Мовне питання

В останні дні потрапили мені на очі декілька постів місцевих “селебрітіз”, які на піднесенні від прийняття закону про мову побідкалися про свою сумну русифіковану долю та виступили їх закликом всіляко підтримати розвиток української мови. При цьому, і це було б парадоксально, якби відбувалося не в Україні, ці відомі артисти та суспільні діячі скрізь і завжди, навіть під час цих своїх закликів, використовують російську як основну та, власне, єдину мову спілкування.

В останні дні потрапили мені на очі декілька постів місцевих “селебрітіз”, які на піднесенні від прийняття закону про мову побідкалися про свою сумну русифіковану долю та виступили їх закликом всіляко підтримати розвиток української мови. При цьому, і це було б парадоксально, якби відбувалося не в Україні, ці відомі артисти та суспільні діячі скрізь і завжди, навіть під час цих своїх закликів, використовують російську як основну та, власне, єдину мову спілкування.

Жалюгідно звучать такі заклики від людей, які у своїй професійній діяльності всіляко пропагують мову, що вже скоро 30 років змушує Україну залишатися уламком імперії та не дозволяє сконцентруватися на відновленні та розвитку власної культури. Щоб стоврити вам уявлення про історичні процеси, які десятками знищують народи та культури, я наведу приклад. 

Була в давнину така місцина, Дакія. Жили в ній собі люди, була в них своя мова, вони нею спілкувалися і мали певну перспективу утворити довготривалу державу. Але прийшла по їхні землі така собі Римська імперія і перетворила їх у свою провінцію. Римська імперія існувала довго, за таких умов даки зрештою інтегрувалися та асимілювалися, за декілька поколінь перетворившись у “римлян”. Нащадками яких вони й досі себе вважають.

Така сама доля спіткала сотні народів в усьому світі. Через певний проміжок часу окуповані території спочатку ставали колоніями, далі отримували статус провінції, та після остаточної асиміляції повністю втрачали свою ідентичність. Процес підсилювався за участі місцевих “еліт” яких імперська аристократія допускала до керівництва регіоном, а згодом і усією імперією. Але навіть без цього каталізатора знищення малих народів так чи інакше відбувалося з плином часу. Головне, щоб імперія проіснувала достатньо довго.

Я пишу це без жодного негативного настрю: в глобальному сенсі в існуванні імперій немає нічого поганого. Імперії, здебільшого, це стабільність та поступ, періоди миру та економічного розвитку. Щоправда, ціною зникнення цілих народів. І в нашому випадку, якби СРСР проіснував ще років з 50, мені здається, така б сама доля чекала і на українців. Згодом, після розпаду союзу, на цій території утворилася б якась нова держава, але вона була б “спадкоємицею” совка, так само, як Румунія вважає себе продовженням Риму.

На великий дистанції це все, насправді, не має жодного значення. За тисячу років не буде ані Росії, ані України в тому вигляді, в якому ми їх спостерігаємо зараз. Але якщо вже тут і зараз ми говоримо про націю, мову та державу, то варто пам’ятати ці прості уроки історії. Те, що Україна досі існує, є дуже великим історичним дивом. І лицемірство “еліт” з приводу важливості української мови на фоні їхнього сталого використання російської повинно відбиватися на продажі квитків на їхні шоу та голосах виборців. В противному випадку нам треба глянути правді у вічі та відмовитися від перспективи існування нації як такої.

Більшість російськомовних в Україні вважають себе двомовними тому, що можуть скласти речення українською, хоча й не користуються цим вмінням. Якщо це двомовність, тоді я, бляха, – поліглот.

Як росіяни маніпулюють демократичними процесами

та як перевірити, чи є ви жертвою таких маніпуляцій

Напередодні виборів хочу нагадати просту схему, яку останні 5 років використовують російські пропагандисти для дестабілізації демократичних країн перед виборами. Ця схема добре зарекомендувала себе в США, Великобританії та Європі, наразі її використовують в Україні. Алгоритм дій дуже простий, я б навіть сказав тупорилий. Але воно працює, тому особливих змін не відбувається й цього разу.

Отже, розпочинається все із створення великої кількості облікових записів в соціальних мережах. Ці акаунти ведуть нормальну активність, постять котиків та репостять новини, які не мають прямого стосунку до політики. Додають одне одного в друзі, а також розсилають запрошення усім навколо себе, адже більшість користувачів все ще приймає інвайти від усіх без розбору.

Далі, ці фейкові акаунти, або, як їх ще називають, боти, створюють спільноти: сторінки та групи. Сторінки починають постити контент певного політичного забарвлення, як то “Х — наш кандидат”, “Ні корупції в Україні”, “За все хороше проти усього поганого” тощо, а ці пости розміщають в групах. Боти масово залучаються до цих груп, а також запрошують в групи та на сторінки “друзів” та користувачів, які лайкнули пости на сторінках. Звісно ж, на цьому етапі відбувається все та ж сама тупенька активність із розміщення досить “рівних” постів та новин, які не викликають обурення та не спонукають до дій. Адже на другому етапі мета ще не в цьому — головне згуртувати та кластеризувати якомога більші популяції користувачів та відокремити ті проекти — сторінки та групи — які виявилися найбільш популярними. В результаті з десятків груп та сторінок “в топчік” вибиваються буквально 2–3, але при цьому сторінки мають шестизначні кількості лайків, а групи — десятки тисяч членів.

Подальша активність “проектів” видозмінюється, але не дуже. Відбувається той самий “рівний” постинг по алгоритму “прокинувся, взяв телефон, подивився першу сторінку Української правди, розмістив на сторінці/в групі посилання на 2–3 тематичні новини”. Але тепер раз на п’ять-десять постів вони розміщують повідомлення, які трохи відрізняються від загального фону. Так починають робитися “ін’єкції” потрібної ворогу інформації. Таким чином вкидаються корисні замовнику фейки та інші меседжі, маніпулюючи якими можливо вплинути на світосприйняття фокусної аудиторії. Такий вплив рідко буває різким: спочатку щось ставиться під сумнів, в наступному пості пропонується альтернатива, в ще наступному — “докази”, а далі вже йде пряме заохочення до певних дій та рішень. Все як книжка пише.

Інтенсивність викидів досить стабільна, адже більшість із нас нині живе в 24-годинних інформаційних циклах і на ранок наступного дня навіть найсенсаційніша сенсація здається вже не такою важливою, адже нам підвезли нового лайна і згодовують його по цих налагоджених каналах збуту. Якщо ви придивитесь до декількох окремих “проектів”, ви побачите, що всі вони здійснюють дії більш-менш синхронно та не паряться щодо власного викриття: переважна більшість користувачів соцмереж досить легко піддаються впливу. А решта, хто все ще зберігає рештки контролю над власним споживанням інформації, все одно не встигне протидіяти: спроби розвінчати фейк безперспективні, адже його актуальність зникне протягом доби, і фокус натовпу перемкнеться на нову тему.

Цей принцип — викид дезінформації в масиви правдивих даних — використовується пацаками вже досить давно і спостерігався в декількох витоках електронних листів. Тоді в легітимному листуванні були “розмішані” компрометуючі документи. В імейлах виявити фейки набагато простіше, якщо мати доступ до їхніх оригіналів. В соціальних мережах виявити фейки набагато складніше, адже робити це доводиться надзвичайно швидко та в дуже стохастичному середовищі, яке кардинально змінюється буквально щодоби.

Як зрозуміти, що ви є об’єктом маніпуляцій за цим сценарієм? Скоріш за все, ви підписані на одну або декілька “неофіційних” сторінок підтримки тих чи інших кандидатів або політичних ідей. Також, ви можете належати до відповідних тематичних груп. Але найгірше, що це навіть не обов’язково. Адже коли жертвами схеми стають ваші друзі, ви автоматично стаєте свідками їхньої активності в таких “проектах” у вашій стрічці.

Як зрозуміти, що ваша свідомість постраждала від такого сценарію? Зверніть увагу на ваше ставлення до актуальних проблем вашого регіону або країни в цілому.

Чи відчуваєте ви негативні емоції до певної категорії співгромадян, або ж до усіх тих, хто не належить з вами до однієї умовної групи?

Чи відчуваєте ви, що протягом останніх місяців ваше ставлення до політичної ситуації в країні суттєво змінилося?

Чи відчуваєте ви, що вашим настроєм на майбутніх виборах керує не логічний розрахунок та планування майбутнього, а відчуття обурення та невдоволення теперішнім та минулим, які ви не відчували ще пів року тому?

Якщо відповідь на одне з цих питань “так”, у мене для вас погані новини. Я не ставлю під сумнів ваш IQ, освіченість та психічну стабільність, тому що ці фактори не впливають на те, як легко люди піддаються соціальній інженерії. Але схоже на те, що ви стали жертвою маніпуляцій.

На жаль, вже запізно щось змінювати — видалятися з маніпулятивних груп, відписуватись від сторінок та занадто вразливих френдів. Все, що я можу порадити вам, це зробіть собі відпустку від соціальних мереж та інтернету загалом. Можливо, вам вдасться стабілізуватися, якщо буде вимкнено постійне джерело подразнення. Сподіваюся, що так.

My thoughts about Pentest vs Bug Bounty debate

I have been in pentesting and appsec business for a while. For the last 10 years, I am more or less involved in security assessments of various kinds. I have started as a junior security engineer in a large international firm, where I did my share of scanning and translating the reports. Then I had to leave the infosec industry for a couple of years that I spent in IT audit, but I continued occasional freelancing. After that, I joined a smaller firm where I grew my first pentesting team, then another one. Currently, I run my own company and I can finally focus on building the security assessment practice the way I see it right. One question that I am regularly asked by clients, friends, and colleagues is:

Why do you still do appsec and pentests when Bug Bounties are so much more profitable?

Sometimes I joke about it, sometimes I try to explain, but normally I limit the answer to “bug bounties are overrated”. Simply because it’s true. I will not dig deep into the difference between classic consulting services and security assessments in particular, and the crowdsourced approach implemented by contemporary bug bounty programs. Instead, I will point your attention that both leading bug bounty brokers have lately introduced a new service: the so-called “next generation pentest”. Which in fact is just a pentest, but provided to you by a broker that uses bug hunters as human resources. Of course, we can argue about the differences in methodology that supports the two approaches, but after a few minutes I will most probably convince you that this difference is negligible. What really matters is who does the job.

A few words about the history of the discipline. For many years the pentesting firms were so small, that they were not considered actual market players. Simply because big clients were not the fans of the idea of giving such a sensitive job to a pentest boutique. Instead, they offered contracts to the entities who already had built trust with them: accounting firms, system integrators, and even software vendors. Then, slowly but surely, smaller companies have started to gain trust too: sometimes because of a deeper focus on the subject, sometimes because they were founded by the individuals who had built trustworthy public profiles throughout their carriers. And then bug bounties emerged.

Bug bounties have offered the market the crowdsourced security assessments of unlimited scale. In other words, now “thousands of eyes” could review the security of your software and report issues, while only the first report complete according to the program rules could win the reward. Many customers were quick to jump into the bandwagon that seemed an economically good idea. Pay as you go? Better: pay as you get value! Who in possession of required funds would resist the temptation?

But as it turned out, not every customer was ready for the “thousand eyes” attention. A few did not go through any formal appsec practices prior to posting the bug bounty brief. As a result, a thousand eyes quickly emptied the budget of a program that had not had a couple of eyes looked at its scope first. So the paradigm had to evolve: now the bounties were only good for the “mature” products, that had some in-house appsec. After this and some other improvements, the balance has been found.

The ingenuity of the idea and the trajectory of its success made bug bounties a nice thing to invest in. And the investment capitalism, in short, means that fsck dividents — the growth is all that matters. But the growth has not been as intensive as expected: the market has quickly reached its capacity in both clients and human resources. Not that many customers are declaring bounties now, although many pilot the service in a private mode. Not many bug hunters become professional and dedicated full-time appsec researchers. There are super effective 1%ers on both sides. Apparently, the investors are not OK with “the flow” of operations and revenue that the field has reached. Thus, the rewind to the classic dedicated consulting/pentesting kind of services is being attempted — albeit with a certain facelift. And it will most probably work out, as the bug bounty brokers have the required trust and quality controls out there and are able to deploy trustworthy, background-checked resources. I am not sure that this will allow the brokers to sustain the growth rate that is expected from them, because the next “bug bounty boom” is not necessarily arriving any time soon. But the combination of public and private bounties and classic pentests would secure the flow.

In conclusion, I will sum it all up as I see it. Bounties offered the market the promise that Bitcoin once gave: the elimination of trust from the equation. Bitcoin never made it: not only because now you had to trust Bitcoin itself, but more importantly because people are willing to trust each other and the independent third parties who would enforce rules in case one of them decides to cheat. Neither will bounties make it. Instead, the brokers will have to take trust into account and diversify their offering accordingly.

Стать, кібербезпека та конференції

Це не дуже популярна зараз думка, особливо серед крайніх «лівих», але як не крути, між жінками та чоловіками є велика різниця. Зараз я говорю не про очевидну біологічну різницю, а про різницю в соціальних стратегіях, які ми обираємо. Ці стратегії можуть бути викликані біологічними передумовами, але ж людина істота соціальна, тому середовище впливає на нашу поведінку не менше, ніж гени чи стать.

Наведу два цікаві спостереження. Жінкам більше подобається мати справу з людьми, а чоловікам – з предметами. При цьому чоловіки схильні до високого ризику, а жінки – до його раціоналізації. Ці дві деталі часто конфліктують між собою, викликаючи неочікувані наслідки. З одного боку, чоловіки домінують в професіях, пов’язаних з ризиком для життя. З іншого боку, – жінки нерідко виявляються в цих професіях успішнішими, особливо на керівних посадах, адже можуть ефективно керувати ризиками та мінімізувати їхні наслідки.

Цікавий парадокс являє собою галузь кібербезпеки. З одного боку, кібербезпека вважається технічною галуззю, яка успадкувала від інших технічних професій високий відсоток чоловіків. Ми ж бо технарі! Ось, подивіться, у нас руки по лікті в мазуті! З іншого ж боку, кібербезпека, після певного рівня кар’єрного узагальнення, – це здебільшого управління ризиками та робота з людьми. Кумедно? Якщо ми з вами спілкувалися на цю тему раніше, то ви знаєте мою думку: жінки більше підготовлені для роботи в кібербезпеці, і цьому є багато прикладів та їхня кількість зростає. Не зважаючи на те, що дівчата рідко сюди потрапляють, вони зазвичай досягають тут більших успіхів.

В окрему тему можна виділити конференції з кібербезпеки. Зазвичай, коли людина здобуває цікавий досвід, логічно ним поділитися. Особливо, коли справа стосується досліджень або завдань та ситуацій, інформація про які може бути цікава іншим людям. І тут ми маємо просто неймовірний перекіс в бік доповідачів-чоловіків: доля доповідачок навіть не є пропорційною долі жінок в професії. Чому? Тому що хлопці подають заявку на виступ, коли впевнені у тому, що їхня тема цікава, хоча б наполовину. А дівчата – коли впевнені хоча б на 90%.

І це типу неправильно, тому що вирішувати, цікава тема, чи ні, повинні не доповідачі, а організатори та слухачі. Тому на початку конференц-сезону я хочу звернутися до усіх колег і особливо жінок: не ставте під сумнів потенціал вашої доповіді, довірте це програмному комітету. Кожен досвід унікальний і багато хто з вас заслуговує на те, щоб вас почули. Тому зосередьтеся на бажанні виступити. А от чи вдасться вам це, нехай покаже голосування.


Онлайн-генератор випадкових паролів від української кіберполіції

Прекрасний приклад того, як не треба здійснювати просвітницьку діяльність у сфері кібербезпеки від Департаменту кіберполіції Національної поліції України: онлайн-генератор випадкових паролів — https://www.cyberpolice.gov.ua/generate-password/.

Онлайн генератор випадкових паролів

Пояснюю, чому це безглузда ідея. Випадкові паролі це дуже-дуже добре, але вони мають сенс лише тоді, коли використовуються з надійним парольним менеджером (або парольним сейфом). Це така спеціальна програма, яка зберігає для вас випадкові паролі, кожен з яких унікальний та відповідає певному вебсайту або іншій системі. Користуючись парольним менеджером, ви можете зробити всі ваші паролі різними та випадковими. Та не хвилюватиметесь, що, зламавши один вебсайт, хакери отримають доступ до пароля, який ви використовуєте скрізь.

І кожен нормальний парольний менеджер має функцію генерації випадкових паролів. Тому просунуті користувачі, які мають парольні менеджери, пропозицією Кіберполіції не скористаються.

А скористаються нею ті користувачі, які парольного менеджера не мають. І в такому випадку у них буде три варіанти використання рандомного пароля:

  1. Запам’ятати його та використовувати скрізь.
  2. Записати його десь в небезпечному місці.
  3. Забути його одразу ж після використання.

Сподіваюся, для всіх очевидно, що усі три наведені сценарії не покращують безпеку, а №3 ще й ускладнює користувачу життя.

Тому, використовувати скрізь унікальні паролі, згенеровані випадковим чином та зберігати їх у парольному менеджері — це набагато більш корисна порада, ніж використання онлайн-генератора. (До речі, вона міститься в цих порадах з персональної кібер-безпеки: https://github.com/sapran/dontclickshit). Достатньо просто трохи поміркувати над моделлю загроз, до якої застосовуються ці два альтернативні заходи безпеки, і все стає зрозуміло. Але ж то багато роботи.

Ще одним прикладом беззмістовної активності з метою продемонструвати, що для кібербезпеки в Україні “щось робиться” є масова розсилка спаму абонентам мобільного зв’язку з рекомендаціями відвідати посилання на поради з персональної кібербезпеки на вебсайті CERT-UA. Спільнота спеціалістів кібербезпеки роками привчала користувачів не клацати підозрілі посилання, але це все марно; там, “на горі”, своє бачення ландшафту загроз, а політикам треба продемонструвати швидку та ефектну дію, а не побудувати надійну та ефективну систему захисту.