Книга "Реверс-инжиниринг встраиваемых систем"

Алексей Усанов рассказал на Хабре о своей книге "Реверс-инжиниринг встраиваемых систем" 👨‍💻

Я смотрю на взлом "железа" как на некую прорывную исследовательскую область. Многие из таких атак сложны и чрезвычайно дороги для исполнителя. В общем, реверс-инжиниринг — безумно классная исследовательская сфера.

Интерес к теме реверс-инжиниринга железа вырос в последние годы. Думаю, причина в том, что про высокоуровневый реверс написано и прочитано много докладов, люди ищут новые ниши, развиваются, и поэтому часть исследователей хочет посмотреть что-то более низкоуровневое. Докладов на тему аппаратного взлома еще каких-нибудь 10 лет назад было мало. Потом они стали появляться, их становилось все больше.

Не могу сказать, что доверие пользователей к «железу» утрачено, ведь обычного пользователя эти уязвимости вряд ли коснутся или будут критически опасны. Через аппаратный взлом, скорее всего, не будет совершена какая-нибудь массовая кража пользовательских данных, что могло бы отразиться на большом числе потребителей. Однако исследовательская мысль (как и хакерские устремления) не стоит на месте.

👉 Рекомендую также посмотреть вебинар Алексея "Как написать свою книгу".

#книги

Повышение квалификации специалистов по информационной безопасности

Новый сезон AM Live. Первый эфир посвятили обучению и повышению квалификации специалистов по информационной безопасности 👨‍🏫👨‍🎓

👉 Видео доступно: VK, RuTube

Темы для обсуждения
— В чем выражается нехватка квалификации на рынке у специалистов и менеджеров по информационной безопасности.
— Нехватка компетенций и необходимость тренировки на киберполигонах.
— Статистика по кадровому голоду в ИТ и ИБ.
— Перегретость рынка ИТ, дефицитные профессии в ИБ и неправильные ожидания.
— Колледжи уже помогают рынку ИБ.
— Востребованность профессии кибербезопасника, онлайн школы и качество образования.
— Готовы ли работодатели брать на работу специалистов по ИБ без образования после обучения на курсах?
— Яркие примеры 2024 года, когда нехватка кадров приводила к серьезным инцидентам.
— Какими ключевыми навыками должны обладать специалисты по информационной безопасности в 2024 году.
— Как строить карьерный трек в ИБ.
— Насколько эффективным оказывается обучение "в боевых условиях" на постоянных кибератаках.
— Какие форматы обучения для повышения квалификации специалистов по ИБ сейчас в топе.
— Блиц: какие программы обучения предлагают вендоры и провайдеры по ИБ?
— Какие каналы информации использовать для самообразования по ИБ.
— Как удерживать и мотивировать сотрудников в ИБ.
— На какие тенденции нужно обратить внимание уже сейчас, чтобы не допустить усиления кадрового голода в ИБ завтра.

Спикеры:
— Евгения Русских, Руководитель отдела обучения в сфере ИБ, "Лаборатория Касперского"
— Дмитрий Гусев, Заместитель генерального директора, ИнфоТеКС
— Сергей Зеленин, Руководитель учебного центра Security Vision
— Олег Игнатов, Руководитель отдела взаимодействия с вузами, Positive Technologies
— Станислав Карпович, Менеджер по развитию бизнеса Solar CyberBoost, ГК "Солар"
— Светлана Бурикова, Руководитель отдела обучения, F.A.C.C.T.

👉 Видео доступно: VK, RuTube

#видео #кадры_в_ИБ

Что такое опасность и безопасность? 🤔

Продолжаем разбираться в основных терминах информационной безопасности. 👨‍🎓👨‍🏫

В этот раз поговорили про понятия "опасность" и "безопасность".

👉 Полностью запись беседы доступна в VK, RuTube, Яндекс.Музыке.

Презентация с определениями по ссылке.

Также рекомендую статьи:
1️⃣ Диалектика безопасности
2️⃣ Определения понятий "опасность" и "безопасность"

Предыдущие беседы с Атамановым Г.А.:
1️⃣ Знакомство
2️⃣ Кризис теории информационной безопасности
3️⃣ Что такое теория? Зачем нужна теория ИБ?

#подкаст #атаманов

Схема карьерных треков в кибербезопасности (обновление интерфейса)

Продолжаю рисовать cybersecurity-roadmap.ru в программе drawio-desktop 👷

Разобрался, как работает функция слои 🔥

#профессии #схема_ролей

Фундаментальные знания и навыки в кибербезе 🤔

По мнению Вячеслава Золотарева, зав. кафедрой безопасности информационных технологий СибГУ им. М.Ф. Решетнёва, фундамент — это:

1️⃣ математика (дискретная математика, математический анализ);
2️⃣ физика;
3️⃣ системный анализ.

Согласны с этим списком?

#интервью #подкаст

Обновление схемы ролей в кибербезе 🔥

Первая версия cybersecurity-roadmap.ru вызвала широкий резонанс в сообществе экспертов. В ответ я получил множество отзывов и предложений. Коллеги, спасибо! 🤝

В новой версии схемы:
1️⃣ появился отдельный трек для аналитиков ИБ (ранее он был частью инженерного трека);
2️⃣ создал два новых слоя: старт карьеры и развитие карьеры (на видео показал работу с ними);
3️⃣ значительно улучшилась читаемость схемы;
4️⃣ добавил отечественные тренды (отдельный слой).

#схема_профессий #карьера_в_ИБ

😎 Какими были хакеры 90-х? Разбираемся в новом выпуске шоу «Хак Так» вместе с молодыми и дерзкими белыми хакерами.

Для этого они заценили сцены хакинга из таких легендарных фильмов, как «Брат-2», «Матрица: Перезагрузка», «Хакеры» и «Девушка с татуировкой дракона».

Без лишних спойлеров — смотрите выпуск прямо здесь, в Telegram (и пишите в комментах, как вам такой формат публикации и сам выпуск).

Где еще можно посмотреть шоу:
📺 YouTube | 📺 VK Video | 📺 Rutube

А здесь — таймкоды:

00:06 — Что тут происходит
01:02 — Блицопрос наших критиков
02:42 — Смотрим сцену из «Матрицы: Перезагрузка» и объясняем, что делает женщина в латексном костюме
06:51 — Культовая сцена из фильма «Брат-2»
10:50 — Белый хакер показывает, как взбесить владельцев iPhone при помощи флиппера
11:56 — Разбираемся в Анджелинах Жоли и смотрим первую сцену из «Хакеров»
19:50 — Смотрим вторую сцену из фильма (все-таки с Джоли)
24:42 — Секретная сцена фильма «Девушка с татуировкой дракона»
28:10 — Еще одна не самая секретная сцена из того же фильма
31:06 — Подводим итоги и узнаем, какой из фильмов получает реальный «Хак»
32:16 — Ждем ваших рекомендаций

Байт на реакции:

👍 — если смотрели в Telegram
🌭 — если ушли смотреть на других площадках

@PositiveHackMedia

Обновление трека аналитиков на схеме карьерных треков 🔥

Продолжаю собирать обратную связь и работать над схемой cybersecurity-roadmap.ru.

В этот раз добавил:
1️⃣ три специализации для аналитиков ИБ (спасибо за ценные замечания 🙏);
2️⃣ убрал "эксперта по ИБ", т.к. это не роль, а уровень владения знаниями и навыками;
3️⃣ обновил трек специалиста по безопасной разработке.

Напоминаю, что базу знаний ролей я веду на ГитХабе 👨‍💻 (Start & Fork 😉)

#схема_профессий #карьера_в_ИБ

Как изменились студенты на ИБ-направлении? 👨‍🎓👩‍🎓

В преддверии начала учебного года 🥳 поговорим о том, как меняются студенты, которые завтра начнут обучение на ИБ-специальностях в 130+ вузах страны 🇷🇺

По мнению Вячеслава Золотарева, зав. кафедрой БИТ СибГУ им. М.Ф. Решетнёва, произошли следующие изменения:

1️⃣ появление свободного выбора возможностей привело к поверхностным знаниям у студентов;
2️⃣ появился более сознательный подход к процессу обучения;
3️⃣ изменилось отношение к институту наставничества.

Как считаете, это общая тенденция? Мы, как преподаватели, учитываем эти изменения в процессе подготовки и проведения занятий? 🤔

#интервью #подкаст

1-е сентября... День знаний 👩‍🎓 Я провел его в самолете. На Москву была атака дронов и мы сначала час кружили над столицей, а потом нас отправили в Питер, пережидать когда снова откроют аэропорт. Было время поразмышлять. Мне кажется, что мы сейчас скатываемся в достаточно жесткий прагматизм в обучении, когда надо получить знания (и в ИБ тоже) здесь и сейчас и применить их также здесь и сейчас 👨‍🎓 Вся "философия" и гуманитарные науки отбраковываются в пользу каких-то конкретных задач, которые указываются рекрутерами в резюме.

Я удивляюсь ВУЗовским дисциплинам сына, который учится вроде на той же специальности, что и я 30 лет назад, но у нас совпадение по предметам процентов на 15-20%. Да, у него сугубо практические дисциплины и проекты, в которых он участвует, которые сейчас очень востребованы 👨‍🏫 Но они же и быстро устаревают, как мне кажется, в силу динамики происходящих в отрасли изменений. Да, это приводит к тому, что процесс получения знаний становится непрерывным (это ценнейший навык), но это же приводит к тому, что образование у нас является не частью развития человека как раньше, а инструментом решения насущных задач и достижения каких-то краткосрочных целей 🤕

Смысл высшего образования теряется 🥹 Скоро и получение диплома перестанет быть причиной похода в ВУЗ (отсрочка от армии уже не особо работает в нынешних условиях). Все, что нужно "здесь и сейчас", можно будет получить на курсах повышения квалификации или в разных онлайн-университетах 🖥 Это приводит к тому, что современная молодежь может решать многие задачи гораздо лучше и быстрее, чем это было раньше. Но большинство этих задач носит приземленный характер - стратегические и методологические вещи становятся молодежи неподвластны, так как у них нет того кругозора, который нужен, чтобы взглянуть на проблему с разных стороны и учесть разные точки зрения - культурологические, социальные, исторические и даже религиозные 🎮

ЗЫ. Да, это про и про ИБ тоже 🛡

Визуализация вредоносного ПО

Изучением и составлением схем я увлекаюсь со школы, а началось все с карт: ребенок может нанести на карту свой район, полный секретных укрытий, домов друзей и парков 🗺

Затем увлечение переросло в графику и научное программирование. Теперь вот погрузился в визуализацию, связанную с кибербезом 👨‍🎓

В науке и образовании визуализация позволяет объяснить сложные темы или выявить неявные закономерности 📕
Кибербез тут не стал исключением 👷

Например, Альдо Кортези далеко не первый, кто перевел бинарный код в графику.

Далее несколько стареньких статей об этом:

1️⃣ Визуализация двоичных файлов с помощью заполняющих пространство кривых

2️⃣ Визуализация энтропии в двоичных файлах

3️⃣ Вредоносное ПО

4️⃣ binvis[.]io — браузерный инструмент для визуализации двоичных данных

Посмотрите на примеры визуализации бинарных файлов: ELF, PE32 или PDF.

Выглядит, как минимум, красиво 🥹

#визуализация

📢 Объявляем начало игр! Не голодных и не олимпийских, а Международных игр по кибербезопасности.

Сегодня стартовали соревнования по кибербезопасности для студентов и старшеклассников со студенческой кибербитвой Standoff в финале. Участники получат не только практический опыт в ИБ, но и шанс попасть на стажировку PT Start и получить поддержку менторов.

Рассказываем подробнее, что нужно делать:

1️⃣ До 16 сентября собрать команду атакующих или защитников и подать заявку на сайте (https://cybersecuritygames.org/#getting_started).

2️⃣ Успешно пройти отборочные, выполнив все практические задания на реалистичных копиях разных инфраструктур (и не только!).

3️⃣ Во время митапов (если захочется) познакомиться с крутыми экспертами по кибербезопасности, участниками Standoff и интегрироваться в сообщество.

4️⃣ Принять участие в финале осеннего сезона Игр — студенческой кибербитве Standoff!

5️⃣ Получить опыт, который не только украсит портфолио, но и поможет попасть на индивидуальную стажировку (вы же любите стажировки, правда?).

🎁 Из приятных бонусов: победители среди атакующих без конкурса пройдут на «взрослую» кибербитву Standoff в 2025 году, а лучшие защитники — попадут в финал весеннего сезона Международных игр на PHDays Fest (с оплатой трансфера и проживания).

Часики тикают, так что не теряйте времени, собирайте команду, заявляйтесь, и да начнутся Игры!

@Positive_Technologies

Схема карьерных треков в кибербезе как онтология

Обратная связь по схеме карьерных треков cybersecurity-roadmap.ru показала, что происходит путаница со стрелочками ⤴️⤵️

Приходится каждый раз объяснять смысл, который в них заложен. Условные обозначения не читают, как и инструкции к бытовой технике 📕😄

Коллеги предложили 🤝 воспользоваться онтологиями и явно задать отношения между ролями, то есть построить семантическую сеть.

Сказано – сделано! 👨‍💻

Обновленная версия схемы по ссылке 👷

#профессии #схема_ролей #онтология

Выступление Дениса Баранова, генерального директора 🟥, на вручении дипломов выпускникам ИТМО 👨‍🎓👩‍🎓

#итмо

Основные понятия теории безопасности (часть 5)

Продолжаем разбираться в основных понятиях ИБ 👨‍🎓👨‍🏫

В этот раз поговорили с Атамановым Г.А. про вред, ущерб, вызов, угрозу, риск, источник угроз, источник опасности, субъекты безопасности, атаку, нападение, объект безопасности и объект защиты 📕

👉 Полностью запись беседы доступна в VK, RuTube и Яндекс.Музыке.

Презентация с определениями по ссылке 📚

Предыдущие беседы в VK:
1. Знакомство.
2. Кризис теории информационной безопасности.
3. Что такое теория? Зачем нужна теория ИБ?
4. Что такое опасность и безопасность?

#подкаст #атаманов

Студенческая кибербитва Standoff

До 16 сентября продолжается регистрация на отборочный этап студенческой кибербитвы Standoff 🥷🏆

1️⃣ Решай задачи от лидеров рынка ИБ, чтобы пройти отбор на студенческую кибербитву
2️⃣ Впитывай знания от лучших специалистов из сферы кибербезопасности
3️⃣ Прояви свои навыки поиска уязвимостей или расследования инцидентов
4️⃣ Окажись среди лучших участников студенческой кибербитвы и попади на одну из практических стажировок

Успейте подать заявку 👨‍💻

#Standoff

Бесплатный онлайн-симулятор Standoff Cyberbones

Событие, которое так долго ждали! Сфера кибербез образования теперь 💯 не будет прежней 🚀

Бесплатный онлайн-симулятор Standoff Cyberbones для изучения тактик и техник сильнейших российских и иностранных белых хакеров 🥷

Внутри задания, основанные на реальных событиях самых интересных инцидентах из истории кибербитв Standoff, которые вы теперь сможете разобрать самостоятельно 😱

#Cyberbones

Интерактивный учебник по ключевым терминам ИБ

Построение терминологии по ИБ входит в сферу моих научных интересов с 2013 года, судя по официальным публикациям 😱 Точнее, с 2011 года, т.к. первая дисциплина, которую я преподавал называлась "Теория информационной безопасности и методология защиты информации" 👨‍🏫

Как преподаватель я несколько раз брался за решение задачи построения непротиворечивой системы терминов в ИБ (тезауруса), опираясь на отечественные и зарубежные документы. Потратил несколько лет. Не получилось. Те, кто пробовал решать эту задачу, поймут всю мою боль и отчаяние в тот момент 😤

Но я не оставляю попыток! 🫡

Как вы заметили, полным ходом идет запись бесед про ключевые понятия ИБ. Эта работа, по нашим оценкам, займет около года 👨‍🏫

Следующим шагом станет визуальное представление тезауруса в виде связанной сети терминов (онтологии), которая ляжет в основу интерактивного учебника.

Первый вариант такого учебника представлен по ссылке: https://cybersecurity-glossary.ru и PDF-версия.

Предполагается, что учащиеся под руководством преподавателя (или самостоятельно) перемещаются по сети терминов и изучают примеры.

Зачем все это? 🤔

Моя мотивация выражена в словах, которые приписывают Конфуцию 👨‍🎓

#терминология #учебник_термины