Коли робиш щось важливе, то це не одразу видно. Але коли отримуєш такі листи, все одразу стає на свої місця.
Доброго дня, мене звати Степан, я учень 10-А класу, нам вчитель задав на домашнє виконання тему про «Кібербезпеку», серед нього було посилання на вашу карту думок «Як не стати кібер-жертвою» і прочитавши мені сподобалось саме подання інформації і саму класифікацію по пунктах і серед такої основної інформації мені було легше зрозуміти текст і навіть дізнатись таке з чим я не стикався, але читавши я помітив деякі помилки, але це не серйозні. Щоб швидше було знайти, вкажу підтему і саме слово з помилкою.
(Тут іде довгий текст, який мені соромно викладати, і навіть фото з скріншотами де і як треба все виправити.)
Ніби все, хоча я теж міг дещо не замітити. Дуже вдячний за такий оригінальний підхід з текстом і за легке пояснення. Сподіваюсь я зміг допомогти!
Star Trek: The Next Generation (TV Series 1987–1994) – IMDb
Після такого сльози на очі навертаються. Звісно, я не міг пройти повз цей лист і викладаю його у своєму блозі. Майже без змін та правок. Тому що, не замітити, а помітити, Степане!
P.S. Дуже дякую за виправлення! Завдяки моєму колезі Анатолію Березюку, вони вже внесені в офіційний текст на GitHub та у чернетку майндмапи. Тепер залишилося розібратися, як опублікувати її зі збереженням URL, який так жваво поширюють серед учнів наші вчителі…
Кілька місяців пройшло з того часу, як я прочитав цю книжку, і я нарешті дозрів до написання ревю. Цей час я використав для того, щоб обговорити отримані концепції із колегами та протестувати кілька трюків на практиці. Як ви зараз зрозумієте, мені був потрібен час на те, щоб поредтімати зміст цієї книжки 🙂 Результатом я більше ніж задоволений, тому готовий ділитися відгуком.
Книга “Red Team – How to Succeed By Thinking Like the Enemy” by Micah Zenko – це публіцистична праця, зразок доброї журналістики, в якому автор досліджує нашу професію та робить цікаві висновки. У книгу увійшли історичні сюжети, пряма мова патріархів цієї професії, та роздуми, аналітика й узагальнення самого автора.
Серед найважливішого у книзі можу назвати широке узагальнення дисципліни редтімінгу, яке охоплює усі його прояви: бізнесовий воргеймінг, стратегічний альтернативний аналіз, політичний та військовий редтімінг та звісно ж пентести та інші хакерські забавки. Для прикладу, починає Міка із препарації ролі “адвоката диявола” в адміністрації Ватикану, а у якості одного з найбільших провалів редтімінгу наводить недостатню увагу до альтернативних теорій під час підготовки другої іракської війни. (Як ви пам’ятаєте, привід для вторгнення – наявність в режиму Саддама Хусейна зброї масового ураження – так і не підтвердився.)
Протягом книги Зенко аналізує підхід до редтімінгу не лише в пентестах, але й у розвідувальній та контррозвідувальній діяльності, під час підготовки до військових операцій, та протягом розробки програм охорони здоров’я всесвітнього масштабу – список можна продовжувати. Усі прояви редтімінгу автор об’єднує спільною методологією, але жахатися цього слова не потрібно. Адже вона настільки високорівнева, що скоріш підкреслює недоцільність використання в редтімінгу методологій у звичному розумінні цього терміну.
Основна ідея редтімінгу – це альтернативний (або конкурентний) аналіз наявних даних та інформації, тобто виклик статус кво. Таким чином, редтімати можна все, що завгодно: стратегію, продукт, теорію, ідею тощо. І залежно від важливості та цінності об’єкту редтімінгу масштабуватиметься важливість цієї вправи. Це ми знаємо з практики – неважливому бізнесу чи стартапу в перший рік пентест не потрібен.
Ще ми знаємо, що редтімер нікому не спрощує життя. Це отой ніколи ні з чим не згодний член команди, який завжди ставить все під сумнів та до всього ставиться скептично. У редтімінгу як професії це робиться свідомо та послідовно. Успішне доведення альтернативної теорії демонструє неспроможність оригінальної теорії. А безуспішне – навпаки, підтверджує статус кво та підкріпляє його аргументами. У одному з випадків успішного редтімінгу, червоній команді поставили на меті довести, що новозбудований в Ірані секретний об’єкт не є фабрикою зі збагачення урану. Після тижнів блискучого конкурентного аналізу аналітики дійшли висновку що єдиним альтернативним поясненням цього будівництва є спроба Ірану дезінформувати ЦРУ, тобто переконати в тому, що це таки фабрика зі збагачення урану, коли насправді це не так.
Стилістично, за виключенням одного мінусу – автор часто повторює ті самі речі різними словами – книжка дуже сподобалася. Приємно читати про твою улюблену справу, особливо фрагменти, написані зі слів визнаних експертів у цій професії. Діно Дай Зові, Джейсон Стріт, Дейв Кеннеді, Кріс Нікерсон та ще ціле сузір’я відомих хакерів, які діляться своїм поглядом на індустрію та критерії успішності в ній – це вам не мемуари Митника, Сноудена чи ще якогось невдахи. Це реальне м’ясо з окопів, до якого іншим маршрутом шлях іде через десятиліття практики, повної провалів, стресу та решти супутнього нашій справі шарму.
Я раджу прочитати це кожному, хто вважає себе спеціалістом з наступальної безпеки. Єдине, що мене непокоїть, це як щільно ідеї твору перегукуються із моїм власним досвідом та поглядами на професію. Тому, якщо після прочитання матимете альтернативну теорію – буду радий подискутувати. Ми ж бо хакери, чи де?
Мені дуже пощастило працювати з Тарасом більше одного разу. Якби в професіоналізму була одиниця виміру, вона б називалася один Бобало.
Мені пощастило, що ми дружили. Тарас допоміг нам завантажити OWASP Kyiv, виступивши з доповіддю, після якої я потім всю ніч, день і наступну ніч переписував свої скрипти. Він допомагав просто так, завжди мав готову відповідь, відштовхуючись від якої все решту можна було допетрати самому. Більшість моїх робочих та особистих операційних практик – від налаштувань безпеки, до вибору месенджеру та VPN-у – я успадкував від Тараса.
Я дізнався про те, що в Тараса рак, перед найпершим NoNameCon-ом. За півроку до конференції він підписався провести воркшоп, кілька місяців потому надіслав повідомлення приблизно такого змісту: вибач, не зможу провести, бо в ті дати ще не закінчиться курс хіміотерапії. Ні, не так: знайди, каже, мені якогось головастого девопса з прямими руками, і я йому все передам, він проведе. Ми знайшли Стаса Колєнкіна, Тарас передав, Стас провів.
Ми пробували допомогти Тарасу, хоча всі люди дорослі, розуміли шанси. Грошима це не закидати, а що ще ми можемо? Ми зробили, що могли, і мені хочеться вірити, що ми допомогли Тарасу подовжити виграний в раку час.
Минулої осені Тарас погодився виступити на Антиконі, доповідь не записували – умова проведення заходу. В середу перед віртуальним NoNameCon цього року пише – ну ось, дожив, запускай в Zoom. Все на приколах, все із гумором. Потім ще відгук дав, подякував. А наступного тижня старого не стало.
Друзі, пам’ятайте, що це все тимчасово. Спробуйте використати цей час для того, щоб вас запам’ятали. Або просто спробуйте бути щасливі.
Підсумки та враження. Спробую коротко, по пунктах.
1. Відвідувачі
Неймовірна та безпрецедентна підтримка. Куплено майже 200 квитків. Повернуто 1 (один). Онлайн в YouTube та Zoom від 100 до 200 людей. Дві з половиною тисячі переглядів стрімів на YouTube. Більше сотні запитань для спікерів!
На майже повністю (крім одної доповіді та дебатів) англомовній, віртуальній конференції. Я досі в це не вірю, але факти річ уперта.
Величезне дякую усім, хто в нас вірив. Ми зробили все, що від нас залежало, і трошечки більше. Здається, вийшло непогано.
2. Доповідачі
Програма, що була сформована на початку року, попри всі зміни в форматі та часі конференції, майже не змінилася. Всі доповідачі пішли на зустріч та підлаштувалися під графік. Багато хто погодився зробити попередній запис свого виступу, щоб звести до мінімуму актуальні ризики. За це їм щира шана та подяка, адже для багатьох із них, як і для нас, все це вперше і все це стрес.
Заключні кіноут спікери: ми це зробили, додати нічого. Завдяки Руслану, година з Брюсом Шнайером вийшла фантастично цікава. А бесіда з Грінбергом – на моїй пам’яті це найбільш пізнавальна подія кібербезпекової сцени в контексті українського протистояння російській агресії.
Щира подяка всім, хто готував доповіді та воркшопи, мучився із записом та редагуванням відео, тренувався перед дзеркалом. Спілкування з аудиторією через екран, та проведення онлайн воркшопів – це зовсім інший досвід, порівняно з офлайн сценою. Наші спікери та воркшопери – ви неймовірні! Завдяки вам ми перейшли на наступний рівень і це була справжня історична подія для української кібербезпекової сцени.
3. Партнери
Тут у нас особистий антирекорд. Компанії, які підтримали нас матеріально, так чи інакше пов’язані з командою: це наші друзі, колеги, та активні волонтери спільноти. Так сталося через повну відсутність фандрейзингової кампанії. Цього року ми просто розіслали запрошення і пару разів про них нагадали. З огляду на економічну ситуацію, вважаю таку стратегію коректною. Тому, якщо хтось очікував на спеціальне запрошення – вибачте, не цього разу.
Особисто для мене та Berezha Security прояви на конференціях це не реклама і навіть не інвестиція в майбутніх експертів нашої компанії. Це демонстрація того, що в нас все добре, і ми готові длитися. Щедрість – це найкращий маркетинг.
Респект та шана усім, хто нас підтримує матеріально, технічно, морально та закриваючі очі на “ресурсний розрив” на цілий тиждень під час кібер-жнив. Ви в авангарді цього бізнес-напрямку і ми раді, що можемо допомогти вам це транслювати.
4. Команда
Я брав участь в організації декількох масштабних професійних конференцій і десятків менших мітапів та інших збіговиськ. З усієї поваги до колег та однодумців, NoNameCrew – найкраща організаційна команда, в якій мені пощастило працювати. Чому так сталося? Все дуже просто: відкритість до нового. Взяти участь в організації може будь-хто, головне бажання. Нові задачі виникають постійно, і за їхнім розв’язком ми звертаємось до аудиторії та волонтерів. Обов’язково знаходиться хтось, хто хоче за це взятися. А подекуди люди приходять із власними ідеями. Ось і весь рецепт, а результат ви знаєте.
Збір заявок, відбір доповідей, узгодження програми з доповідачами, відео-продакшн, відео-трансляція, модерування стрімів та воркшопів, підтримка, супровід, робота з партнерами, робота з фінансами, облік, оподаткування, звітність, реклама, висвітлення в мережі та соцмедіа, виготовлення сувенірної продукції, дизайн-проектування- виготовлення-тестування-знову виготовлення-розмитнення-програмування-знову тестування бейджів, перемовини з видавництвом, дизайн стилю, адміністрування веб сайту, продаж квитків, доставка бейджів та сувенірів, відшкодування витрат доповідачів, винагородження тренерів воркшопів, адміністрування доступу до Zoom-Discord-YouTube, перемовини з хостером, оренда-транспорт-оплата обладнання та приміщень, технічна підтримка живлення та зв’язку, забезпечення процесу калоріями та кофеїном, підготовка-ревю-нагородження переможців квіза, і численні відповіді на фантастичну кількість однотипних запитань, які вже висвітлені на сайті або у поштових розсилках – ось невелика частка того, що роблять 25 ентузіастів протягом року від конференції до конференції та під час самої події.
Я міг би написати книжку про те, як робити конфи з кібербезпеки, але жодна з порад у ній не матиме жодної цінності без головного – ніколи не робіть конференцію самотужки або невеликою групою. Конференція це не стільки подія раз на рік, скільки рух однодумців. Знайдіть однодумців. Визначте спільні цілі. Тримайтесь разом. Спробуйте не розсваритись. Так і лише так можна досягти якогось помітного успіху. А всі ваші негаразди по дорозі до нього створять незабутній командний дух, якому без спільних невдач просто немає звідки взятися.
5. Формат
Судячи зі статистики на YouTube, це була найуспішніша наша конференція. Кожна проблема це замаскована можливість, як би банально це не звучало. Жодна найбільш детальна та прискіплива підготовка не замінить досвід, який ми отримали за два дні віртуальної конференції. З’явилися нові унікальні фішки, і є намір поєднувати формати за будь-яких, навіть найсприятливіших обставин. З усією повагою до спікерів, найцікавіші (для мене) теми обговорювалися не в доповідях, а за лаштунками, у Zoom. Це неймовірно круто і я не знаю як до такого можна було б додуматись, якби не карантин.
6. Наступні дії
Дуже скоро, я сподіваюся вже цього місяця, всі учасники конференції отримають бейджі та інші подарунки. Почнеться найцікавіше для найхардкорнішої частини аудитрії: NoNameBadge CTF. Хлопці з TechMaker обіцяють, що цього року легко не буде, тому готуйтесь страждати да заливати клавіатури сльозами. І це лише частинка того, що нам як організаторам залишилося зробити. У нас все ще є “plenty of room to провтикать”, але початок непоганий. Залишайтеся з нами, не пошкодуєте.
Тупо вважати людей дурними лише тому, що вони не знають того, що знаєте ви. Тим більше якщо вони думають інакше. Всі люди просто фізично не можуть одночасно дійти всіх правильних висновків з усіх питань. Хтось обов‘язково буде гальмувати, а хтось забіжить наперед.
Особливо коли мова про різні світогляди (прогресивні/консерватори), різні вікові категорії, різні рівні освіти та урбанізації, різні матеріальні умови тощо. Не можна одразу дати всі знання всім людям, адже знань дуже багато, а в людей різний об‘єм часу на їхнє вивчення.
Можна звісно апелювати до середньої освіти, бо вона в нас типу обов‘язкова та супер доступна. Але всі ми прекрасно знаємо, що її якість також не рівномірна, і це ще м‘яко сказано. Перша ідея, яка спадає на думку – це обмін знаннями в соціальних медіа, але зараз це не працює.
Кончений Facebook (який типу в топі), завдяки «геніальному» баченню Марка Цукерберга та Шеріл Сендберг, пріоритезує не цікаве та пізнавальне, а те, що чіпляє природно. Тобто те, від чого або страшно, або зле. Правдивість даних цінності для їхньої бізнес-моделі не складає, тому соцмедіа для нормалізації рівня знань не підходить.
Це звісно дивно чути від мене, але навіть громада навколо якоїсь реформованої церкви є кращим способом поширення знань про цей світ в замкненій соціальній мережі, ніж соцмедіа. А подекуди й кращим за ЗМІ. Але чи можна це змінити? Думаю, що так.
Досить почати поширювати не ті дані, які вам подобаються, а ті, які ви перевірили. Цього буде достатньо, адже соцмедіа не створюють контент, вони пріоритезують те, що ми в них розміщуємо. Звісно, залишиться проблема ботів, але в запропонованих умовах вона вирішується простіше.
Якість інформації, яку ми поширюємо, має стати чинником нашої репутації. Побачив в стрічці фейк – зам’ютив юзера на місяць. Побачив ще один – видалив з френдів. Побачив третій в репостах – забанив перманентно. Такий чи подібний кодекс цілком може стати формою адаптації людини до нових умов.
Людство завжди підлаштовується під свої винаходи. Принаймні досі нам це вдавалося. Нові технологічні досягнення створюють нові ризики. Соціальні медіа поставили під питання те, як ми керуємо державами, і одночасно загрожують як ліберальним, так і тоталітарним режимам. Тому що можуть використовуватися для безконтрольного поширення як брехні, так і правди.
Я думаю, ми зможемо. З атомною енергетикою ж якось вийшло, та й з викидами парникових газів намітився якийсь прогрес. Соцмедіа не найгірша наша проблема. Треба просто зробити так, щоб поширювати неперевірені дані стало соромно.
