Опитування: якість IT-освіти в українських вишах. Заповнюйте анкету!

Кибербезопасность по-украински: о давлении силовиков, белых и черных хакерах и ценности диванных экспертов

Никита Кныш — эксперт в области информационной безопасности, служил в СБУ, помогал ловить киберпреступников, а сейчас работает над защитой веб-сервисов и занимается кибер-расследованиями. Организатор форума по кибербезопасности HackIT. Никита был одним из первых, кто начал публично освещать атаку вируса Petya и публиковать рекомендации по минимизации ущерба.

Несколько недель назад Никита занял пост внештатного советника Администрации Президента. В интервью для DOU Никита рассказал о сотрудничестве с госслужбами по вопросам ИБ, карьерных путях безопасников и «белых» хакеров, существующих проблемах и способах их решения.

— Никита, вы давно сотрудничаете с государственными службами по вопросам ИБ. С чего всё началось?

У меня очень активная позиция. Когда в 2015 году анонсировали создание киберполиции, мы с коллегами поехали в ОБСЕ к координаторам национальных проектов и предложили им программу обучения для киберполиции. Мы разработали прозрачную публичную процедуру подбора кадров, придумали, как можно собрать деньги на достойные зарплаты для инструкторов с помощью краудфандинга. Однако у них эта процедура была весьма закрыта и заангажирована, и нам тогда отказали. Детали этой истории я рассказывал в интервью на «Цензоре», материал называется «„Крымский ботнет“, или Кто заказал „Цензор.НЕТ“?».

Там, помимо прочего, расписаны все детали моей поездки в Киев, как мы общались с ОБСЕшниками, как выходили на руководство киберполиции, как предлагали свой вариант обучения, советовали, подбирали инструкторов-тренеров. И как они рассказывали, что платить 150 грн специалисту по информационной безопасности за час лекции — это тоже нормально.

Вот после этого и началось моё взаимодействие с представителями власти. Я для себя решил, что моя компания ProtectMaster и я лично никогда не будем участвовать в государственных тендерах, чтобы избежать конфликтов интересов. Моя компания начала бесплатно предлагать сотрудникам всех силовых ведомств пройти мастер-классы по способам сбора информации из открытых источников и базовым навыкам в сфере практической кибербезопасности. Мы занялись обучением СБУ, прокуратуры и силовиков, рассказывая, как правильно документировать, собирать информацию, пользоваться открытыми базами данных и всем, что даёт нам интернет.

— Как попали на должность советника при Администрации Президента?

Наша инициатива по обучению сотрудников СБУ, полиции, киберполиции и прокуратуры привела к знакомству с представителями власти. Они также оказались заинтересованы в профильных, профессиональных консультациях. Это сотрудничество естественным путем оформилось официально, и меня назначили внештатным советником АП.

В удостоверении написано просто «Советник Администрации Президента». Но, как вы понимаете, ни в какой другой сфере, кроме кибербезопасности, я советовать не могу :)

— Что входит в обязанности советника?

Если общими словами: подготовка рекомендаций в различных областях, в том числе по развитию информационной безопасности Украины. Что именно советую, разглашать не могу.

Я стараюсь первоначально обсуждать все вопросы с профильным сообществом, собрать их мнение по тем или иным вопросам, а затем донести это решение высшему руководству. Хочу отметить, что в АП для этого есть штатные сотрудники, которые занимаются этим ежедневно, я могу лишь пытаться донести ту или иную мысль в надежде, что она будет услышана.

— Чем вы занимаетесь сейчас, какими вопросами?

Сейчас занимаюсь вопросом, связанным с давлением на IT-бизнес силовиков. Меня нередко самого привлекали для проведения обысков IT-компаний как технического специалиста, а потому я знаю, что существует такая проблема. Чтобы убрать аспект давления, я считаю, что нужно запретить силовикам изымать компьютерную технику. Нужно сделать правильную законодательную базу для работы с образами компьютеров (виртуальными образами), чтобы можно было прийти, скопировать всё на флешку, не парализуя деятельность всей компании на несколько месяцев.

Вот это я пытаюсь пролоббировать, доносить на всех уровнях. Однажды пытался с одним из депутатов через Верховную Раду: рассматривали законопроект от одной политической партии, но принять его не получилось, не хватило голосов. К сожалению, в Верховной Раде не понимают, зачем запрещать силовикам изымать технику.

— Какие еще проблемы в информационной безопасности видите?

Существует огромная проблема с цифровой криминалистикой: с документированием преступлений в сфере кибербезопасности. В институтах судебных экспертиз образуются огромные очереди, которые позволяют осматривать компьютерную технику и проводить экспертизу только спустя 6-8 месяцев после изъятия. Понятно, что если у хостинг-провайдера изъять на 6 месяцев оборудование, этот бизнес будет полностью уничтожен. Этим и пользуются силовики для давления на IT-компании, и я открыто об этом говорю.

Думаю, нужно что-то изменять и вводить частные компьютерные экспертизы, чтобы у человека был выбор и возможность не ждать 8 месяцев, год, иногда 2 года, чтобы твой компьютер открыли и посмотрели, есть там нужные для следствия файлы или нет. Я предлагаю сделать частную экспертизу: отдать полномочия наемным экспертам для проведения экспертизы по той же процедуре, что проводят НИИ судебных экспертиз.

ДСТЗИ, на мой взгляд, весьма заангажированная структура, которая выдает сомнительные лицензии и сертификаты по уровню качества. Можно сделать этот процесс более публичным — создать открытую некоммерческую организацию, которая будет заниматься вопросами сертификатов, лицензий. Прозрачная процедура позволит убрать коррупционную составляющую.

Полагаю, такая организация будет самоокупаема: экспертиза стоит денег, это понятно. И компания, например, у которой изъяли компьютерную технику, будет заинтересована максимально быстро провести осмотр и экспертизу этой техники и вернуть её себе. Потом она докажет свою невиновность в суде, не застревая на бесконечном этапе досудебного следствия, которое у нас в стране может длиться годами. Я думаю, такие компании будут готовы платить негосударственным экспертным центрам.

Вот такие публичные (законодательные или не законодательные) IT-инициативы я предлагаю на критику общественности. Пока что конструктивной критики не получил.

— А как реагирует государство? Что-то улучшается?

Подвижки есть: я вижу какие-то решения СНБО, которые вводятся указами Президента. Возможно, провести такие решения через ВР не всегда хватает голосов. К примеру, та же блокировка «ВКонтакте», «Яндекса» — это уже конкретные шаги.

Последнее решение СНБО декларирует публичное взаимодействие с частными компаниями в области информационной безопасности. Это поможет привлекать нормальных адекватных специалистов в помощь государству в настройке и системной интеграции сервисов, которые есть у государства.

— Что тормозит прогресс на государственном уровне?

Проблема в абсолютной хаотичности действий. Распространенный пример: киберполиция расследует какое-то дело. К ней приходит сотрудник из СБУ, пытается изъять дело. Потом ещё приходит прокуратура, и начинаются непонятные танцы с бубном вокруг громкого резонансного дела.

На мой взгляд, основная проблема — это отсутствие координации и единоначалия. Должен быть человек или команда, которые смогут чётко говорить, что, как и когда мы делаем, куда идём, и давать остальным чёткие и понятные указания.

Проблема в том, что высшее руководство страны не понимает (да и не должно детально понимать) информационную безопасность. Поэтому и нужно привлекать профессионалов в этой сфере, давать им возможность высказывать идеи и, самое главное, слышать их.

— Много ли в Украине таких профессионалов? Насколько развито сообщество?

Сообщество развито довольно неплохо, но его уже тошнит от политических подковерных игр, от непонятной политики государства в этой сфере. И никто не хочет взаимодействовать с государством, потому что мизерные зарплаты, риск того, что вообще за это посадят, риск давления на твой бизнес, если ты затронешь чьи-то финансовые интересы. Люди не то чтобы запуганы, а просто не хотят с этим связываться. Я тоже получил целый поток грязи из-за публичного анонса взаимодействия с государством.

В частном секторе всё более-менее хорошо, работы достаточно. Программисты могут получать там от 1,5 до 4-5, а то и 6 тыс. долларов в месяц и не хотят связываться с государством. А само сообщество развивается, меняется, адаптируется к рыночным тенденциям. Бизнес всегда развивается быстрее, чем государство.

— Если сравнивать кибербезопасность в Украине и в других странах Европы, США — насколько мы отстаем?

У нас бумажная страна. Поэтому, к примеру, когда «Прикарпатьеоблэнерго» атаковали и выключили свет, мы всегда могли послать электрика Василия, чтоб он физически включил рубильник. Если случится что-то подобное в странах Европы или США, у них послать включить рубильник будет намного сложнее :)

Мы находимся ещё в аналоговом веке, у нас всё пока на бумаге, отчасти как и реформы. На мой взгляд, по уровню кибербезопасности и внедрению IT в мировом ТОПе сейчас Эстония. Это полностью компьютеризированная страна, у которой стоит поучиться, брать опыт. У нас есть умнейшая представительница Эстонии — Яника Мерило. Она активно выступает инициатором внедрения iGov в Украине и лично меня она невероятно мотивирует что-то делать. Яника в буквальном смысле пробивает лбом стены для того, чтобы сделать нашу страну еще чуточку более компьютеризированной. Спасибо ей за это.

— Изменилось ли у нас что-то в лучшую сторону после NotPetya? Приняло ли государство какие-то превентивные меры?

Было принято решение на базе СНБО. Пока что оно только на бумаге. Будут ли какие-то подвижки и изменения? Покажет время.

Поняло ли наше государство, что нужно куда больше заниматься кибербезопасностью, чем самопиаром и голословными заявлениями? Не знаю, не могу ответить. Время покажет. Существенных сдвигов, как, например, блокирование «ВКонтакте» в ответ на российскую информационную агрессию, предпринято не было.

Готовы ли наши силовики к следующим атакам? Во всяком случае они об этом знают. Службы предупредили людей, что следует поменять пароли, заблокировать какие-то порты. Список этих рекомендаций очень конкретный, очень полный. Он опубликован на сайтах СБУ и киберполиции, в средствах массовой информации. Я считаю, что это уже «невеличка, але перемога» наших силовиков — они поняли, что следующий шаг (атака) будет.

— Большой ли спрос в украинских компаниях на специалистов по ИБ?

После NotPetya спрос чуть-чуть поднялся, но в целом — нет. Украинский рынок работает на аутсорсинг, аутстаффинг — за рубеж. Украинские компании не создают такого количества продуктов, которые могло бы тестировать столько профессионалов. Поэтому высококвалифицированные специалисты в информационной безопасности вынуждены брать заказы из-за рубежа.

— Какие карьерные пути возможны для специалиста по кибербезопасности?

Специалисты по информационной безопасности, кибербезопасники, хакеры — это по большому счету всё IT-шники: программисты, специалисты по сетевой безопасности и сетевым технологиям, которые переросли в нечто большее. Они научились не только писать код, но и ломать его.

Хакеры — это своего рода те же программисты и разработчики с нестандартным мышлением, которые хотят докопаться до сути и понять, как это работает. Можно стать программистом, можно — системным интегратором: придумывать и проектировать системы. Можно пойти безопасником в компанию, можно устроиться в антивирусную компанию или в какую-нибудь security-лабораторию, которая занимается исследованием вирусов.

В Украине есть очень талантливые «белые» хакеры. К примеру, украинская команда Dcua в 2015 году заняла первое место на всемирных хакерских соревнованиях CTF. Цель «белых» хакеров — заниматься защитой и получать за это неплохие деньги вместо того, чтоб заниматься взломом и наносить ущерб, репутационные потери компаниям, как это делают «черные» хакеры.

Надо сказать, в плане «черных» хакеров нам тоже есть чем «похвастаться». Украинско-русской командой был создан «Зевс» — один из самых известных и нашумевших банковских троянов, который ворует деньги с банковских карт. Черная платежная система Liberty Reserve, которая использовалась в основном для отмыва денег, для черных платежных операций, была создана киевлянином, его арестовало ФБР. Обороты внутри этой системы исчислялись сотнями миллионов долларов.

— Как работают «белые» хакеры?

«Белые» хакеры, как правило, работают через Bug Bounty программы. Крупные и уважающие себя бренды запускают такие программы и говорят: «Мы публично разрешаем всем хакерам тестировать наши сервисы, пытаться их взломать при условии, что вы отправите нам отчет о том, что вы нашли. Мы в обмен на это оплатим стоимость найденных уязвимостей». Составляется список, что разрешено, что запрещено. К примеру, нельзя использовать DDOS-атаки и автоматические сканеры. Если нарушить правило, то, скорее всего, вам не заплатят.

После того, как хакер нашел уязвимость и отправил ее на оценку компании, платформа проверяет, уязвимость ли это, соответствует ли поданная заявка правилам и не опубликована ли она публично. После того, как компания подтверждает и закрывает уязвимость, чтобы остальные не могли ее повторить, хакеру выплачивают вознаграждение.

Сложно описать «типичный» путь хакера, каждый доходит до этого по-своему. Кто-то начинает, как я, с игрушек, кто-то начинает сразу тестировать форумы и чаты, кто-то создает электронные девайсы, которые позволяют что-то обходить и куда-то входить.

— Вы сказали, что начинали с игр. А как вообще заинтересовались сферой информационной безопасности?

Мне было 14-15 лет, когда под руку подвернулась книжка «HTML 4.0», и я увлекся, стал пробовать создавать сайты. Тогда твёрдо определился, что хотел бы работать в направлении IT. На тот момент, как и все ровесники, ходил в компьютерные клубы, где можно было играть по сети с друзьями. Со временем стал системным администратором в таком клубе. По чуть-чуть изучал сетевые технологии, настраивал сетки, создавал сайты, начал создавать читы для игр. Затем написал программу, которая позволяет смотреть закрытые фотографии «ВКонтакте», это, кстати, тоже активно обсуждается троллями на определенных ресурсах. Но позже забросил это дело и перешёл в арбитраж веб-трафика: занимался скупкой рекламы в Google и перепродажей на более выгодных условиях.

На втором курсе отправился в США по программе обмена «Work and Travel» , где прожил почти 6 месяцев, перенимая опыт. На 3 курсе университета пошел на военную кафедру, оттуда попал в СБУ, где прослужил два года. Разочаровался службой из-за интриг и непонимания со стороны руководства простых истин, но всё равно за это время получил очень много полезного жизненного опыта. На мой взгляд, структура в 2014 году была более «беззубая», сейчас она более крепкая.

После того, как оставил службу, присоединился к старой команде друзей, и оформили это все юридически. Так появилась ProtectMaster — компания, которая занимается информационной безопасностью. Создал хакерскую конференцию HackIT.

— Насколько важны знания по безопасности для программистов?

Для программистов, которые пишут сайты и мобильные приложения, — это всё очень нужно. У нас есть много кодеров, но не все понимают, что такое чистота кода, культура написания кода и так далее. Это всё, на мой взгляд, невозможно без какого-либо опыта в сфере информационной безопасности, кибербезопасности.

Создание незащищенных продуктов и сайтов с непродуманной логикой и архитектурой приводит к утечке персональных данных пользователей, репутационным и финансовым потерям.

Я считаю, что каждый разработчик должен обладать хотя бы базовыми знаниями для того, чтоб повысить свою ценность на рынке IT-труда, писать более чистый и качественный код, понимать, где недочеты могут создать информационную уязвимость.

— Как программисты могут внести свой вклад в обеспечение кибербезопасности на государственном уровне?

Как я говорил, я стараюсь выносить все вопросы на обсуждение с профильным сообществом. Я бы хотел публично призвать всех специалистов участвовать в этих обсуждениях, открыто связываться со мной и предлагать свои идеи. Я считаю, что один в поле не воин, одна голова — хорошо, а много — лучше.

Я всегда хотел, чтобы люди, у которых есть хорошие идеи, могли быть услышаны на высшем уровне. Призываю «диванных экспертов» присоединяться к дискуссии, рассказать, как сделать эту страну лучше, что для этого нужно делать в сфере информационной безопасности. Я буду стараться максимально открыто донести любые идеи и предложения, если они будут иметь за собой какой-то план по имплементации. Не так, как на конференциях политиков — собрались, полялякали, обсудили «взагалі о взагалях», сказали «как всё плохо», подписали меморандум, пожали друг другу руки. А на выходе ничего не происходит.

Я бы хотел, чтобы каждый диалог с профильным экспертом, человеком, который разбирается в этой сфере, заканчивался для меня какими-то положительными выводами, рекомендациями, которые я бы смог донести на высшем уровне :)

Если мы не будем защищать государство в сфере информационной безопасности, информационной агрессии, то мы проиграем войну. Война выигрывается в головах. Та же блокировка «ВКонтакте» даёт эффект и примеры снижения уровня российской пропаганды, снижения уровня вовлеченности украинцев в российские новости и события. Как бы бурно вначале люди не реагировали, толк есть — это надо признать.

Поэтому я и призываю всех максимально объединяться и присоединяться. Мне очень нравится девиз десантников: «Кто, если не мы?»

LinkedIn

47 комментариев

Подписаться на комментарииОтписаться от комментариев Комментарии могут оставлять только пользователи с подтвержденными аккаунтами.

archangel archangel ,Жаль, что я не смог донести до Вас суть. Обыски и давление на IT — это то, против чего я выступаю. Именно потому, что видел это «изнутри».

Никита, это просто Ваши слова. На деле всё может обстоять совершенно иначе. Не вижу факторов, которые бы сдерживал вас от коррупционного тандема с теми же силовиками. Идея всех этих обысков и арестов оборудования заключается в попытке силовиков это самое оборудование обменять на деньги. И тут ваша оргвнизация, существуй она уже сейчас, могла бы выступить в роли обналцентра. Вот люди и негодуют.

Разговоры «о жизни» и «великих свершениях». Сам себя похвалил — это хорошо. Но выглядит как «дайте я буду собирать бабки за экспертизы в тандеме с сбу — они арестовывать, я экспертизы делать. Делить всё будем поровну. Ну пустите, дайте денег».

мастер-класс по отключению сайта киберполиции в день атаки Nyetya из той же серии весьма эффективных и действенных мастер-классов от вышепоиметого эксперта.

Да куда уже нам «диванным экспертам» к великому skype-кибердетективу, автору техники «Я че под дверь тебе насрал ?», гранд мастеру по кликам на ссылки «Forgot Password», /etc. Но больше всего умиляет это:

Я бы хотел, чтобы каждый диалог с профильным экспертом, человеком, который разбирается в этой сфере, заканчивался для меня какими-то положительными выводами, рекомендациями, которые я бы смог донести на высшем уровне :)

То чувство, когда советнику нужен совет.
Мне не совсем понятно зачем нужен этот тампон в виде «г4спадина с0ветнка» между реальными специалистами a.k.a. «диванными экспертами» и людьми которые принимают решения на уровне государства, может тогда уже проще собрать экспертную комиссию (из именитых специалистов к которым вышеупомянутый «с4ветник», IMHO, отношения никакого не имеет) по вопросам «Информационной Безопасности» и вести конструктивный диалог на прямую без «сломанного телефона» ?
Ну да ладно, уверен, что впереди нас ждет еще много lulz’ов со всей этой темой.

Павел , Ваши личные обидки за детскую деанонимизацию уровня «открыл не ту ссылку и попался» мы давно прошли. Пользуйтесь VPN 🙈. К сожалению, Ваши статьи публикует только «плохое.айти» — пример отличной гражданской журналистики, которому, к сожалению, не суждено доносить идеи в массы ибо единственная его цель — критика . А я по прежнему открыт для диалога, но Вам видимо удобнее писать там, чем в лс или делать предложения публично. П0д0ковский стиль 06щения умер вместе с упя4кой, взрослейте или не выйдете дальше 2ча. P.s. Рад , что хоть тут Вы пишите от себя.

Никита, позвольте Вас исправить, «Язык падонкаф» и «Leet» — совершенно разные стили написания. Основное отличие это в первом случае это «альтернативное правописание с сохранением фонетического образа», во втором «замена букв на похожие символы и цифры» да и собственно история возникновения совершенно разная. В моем комментарии использовался «Leet», соответственно весь Ваш дальнейший панч с «повзрослей» — вообще не в тему, но ладно. Я могу Вам посоветовать(Вы же просили совет?) все-таки потратить время на ознакомление с базовой терминологией которую Вы используете.
По поводу деанонимизации — proof || gtfo и желательно без историй уровня «в целях безопасности мы скрыли 90% технической информации и придумали красивую сказку о том чего не было».

Я рад что Вы смогли уделить время на ответ к моему комментарию и поэтому все-таки прошу вас ответить на мой вопрос:

Мне не совсем понятно зачем нужен этот тампон в виде «г4спадина с0ветнка» между реальными специалистами a.k.a. «диванными экспертами» и людьми которые принимают решения на уровне государства, может тогда уже проще собрать экспертную комиссию (из именитых специалистов к которым вышеупомянутый «с4ветник», IMHO, отношения никакого не имеет) по вопросам «Информационной Безопасности» и вести конструктивный диалог на прямую без «сломанного телефона» ?

Надеюсь что Вас не смущает резкая формулировка вопроса, cпасибо.

Павел, ровно в тот момент, когда Вы научитесь культурно изъяснять Ваши мысли, без называния людей «тампонами» у Вас сложится нормальное общение, при котором Вы будете получать нормальные ответы. А пока, только 2ch , «плохое.айти» и так далее. Я не намерен «кормить троллей». P.s. И разберитесь кто, где и как принимает решения, а то мне кажется Вы не понимаете как работает государственная машина.

Спасибо за Ваше мнение, но у меня и так все в порядке с общением, жаль что вас смущают образы которые я использовал в тексте и поэтому (так ли ?) Вы не смогли конструктивно ответить и увели разговор в другую тему. В любом случае спасибо, было приятно с Вами пообщаться. Надеюсь что другие «дискуссии с диванными экспертами» более конструктивны (хотя очень в этом сомневаюсь).

egor papyishev, Логика комментария : человек помогает государству и правоохранителям, значит он представитель государства и правоохранителей? Значит он 100% принимает все решения и несёт ответственность за все действия ? Так ? Все они на одно лицо, к чему разбираться , если можно поливать субстанцией прям с дивана. Верно 😜? Напоминает комикс про мусарящего человека, который ругает государство в стиле : «у нас везде срач».

Вы совершенно правы, но мне непонятен один момент, позвольте уточнить, я правильно понимаю что Вы все-таки обучали сотрудников силовых структур ? В моем понимании есть связь между «учителем и учеником» (точно как в ЗВ) и соответственно в том что было принято определенное решение есть и часть Вашей заслуги, или обучение не было успешным ? Уверен что Егор думал о чем-то схожем.

логика в самом деле была несколько другая. Ты любишь рассказывать про субстанции, диван, службу в конторе, обучение КП, форумах кардеров и подобные кейсы минувших дней, причем четко прослеживаются паттерны, по которым ты излагаешь про одно и то же, разными словами. Допускаю, что это имеет эффект воздействия на обывателя, но для человека, который более-менее «в теме», это всё суета. Пафоса нагнать ты любишь чрезмерно, но результатов, на самом деле, нет. Их нет, чувак. То, о чем ты говоришь и пишешь на платных бложиках и в оплаченных статьях сомнительных СМИ — это трындежь. А трындеть, как известно — не мешки ворочать. Я знаю много людей, которые не трындят, но делают. И результат их работы вполне осязаем. У тебя получается все наоборот: ты трындишь, но под этим ничего нет. И ирония в том, что ты и этим чувакам льешь в уши про «диван», уже неоднократно замечал — не надо так. Одни и те же истории от тебя, повсеместно, начиная от конференций и заканчивая статьями — вообще не впечатляют. Нет реальных технических профессиональных успехов, которые сколь нибудь бы соответствовали уровню твоего самопиара, а уж его хватило бы на целую лабораторию CISCO TALOS. Даже тот кейс о том, что ты (в разрезе деятельности внештатного советника АПУ) якобы добиваешься отмены механизма изъятия техники органами, который ты то и дело сейчас транслируешь, придумал не ты. Тебе его «подсказали» в комьюнити-канале, т.е. изначально это был вопрос чувака к тебе, за который ты ухватился и превратил в основной вектор ради которого ты мол пошел в «советники». Но я (мы) знаем значительно больше информации и умеем ее анализировать. Твои слова, Никита, идут вразрез с твоими делами. Поэтому или волюме немного надо прикрутить (на самом деле много), или давать реальный и видимый выхлоп результатами своей деятельности. В идеале — и то, и другое вместе. Ну и упреждая возможный порыв: загонять про какие-нибудь успехи, о которых нельзя говорить, не надо — мы всё прекрасно знаем и видим. Успехов на «обратной стороне Луны» тоже нет. Как бы так пока.

Зашел в этот топик только для того что бнаписать, чтоб без ссылки на ***** айти это интервью не будет полным и всеобъемлющим

Вы говорите про что программисты должны понимать принципы информационной безопасности чтобы знать уязвимости, где их взять? что почитать?

Есть неплохие стандарты от OWASP, и Владимир Обризан отлично преподаёт эту тему.

— А как реагирует государство? Что-то улучшается?
К примеру, та же блокировка ... — это уже конкретные шаги.
Моя компания начала бесплатно предлагать сотрудникам всех силовых ведомств пройти мастер-классы по способам сбора информации из открытых источников и базовым навыкам в сфере практической кибербезопасности. Мы занялись обучением СБУ, прокуратуры и силовиков, рассказывая, как правильно документировать, собирать информацию, пользоваться открытыми базами данных и всем, что даёт нам интернет.

А мастер классы не прошли даром...
dou.ua/forums/topic/19546

Во всем виноваты «они» , а кто «они»? Да первый кого нашёл на dou, ибо дальше искать было лень 😂. Просили ответить на комменты, но я даже не знаю как такое комментировать.

Как я говорил, я стараюсь выносить все вопросы на обсуждение с профильным сообществом. Я бы хотел публично призвать всех специалистов участвовать в этих обсуждениях

И где эти обсуждения? Как всегда в пейсбучике для друзей, чтобы никто не дай бох не написал ничего?

Есть блог на цензоре, регулярно пишу для крупных изданий, так же делаем бесплатные Cyber Security Meetup , где призываем к диалогу. Ещё можно открыто подать заявку на выступление на нашем форуме HackIT, в котором была дискуссионная панель.

Эксперты по кибер безопасности обычно сидят где-то в безопасности, а не зареганы во всех соц. сетях. Этого Кныша, Шимкив уже вывел на чистую воду.

Это уже давно обсудили , мой ответ тут: m.censor.net.ua/...​rukovoditelyu_i_cheloveku — публично и открыто.

А что-то спрашивали? :)

Мы разработали прозрачную публичную процедуру подбора кадров

Угу. Я помню как проходил первые два отборочных теста. И вопросы, которые были абсолютно не связаны с кибербезопасностью. И особо публичной частью отбора был момэнт когда кадровички взяли анкеты и сказали — «мы отправим в Киев и они там отберут нужные, а вы можете уже идти». Очень прозрачный этап.

Однако у них эта процедура была весьма закрыта и заангажирована, и нам тогда отказали.

Он до этого видимо не дочитал, спешил запостить комментарий 😆

В світлі погляду на наші правоохоронні органи і бла-бла-бла чомусь згадалося

Татарский часто представлял себе Германию сорок шестого года, где доктор Геббельс истерически орет по радио о пропасти, в которую фашизм увлек нацию, бывший комендант Освенцима возглавляет комиссию по отлову нацистских преступников, генералы СС просто и доходчиво говорят о либеральных ценностях, а возглавляет всю лавочку прозревший наконец гауляйтер Восточной Пруссии. ©

Аферисты и проходимцы уже и на доу стали пиариться?

«У нас есть много кодеров, но не все понимают, что такое чистота кода, культура написания кода и так далее. Это всё, на мой взгляд, невозможно без какого-либо опыта в сфере информационной безопасности, кибербезопасности.» — Really? :)

А сегодня в завтрашний день не все могут смотреть. Вернее, смотреть могут не только лишь все. Мало, кто может это делать. ©

Статья познавательная. Идей много, а реализовать конечно в одиночку не реал.

Хорошо делать — это хорошо, а плохо делать — это плохо. Это основной месседж %)

Последнее решение СНБО декларирует...

цей абзац двічі в тексті

що автор хотів донести — незрозуміло... хіба шо ксівою похвалитись

Це певно у відповідь на серію матеріалів на «ЧудовомуІТ»

https://******.it/2017/07/19/hackit-uisgcon/

https://******.it/2017/09/12/nikita-knysh-fairy-tales/

https://******.it/2017/09/16/cryptocurrency-hacken/

тут ще огляд конференції
https://******.it/2016/12/06/hackit-2016-review/

middle

пять групп:
— штатные советники президента,
— внештатные советники президента,
— внештатные советники администрации президента,
— внештатные советники главы администрации президента,
— внештатные советники первых заместителей главы администрации.

Хорошая статья +++++++++

Прощу прощения, в какую область экрана нужно посмотреть чтобы найти «хорошую статью», сайдбар «Лучшее» ?

Спасибо за уточнение :)

Подписаться на комментарии