Атаки на полные по Тьюрингу системы 😱
Ранее я упоминал выступление Владимира Кочеткова про разницу между мышлением хакера и программиста, но не написал главное: а что же приводит к атакам на системы и как избежать атак?🤔
Давайте разбираться👨🏫
Самое важное, что необходимо знать: хакер использует то, что разработчик изначально в приложение не закладывал, но почему-то реализовал👨💻
Уязвимости в коде — это всегда избыточная функциональность, добавленная разработчиком в рамках реализации фичей. Косвенно хакер всегда использует эту избыточность.
Разработчики нечаянно создают полные по Тьюрингу системы, когда решают проблемы, например, Minecraft, LaTeX, Unicode и др. являются полными по Тьюрингу (смотрите список здесь и здесь)📕
Причем тут полнота по Тьюрингу?🤔
Если мы можем построить машину Тьюринга, то способны решить любую алгоритмически вычислимую задачу на такой машине. Отсюда следует, что хакер тоже программист, который программирует избыточную систему для достижения собственных целей 🥷
Что с этим делать?
В приложении должен быть только тот код, который пишется в рамках реализации фичей. Не надо бороться с определенными типами атак в коде🤷
Например, нужно ограничивать входные и выходные данные в соответствии с теми фичами, которые реализуются: если веб-приложение ожидает на входе е-мейл, то нужно проверять, что это, действительно е-мейлы, и отбрасывать весь мусор🗑
И несколько слов про подготовку кадров👨🏫
На мой взгляд, такую тему точно надо добавить в курс по безопасной разработке для программистов✍️
#безопасная_разработка
Ранее я упоминал выступление Владимира Кочеткова про разницу между мышлением хакера и программиста, но не написал главное: а что же приводит к атакам на системы и как избежать атак?
Давайте разбираться
Самое важное, что необходимо знать: хакер использует то, что разработчик изначально в приложение не закладывал, но почему-то реализовал
Уязвимости в коде — это всегда избыточная функциональность, добавленная разработчиком в рамках реализации фичей. Косвенно хакер всегда использует эту избыточность.
Разработчики нечаянно создают полные по Тьюрингу системы, когда решают проблемы, например, Minecraft, LaTeX, Unicode и др. являются полными по Тьюрингу (смотрите список здесь и здесь)
Причем тут полнота по Тьюрингу?
Если мы можем построить машину Тьюринга, то способны решить любую алгоритмически вычислимую задачу на такой машине. Отсюда следует, что хакер тоже программист, который программирует избыточную систему для достижения собственных целей 🥷
Что с этим делать?
В приложении должен быть только тот код, который пишется в рамках реализации фичей. Не надо бороться с определенными типами атак в коде
Например, нужно ограничивать входные и выходные данные в соответствии с теми фичами, которые реализуются: если веб-приложение ожидает на входе е-мейл, то нужно проверять, что это, действительно е-мейлы, и отбрасывать весь мусор
И несколько слов про подготовку кадров
На мой взгляд, такую тему точно надо добавить в курс по безопасной разработке для программистов
#безопасная_разработка
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥3💯2❤1
Национальные рейтинги вузов по трудоустройству выпускников 👨🎓
Рейтинги рассчитаны на основе сведений Рособрнадзора о выпускниках очной формы обучения, данных по уровню их трудоустройства на второй год после завершения обучения и медианной заработной платы за этот период🤔
Почему берётся процент трудоустройства на второй год после выпуска?
На показатели первого года после выпуска в значительной мере влияют жизненные события: переезд в другой регион, служба в армии и другие ситуации. На второй год, как правило, формируется более устойчивый и показательный уровень трудоустройства✍️
Источник
#рейтинг
Рейтинги рассчитаны на основе сведений Рособрнадзора о выпускниках очной формы обучения, данных по уровню их трудоустройства на второй год после завершения обучения и медианной заработной платы за этот период
Почему берётся процент трудоустройства на второй год после выпуска?
На показатели первого года после выпуска в значительной мере влияют жизненные события: переезд в другой регион, служба в армии и другие ситуации. На второй год, как правило, формируется более устойчивый и показательный уровень трудоустройства
Источник
#рейтинг
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2🤔2🔥1
Forwarded from PT EdTechLab
«ЦИПР 2025» — White Hacker. Взгляд на киберугрозы изнутри
⌨️ Наша команда приняла участие в одной из ключевых цифровых площадок страны — конференции GDF (Global Digital Forum) в рамках ЦИПР 2025 в Нижнем Новгороде. В рамках мероприятия мы провели воркшоп «White Hacker», где раскрыли, как мыслят белые хакеры и как происходит компрометация IT-инфраструктуры — и как этому можно научить защитников информационной инфраструктуры.
На воркшопе вместе с представителями международных делегаций обсудили:
🔴 какую роль выполняют белые хакеры в современном мире;
🔴 как должен мыслить белый хакер;
🔴 какие инструменты чаще всего используют при проведении тестирования на проникновение.
⌨️ Основной акцент воркшопа — практическая подготовка: были разобраны реальные атаки на IT-инфраструктуру, а каждый участник воркшопа смог проверить свои навыки в поиске и эксплуатации уязвимостей в инфраструктуре тренажёра PT EdTechLab.
💻 Мы постоянно улучшаем наш образовательный тренажёр, чтобы дать возможность оттачивать как можно больше практических навыков. В скором времени станет доступна возможность проводить комплексные занятия для демонстрации двух граней кибербезопасности — Blue Team и Red Team.
🤟 Мы убеждены, что только сочетание теории, практики и актуальной экспертизы - единственный верный путь подготовки специалистов по кибербезопасности, способных противодействовать APT-группировкам.
На воркшопе вместе с представителями международных делегаций обсудили:
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥3❤🔥2❤2
Хабр
ИИ, Purple Team и архитектура SOC: из чего собрана магистратура по кибербезопасности от ИТМО и Positive Technologies
Искусственный интеллект, Purple Team и архитектура SOC — три ключевых тренда, которые сейчас определяют развитие кибербеза. Вокруг них строится магистратура «Кибербезопасность» от ИТМО и Positive...
ИИ, Purple Team и архитектура SOC: из чего собрана магистратура по кибербезопасности от ИТМО и Positive Technologies 👨🏫👨🎓
Читать полностью на Хабре
#PositiveEducation #магистратура #студентам
Искусственный интеллект, Purple Team и архитектура SOC — три ключевых тренда, которые сейчас определяют развитие кибербеза. Вокруг них строится магистратура «Кибербезопасность» от ИТМО и Positive Technologies. Программа работает уже год: студенты моделируют атаки, работают с ИИ-продуктами, проектируют защиту и собирают SOC на уровне инженерных решений. В статье рассказываем о том, как устроена магистратура и зачем она нужна инженерам с опытом.
Читать полностью на Хабре
#PositiveEducation #магистратура #студентам
🔥9👍6❤5
Forwarded from AM Live
Media is too big
VIEW IN TELEGRAM
«Мы ищем кадры не там!»
Все говорят о «кадровом голоде» в ИБ
Кафедры множатся, курсы штампуются, студентов становится больше.
Но где,чёрт возьми , специалисты?
В новом эпизоде техшоу AM Talk сжигаем до тла мифы об образовании и найме в ИБ
Дмитрий Фёдоров в этом деле уже 15 лет.
Он уверен:
ИБ — это часть ИТ, а не отдельная каста избранных
Хватит искать будущих специалистовпод фонарём на кафедрах ИБ!
А где?
Новый выпуск “Почему кибербезопасности учат неправильно?”
🔹 про стереотипы, которые мешают зарабатывать и расти
🔹про мышление хакера
🔹и про то, как не потратить годы впустую
Преподаватели, HR, CISO и студенты:
в этом выпуске у нас для вас три вопроса, которые могут перевернуть подход к найму и обучению.
Ответьте сами — а потом скажите нам, кто из вас реально готов к ИБ
Смотрите AM Talk там, где удобно, — или прямо здесь
📺 ВК Видео
📺 YouTube
📺 RuTube
Все говорят о «кадровом голоде» в ИБ
Кафедры множатся, курсы штампуются, студентов становится больше.
Но где,
В новом эпизоде техшоу AM Talk сжигаем до тла мифы об образовании и найме в ИБ
Дмитрий Фёдоров в этом деле уже 15 лет.
Он уверен:
ИБ — это часть ИТ, а не отдельная каста избранных
Хватит искать будущих специалистов
А где?
Новый выпуск “Почему кибербезопасности учат неправильно?”
🔹 про стереотипы, которые мешают зарабатывать и расти
🔹про мышление хакера
🔹и про то, как не потратить годы впустую
Преподаватели, HR, CISO и студенты:
в этом выпуске у нас для вас три вопроса, которые могут перевернуть подход к найму и обучению.
Ответьте сами — а потом скажите нам, кто из вас реально готов к ИБ
Смотрите AM Talk там, где удобно, — или прямо здесь
Please open Telegram to view this post
VIEW IN TELEGRAM
6🔥21❤6👍6🤡1🤝1
Подготовка продвинутых ИБэшников в рамках нацпроекта Минцифры
Минцифры🔢 продолжает активно развивать ИТ-образование. С одной стороны, вынуждая ИТ-компании заходить в вузы, с другой — среди вузов, выдавая гранты на запуск углубленного ИТ-образования 😍
Поговорим подробнее про проект углубленного ИТ-образования🔥 , т. к. в перечне направлений Минцифры значится бакалавр по ИБ. Получается, что не только ФСТЭК РФ заинтересован в ИБэшниках 🤔
Цель проекта — до конца 2030 года подготовить не менее 3,5 тысяч продвинутых ИТ-специалистов, которые смогут решать сложные задачи💪
В результате проведения конкурса определили 26 вузов. Главным условием для вузов стало привлечение софинансирования в размере не менее 30% от суммы грантов🤑 За методическую поддержку проекта отвечает Высшая школа программной инженерии МФТИ 👍
Как предполагается достигать цели?🤔
Если вспомнить схему ролей в кибербезе (на рисунке), то классический выпускник бакалавриата по ИБ после окончания вуза выбирает направление и далее по нему развивается, начиная с начальных позиций👨💻 А Минцифры предлагает производственные практики перенести на первый курс, чтобы последующие три года студенты уже профессионально развивались и выпускались на уровне мидл🔥
Я с большим воодушевлением смотрю на инициативы, которые заставляют систему высшего образования выйти из "зоны комфорта" и начать готовить ИБ-специалистов не только в соответствии со стандартами (нормами, примерными учебными планами итд) 👨🎓👩🎓, но и по-настоящему востребованных на рынке труда 🔧
#Минцифры #кадры_в_ИБ
Минцифры
Поговорим подробнее про проект углубленного ИТ-образования
Цель проекта — до конца 2030 года подготовить не менее 3,5 тысяч продвинутых ИТ-специалистов, которые смогут решать сложные задачи
В результате проведения конкурса определили 26 вузов. Главным условием для вузов стало привлечение софинансирования в размере не менее 30% от суммы грантов
Как предполагается достигать цели?
Если вспомнить схему ролей в кибербезе (на рисунке), то классический выпускник бакалавриата по ИБ после окончания вуза выбирает направление и далее по нему развивается, начиная с начальных позиций
Я с большим воодушевлением смотрю на инициативы, которые заставляют систему высшего образования выйти из "зоны комфорта" и начать готовить ИБ-специалистов не только в соответствии со стандартами (нормами, примерными учебными планами итд) 👨🎓👩🎓, но и по-настоящему востребованных на рынке труда 🔧
#Минцифры #кадры_в_ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
6👍9🔥6❤2👏2🤡1
Рынок труда в ИБ по данным HeadHunter
Татьяна Фомина, директор по ИТ и кибербезопасности HH, рассказала с 12:05 на ЦИПРе про проблемы с кадрами в ИБ🤔
Промолчу про серые шрифт на черном фоне.... или не промолчу🫣 пожалуйста, не делайте так 🫠
А теперь по существу. Тема навыков в ИБ не раскрыта. Что такое навык "Информационная безопасность"? Либо HH скрывает, либо не понимает, какие навыки для ИБэшника существуют🤔 Хорошо об этом сказал Алексей Волков из Билайн (посмотрите его выступление с 34:36).
В конце выступления Татьяна Фомина говорит, что решением проблемы может стать оценка ИТ-навыков. Скорее всего, речь идет про проект Национальная система подтверждения ИТ-компетенций, где HH является оператором🤔 Понятно желание компании расширить свою сертификацию на ИБэшников 🤔
#сертификация #HeadHunter
Татьяна Фомина, директор по ИТ и кибербезопасности HH, рассказала с 12:05 на ЦИПРе про проблемы с кадрами в ИБ
Промолчу про серые шрифт на черном фоне.... или не промолчу
А теперь по существу. Тема навыков в ИБ не раскрыта. Что такое навык "Информационная безопасность"? Либо HH скрывает, либо не понимает, какие навыки для ИБэшника существуют
В конце выступления Татьяна Фомина говорит, что решением проблемы может стать оценка ИТ-навыков. Скорее всего, речь идет про проект Национальная система подтверждения ИТ-компетенций, где HH является оператором
#сертификация #HeadHunter
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🤡6💯4🤔3👍2
Запретить нельзя использовать: как обучать инженеров в эпоху нейросетей 👨💻
Хорошая статья Игоря Никифорова (Политех, YADRO) про использование LLM в учебном процессе🤔
Далее несколько цитат👨🏫
Рекомендации по применению LLM-моделей в образовании
Полностью запретить использование LLM-моделей среди студентов уже невозможно — да и вряд ли нужно. Важно не игнорировать реальность, а научиться с ней работать. Вот несколько принципов, которые могут помочь не только уменьшить вред от нейросетей, но и получить от них пользу при обучении:
1️⃣ На младших курсах основной акцент — на базовые знания и фундаментальные навыки.
2️⃣ Пересмотреть учебные задачи так, чтобы их нельзя было решить «в лоб» с использованием LLM-моделей. Возможно, за счет повышения сложности заданий или их творческой постановки.
3️⃣ Разрешить и поощрять использование LLM-моделей только на старших курсах, проводить анализ, осмысление результатов применения.
В образовательном процессе и проверке работа
Современные инструменты позволяют выстроить новую, более прозрачную и эффективную систему проверки лабораторных и практических заданий. Я бы предложил следующий подход:
1️⃣ Автоматическая проверка через GitLab и CI. Студент загружает работу в систему, запускаются автотесты и статический анализ. Только после прохождения всех проверок он допускается к следующему этапу.
2️⃣ Устное собеседование. Важно убедиться, что студент понимает свой код. Для этого можно провести устное собеседование: как устроено решение, почему так, какие есть альтернативы.
3️⃣ Лайвкодинг. Предложить студенту на месте написать кусочек кода, улучшив существующее решение.
4️⃣ Можно записывать, как студент работает с кодом в редакторе — чтобы увидеть, писал ли он сам или просто вставлял готовые куски. Для этого подойдет специальное расширение. Такой плагин, кстати, сам по себе отличная тема для ВКР.
В работе над курсовыми и ВКР
1️⃣ При подготовке курсовых объясняем студенту, что LLM это полезный инструмент, который не заменяет самостоятельную работу. Студент должен уметь эффективно объединять различные маленькие кусочки когенерации в единое целое, отразить в работе свой опыт и знания.
2️⃣ ВКР. Рекомендуем писать черновик текста вручную, а генерацию — использовать осознанно. Если студент применяет LLM-модель, стоит попросить его добавить раздел с описанием того, как он ее использовал: какие запросы задавал, какие ограничения заметил. Это позволяет сделать применение LLM осознанным, а преподавателю даст обратную связь о трудностях, ограничениях и тонкостях применения новых технологий.
Для преподавателей
1️⃣ Используйте LLM сами — в работе, в повседневной жизни. Тогда вы не будете бояться новых технологий, лучше поймете студентов и сможете учить их на собственном примере.
2️⃣ Зафиксируйте правила в рабочих программах дисциплин. Если вы разрешаете или ограничиваете применение LLM в учебных заданиях — запишите это явно. Так и студенту, и преподавателю будет проще соблюдать общие принципы.
#заметки_для_преподавателя
Хорошая статья Игоря Никифорова (Политех, YADRO) про использование LLM в учебном процессе
Далее несколько цитат
Рекомендации по применению LLM-моделей в образовании
Полностью запретить использование LLM-моделей среди студентов уже невозможно — да и вряд ли нужно. Важно не игнорировать реальность, а научиться с ней работать. Вот несколько принципов, которые могут помочь не только уменьшить вред от нейросетей, но и получить от них пользу при обучении:
В образовательном процессе и проверке работа
Современные инструменты позволяют выстроить новую, более прозрачную и эффективную систему проверки лабораторных и практических заданий. Я бы предложил следующий подход:
В работе над курсовыми и ВКР
Для преподавателей
#заметки_для_преподавателя
Please open Telegram to view this post
VIEW IN TELEGRAM
Истовый инженер
Запретить нельзя использовать: как обучать инженеров в эпоху нейросетей
Большие языковые модели открывают массу новых возможностей, но ставят перед образованием непростые задачи. Многие студенты начинают полагаться на нейросети настолько, что рискуют упустить важные этапы самостоятельного обучения. Так считает Игорь Никифоров…
👍14🔥3
Обновление схемы карьерных треков в кибербезе 😎
Продолжаю обновлять схему cybersecurity-roadmap.ru и ее PDF-версию.
В этот раз перекрасил логотипы, добавил ссылки на бесплатные курсы по сетям от мат-меха СПбГУ и новую роль вирусного аналитика в связи с открытием в Positive Technologies🤟 антивирусной лаборатории 😎
Поставьте 👍, если вы используете схему карьерных треков в своей работе или учебе👨🏫
#карьера_в_ИБ #схема
Продолжаю обновлять схему cybersecurity-roadmap.ru и ее PDF-версию.
В этот раз перекрасил логотипы, добавил ссылки на бесплатные курсы по сетям от мат-меха СПбГУ и новую роль вирусного аналитика в связи с открытием в Positive Technologies
Поставьте 👍, если вы используете схему карьерных треков в своей работе или учебе
#карьера_в_ИБ #схема
Please open Telegram to view this post
VIEW IN TELEGRAM
10👍32🔥10❤6👏2🥰1