Неделя пролетела как один день. Бюджет поездки тоже куда-то улетел 🙈. Но в целом что можно было ожидать, если только на скипасы ушло около 900 евро. Итоговый бюджет поездки встал в 2600(тут абсолютно все расходы). Предпочту думать что это не мои деньги, а реварды которые долетели за последние пару недель 😁.
Спасибо богу кавычек за это 🙏🏻
Спасибо богу кавычек за это 🙏🏻
🔥30👍10
Не подумайте что я тут как бабка на лавке, которая вспоминает молодость и думает - а вот тогда было лучше. Но на фоне вчерашнего анонса openAI Sora - возникло очень много мыслей, которыми хочется поделиться. И они вообще не про восторг перед технологиями.
Не секрет что через deep fake атаки, злоумышленники начали похищать крупные суммы денег. В условиях удаленной работы, это как никогда просто стало делать. CERT германии даже целый раздел сайта этому посвятил. И вот теперь, порог входа для генерации подобных видео станет еще ниже. А процедур позволяющих ограничивать использование такой технологии по просту нет. И уже завтра вашей маме скинут видео как "вы" сидите в камере, и просите прислать денег чтоб вас отпустили.
Еще происходит явно обесцениваение индустрии кино. Вероятно в целях экономии бюджета фильмов, и в целях извлечения большей прибыли, начнется повсеместное использование AI generated видео. И пропадает душа в том, что было снято. За картинкой не будет огромной работы операторов дронов, каскадеров, режисёра и множества дублей актеров. А еще это явно может сказаться на технологическом прогрессе в области кинематографа. Зачем покупать дрон или стабилизатор если можно собрать кадры через ai. Зачем вообще брать дорогую камеру Arri или Red. И индустрия производства такой техники тоже почувствует на себе спад. И в результате меньше инвестиций в разработку инструментов для съемки.
Кароч, у меня не вызывает восхищеня все происходящее. Только огромное опасение и чувство, что скоро фильм Surrogates, перестанет быть фильмом. Что думаете?
Не секрет что через deep fake атаки, злоумышленники начали похищать крупные суммы денег. В условиях удаленной работы, это как никогда просто стало делать. CERT германии даже целый раздел сайта этому посвятил. И вот теперь, порог входа для генерации подобных видео станет еще ниже. А процедур позволяющих ограничивать использование такой технологии по просту нет. И уже завтра вашей маме скинут видео как "вы" сидите в камере, и просите прислать денег чтоб вас отпустили.
Еще происходит явно обесцениваение индустрии кино. Вероятно в целях экономии бюджета фильмов, и в целях извлечения большей прибыли, начнется повсеместное использование AI generated видео. И пропадает душа в том, что было снято. За картинкой не будет огромной работы операторов дронов, каскадеров, режисёра и множества дублей актеров. А еще это явно может сказаться на технологическом прогрессе в области кинематографа. Зачем покупать дрон или стабилизатор если можно собрать кадры через ai. Зачем вообще брать дорогую камеру Arri или Red. И индустрия производства такой техники тоже почувствует на себе спад. И в результате меньше инвестиций в разработку инструментов для съемки.
Кароч, у меня не вызывает восхищеня все происходящее. Только огромное опасение и чувство, что скоро фильм Surrogates, перестанет быть фильмом. Что думаете?
😢15👍7🤔4🙏1
Дивный вечерочек получился. Закрыл "мечту" о том что когда-нибудь хакну пентагон(буквально). И вот только что получилось. Скрин как раз с портала, который не устоял.
Радует что благодаря Hackerone, подобные действия расценивают исключительно положительно.
И кстати если раньше я стороной обходил VDP и не отправлял бесплатные vulnerability репорты. То в этом году я подумал что хочу в свой список достижений какие-то очень серьзеные организации.
А еще DoD VDP team меня даже приятно порадовали сообщением - "...you have been selected as our Researcher of the Month..." 😎
Значит ли это что-то из области "за тобой выехали" ? 🤔
Радует что благодаря Hackerone, подобные действия расценивают исключительно положительно.
И кстати если раньше я стороной обходил VDP и не отправлял бесплатные vulnerability репорты. То в этом году я подумал что хочу в свой список достижений какие-то очень серьзеные организации.
А еще DoD VDP team меня даже приятно порадовали сообщением - "...you have been selected as our Researcher of the Month..." 😎
Значит ли это что-то из области "за тобой выехали" ? 🤔
🔥62👍8😁7🤔2❤1👏1🤯1
Не доглядели ребята из NASA за своими конфиденциальными данными. Как итог - пришлось исправлять Critical(P1) репорт и генерить грамоту рисёрчеру.
Только вот мне не нравится что там не полное имя написано, а просто krevetk0.
Придется им второй critical репорт унести, и попросить чтоб полное имя писали 😁
Только вот мне не нравится что там не полное имя написано, а просто krevetk0.
Придется им второй critical репорт унести, и попросить чтоб полное имя писали 😁
🔥44👍12😁10👏2❤1
Удалось побывать в конце недели на Nullcon Berlin. Попутно поучаствовал в live hacking event от intigriti. Т.к билет на конфу был взят за собственные деньги, то было дикое желание отбить затраты хотя бы через ивент. По итогу накавычкал до 5ого места в ивенте и отбил билет, оставшись в небольшом плюсике :)
Скоуп был не простой. Пара доменов с вайлдкардами. Мусорных багов там не было замечено. Это и по лидеру ивента видно. На первый день результаты были не восхитительные и на второй день добавили новый скоуп. Вот тут я и собрал свой кэш.
Попутно кстати показал на своём репорте несправедливость оценки триажеров с точки зрения критичности. Inti принял мою позицию, почитал customers policy у h1 и обещал исправить этот недочет на своей платформе. И это круто когда пожелания можно выразить вот так сразу :)
Конференция была классная. Доклады во второй день были вообще офигенскими и я с трудом совмещал приятное с полезным.
Скоуп был не простой. Пара доменов с вайлдкардами. Мусорных багов там не было замечено. Это и по лидеру ивента видно. На первый день результаты были не восхитительные и на второй день добавили новый скоуп. Вот тут я и собрал свой кэш.
Попутно кстати показал на своём репорте несправедливость оценки триажеров с точки зрения критичности. Inti принял мою позицию, почитал customers policy у h1 и обещал исправить этот недочет на своей платформе. И это круто когда пожелания можно выразить вот так сразу :)
Конференция была классная. Доклады во второй день были вообще офигенскими и я с трудом совмещал приятное с полезным.
🔥39👍13❤1👏1
Hackerone кажется начал прислушиваться к исследователям и навалил кучу годноты в документ со стандартами платформы. Стандарты описывают ситуации когда бездушный CVSS может не покрывать какие-то условия. А слепое следование CVSS часто очень больно сказывается на оценке репорта. Кастомеры конечно имеют шанс не следовать этим стандартам. Но вот лишний раз теперь можно ткнуть носом когда понадобится.
Из важного:
- IDOR где айдишник не предсказуемый так же может считаться валидной багой, но вот "Attack Complexity" нужно считать "High"
- Нашли доступ и смогли объяснить их происхождение - теперь это валидная проблема. Искренне не понимал программы, которые думают что они умнее рисёрчера и придумывают причины почему полный доступ к инфре - informative. Есть конечно нюансы, но в целом платформа/индустрия признаёт уже эту проблему. И это отлично.
- Более подробно и объективно разобрали систематические баги и необходимость учитывать разные уязвимые параметры как разные уязвимости. В целом годно что написано в стандартах. Но для нервной системы проще держать второй репорт до тех пор пока первый не пофиксят.
- Если затащили 3rd party багу в системе которая в скоупе. То теперь рекомендуют учитывать такую багу как багу в скоупе. Т.к компания сама выбрала использование 3rd party, а значит осознанно пошла на риски.
Больше информации и подробностей тут.
Советуют прочитать несколько раз, чтоб иметь в себе силы и желание отстаивать критичность репорта 😉
Из важного:
- IDOR где айдишник не предсказуемый так же может считаться валидной багой, но вот "Attack Complexity" нужно считать "High"
- Нашли доступ и смогли объяснить их происхождение - теперь это валидная проблема. Искренне не понимал программы, которые думают что они умнее рисёрчера и придумывают причины почему полный доступ к инфре - informative. Есть конечно нюансы, но в целом платформа/индустрия признаёт уже эту проблему. И это отлично.
- Более подробно и объективно разобрали систематические баги и необходимость учитывать разные уязвимые параметры как разные уязвимости. В целом годно что написано в стандартах. Но для нервной системы проще держать второй репорт до тех пор пока первый не пофиксят.
- Если затащили 3rd party багу в системе которая в скоупе. То теперь рекомендуют учитывать такую багу как багу в скоупе. Т.к компания сама выбрала использование 3rd party, а значит осознанно пошла на риски.
Больше информации и подробностей тут.
Советуют прочитать несколько раз, чтоб иметь в себе силы и желание отстаивать критичность репорта 😉
Hackerone
Detailed Platform Standards | HackerOne Help Center
Organizations: HackerOne's Platform Standards for assessing rewards for a report
🔥23👍4❤1👌1
Зацепился с одним рисёрчером в обед на тему полисей, скоупов и странных результатов.
Ну и он нарассказывал всяких неприятных историй о том как открытые монги, бакеты, эластики и прочие айтишные приколы, оказываются не в скоупе некоторых VDP/BBP. Потому что, ВНЕЗАПНО, у них не совпадает доменное имя с тем что написано в полиси программы.🤦♂️
И смешно и грустно. Я до сих пор вспоминаю как пару критичных багов в Amazon закрыли с фиксом без выплат, потому что полиси написано amazon.* , а я нашел amzn-*. Будь проклят тот чел, который сэкономил на гласных буквах 🤬
Накидайте ваши криножовые истории в комментариях 😉️️️️️️ Интересно, есть ли среди читателей король аут-оф-скоупа.
Ну и он нарассказывал всяких неприятных историй о том как открытые монги, бакеты, эластики и прочие айтишные приколы, оказываются не в скоупе некоторых VDP/BBP. Потому что, ВНЕЗАПНО, у них не совпадает доменное имя с тем что написано в полиси программы.🤦♂️
И смешно и грустно. Я до сих пор вспоминаю как пару критичных багов в Amazon закрыли с фиксом без выплат, потому что полиси написано amazon.* , а я нашел amzn-*. Будь проклят тот чел, который сэкономил на гласных буквах 🤬
Накидайте ваши криножовые истории в комментариях 😉️️️️️️ Интересно, есть ли среди читателей король аут-оф-скоупа.
👍14😁3
Намайнив совсем чуть чуть репортов на DoD и NCSC, плюс попутно засылая "уязвимости выходного дня", я в итоге засэйвил 10k Reputation Score на платформе Hackerone.
Особенно забавно было получить комментарии бати немецких багхантеров, который буквально спросил что это я там такое делаю 😁
PS: Для меня 10к репы это была такая ментальная цель. Несколько лет назад с этой цифрой можно было попасть в TOP-100 исследователей. Сейчас же топ-100 начинается с 13к репы.
Особенно забавно было получить комментарии бати немецких багхантеров, который буквально спросил что это я там такое делаю 😁
PS: Для меня 10к репы это была такая ментальная цель. Несколько лет назад с этой цифрой можно было попасть в TOP-100 исследователей. Сейчас же топ-100 начинается с 13к репы.
🔥37👍6❤5😁2👏1