Атаки на полные по Тьюрингу системы 😱

Ранее я упоминал выступление Владимира Кочеткова про разницу между мышлением хакера и программиста, но не написал главное: а что же приводит к атакам на системы и как избежать атак? 🤔

Давайте разбираться 👨‍🏫

Самое важное, что необходимо знать: хакер использует то, что разработчик изначально в приложение не закладывал, но почему-то реализовал 👨‍💻

Уязвимости в коде — это всегда избыточная функциональность, добавленная разработчиком в рамках реализации фичей. Косвенно хакер всегда использует эту избыточность.

Разработчики нечаянно создают полные по Тьюрингу системы, когда решают проблемы, например, Minecraft, LaTeX, Unicode и др. являются полными по Тьюрингу (смотрите список здесь и здесь) 📕

Причем тут полнота по Тьюрингу? 🤔

Если мы можем построить машину Тьюринга, то способны решить любую алгоритмически вычислимую задачу на такой машине. Отсюда следует, что хакер тоже программист, который программирует избыточную систему для достижения собственных целей 🥷

Что с этим делать?

В приложении должен быть только тот код, который пишется в рамках реализации фичей. Не надо бороться с определенными типами атак в коде 🤷

Например, нужно ограничивать входные и выходные данные в соответствии с теми фичами, которые реализуются: если веб-приложение ожидает на входе е-мейл, то нужно проверять, что это, действительно е-мейлы, и отбрасывать весь мусор 🗑

И несколько слов про подготовку кадров 👨‍🏫

На мой взгляд, такую тему точно надо добавить в курс по безопасной разработке для программистов ✍️

#безопасная_разработка

«Мы ищем кадры не там!»

Все говорят о «кадровом голоде» в ИБ

Кафедры множатся, курсы штампуются, студентов становится больше.
Но где, чёрт возьми, специалисты?

В новом эпизоде техшоу AM Talk сжигаем до тла мифы об образовании и найме в ИБ

Дмитрий Фёдоров в этом деле уже 15 лет.

Он уверен:

ИБ — это часть ИТ, а не отдельная каста избранных

Хватит искать будущих специалистов под фонарём на кафедрах ИБ!

А где?

Новый выпуск “Почему кибербезопасности учат неправильно?”

🔹 про стереотипы, которые мешают зарабатывать и расти
🔹про мышление хакера
🔹и про то, как не потратить годы впустую

Преподаватели, HR, CISO и студенты:

в этом выпуске у нас для вас три вопроса, которые могут перевернуть подход к найму и обучению.

Ответьте сами — а потом скажите нам, кто из вас реально готов к ИБ

Смотрите AM Talk там, где удобно, — или прямо здесь

📺 ВК Видео

📺 YouTube

📺 RuTube

Подготовка продвинутых ИБэшников в рамках нацпроекта Минцифры

Минцифры 🔢 продолжает активно развивать ИТ-образование. С одной стороны, вынуждая ИТ-компании заходить в вузы, с другой — среди вузов, выдавая гранты на запуск углубленного ИТ-образования 😍

Поговорим подробнее про проект углубленного ИТ-образования 🔥, т. к. в перечне направлений Минцифры значится бакалавр по ИБ. Получается, что не только ФСТЭК РФ заинтересован в ИБэшниках 🤔

Цель проекта — до конца 2030 года подготовить не менее 3,5 тысяч продвинутых ИТ-специалистов, которые смогут решать сложные задачи 💪

В результате проведения конкурса определили 26 вузов. Главным условием для вузов стало привлечение софинансирования в размере не менее 30% от суммы грантов 🤑 За методическую поддержку проекта отвечает Высшая школа программной инженерии МФТИ 👍

Как предполагается достигать цели? 🤔

Если вспомнить схему ролей в кибербезе (на рисунке), то классический выпускник бакалавриата по ИБ после окончания вуза выбирает направление и далее по нему развивается, начиная с начальных позиций 👨‍💻 А Минцифры предлагает производственные практики перенести на первый курс, чтобы последующие три года студенты уже профессионально развивались и выпускались на уровне мидл🔥

Я с большим воодушевлением смотрю на инициативы, которые заставляют систему высшего образования выйти из "зоны комфорта" и начать готовить ИБ-специалистов не только в соответствии со стандартами (нормами, примерными учебными планами итд) 👨‍🎓👩‍🎓, но и по-настоящему востребованных на рынке труда 🔧

#Минцифры #кадры_в_ИБ