Труха⚡️Україна

Николаевский Ванёк

View

Реальна Війна | Україна | Новини

View

Труха⚡️Україна

View

Николаевский Ванёк

View

Реальна Війна | Україна | Новини

View

Makrushin

Technology

Денис Макрушин. Здесь, чтобы спасти мир.
Про кибербезопасность, технологии и людей.
Для связи: @makrushin_bot
makrushin.com

TGlist rating

TypePublic

Verification

Not verified

Trust

Not trusted

LocationРосія

LanguageOther

Channel creation dateMar 13, 2022

Added to TGlist

Mar 25, 2025

I own this channel

History of changes

Linked chat

Makrushin Chat

114

Statistic of Telegram Channel Makrushin

More details

Subscribers

2 327

24 hours

20.1%Week

391.7%Month

1748.1%

Citation index

0

Mentions2Shares on channels0Mentions on channels2

Average views per post

326

12 hours3260%24 hours3260%48 hours3640%

Engagement rate (ER)

2.76%

Reposts2Comments0Reactions7

Engagement rate by reach (ERR)

0%

24 hours0%Week

0.15%Month

2.89%

Average views per ad post

0

1 hour00%1 – 4 hours00%4 - 24 hours00%

More details

Connect our bot to the channel to find out the gender distribution of this channel's audience.

Total posts in 24 hours

0

Dynamic

Latest posts in group "Makrushin"

All posts

06.05.202515:11

Последняя миля для исследователя

Итог любого исследования - это отчет. Не найденная уязвимость, не новая техника атаки и даже не прототип. Заключительным этапом является опубликованный репорт, и об этом мы говорили в комментариях к посту, из которого родилась статья “Как провести свое первое security-исследование”.

Эта последняя миля иногда составляет более 50% от всего объема исследовательской работы. Нужно не только подготовить отчет, но и доставить его до целевой аудитории. В этот период доставки, ресерчер превращается в героя компьютерной игры Death Stranding и, как курьер, перемещается со своим докладом и материалами между различными регионами и конференциями.

Локальных конференций, на которых исследователь-практик может представить доклад, можно пересчитать по пальцам одной руки. А мероприятий, организаторы которых еще и могут дать экспертную обратную связь о ресерче - еще меньше.

Pentest Award - это отраслевая награда для специалистов по тестированию на проникновение, которую ежегодно вручают мои коллеги из компании Авилликс. Основная задача: выделить лучших специалистов и показать их вклад в развитие российского пентеста. Слежу за этим мероприятием уже третий год подряд и вижу, как площадка постепенно набирает свое сообщество и увеличивает количество номинаций в направлении наступательной безопасности. Если ты занимаешься анализом защищенности и нашел что-то нетривиальное, то точно стоит поделиться.

Отмечай это событие точкой на карте своего карьерного пути.

28.04.202508:11

Веб-ханипот, чтобы изучить атакующего

Интересная библиотека, которую разработчик веб-приложения может добавить в свой проект и наблюдать, кто и как пытается проэксплуатировать уязвимости.

Ханипот поднимает API-эндпоинты, которые имитируют разные уязвимости. В результате, если атакующий использует сканер, то получает ложные срабатывания и тратит свое время на их анализ. А владелец веб-приложения получает дополнительное время, чтобы принять меры.

Если пишешь свои веб-приложения на Go/Python/JS и хочешь знать, кто пробует твои проекты на прочность, то подключай эту библиотеку - уверен, что соберешь много инсайтов.

27.04.202516:11

Продолжаю дежурить в сообществе South HUB, которое объявило месяц безопасности для топ-менеджеров в IT.

На этих выходных подняли тему безопасности цепочки поставок при создании продуктов. Пока в том канале знакомятся с угрозами, здесь мы изучим дайджест исследований, которые попали в мою подборку на этой неделе. Следим за историями в канале.

23.04.202508:11

Глюк-пакеты: как названия пакетов, придуманные ИИ, становятся угрозой

Помним про старые атаки typosquatting, которые актуальны до сих пор. Typosquatting в разработке - это загрузка в репозиторий вредоносного пакета с именем, похожим на название популярного и уже существующего пакета.

В свежей академической статье авторы проверяли гипотезу, что галюцинации пакетов являются распространенным явлением при генерации кода с использованием больших языковых моделей (LLM), и что это явление представляет собой новую угрозу для цепочки поставок в разработке ПО.

Для проверки этой гипотезы исследователи выполнили три задачи:
1. определили частоту, с которой LLM генерируют несуществующие или ошибочные названия пакетов при генерации кода на Python и JavaScript, и то, как настройки модели влияют на возникновение галлюцинаций;
2. определили повторяемость галлюцинаций;
3. выявили семантические особенности сгенерированных пакетов.

Методика исследования состояла из нескольких этапов. Сначала авторы сгенерировали датасет из входных запросов (промптов) для генерации кода. Затем передали этот набор запросов для каждой из 16 выбранных LLM. И уже на сгенерированном коде применили правила для поиска фрагментов кода, в которых производится подключение сторонних пакетов.

Каждый полученный пакет сравнивался с актуальным списком настоящих пакетов. Если этот пакет отсутствовал в списке, то помечался авторами как галлюцинация. Галлюцинаций накопилось аж 205474 штук. Большинство галлюцинированных названий пакетов не были семантически схожи с существующими популярными пакетами. Это значит, что название глюк-пакета было мало похоже на оригинальное название. То есть, эти названия не являются простыми опечатками.

После изучения исследования у меня остался один вопрос: как злоумышленник может эффективно использовать эту особенность ИИ в своих атаках? Очевидная схема: «нагенерировать» с помощью LLM подобные галлюцинации, и использовать полученный словарь для регистрации вредоносных пакетов. Но далеко не факт, что подобные галлюцинации LLM воспроизведет у разработчика. Поэтому злодею остается стрелять «из пушки по воробьям»: регистрировать как можно больше названий, напоминающих названия для легитимных зависимостей.

Reposted from:

South HUB

19.04.202512:37

Вашей компании нужен герой — и он уже среди ваших разработчиков!
(#соавтор South HUB, Денис Макрушин.)

Если кто-то до сих пор слышит и соглашается с тезисом «безопасность замедляет разработку и душит инновации», то он плохо осознает с какой скоростью двигается прогресс. Раньше управленец C-level в технологической компании мог надеяться, что его бизнес или продукт не будут интересны кибер-преступникам, и они обойдут его стороной. Теперь же, когда злодеи повсеместно используют автоматизацию и регулярно мониторят возможности запрыгнуть в инфраструктуру компании любого масштаба — нельзя надеяться на «да кому я нужен».

Атаки, утечки и различные кибер-инциденты реально тормозят развитие. Иногда останавливают его полностью. Потому что когда «зашифрован прод», а данные клиентов текут в паблик — это не про развитие. А еще, оказывается, что недостаточно завернуть в свой пайплайн все необходимые security-инструменты. Недостаточно даже их правильно настроить и получать только важные результаты их работы.

Как обычно, секретный соус кибербезопасной компании — в ее людях и культуре. Уязвимость всегда проще и дешевле исправлять, когда она обнаружена в IDE разработчика, а не в проде у клиента. Практики и инструменты ИБ нужно двигать «влево» — ближе к началу жизненного цикла системы. Ближе к тому этапу, на которых рождается идея, гипотеза, бизнес-план, дизайн системы. А для этого, нужно понимать “кибербез” на уровне культуры топ-менеджмента и разработки.

В индустрии есть такое термин: Security-чемпион. Это не всегда выделенная роль. Это может быть сотрудник, который прокачивает себя в вопросах ИБ и приземляет экспертизу в своих повседневных задачах. Например, разработчик или тим лид, который понимает риски некачественного кода. CTO, который не ждет, когда появится CISO и принесет контроли в SDLC. CEO и CPO, которые знают, для чего проводить дополнительные security design review.

Чтобы запустить чемпионскую программу в своих командах разработки, нужно предварительно ответить на ключевые вопросы вопроса:
1. Как я создам внутреннюю мотивацию? Что будет драйвить разработчика развиваться в направлении безопасной разработки?
2. Какой ресурс я выделю для реализации программы? Смогу ли обеспечить реальное влияние security-чемпионов на SDLC-процессы?
3. Как буду постоянно развивать и поддерживать сообщество security-чемпионов?

И как только появятся конкретные ответы на эти вопросы, можно будет приступать к тактике. Кстати, отправной точкой для запуска программы может стать вот этот плейбук, подготовленный моим товарищем и поддержанный сообществом OWASP.

Культивируете ли чемпионов в своих командах?

Reposted from:

Кибербез образование

15.04.202508:11

Какие навыки прокачивать, чтобы зайти в кибербез сегодня, и зачем писать код на листке бумаги? 🤔

Новый выпуск подкаста с Денисом Макрушиным, директором по продуктам безопасной разработки в Яндекс , автором канала Makrushin 👨‍🏫

Таймкоды:
00:26 - Денис о своем пути в кибербез, о журнале Хакер и обучении в МИФИ
04:21 - Почему остался в кибербезе после окончания вуза?
07:45 - Формирование аналитического мышления в вузе
09:47 - Путь к преподаванию, аспирантура, специфика деятельности преподавателя
13:37 - Как удается разрабатывать курсы и где находить для этого время?
16:40 - Инструменты для анализа научных статей
19:08 - ИИ заменит программистов
20:49 - ИИ в QA
21:33 - ИИ как напарник программиста
22:29 - Роль системных архитекторов
24:23 - Как сформировать современную программу обучения для программистов?
31:05 - Как преодолеть стереотипы в преподавании?
34:56 - Про формирование системного мышления, организация и коммуникация в процессе обучения
40:14 - Зачем писать код на листке бумаги без ПК?
44:16 - Мотивация преподавателя и язык ассемблера для ИБ сегодня
47:25 - Какие навыки прокачивать, чтобы зайти в кибербез?

👉 Запись также доступна в VK 📺 RuTube 📺 и Яндекс.Музыке 🎵

Дополнительные материалы:
- The Fastest Research Platform Ever

#подкаст

09.04.202510:37

Новая AI-модель для задач кибербезопасности

На прошлой неделе первый поток APPSEC-01 завершил свое обучение и передал эстафету новому потоку. На заключительном вебинаре мы рассмотрели сценарии использования ИИ для задач AppSec-инженера.

Пока мы обменивались идеями, Google опубликовал экспериментальную модель Sec-Gemini, которая предназначена для автоматизации SecOps-процессов. В бенчмарке CTI-RCM (Cybersecurity Threat Intelligence-Root Cause Mapping) эта модель опередила конкурентов. Фреймворк CTI-RCM позволяет оценить способности LLM в задачах определения контекста угроз, поиска связи между угрозой и уязвимостями, которые к ней привели.

Для AppSec-инженера интересна интеграция Sec-Gemini с источником данных об уязвимостях OSV. Теперь можно следить за зависимостями в своем ПО еще тщательнее.

Кажется, что уже участники второго потока будут изучать не только сценарии автоматизации рутинных AppSec-задач, но и способов интеграции AI-AppSec-инженера в свою работу. 🤖

01.04.202508:11

Правила для выявления атак небезопасной распаковки архивов

Мы изучали уязвимость Zip Slip в Golang, когда атакующий может загрузить специально сформированный архив и выйти за пределы каталога, в который производится распаковка.

Проект Unsafe Unpacking Research собирает сценарии небезопасной распаковки в разных языках программирования и предлагает соответствующие semgrep-правила для их выявления в коде. Возможно, с помощью этих правил, AppSec-инженер, который уже устал находить в своих рабочих проектах тривиальные уязвимости, сможет разбавить рутину трудовых будней своих разработчиков. 👾

30.03.202508:11

Провинциальный OSINT: определяем место

Обычный пользователь видит просто фото. А что на нем видит OSINT-исследователь?

Фотка сделана на крыше здания, которое расположено где-то на окраине крупного города. Задача: определить страну.

⭐️Задача со звездочкой: определить город.

29.03.202508:11

База симуляций атак и правил для их обнаружения

Кто запускал инструменты симуляции атак, тот знает, насколько они бывают полезными для оценки способностей Blue Team. Автор репозитория AttackRuleMap пробует закрыть пробел между сценариями атак инструмента Atomic Red Team и Sigma-правилами для их обнаружения.

Полезная база, которая пригодится аналитику SOC, чтобы не дожидаться, когда к нему прийдет пентестер или Red Team, а самостоятельно оценить свои возможности.

20.03.202508:11

Безопасная разработка и какие вызовы несет AI

Дубай. Вечер. Глеб рассказывает кому-то из участников CTO Day, почему он не расстается со своей кепкой, на козырьке которой написано <head>. Можно догадаться, что это намек на фронтендерский бэкграунд Глеба, который уже давно с позиции технического директора смотрит на разработку, катит фичи в продукты, и рассказывает о нюансах управления R&D в своем подскасте.

И вот, спустя год, в гостях у Уставшего техдира мы говорим про безопасность в разработке, про роль AI в этом процессе, чтобы потом поделиться этим мыслями со всеми, кто неравнодушен к созданию продуктов, кибербезопасности и теме ИИ.

⭐ Выпуск доступен на YouTube, ВК, Rutube, Spotify, Apple Podcast, Яндекс.Музыка.

19.03.202508:13

«Спасаем разработчика» на Кавказе

Мы уже рассказывали про атаки на разработчика и изучали уязвимости платформ разработки. Теперь исследуем методы и инструменты защиты конвейера и придумываем автоматизации, которые можно отдать AI-AppSec-инженеру (это тот, который не просит еду, только GPU-ресурсы).

И повод тоже есть: на Кавказе как раз на мероприятии «Код ИБ» собираются директора ИБ, которые смогут приземлить эти идеи в своем бизнесе.

09.03.202510:55

На охоту за когнитивным топливом ❄️

All posts

Advertised1 day

26.04.202516:49South HUB

3.7K

Technology

Advertised13 hours

19.04.202510:14South HUB

3.7K

Technology

More details

Records

14.05.202523:59

2.3KSubscribers

10.04.202509:37

400Citation index

05.05.202513:54

348Average views per post

20.05.202517:20

0Average views per ad post

03.05.202518:18

7.76%ER

10.04.202509:37

16.34%ERR

Growth

More details

Subscribers

Citation index

Avg views per post

Avg views per ad post

ERR

More details

Makrushin