tag:blogger.com,1999:blog-4065770693499115314.post4233731790240601988..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Почти половина хакеров хочеть создать свой ИБ-бизнес!Алексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger34125tag:blogger.com,1999:blog-4065770693499115314.post-39466789298258157282013-06-08T15:24:25.831+04:002013-06-08T15:24:25.831+04:00В нашей стране весь рынок ИБ формируют госструктур...В нашей стране весь рынок ИБ формируют госструктуры, иными словами рынка как такового то и нетLallorahttps://www.blogger.com/profile/16597948200367595198noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-87027773746819517952013-06-06T15:59:40.682+04:002013-06-06T15:59:40.682+04:00"Рулить" собой и другими это они сейчас ..."Рулить" собой и другими это они сейчас по молодости отвечают, через 5-10 лет им будет лениво в налоговых делах разбираться для ИП, ООО, ЗАО и т.д., и тогда и придет осознание трудоустройства в фирмы, занимающиеся пен-тестом (и почему бы не взять то их). <br />"Чем "успешнее" хакер, тем менее успешнее его легальный бизнес" - робин гуд не был бы успешным принцом?))) Справедливо, но только если этот хакер сам вор, а если он что-то типа разоблачителя воров? Tomashttps://www.blogger.com/profile/08380131738088408530noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-46445789220124496842013-06-06T05:51:21.312+04:002013-06-06T05:51:21.312+04:00Это верно, но по опросам хакеры хотят быть руковод...Это верно, но по опросам хакеры хотят быть руководителями себя жеАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-57364638052709655602013-06-05T23:14:46.455+04:002013-06-05T23:14:46.455+04:00Алексей, а если это не его бизнес, а он наемный ра...Алексей, а если это не его бизнес, а он наемный работник?<br /><br />Выше было сказано, что уровень IT высок, однако, многие ли смогут что-то создать на Assembly?<br /><br />Хакеры и ИБ-шники это как разведка и контрразведка, лучший контрразведчик это лучший разведчик.<br /><br />НО! им обоим нужны грамотные рукводители, которые будут ставить правильные цели.Алексей Зыкинhttps://www.blogger.com/profile/06648950372031080549noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-70914738379885937892013-06-05T21:36:30.372+04:002013-06-05T21:36:30.372+04:00Tomas, менять в презентациях ничего не буду. Чем &...Tomas, менять в презентациях ничего не буду. Чем "успешнее" хакер, тем менее успешнее его легальный бизнес.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-89990869560174932612013-06-05T18:56:14.670+04:002013-06-05T18:56:14.670+04:00Я же говорил )))))):
>>А пост хороший )))) э...Я же говорил )))))):<br />>>А пост хороший )))) эта тема многих цепляет, хоть и дерет по живому наждаком.ZZubrahttps://www.blogger.com/profile/17309887397636383099noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-76269804100483072182013-06-05T18:13:52.248+04:002013-06-05T18:13:52.248+04:002Евгений:
а в России у нас мало кто сидит за хакер...2Евгений:<br />а в России у нас мало кто сидит за хакерство. российского спамера, которого никто "не мог поймать", арестовали и посадили за педофилию или что-то в этом духе. <br />2doom:<br />не могу написать коммерческое предложение на эту тему :) А кто сказал, что хакер это одиночка,не способная работать в команде, посмотрите, они уже объединяются в группы и "раскручиваются" не меньше чем звезды шоу-бизнеса (те же, упомянутые мной выше anonimus). Проблемы с дисциплиной - Стив Джобс тоже не отличался дисциплиной, в том числе по отношению к своим подчиненным, а iphone что-то вон все еще покупают. Tomashttps://www.blogger.com/profile/08380131738088408530noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-86386724556805882392013-06-05T17:26:52.887+04:002013-06-05T17:26:52.887+04:00Можно пошалить, отсидеть и вернуться уже бизнесмен...<i>Можно пошалить, отсидеть и вернуться уже бизнесменами, как Кевин Дэвид Митник и Фрэнк Эбегнейл:)</i><br /><br />Не после отсидки в России :)Евгенийhttps://www.blogger.com/profile/02773605232583360031noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-31656055059133942013-06-05T17:08:09.283+04:002013-06-05T17:08:09.283+04:002 Tomas
ЛОзунг "все найдут у вас 90%уязвимо...2 Tomas<br /><br /><i> ЛОзунг "все найдут у вас 90%уязвимостей, а я 99%", потому что пользуюсь помимо того, чем и все остальные, еще и собственными наработками.</i><br /><br />За какое время? За какие деньги? <br />К тому же, один человек - это всего лишь один человек. Он физически не сможет сделать достаточно много для компании.<br />А еще - никому не нужны "звезды", они плохие командные игроки и, как правило, у них проблемы с дисциплиной.doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-24654002300365171232013-06-05T17:07:40.316+04:002013-06-05T17:07:40.316+04:00Можно пошалить, отсидеть и вернуться уже бизнесмен...Можно пошалить, отсидеть и вернуться уже бизнесменами, как Кевин Дэвид Митник и Фрэнк Эбегнейл:)Рустамhttps://www.blogger.com/profile/13633206569064975495noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-66043883563547083062013-06-05T16:59:09.305+04:002013-06-05T16:59:09.305+04:00если откинуть всех рыцарей и т.д., то:
если почти ...если откинуть всех рыцарей и т.д., то:<br />если почти 40% хакеров хотят потом открыть свой бизнес впоследствии, то может хакерская деятельность носить не подрывной характер (чтоб не посадили), а характер долгосрочного вложения - т.е. обретя извесность ряд "товарищей" попытаются открыть свое дело на основе собственной известности. Tomashttps://www.blogger.com/profile/08380131738088408530noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-3245130966266932622013-06-05T16:55:55.379+04:002013-06-05T16:55:55.379+04:00Наверное имело смысл еще добавить ссылку на старый...Наверное имело смысл еще добавить ссылку на старый пост Алексея http://lukatsky.blogspot.ru/2010/01/blog-post_21.html<br />О том, что может останавливать хакеров создать собственный бизнес.<br /><br />Не могу отнести себя к хакерам, но все таки считаю себя безопасникам, так что мои пять копеек:<br />Безопасники, даже внутри IT, - отдельная и обособленная группа. Мало того, что бизнес явно дает понять, что ИБ - это дополнительная статья расходов, так и остальные IT специалисты испытывают некоторую неприязнь, согласны?<br />Тот же Secure SDLC приносит в процесс разработки дополнительные проверки, доработки и сложности. Все эти проверки (Access Control, Vulnerability и Patch Management).<br />Уровень доходов я так понимаю тоже разный: у безопасников и сопоставимых по опыту\знанию программистов, бизнес аналитиков и администраторов.<br />Отсюда, в том числе, возникает желание вырваться и податься либо в бизнес, либо в интеграторы. Отчасти для того, чтобы внутри тебя самого появилось какое-то удовлетворение: ты не прикрываешь свою компанию от коварных посягательств РКН надежным щитом сертификатов соответсвия, но начинаешь приносить пользу:<br />1. Помогаешь заработать интегратору.<br />2. Делаешь такой продукт, который на деле может защитить компанию от «реальных угроз», а не Compliance рисков.<br />Рустамhttps://www.blogger.com/profile/13633206569064975495noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-76390155856968584292013-06-05T16:47:19.710+04:002013-06-05T16:47:19.710+04:00Евгений, посмотрите, пожалуйста, мое первое высказ...Евгений, посмотрите, пожалуйста, мое первое высказывание: я говорил о том, что мотивация у хакеров не только украсть деньги, но и самопиар, до сих пор. Как влезть и показать себя в уже существующем бизнесе пен-теста, быть более бизнес-привлекательным, чем другие - разве не быть известным? ЛОзунг "все найдут у вас 90%уязвимостей, а я 99%", потому что пользуюсь помимо того, чем и все остальные, еще и собственными наработками.Tomashttps://www.blogger.com/profile/08380131738088408530noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-18947255849422179642013-06-05T16:28:58.996+04:002013-06-05T16:28:58.996+04:00Tomas, вы наверно не понимаете, но ваши высказыван...Tomas, вы наверно не понимаете, но ваши высказывания как нельзя лучше иллюстрируют пост Алексей. Ведь если задача - найти дырку и залезть в нее, то конечно толпа хакеров как нельзя лучше соответствует этому. Но в том то и дело, что бизнес по пен-тесту -это отработать максимально большое число заказчиков, выявив у них наиболее типичные проблемы и дыры. Заработать на этом кучу денег, устранить для заказчиков 90% проблем со взломом. Да, не 99%, но это наверно им это и не нужно? А вот для этой задачи как нельзя лучше подходит группа инженеров с правильной методикой.<br /><br />В этом и отличие бизнеса от "творческого хакинга"...Евгенийhttps://www.blogger.com/profile/02773605232583360031noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-10249561178598714642013-06-05T16:07:23.506+04:002013-06-05T16:07:23.506+04:002doom: интересное сравнение, но так же можно рассм...2doom: интересное сравнение, но так же можно рассмотреть лучника, с копеечной стрелой, обладающего фантастической меткостью и ловкостью, который уничтожит 20 (а то и больше) городских ополченцев за долго до того, как они с годендагами смогут к нему подойти. (хакер с опенсорсным по)<br />На основе чего готовятся методики для "просто инженеров"? разве не на основе практик? а если такой практики еще нет и хакер нашел ее первым и никому не рассказывает? Ведь вероятность того, что такую уязвимость найдет другой талантливый белый хакер гораздо больше, чем по методике (где этой уязвимости нет) 20 просто инженеров. Я лишь к тому, что хакеры, которые не смогут основать компании ИБ, очень могли бы пригодиться в уже существующих компаниях. А чем известнее будет бывший хакер тем: 1.его быстрее посадят (если преступления) 2. он будет нанят на большую зп.Tomashttps://www.blogger.com/profile/08380131738088408530noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-82044820094597125392013-06-05T15:35:33.944+04:002013-06-05T15:35:33.944+04:002 Tomas
Защищаться всегда сложнее, как известно. ...2 Tomas<br /><br />Защищаться всегда сложнее, как известно. <br />В одной презентации я для этого использовал образ рыцарских лат (как известно, вещь крайне дорогая и требующая нехилого опыта для нормального использования) и годендага (палка со штыком, по сути) - стоит копейки, тыкать ей ума не надо, но при этом может пробить доспех (и было известное сражение во Фламандии, вроде, где толпа городских ополченцев одолела отряд рыцарей - именно с годендагами они были).<br /><br />Те же инженерные команды могли выявить 999 уязвимостей, но вот эту одну не нашли (и не факт, что ее нашла бы команда хакеров) - это другой известный факт, в ИБ нельзя обеспечить защищенность системы на 99.99%.doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-77981559549496711812013-06-05T15:19:28.380+04:002013-06-05T15:19:28.380+04:002 doom: согласен и с Вами, но порой широкий анализ...2 doom: согласен и с Вами, но порой широкий анализ сситемы не выявляет именно того, на первый взгляд (взгляд просто инженера с методикой), не важного элемента, которым впоследствие воспользуется действующий (не бывший) хакер. Вот практика 2х групп (инженеры и "белые" хакеры), как Вы описали - круто! Но увы, дорого.<br />Пример: недавний взлом систем МО США (с кражей материалов по самолетам и вообще разработок последних 10лет США) как бы китайскими хакерами - не думаю, что в этих системах не работали инженеры с четкой методикой в установленные промежутки времени, однако ущерб в миллиарды $ налицо, значит неважный элемент все таки нашли и отработали по нему пополной.Tomashttps://www.blogger.com/profile/08380131738088408530noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-10426103656433457892013-06-05T15:10:13.285+04:002013-06-05T15:10:13.285+04:002 Tomas:
я же говорю - у меня был практический оп...2 Tomas:<br /><br />я же говорю - у меня был практический опыт. Команда из просто инженеров + конкретная методика это эффективнее, чем толпа хакеров (было два похожих проекта, в одном толпа хакеров выполняла работы, в другом я и несколько инженеров). <br />Ваш крутой хакер, в конце-концов может потратить все время на какой-нибудь неважный элемент системы вместо того, чтобы сделать более широкий анализ всей системы, к примеру.<br />doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-51595094751370610632013-06-05T12:44:42.756+04:002013-06-05T12:44:42.756+04:002 doom: угрозы 0дня тоже будете по формализованным...2 doom: угрозы 0дня тоже будете по формализованным документам искать посредством "обычных инженеров"? Red October и прочее наврено все же ищут люди по каким-то определенным шаблонам (согласен), но с творческим подходом! Вы же написали, что "распределить задачи в команде", почему часть работ не может быть отдана бывшими хакерами, например?<br /><br />а вот про то, что каждый хакер потом сможет создать собственную компанию ИБ - полностью согласен с Алексеем!<br /><br />P.S. окоп можно копать посредством 5 солдат, а можно одного на трактор посадить (если хоть один умеет)...Tomashttps://www.blogger.com/profile/08380131738088408530noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-34256292943891481082013-06-05T12:38:42.867+04:002013-06-05T12:38:42.867+04:00@Doom
>> Например взять прародитель почти ...@Doom <br /><br />>> Например взять прародитель почти всех SDLC от MS SDL и применить его к своей разработке.<br /><br />> По случайному совпадению это нам написал Андрей Бешков :D<br /><br />Это не в коем случае не совпадение. Если такие корифеи как Жириновский с Гатаровым про обучение в сфере ИБ рассказывают. <br />То видно нам про обучение реальному SDLC давно пора говорить. :) Andrey Beshkovhttps://www.blogger.com/profile/02876690375005858844noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-65787851035925978132013-06-05T12:07:24.394+04:002013-06-05T12:07:24.394+04:00"Работают на голом энтузиазме. И это третья п...<i>"Работают на голом энтузиазме. И это третья проблема. Энтузиазм, будь он неладен. Он имеет свойство улетучиваться также внезапно, как и появляться. На таком базисе нельзя строить ни продукт, ни компанию целиком."</i><br />Не согласен с тем, что энтузиазм является проблемой. Он наоборот, придает силы, увеличивает работоспособность в разы, горящие глаза, бессоные ночи, а вот когда его нет - это уже проблема. Конечно же, иметь базисом голый энтузиазм - не вариант совершенно. Но это, имхо, должны все понимать, понимание приходит, когда начинаешь работать с первыми клиентами. <br /><br />Насчет бизнеса согласен, что технарю сложно совмещать технарские навыки с административными. Но я тут больше склоняюсь к топологии личностей Адизеса, он, в частности, говорит, что наиболее эффективная команда управленцев может получиться только тогда, когда гармонично будут развиты все 4 составляющие PAEI (гуглить, кто не знает). <br />Т.е. это может быть 2 человека, а может и 3. Исключения бывают в виде одного, это скорее всего и есть Гейтсы и Джобсы.<br /><br />И главное - без крайностей :) Бумажки иногда тоже важны, сертификаты ФСБ, ФСТЭК, лицензии на проведение тех же аудитов и пентестов..<br /><br />PS В IT работают умные люди =)Rebzhttps://www.blogger.com/profile/17196826607244939347noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-63904389834545779512013-06-05T12:04:40.933+04:002013-06-05T12:04:40.933+04:00Этот комментарий был удален автором.Anonymoushttps://www.blogger.com/profile/15823563132771089471noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-43666577290310111082013-06-05T11:46:27.964+04:002013-06-05T11:46:27.964+04:00Например взять прародитель почти всех SDLC от MS S...<i> Например взять прародитель почти всех SDLC от MS SDL и применить его к своей разработке.</i><br />По случайному совпадению это нам написал Андрей Бешков :Ddoomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-50797007132743624172013-06-05T11:38:42.372+04:002013-06-05T11:38:42.372+04:00SDLC учат и вполне успешно, но не в России. У нас ...SDLC учат и вполне успешно, но не в России. У нас это направление пока экзотика.<br /><br />Впрочем тем кому интересно могут вполне легко найти материалы в сети. Например взять прародитель почти всех SDLC от MS SDL и применить его к своей разработке.Andrey Beshkovhttps://www.blogger.com/profile/02876690375005858844noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-10919586294675638562013-06-05T10:53:33.345+04:002013-06-05T10:53:33.345+04:002 Артем Агеев
Ну осталось еще привести статистику...2 Артем Агеев<br /><br />Ну осталось еще привести статистику по успешности ИБ стартапов (я что-то ничего не могу припомнить на отечественном рынке).<br />Тут все-таки есть своя специфика - ориентироваться надо сразу на ынтырпрайс, а у них свои запросы.doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.com