схемы ролей в кибербезе cybersecurity-roadmap.ru (смотрите с десктопа) и ее PDF-версия 🔥

Как могут использовать схему студенты? 👩‍🎓🧑‍🎓

Студенты могут исследовать треки развития в кибербезе и изучать, какие знания и навыки необходимы для роста в профессии.

Как могут использовать схему преподаватели? 👨‍🏫

Преподавали могут демонстрировать схему в рамках профориентации и рассказывать про пути развития в кибербезе.

Что изменилось?

Исправил недостатки предыдущей схемы:
1️⃣ уменьшил размер;
2️⃣ описание знаний и навыков перенес на ГитХаб для оперативного обновления и совместной работы (присоединяйтесь к редактированию);
3️⃣ добавил актуальные тренды;
4️⃣ через слои можно отключать/включать основные элементы схемы, чтобы демонстрировать ее студентам без "шумов" (показал это на видео).

Описание схемы по ссылке на ГитХабе 👨‍🏫

#профессии #схема_ролей

Шестой выпуск подкаста про кибербез образование 🎶

На этот раз поговорили с Вячеславом Золотаревым, заведующим кафедрой безопасности информационных технологий Сибирского государственного университета науки и технологий им. М.Ф. Решетнёва.

👉 Подкаст доступен на Яндекс.Музыке , видео на RuTube и VK.

Таймкоды:
00:07 - О кафедре и своей деятельности.
00:56 - О своем пути в кибербезопасность.
08:54 - Как изменились студенты за прошедшие годы? Про сознательный выбор специальности.
17:59 - Об изменении роли преподавателя
22:24 - Каким образом формируются темы дипломных работ?
27:11 - Про фундаментальные знания в кибербезопасности.
31:14 - Про студенческую науку в области кибербезопасности.
37:13 - Про преподавателей на ИБ-кафедре
54:50 - Как выглядит идеальный курс повышения квалификации для преподавателя по ИБ?
59:26 - Как изменится ИБ-образование с учетом возможностей ИИ?
01:08:15 - Про формулирование сложных задач в ИБ и развитие отрасли.
01:13:56 - Рекомендации студентам.

#подкаст

Надзорщик за инфраструктурой: что делает VM-специалист и как им стать? 🤔

Александр Леонов написал на Хабре статью о профессии специалист по управлению уязвимостями 🥷

Из статьи вы узнаете:

1️⃣ Кто такой VM-специалист?
2️⃣ Что делать VM-специалисту, чтобы быть эффективным?
3️⃣ Тяжело ли стать таким специалистом?
4️⃣ Почему VM-специалисты высоко востребованы на рынке?
5️⃣ Как становятся VM-специалистами?

#профессии_в_ИБ

Развитие профессионалов в сфере информационной безопасности

Алексей Петухов (InfoWatch ARMA) и Дмитрий Игоревич Правиков (РГУ нефти и газа имени И. М. Губкина) написали статью про кадры в ИБ.

Основная мысль:

Молодой специалист завершает свое обучение как специалист, обладающий базовыми компетенциями, но не являющийся законченным специалистом. Стать таковым он может только после получения отдельных специфичных знаний, при этом перечень этих специфичных знаний можно получить только у конкретного работодателя. Так, например, выпускник вуза может знать назначение и принципы работы SIEM систем, но указание, навыками эксплуатации и администрирования какой конкретно SIEM системы он должен владеть, он может узнать только у своего работодателя. При этом критерием владения соответствующими навыками является вендорский сертификат.

Авторы предлагают сформулировать "унифицированный интерфейс", т.е. дать описание компетенций, которые с одной стороны являются описанием базовых позиций на рынке труда, а с другой стороны задают ориентиры для образовательных организаций 🤔

#кадры

Карта знаний в области кибербезопасности 👨‍🎓

Давно собирался нарисовать для студентов карту знаний в области кибербеза 👨‍💻

Познакомиться с первой версией карты можно по ссылке (отключается/включается с помощью меню слои) 🫡

Принимаются пожелания и предложения по дальнейшему развитию 🤝

#карта_знаний

Человек-швейцарский нож: чем занимаются аналитики ИБ и где мы таких берем?

Ирина Зиновкина, руководитель направления аналитических исследований 🟥, рассказала на Хабре про свой путь в кибербез и что такое исследования.

В нашей команде работает много аналитиков-исследователей, которые совмещают в себе несколько ролей — аналитика, дизайнера, спикера и менеджера. Мы сами пишем все материалы, делаем диаграммы и презентации, участвуем в пресс-конференциях и даем комментарии в СМИ.

Какими же знаниями должен обладать специалист, чтобы успешно совмещать такое количество достаточно разноплановых задач?

В первую очередь, это профессиональные навыки: знание международных классификаций уязвимостей, процедур анализа защищенности, угроз ИБ; отличное знание тактик и техник матрицы MITRE ATT&CK; знание инструментов ИБ и средств защиты, а также типовых недопустимых событий для отраслей; разработка аналитических материалов любого уровня для любой аудитории.

#кадры_в_ИБ #аналитика

Книга "Реверс-инжиниринг встраиваемых систем"

Алексей Усанов рассказал на Хабре о своей книге "Реверс-инжиниринг встраиваемых систем" 👨‍💻

Я смотрю на взлом "железа" как на некую прорывную исследовательскую область. Многие из таких атак сложны и чрезвычайно дороги для исполнителя. В общем, реверс-инжиниринг — безумно классная исследовательская сфера.

Интерес к теме реверс-инжиниринга железа вырос в последние годы. Думаю, причина в том, что про высокоуровневый реверс написано и прочитано много докладов, люди ищут новые ниши, развиваются, и поэтому часть исследователей хочет посмотреть что-то более низкоуровневое. Докладов на тему аппаратного взлома еще каких-нибудь 10 лет назад было мало. Потом они стали появляться, их становилось все больше.

Не могу сказать, что доверие пользователей к «железу» утрачено, ведь обычного пользователя эти уязвимости вряд ли коснутся или будут критически опасны. Через аппаратный взлом, скорее всего, не будет совершена какая-нибудь массовая кража пользовательских данных, что могло бы отразиться на большом числе потребителей. Однако исследовательская мысль (как и хакерские устремления) не стоит на месте.

👉 Рекомендую также посмотреть вебинар Алексея "Как написать свою книгу".

#книги

Повышение квалификации специалистов по информационной безопасности

Новый сезон AM Live. Первый эфир посвятили обучению и повышению квалификации специалистов по информационной безопасности 👨‍🏫👨‍🎓

👉 Видео доступно: VK, RuTube

Темы для обсуждения
— В чем выражается нехватка квалификации на рынке у специалистов и менеджеров по информационной безопасности.
— Нехватка компетенций и необходимость тренировки на киберполигонах.
— Статистика по кадровому голоду в ИТ и ИБ.
— Перегретость рынка ИТ, дефицитные профессии в ИБ и неправильные ожидания.
— Колледжи уже помогают рынку ИБ.
— Востребованность профессии кибербезопасника, онлайн школы и качество образования.
— Готовы ли работодатели брать на работу специалистов по ИБ без образования после обучения на курсах?
— Яркие примеры 2024 года, когда нехватка кадров приводила к серьезным инцидентам.
— Какими ключевыми навыками должны обладать специалисты по информационной безопасности в 2024 году.
— Как строить карьерный трек в ИБ.
— Насколько эффективным оказывается обучение "в боевых условиях" на постоянных кибератаках.
— Какие форматы обучения для повышения квалификации специалистов по ИБ сейчас в топе.
— Блиц: какие программы обучения предлагают вендоры и провайдеры по ИБ?
— Какие каналы информации использовать для самообразования по ИБ.
— Как удерживать и мотивировать сотрудников в ИБ.
— На какие тенденции нужно обратить внимание уже сейчас, чтобы не допустить усиления кадрового голода в ИБ завтра.

Спикеры:
— Евгения Русских, Руководитель отдела обучения в сфере ИБ, "Лаборатория Касперского"
— Дмитрий Гусев, Заместитель генерального директора, ИнфоТеКС
— Сергей Зеленин, Руководитель учебного центра Security Vision
— Олег Игнатов, Руководитель отдела взаимодействия с вузами, Positive Technologies
— Станислав Карпович, Менеджер по развитию бизнеса Solar CyberBoost, ГК "Солар"
— Светлана Бурикова, Руководитель отдела обучения, F.A.C.C.T.

👉 Видео доступно: VK, RuTube

#видео #кадры_в_ИБ

Что такое опасность и безопасность? 🤔

Продолжаем разбираться в основных терминах информационной безопасности. 👨‍🎓👨‍🏫

В этот раз поговорили про понятия "опасность" и "безопасность".

👉 Полностью запись беседы доступна в VK, RuTube, Яндекс.Музыке.

Презентация с определениями по ссылке.

Также рекомендую статьи:
1️⃣ Диалектика безопасности
2️⃣ Определения понятий "опасность" и "безопасность"

Предыдущие беседы с Атамановым Г.А.:
1️⃣ Знакомство
2️⃣ Кризис теории информационной безопасности
3️⃣ Что такое теория? Зачем нужна теория ИБ?

#подкаст #атаманов

Схема карьерных треков в кибербезопасности (обновление интерфейса)

Продолжаю рисовать cybersecurity-roadmap.ru в программе drawio-desktop 👷

Разобрался, как работает функция слои 🔥

#профессии #схема_ролей

Фундаментальные знания и навыки в кибербезе 🤔

По мнению Вячеслава Золотарева, зав. кафедрой безопасности информационных технологий СибГУ им. М.Ф. Решетнёва, фундамент — это:

1️⃣ математика (дискретная математика, математический анализ);
2️⃣ физика;
3️⃣ системный анализ.

Согласны с этим списком?

#интервью #подкаст

Обновление схемы ролей в кибербезе 🔥

Первая версия cybersecurity-roadmap.ru вызвала широкий резонанс в сообществе экспертов. В ответ я получил множество отзывов и предложений. Коллеги, спасибо! 🤝

В новой версии схемы:
1️⃣ появился отдельный трек для аналитиков ИБ (ранее он был частью инженерного трека);
2️⃣ создал два новых слоя: старт карьеры и развитие карьеры (на видео показал работу с ними);
3️⃣ значительно улучшилась читаемость схемы;
4️⃣ добавил отечественные тренды (отдельный слой).

#схема_профессий #карьера_в_ИБ

😎 Какими были хакеры 90-х? Разбираемся в новом выпуске шоу «Хак Так» вместе с молодыми и дерзкими белыми хакерами.

Для этого они заценили сцены хакинга из таких легендарных фильмов, как «Брат-2», «Матрица: Перезагрузка», «Хакеры» и «Девушка с татуировкой дракона».

Без лишних спойлеров — смотрите выпуск прямо здесь, в Telegram (и пишите в комментах, как вам такой формат публикации и сам выпуск).

Где еще можно посмотреть шоу:
📺 YouTube | 📺 VK Video | 📺 Rutube

А здесь — таймкоды:

00:06 — Что тут происходит
01:02 — Блицопрос наших критиков
02:42 — Смотрим сцену из «Матрицы: Перезагрузка» и объясняем, что делает женщина в латексном костюме
06:51 — Культовая сцена из фильма «Брат-2»
10:50 — Белый хакер показывает, как взбесить владельцев iPhone при помощи флиппера
11:56 — Разбираемся в Анджелинах Жоли и смотрим первую сцену из «Хакеров»
19:50 — Смотрим вторую сцену из фильма (все-таки с Джоли)
24:42 — Секретная сцена фильма «Девушка с татуировкой дракона»
28:10 — Еще одна не самая секретная сцена из того же фильма
31:06 — Подводим итоги и узнаем, какой из фильмов получает реальный «Хак»
32:16 — Ждем ваших рекомендаций

Байт на реакции:

👍 — если смотрели в Telegram
🌭 — если ушли смотреть на других площадках

@PositiveHackMedia